Tweet
Hướng dẫn cấu hình VPN Site-to-Site trong AWS
Trong môi trường doanh nghiệp hiện nay, nhu cầu kết nối hạ tầng on-premises với hạ tầng AWS Cloud qua kênh bảo mật ngày càng phổ biến. Một trong những giải pháp chuẩn nhất chính là Site-to-Site VPN. Bài viết này sẽ hướng dẫn chi tiết từng bước triển khai để các bạn có thể dễ dàng thực hành. Quy trình thiết lập
Một kết nối VPN site-to-site trong AWS bao gồm 5 bước cơ bản:
Bước 1: Tạo Customer Gateway
Bước 2: Tạo Target Gateway
Bước 3: Tạo Site-to-Site VPN Connection
Lưu ý: Chỉ thay đổi khi cần thiết để đảm bảo tính tương thích với thiết bị on-premises.
Bước 4: Tải xuống tệp cấu hình
Bước 5: Cấu hình Customer Gateway Device
Câu hỏi ôn tập
Hai trong số các loại target gateway hợp lệ khi tạo Site-to-Site VPN trong AWS là?
Đáp án:
👉 Đây là kiến thức nền tảng nhưng cực kỳ quan trọng cho anh em Sysadmin/Cloud Engineer khi triển khai kết nối hybrid cloud. Trong bài sau, mình sẽ phân tích chi tiết hơn về so sánh VGW và TGW, khi nào nên chọn cái nào.
Trong môi trường doanh nghiệp hiện nay, nhu cầu kết nối hạ tầng on-premises với hạ tầng AWS Cloud qua kênh bảo mật ngày càng phổ biến. Một trong những giải pháp chuẩn nhất chính là Site-to-Site VPN. Bài viết này sẽ hướng dẫn chi tiết từng bước triển khai để các bạn có thể dễ dàng thực hành. Quy trình thiết lập
Một kết nối VPN site-to-site trong AWS bao gồm 5 bước cơ bản:
- Tạo Customer Gateway
- Tạo Target Gateway (Virtual Private Gateway hoặc Transit Gateway)
- Tạo kết nối VPN
- Tải xuống file cấu hình VPN
- Cấu hình thiết bị Customer Gateway (on-premises router/firewall)
Bước 1: Tạo Customer Gateway
- Vào VPC > Customer Gateways > Create Customer Gateway.
- Nhập IP public của router on-premises và đặt tên để dễ quản lý.
- Có thể tùy chọn thêm xác thực certificate-based hoặc BGP nếu cần.
Bước 2: Tạo Target Gateway
- Virtual Private Gateway (VGW): Endpoint VPN cơ bản, phù hợp khi kết nối một VPC duy nhất.
- Transit Gateway (TGW): Giải pháp linh hoạt hơn, hỗ trợ kết nối nhiều VPC và site on-premises, tích hợp sẵn khả năng ECMP để tối ưu lưu lượng.
Bước 3: Tạo Site-to-Site VPN Connection
- Vào VPC > VPN Connections > Create VPN Connection.
- Chọn Customer Gateway và Target Gateway (VGW hoặc TGW).
- Cấu hình routing (Static hoặc BGP).
- Có thể tùy chỉnh IPsec tunnel (IKEv1/IKEv2, PSK, thuật toán mã hóa, lifetime…).
Lưu ý: Chỉ thay đổi khi cần thiết để đảm bảo tính tương thích với thiết bị on-premises.
Bước 4: Tải xuống tệp cấu hình
- Vào VPN Connections, chọn Download Configuration.
- AWS hỗ trợ nhiều vendor (Cisco, Fortinet, Juniper…) và phiên bản OS.
- File này chứa các lệnh cấu hình mẫu, bao gồm thông số tunnel, PSK, thuật toán mã hóa.
Bước 5: Cấu hình Customer Gateway Device
- Với Cisco IOS XE router, copy nội dung trong file config vào CLI.
- Cần chỉnh sửa các placeholder như:
- Interface name
- Local private IP
- Routing policies
- Kiểm tra các thông số IKE/IPsec để phù hợp với yêu cầu bảo mật nội bộ.
- Hoàn thiện routing (Static hoặc BGP) và cập nhật ACL/firewall rules để cho phép lưu lượng qua VPN.
Câu hỏi ôn tập
Hai trong số các loại target gateway hợp lệ khi tạo Site-to-Site VPN trong AWS là?
- Cloud VPN Gateway
- Customer Gateway
- Local Network Gateway
- Transit Gateway
- Virtual Network Gateway
- Virtual Private Gateway
Đáp án:
- Transit Gateway
- Virtual Private Gateway
👉 Đây là kiến thức nền tảng nhưng cực kỳ quan trọng cho anh em Sysadmin/Cloud Engineer khi triển khai kết nối hybrid cloud. Trong bài sau, mình sẽ phân tích chi tiết hơn về so sánh VGW và TGW, khi nào nên chọn cái nào.
Attached Files