Dưới đây là tổng kết các khái niệm cơ bản trong phần VPC của AWS:
- CIDR: phạm vi địa chỉ IP.
- VPC: Virtual Private Cloud, cung cấp khả năng tạo ra một môi trường đám mây riêng tư, trong đó ta có thể định nghĩa danh sách các CIDR của IPv4 & IPv6.
- Subnet: liên kết với một AZ (Availability Zone), định nghĩa một CIDR.
- Internet Gateway: ở mức VPC, cung cấp truy cập Internet cho IPv4 & IPv6.
- Route Tables: phải chỉnh sửa để thêm các tuyến đường từ các mạng con đến IGW, VPC Peering Connections, VPC Endpoints, …
- Bastion Host: instance EC2 công khai cho phép SSH, có kết nối SSH tới các instances EC2 trong mạng con riêng tư.
- NAT Instances: cho phép các instances EC2 trong mạng con riêng tư truy cập Internet. Khá cũ, phải được thiết lập trong một mạng con công khai, vô hiệu hóa cờ kiểm tra nguồn / đích.
- NAT Gateway: được quản lý bởi AWS, cung cấp khả năng truy cập Internet có khả năng mở rộng cho các instances EC2 riêng tư, IPv4 only.
- Private DNS + Route 53: cho phép giải quyết DNS + DNS Hostnames (VPC).
- NACL: stateless, quy tắc subnet cho phép các kết nối đến và đi, không quên cổng phù hợp (Ephemeral Ports).
- Security Groups: stateful, hoạt động ở mức độ instance EC2.
- Reachability Analyzer: thực hiện kiểm tra kết nối mạng giữa các tài nguyên AWS.
- VPC Peering: kết nối hai VPC với CIDR không trùng nhau, không truyền thông.
- VPC Endpoints: cung cấp truy cập riêng tư đến Dịch vụ AWS (S3, DynamoDB, CloudFormation, SSM) trong một VPC.
- VPC Flow Logs: có thể thiết lập tại cấp độ VPC / Subnet / ENI, cho lưu lượng ACCEPT và REJECT, giúp xác định các cuộc tấn công, phân tích bằng Athena hoặc CloudWatch Logs Insights.
- Site-to-Site VPN: thiết lập Máy chủ khách hàng trên DC, Máy chủ riêng ảo trên VPC và VPN site-to-site qua Internet công khai.
- AWS VPN CloudHub: mô hình VPN hub-and-spoke để kết nối các trang web của bạn.
- Direct Connect: thiết lập Máy chủ riêng ảo trên VPC, và thiết lập kết nối riêng tư trực tiếp đến một Địa điểm AWS Direct Connect. Kết nối trực tiếp này cho phép truy cập vào các dịch vụ AWS như S3, DynamoDB, hay EC2 một cách nhanh chóng và an toàn hơn thông qua kết nối internet công cộng.
- Direct Connect Gateway: cho phép kết nối trực tiếp đến nhiều VPC ở các khu vực khác nhau trong AWS.
- AWS PrivateLink / VPC Endpoint Services: kết nối các dịch vụ riêng tư giữa các VPC một cách an toàn và bảo mật mà không cần thông qua VPC Peering, internet công cộng, NAT Gateway, hay Route Tables. Việc sử dụng PrivateLink phải kết hợp với Network Load Balancer và ENI.
- ClassicLink: cho phép kết nối các EC2-Classic EC2 instance với VPC một cách riêng tư.
- Transit Gateway: cung cấp kết nối peer-to-peer và transitive cho VPC, VPN, và Direct Connect.
- Traffic Mirroring: sao chép lưu lượng mạng từ ENI để phân tích thêm.
- Egress-only Internet Gateway: tương tự như NAT Gateway, nhưng áp dụng cho IPv6.
