Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    VPN Overlay đến Cloud Gateway trong AWS – Giải thích cho cộng đồng MCSA-AZURE-AWS

    VPN Overlay đến Cloud Gateway trong AWS – Giải thích cho cộng đồng MCSA-AZURE-AWS


    Trong hạ tầng hybrid cloud, một trong những nhu cầu cơ bản là kết nối an toàn giữa on-premises và cloud. AWS cung cấp dịch vụ Site-to-Site VPN như một giải pháp “cloud-native” để triển khai nhanh, không cần tự dựng máy ảo router/firewall. 1. Khái niệm Site-to-Site VPN trong AWS
    • Đây là một cloud resource được AWS quản lý, cho phép tạo IPsec VPN endpoint trực tiếp trong cloud.
    • Không cần cài đặt thiết bị ảo (virtual appliance) như Cisco Router hoặc Firewall trên cloud.
    • Kết nối đi qua internet công cộng, nhưng dữ liệu được mã hóa bằng IPsec.
    2. Cấu trúc kết nối
    • Khi bạn tạo một Site-to-Site VPN, AWS sinh ra 2 IPsec tunnel endpoint ở 2 Availability Zones khác nhau trong cùng một Region để tăng độ sẵn sàng (HA).
    • Mỗi tunnel endpoint sẽ được AWS cấp phát public IP động để on-premises có thể kết nối tới.
    • AWS hỗ trợ 2 loại xác thực:
      • Pre-Shared Key (PSK) – phổ biến và dễ triển khai.
      • Certificate-based Authentication – an toàn hơn, thường dựa vào PKI, với AWS Private CA đóng vai trò Root CA.
    3. Virtual Private Gateway (VGW)
    • VGW là thành phần của AWS đóng vai trò IPsec-capable gateway.
    • VGW được attach vào VPC để trở thành exit point cho traffic từ VPC đi ra on-premises và ngược lại.
    • VGW sẽ thực hiện giải mã (decrypt) traffic đi vào, sau đó chuyển tiếp đến subnet trong VPC.
    4. Cấu hình On-Premises Device
    • Trên thiết bị VPN Edge (ví dụ Cisco ASA/FTD, Router ISR, Palo Alto…), bạn cần cấu hình IPsec tunnel tương ứng với thông tin AWS cung cấp.
    • AWS có thể xuất file cấu hình sẵn cho nhiều vendor phổ biến (Cisco, Juniper, Fortinet…), giúp giảm công sức.
    • Nếu không dùng file auto-gen, bạn phải cấu hình thủ công theo thông số:
      • Peer IP (Public IP endpoint AWS cấp)
      • Pre-Shared Key hoặc Certificate
      • Phase 1 (IKE) & Phase 2 (IPsec parameters)
      • ACL hoặc Crypto Map cho phép subnet nào được đi qua tunnel
    5. Lợi ích của mô hình này
    • Nhanh chóng: chỉ cần vài click trong AWS Console là có endpoint VPN.
    • Đơn giản: không cần vận hành VM firewall/router trên cloud.
    • Redundant: mặc định có 2 tunnel để dự phòng.
    • Bảo mật: hỗ trợ IPsec chuẩn, có thể tích hợp với PKI nội bộ.
    Tóm tắt bài 1:


    AWS Site-to-Site VPN là giải pháp overlay phổ biến khi xây dựng hybrid cloud. Đây là bước đầu tiên trước khi doanh nghiệp tiến tới các mô hình kết nối nâng cao hơn như AWS Direct Connect hoặc SD-WAN tích hợp với cloud gateways.

    Trong lab hoặc thực tế, anh em nên thử:
    1. Tạo Virtual Private Gateway và gắn vào VPC.
    2. Tạo VPN Connection, chọn authentication phù hợp.
    3. Xuất file cấu hình cho Cisco Router/ASA để triển khai.
    4. Test ping giữa subnet on-premises và subnet trong VPC qua tunnel.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X