Tweet
Virtual private cloud (vpc) trong aws
⭐ VIRTUAL PRIVATE CLOUD (VPC) TRONG AWS
🔥 1. VPC là gì?
VPC (Virtual Private Cloud) là một mạng ảo riêng trong AWS. Bên trong VPC, doanh nghiệp có thể tự xây dựng hệ thống mạng của mình giống như trong môi trường on-premise: có subnet, route table, firewall, gateway, NAT, VPN… nhưng đều chạy hoàn toàn trên nền tảng AWS.
Mỗi VPC hoạt động độc lập và cách ly với nhau.
🔥 2. CIDR trong AWS
Để tạo VPC và subnet, AWS bắt buộc chúng ta phải khai báo CIDR – một dạng mô tả dải địa chỉ IP.
CIDR gồm 2 phần: Base IP (địa chỉ bắt đầu)
Ví dụ:Subnet mask (ký hiệu /xx)
Thể hiện số lượng IP có thể dùng trong dải.
Ví dụ:
Ví dụ tính dải CIDR:
Khi bí, có thể dùng công cụ: https://www.ipaddressguide.com/cidr.
🔥 3. Public IP và Private IP
AWS tuân theo quy định của IANA về IP riêng và IP công cộng: Private IP trong AWS có 3 dải cố định
Các IP còn lại là Public IP trên Internet.
🔥 4. Default VPC
Khi tạo tài khoản AWS mới, người dùng có sẵn một Default VPC gồm:
Default VPC giúp người mới bắt đầu triển khai nhanh hơn.
🔥 5. Tạo VPC và kích thước CIDR
Trong mỗi region, bạn có thể tạo tối đa 5 VPC (có thể xin tăng).
Một VPC cho phép tối đa 5 CIDR block.
CIDR tối đa cho VPC: /16
CIDR nhỏ nhất: /28
Lưu ý quan trọng:
CIDR của VPC không được trùng với mạng công ty để có thể kết nối VPN hoặc Direct Connect.
🔥 6. Subnet trong VPC
Subnet được chia trong VPC và thường chia thành:
Ví dụ subnet 10.0.0.0/24:
Nghĩa là 10.0.0.0/24 chỉ dùng được 251 địa chỉ, không phải 256.
🔥 7. Internet Gateway (IGW)
IGW là cổng giúp resource trong VPC kết nối ra Internet.
Đặc điểm:
🔥 8. Bastion Host – truy cập EC2 trong private subnet
Để SSH vào máy chủ trong private subnet, chúng ta cần Bastion host:
Bastion giúp bảo mật tốt hơn thay vì mở SSH trực tiếp từ Internet.
🔥 9. NAT Instance (giải pháp cũ – vẫn có trong kỳ thi)
NAT Instance cho phép máy trong private subnet đi ra Internet nhưng không ai từ Internet vào được.
Thông tin chính:
🔥 10. NAT Gateway – giải pháp mới, mạnh và tự động
Khác NAT Instance, NAT Gateway:
Nếu muốn High Availability → tạo NAT Gateway ở từng AZ.
Lưu ý: EC2 trong cùng subnet với NAT Gateway không thể dùng NAT Gateway để truy cập Internet → chỉ private subnet khác mới dùng được.
🔥 11. Tóm tắt quan trọng
🔥 Bạn muốn hiểu vững về AWS Networking, VPC, NAT, IGW, Route Table, Security Group?
🔥 Bạn đang học AWS Solutions Architect hoặc muốn thực chiến xây dựng hệ thống Cloud?
🔥 Muốn 1 lộ trình bài bản + tài liệu chuẩn + giảng viên kèm sát?
Đăng ký ngay khóa học AWS tại VnPro, inbox ngay cho VnPro để được tư vấn lộ trình học miễn phí!
🔥 1. VPC là gì?
VPC (Virtual Private Cloud) là một mạng ảo riêng trong AWS. Bên trong VPC, doanh nghiệp có thể tự xây dựng hệ thống mạng của mình giống như trong môi trường on-premise: có subnet, route table, firewall, gateway, NAT, VPN… nhưng đều chạy hoàn toàn trên nền tảng AWS.
Mỗi VPC hoạt động độc lập và cách ly với nhau.
🔥 2. CIDR trong AWS
Để tạo VPC và subnet, AWS bắt buộc chúng ta phải khai báo CIDR – một dạng mô tả dải địa chỉ IP.
CIDR gồm 2 phần: Base IP (địa chỉ bắt đầu)
Ví dụ:Subnet mask (ký hiệu /xx)
Thể hiện số lượng IP có thể dùng trong dải.
Ví dụ:
- /32 nghĩa là chỉ 1 IP
- /24 nghĩa là 256 IP
- /16 nghĩa là 65.536 IP
- /0 nghĩa là toàn bộ IP trên Internet.
Ví dụ tính dải CIDR:
- 192.168.0.0/24 → từ 192.168.0.0 đến 192.168.0.255 → 256 địa chỉ.
