Tweet
Giới thiệu về Amazon EC2, VPC và bảo mật trong AWS
Dành cho anh em đang học hoặc làm việc với Cloud, AWS, MCSA, Azure
Amazon Web Services (AWS) là một trong những nhà cung cấp dịch vụ điện toán đám mây hàng đầu thế giới. Họ cung cấp đầy đủ các mô hình dịch vụ như:
Tùy theo mô hình dịch vụ bạn chọn, trách nhiệm bảo mật sẽ thay đổi. Với SaaS, AWS chịu phần lớn trách nhiệm. Nhưng với IaaS và PaaS, người dùng vẫn phải đảm bảo cấu hình bảo mật đúng cách.
Amazon EC2 – Elastic Compute Cloud
EC2 là dịch vụ máy chủ ảo của AWS – bạn có thể hiểu là “VM chạy trên Cloud”.
EC2 là “trái tim” của IaaS – dùng để triển khai ứng dụng, máy chủ web, database, v.v...
Amazon VPC – Virtual Private Cloud
VPC là mạng riêng ảo, cho phép bạn:
Một VPC có thể chia thành:
Các thành phần bảo mật trong EC2 và VPC
1. Security Group – Firewall cấp instance
CloudWatch – Giám sát EC2
Quản lý Routing trong VPC
Elastic IP
Khu vực và vùng sẵn sàng (Regions & AZs)
Câu hỏi ôn tập cho cộng đồng
Câu hỏi: Làm cách nào để một EC2 instance có thể truy cập các tài nguyên AWS khác (ví dụ S3, RDS) một cách an toàn?
Đáp án đúng:
→ Gán IAM Role phù hợp cho instance.
→ Việc này giúp EC2 instance có quyền truy cập cần thiết mà không cần lưu thông tin đăng nhập trên server.
Lời kết
Bài viết này phù hợp với anh em mới bắt đầu với AWS hoặc đang học để thi MCSA, AWS Certified Solutions Architect. Việc hiểu rõ EC2, VPC và mô hình bảo mật sẽ giúp bạn xây dựng hạ tầng cloud an toàn, hiệu quả.
Bạn có thể tham khảo thêm tại:
Nếu bạn thấy hữu ích, hãy chia sẻ để cộng đồng cùng học nhé!
#VnPro #MCSA_AZURE_AWS #CloudComputing AWS #EC2 #VPC #SecurityGroup #IAM #VNCloudCommunity
Dành cho anh em đang học hoặc làm việc với Cloud, AWS, MCSA, Azure
Amazon Web Services (AWS) là một trong những nhà cung cấp dịch vụ điện toán đám mây hàng đầu thế giới. Họ cung cấp đầy đủ các mô hình dịch vụ như:
- IaaS (Infrastructure as a Service): cho phép bạn tạo trung tâm dữ liệu ảo.
- PaaS (Platform as a Service): giúp bạn giảm tải công việc quản trị hệ thống.
- SaaS (Software as a Service): bạn chỉ cần sử dụng phần mềm, không cần quản lý hạ tầng.
Tùy theo mô hình dịch vụ bạn chọn, trách nhiệm bảo mật sẽ thay đổi. Với SaaS, AWS chịu phần lớn trách nhiệm. Nhưng với IaaS và PaaS, người dùng vẫn phải đảm bảo cấu hình bảo mật đúng cách.
Amazon EC2 – Elastic Compute Cloud
EC2 là dịch vụ máy chủ ảo của AWS – bạn có thể hiểu là “VM chạy trên Cloud”.
- Khi tạo một EC2 instance, bạn chọn:
- AMI (Amazon Machine Image): giống như image OS của máy.
- Loại instance (tính năng CPU, RAM).
- Bạn có thể tự tạo AMI hoặc dùng từ AWS Marketplace.
EC2 là “trái tim” của IaaS – dùng để triển khai ứng dụng, máy chủ web, database, v.v...
Amazon VPC – Virtual Private Cloud
VPC là mạng riêng ảo, cho phép bạn:
- Tạo subnet, phân vùng mạng nội bộ.
- Định nghĩa bảng định tuyến (route table).
- Quản lý truy cập Internet qua Internet Gateway hoặc NAT Gateway.
Một VPC có thể chia thành:
- Public Subnet: có thể truy cập từ Internet.
- Private Subnet: chỉ truy cập nội bộ, không có IP công cộng.
Các thành phần bảo mật trong EC2 và VPC
1. Security Group – Firewall cấp instance
- Stateful: nếu có inbound được cho phép, thì outbound được tự động mở.
- Chặn/mở theo IP, dải IP, port TCP/UDP.
- Mỗi instance phải có ít nhất một security group.
- Stateless: inbound và outbound phải cấu hình riêng.
- Kiểm soát lưu lượng vào/ra subnet, bổ sung cho Security Group.
- Gán khi tạo hoặc sau khi tạo.
- Cho phép instance truy cập dịch vụ AWS khác như S3, RDS… mà không cần lưu mật khẩu.
- Best practice: dùng IAM role thay vì hardcode key vào ứng dụng.
- Tạo key pair để SSH vào EC2.
- AWS không biết private key – bạn phải bảo mật file này.
CloudWatch – Giám sát EC2
- Free basic monitoring: có sẵn.
- Enhanced monitoring: có phí, nhưng cho thêm thông tin chi tiết như CPU per core, network I/O theo giây...
Quản lý Routing trong VPC
- Mỗi subnet gắn với 1 Route Table.
- Route Table quy định đường đi của gói tin.
- Nếu muốn EC2 trong public subnet ra Internet:
- Phải có route 0.0.0.0/0 tới Internet Gateway.
- Instance phải có Elastic IP hoặc Public IP.
Elastic IP
- Là địa chỉ IP công cộng cố định.
- Có thể gắn cho các instance khác nhau khi cần.
- Giới hạn mặc định: 5 Elastic IP / region – do IPv4 khan hiếm.
Khu vực và vùng sẵn sàng (Regions & AZs)
- AWS chia thành Region (ví dụ: us-east-1, ap-southeast-1...).
- Mỗi Region có Availability Zones (AZs) để đảm bảo tính sẵn sàng cao.
- Triển khai ứng dụng đa AZ giúp tăng khả năng chịu lỗi.
Câu hỏi ôn tập cho cộng đồng
Câu hỏi: Làm cách nào để một EC2 instance có thể truy cập các tài nguyên AWS khác (ví dụ S3, RDS) một cách an toàn?
Đáp án đúng:
→ Gán IAM Role phù hợp cho instance.
→ Việc này giúp EC2 instance có quyền truy cập cần thiết mà không cần lưu thông tin đăng nhập trên server.
Lời kết
Bài viết này phù hợp với anh em mới bắt đầu với AWS hoặc đang học để thi MCSA, AWS Certified Solutions Architect. Việc hiểu rõ EC2, VPC và mô hình bảo mật sẽ giúp bạn xây dựng hạ tầng cloud an toàn, hiệu quả.
Bạn có thể tham khảo thêm tại:
Nếu bạn thấy hữu ích, hãy chia sẻ để cộng đồng cùng học nhé!
#VnPro #MCSA_AZURE_AWS #CloudComputing AWS #EC2 #VPC #SecurityGroup #IAM #VNCloudCommunity
Attached Files