AWS Site-to-Site VPN
AWS Site-to-Site VPN là dịch vụ VPN kết nối mạng riêng ảo giữa một VPC trên AWS và mạng máy tính của khách hàng. Để thiết lập kết nối VPN Site-to-Site, cần có hai thành phần chính là Virtual Private Gateway (VGW) và Customer Gateway (CGW).
VGW là một thiết bị tập trung VPN nằm ở phía AWS của kết nối VPN Site-to-Site. VGW được tạo và đính kèm vào VPC từ đó bạn muốn tạo kết nối VPN Site-to-Site. VGW có thể được tùy chỉnh với ASN (Autonomous System Number) theo yêu cầu của khách hàng.
CGW là một ứng dụng phần mềm hoặc thiết bị vật lý nằm ở phía khách hàng của kết nối VPN Site-to-Site. Khách hàng cần cài đặt và cấu hình CGW để thiết lập kết nối VPN Site-to-Site. AWS cung cấp danh sách các thiết bị đã được thử nghiệm và được hỗ trợ để sử dụng với dịch vụ VPN trên trang web của họ.
Site-to-Site VPN Connections
Site-to-Site VPN Connections là một giải pháp mạng ảo, cho phép kết nối giữa VPC trên AWS và mạng của khách hàng. Để tạo kết nối này, ta cần sử dụng các thành phần sau:
- Customer Gateway Device (On-premises): Đây là một thiết bị trên mạng của khách hàng, được sử dụng để tạo kết nối VPN với VGW của AWS.
- IP address: Địa chỉ IP cần sử dụng là địa chỉ IP định tuyến được công khai trên Internet cho thiết bị Customer Gateway, hoặc địa chỉ IP công khai của thiết bị NAT nếu NAT được kích hoạt cho NAT traversal (NAT-T).
- Route Propagation: Khi đã tạo kết nối VPN giữa VPC và mạng của khách hàng, cần phải bật Route Propagation cho VGW trong bảng định tuyến được liên kết với các subnet của VPC để có thể định tuyến các gói tin giữa hai mạng.
- ICMP protocol: Nếu cần kiểm tra kết nối giữa VPC và mạng của khách hàng, ta có thể sử dụng lệnh ping. Tuy nhiên, trước khi ping tới các instance EC2 trong VPC, cần thêm giao thức ICMP vào phần Inbound trong Security Group của VPC.
AWS VPN CloudHub
AWS VPN CloudHub là một dịch vụ cung cấp kết nối an toàn giữa nhiều địa điểm khác nhau thông qua nhiều kết nối VPN. Nó cho phép tạo mô hình hub-and-spoke kết nối mạng chính hoặc phụ giữa các địa điểm khác nhau với chi phí thấp. Kết nối được thực hiện thông qua mạng Internet công khai, do đó đòi hỏi tính bảo mật cao. Để cấu hình, người dùng phải kết nối nhiều kết nối VPN trên cùng một VGW, thiết lập định tuyến động và cấu hình bảng định tuyến để các kết nối có thể kết nối với nhau.
Site-to-Site VPN connection as a backup
Trong trường hợp kết nối Direct Connect bị lỗi, bạn có thể thiết lập một kết nối dự phòng là Direct Connect (chi phí cao), hoặc một kết nối Site-to-Site VPN. Kết nối Site-to-Site VPN là một giải pháp dự phòng giá rẻ hơn so với Direct Connect dùng để thiết lập kết nối an toàn giữa mạng trên AWS và mạng vật lý của bạn. Bằng cách thiết lập kết nối VPN Site-to-Site, bạn có thể đảm bảo rằng các ứng dụng của bạn vẫn hoạt động, ngay cả khi kết nối Direct Connect bị gián đoạn hoặc gặp sự cố. Tuy nhiên, kết nối VPN Site-to-Site không cung cấp băng thông và độ trễ tốt như Direct Connect, do đó, nó thường được sử dụng như một giải pháp dự phòng, thay thế trong trường hợp Direct Connect bị gián đoạn hoặc gặp sự cố.