- 192.168.0.0/16 → từ 192.168.0.0 đến 192.168.255.255 → 65.536 địa chỉ.
Khi bí, có thể dùng công cụ: https://www.ipaddressguide.com/cidr.
🔥 3. Public IP và Private IP
AWS tuân theo quy định của IANA về IP riêng và IP công cộng: Private IP trong AWS có 3 dải cố định
- 10.0.0.0 – 10.255.255.255
- 172.16.0.0 – 172.31.255.255 (AWS mặc định chọn dải này cho Default VPC)
- 192.168.0.0 – 192.168.255.255
Các IP còn lại là Public IP trên Internet.
🔥 4. Default VPC
Khi tạo tài khoản AWS mới, người dùng có sẵn một Default VPC gồm:
- Subnet public ở tất cả các Availability Zone
- Có Internet Gateway
- Mọi EC2 khi khởi tạo (nếu không chỉ định subnet) đều vào Default VPC
- Tự động gán Public IP và DNS
Default VPC giúp người mới bắt đầu triển khai nhanh hơn.
🔥 5. Tạo VPC và kích thước CIDR
Trong mỗi region, bạn có thể tạo tối đa 5 VPC (có thể xin tăng).
Một VPC cho phép tối đa 5 CIDR block.
CIDR tối đa cho VPC: /16
CIDR nhỏ nhất: /28
Lưu ý quan trọng:
CIDR của VPC không được trùng với mạng công ty để có thể kết nối VPN hoặc Direct Connect.
🔥 6. Subnet trong VPC
Subnet được chia trong VPC và thường chia thành:
- Public Subnet: có thể ra Internet
- Private Subnet: không truy cập Internet trực tiếp
Ví dụ subnet 10.0.0.0/24:
- 10.0.0.0 – địa chỉ mạng
- 10.0.0.1 – router của VPC
- 10.0.0.2 – dùng cho DNS
- 10.0.0.3 – AWS dự phòng
- 10.0.0.255 – broadcast (AWS không dùng nhưng vẫn giữ lại)
Nghĩa là 10.0.0.0/24 chỉ dùng được 251 địa chỉ, không phải 256.
🔥 7. Internet Gateway (IGW)
IGW là cổng giúp resource trong VPC kết nối ra Internet.
Đặc điểm:
- Tự động mở rộng, dự phòng cao
- Một VPC chỉ có thể gắn một IGW
- Chỉ có IGW không đủ, bắt buộc phải cấu hình thêm Route Table để Internet hoạt động
🔥 8. Bastion Host – truy cập EC2 trong private subnet
Để SSH vào máy chủ trong private subnet, chúng ta cần Bastion host:
- Bastion đặt ở public subnet
- Security Group của Bastion phải cho phép SSH từ địa chỉ IP công ty
- Private EC2 Instance phải cho phép Bastion truy cập qua Security Group hoặc IP private của Bastion
Bastion giúp bảo mật tốt hơn thay vì mở SSH trực tiếp từ Internet.
🔥 9. NAT Instance (giải pháp cũ – vẫn có trong kỳ thi)
NAT Instance cho phép máy trong private subnet đi ra Internet nhưng không ai từ Internet vào được.
Thông tin chính:
- Cài đặt như một EC2
- Phải tắt Source/Destination Check
- Gắn Elastic IP
- Cần cấu hình Route Table cho private subnet trỏ về NAT Instance
- Bandwidth phụ thuộc vào loại EC2
- Không tự động High Availability (phải tự làm bằng ASG + script)
🔥 10. NAT Gateway – giải pháp mới, mạnh và tự động
Khác NAT Instance, NAT Gateway:
- Do AWS quản lý hoàn toàn
- Băng thông 5–45 Gbps
- Tự động mở rộng
- Không cần Security Group
- Gắn Elastic IP
- Triển khai theo từng Availability Zone
Nếu muốn High Availability → tạo NAT Gateway ở từng AZ.
Lưu ý: EC2 trong cùng subnet với NAT Gateway không thể dùng NAT Gateway để truy cập Internet → chỉ private subnet khác mới dùng được.
🔥 11. Tóm tắt quan trọng
- VPC = mạng riêng trong AWS
- CIDR dùng để xác định dải IP
- Subnet chia mạng và phải tính toán IP dự phòng
- Public subnet qua IGW
- Private subnet cần NAT để ra Internet
- Bastion host để SSH vào private subnet
- NAT Instance là công nghệ cũ
- NAT Gateway là tiêu chuẩn hiện nay
🔥 Bạn muốn hiểu vững về AWS Networking, VPC, NAT, IGW, Route Table, Security Group?
🔥 Bạn đang học AWS Solutions Architect hoặc muốn thực chiến xây dựng hệ thống Cloud?
🔥 Muốn 1 lộ trình bài bản + tài liệu chuẩn + giảng viên kèm sát?
Đăng ký ngay khóa học AWS tại VnPro, inbox ngay cho VnPro để được tư vấn lộ trình học miễn phí!