Tweet
Giải thích và chia sẻ về Transit Gateway trong AWS
Trong kiến trúc kết nối giữa on-premises và AWS Cloud, nhiều bạn thường bắt đầu với Virtual Private Gateway (VGW) vì nó đơn giản, tự nhiên và được AWS hỗ trợ mặc định. Tuy nhiên, VGW sẽ nhanh chóng trở thành điểm giới hạn khi doanh nghiệp cần truy cập nhiều VPC khác nhau từ một site on-premises.
Nếu mỗi VPC đều phải thiết lập site-to-site VPN riêng, mỗi kết nối lại có 2 tunnel IPsec để đảm bảo HA (High Availability), thì số lượng VPN sẽ tăng rất lớn, gây phức tạp trong cấu hình và vận hành.
Transit Gateway – Giải pháp trung tâm kết nối
Transit Gateway (TGW) trong AWS được thiết kế như một router ảo quy mô vùng (per-region virtual router), có vai trò là hub trung chuyển kết nối:
Điểm mạnh:
Lợi ích khi kết nối nhiều site on-premises
Thay vì phải tạo nhiều VPN đến từng VPC, giờ đây doanh nghiệp chỉ cần:
Kết quả: ít VPN hơn, dễ quản lý hơn, mà vẫn đạt được khả năng kết nối tới nhiều VPC.
VPN qua Direct Connect với Transit Gateway
Một số tổ chức có yêu cầu đặc biệt:
Cách làm:
AWS có hướng dẫn chi tiết trong blog:
https://aws.amazon.com/blogs/network...ivate-ip-vpns/
Customer Gateway – Điểm kết nối on-premises
Từ góc nhìn AWS:
Kết luận
Anh em trong cộng đồng MCSA-AZURE-AWS nên nắm rõ khái niệm Transit Gateway vì đây là nền tảng quan trọng khi triển khai Hybrid Cloud hay Multi-VPC Architecture trong AWS.
Trong kiến trúc kết nối giữa on-premises và AWS Cloud, nhiều bạn thường bắt đầu với Virtual Private Gateway (VGW) vì nó đơn giản, tự nhiên và được AWS hỗ trợ mặc định. Tuy nhiên, VGW sẽ nhanh chóng trở thành điểm giới hạn khi doanh nghiệp cần truy cập nhiều VPC khác nhau từ một site on-premises.
Nếu mỗi VPC đều phải thiết lập site-to-site VPN riêng, mỗi kết nối lại có 2 tunnel IPsec để đảm bảo HA (High Availability), thì số lượng VPN sẽ tăng rất lớn, gây phức tạp trong cấu hình và vận hành.
Transit Gateway – Giải pháp trung tâm kết nối
Transit Gateway (TGW) trong AWS được thiết kế như một router ảo quy mô vùng (per-region virtual router), có vai trò là hub trung chuyển kết nối:
- Nhiều VPC gắn với nó.
- Nhiều kết nối VPN đến các site on-premises.
- Kết nối Direct Connect Gateway.
Điểm mạnh:
- Đơn giản hóa cấu hình routing, vì TGW xử lý việc forward traffic tự động.
- Khả năng mở rộng elastic theo lưu lượng thực tế.
- Được AWS xây dựng sẵn với HA và redundancy, nên chỉ cần triển khai một TGW cho mỗi region, không cần dựng standby hay DR TGW riêng.
Lợi ích khi kết nối nhiều site on-premises
Thay vì phải tạo nhiều VPN đến từng VPC, giờ đây doanh nghiệp chỉ cần:
- Tạo một TGW trong Region.
- Attach nhiều VPC vào TGW.
- Tạo một VPN duy nhất từ TGW đến site on-premises (vẫn bao gồm 2 tunnel IPsec cho HA).
Kết quả: ít VPN hơn, dễ quản lý hơn, mà vẫn đạt được khả năng kết nối tới nhiều VPC.
VPN qua Direct Connect với Transit Gateway
Một số tổ chức có yêu cầu đặc biệt:
- Direct Connect (DX) cung cấp kết nối riêng tư, dedicated giữa on-prem và AWS, nhưng mặc định không mã hóa.
- Nếu cần mã hóa traffic qua DX, có thể tạo IPsec VPN trên đường Direct Connect.
Cách làm:
- Tạo Direct Connect Gateway và gắn nó với TGW.
- Tạo Transit Virtual Interface (Transit VIF) cho DX.
- Trên DX link, thiết lập Site-to-Site VPN (private IP VPN) để bảo mật dữ liệu.
AWS có hướng dẫn chi tiết trong blog:
https://aws.amazon.com/blogs/network...ivate-ip-vpns/
Customer Gateway – Điểm kết nối on-premises
Từ góc nhìn AWS:
- Router/Firewall on-premises đóng vai trò Customer Gateway (CGW).
- Khi cấu hình, bạn cần tạo Customer Gateway resource trong AWS:
- Khai báo public IP của thiết bị on-prem.
- AWS sẽ gán resource ID và tên thân thiện để quản lý.
- CGW này sẽ được tham chiếu trong cấu hình VPN để hoàn tất kết nối.
Kết luận
- VGW: Phù hợp khi chỉ kết nối một on-prem site tới một VPC.
- TGW: Giải pháp tối ưu khi cần kết nối nhiều VPC hoặc nhiều site on-premises, giúp giảm số lượng VPN, đơn giản hóa routing, và đảm bảo HA.
- DX + VPN: Kết hợp Direct Connect với VPN giúp vừa tận dụng băng thông dedicated, vừa đáp ứng yêu cầu mã hóa.
Anh em trong cộng đồng MCSA-AZURE-AWS nên nắm rõ khái niệm Transit Gateway vì đây là nền tảng quan trọng khi triển khai Hybrid Cloud hay Multi-VPC Architecture trong AWS.
Attached Files