Tweet
Hiểu nhanh aws site-to-site vpn
🚀 HIỂU NHANH AWS SITE-TO-SITE VPN
Site-to-Site VPN là dịch vụ của AWS cho phép kết nối mạng on-premises (trung tâm dữ liệu của doanh nghiệp) với VPC trên AWS thông qua một đường VPN thực sự an toàn, mã hóa hoàn toàn và chạy trên Internet công cộng.
Nếu doanh nghiệp muốn mở rộng trung tâm dữ liệu lên AWS hoặc muốn kết nối ứng dụng nội bộ với cloud, thì Site-to-Site VPN là giải pháp nhanh – an toàn – chi phí thấp.
⭐ 1. Hai thành phần quan trọng của Site-to-Site VPN
1. Virtual Private Gateway (VGW)
Đây là thiết bị VPN nằm phía AWS.
VGW được tạo trong AWS và gắn vào VPC mà ta muốn kết nối.
VGW có thể tùy chỉnh ASN (Autonomous System Number) để phù hợp routing của doanh nghiệp, đặc biệt khi kết hợp BGP.
2. Customer Gateway (CGW)
Đây là thiết bị phía doanh nghiệp.
CGW có thể là:
Điều quan trọng là CGW phải có IP Public để AWS có thể kết nối đến.
Nếu đặt sau NAT, thiết bị NAT phải hỗ trợ NAT-Traversal (NAT-T) và khi đó ta dùng IP Public của thiết bị NAT làm địa chỉ CGW.
⭐ 2. Những điều quan trọng khi cấu hình VPN
1. CGW cần dùng địa chỉ IP Public
AWS phải nhìn thấy một IP Public để thiết lập tunnel VPN.
Nếu thiết bị nằm sau NAT → bắt buộc NAT phải bật NAT-T.
2. Bật Route Propagation trong Route Table
Đây là bước rất quan trọng!
Khi dùng Site-to-Site VPN, ta cần bật Route Propagation cho route table của subnet.
Nếu không bật, các route từ BGP/VGW sẽ không tự động được thêm vào route table → on-premises không truy cập được EC2.
3. Muốn ping được EC2 từ on-premises
Phải mở ICMP ở inbound của Security Group gắn vào EC2.
Nếu không, ping từ trung tâm dữ liệu sẽ bị drop.
⭐ 3. Mô hình hoạt động của Site-to-Site VPN
Mạng doanh nghiệp (Corporate Data Center) kết nối với AWS qua:
Mô hình được file PDF minh họa rất rõ: NAT, subnet, route table, security group, flow logs, S3, DynamoDB… nhưng trọng tâm vẫn là đường VPN được mã hóa và nối thẳng on-premises với VPC.
⭐ 4. AWS VPN CloudHub – Kết nối nhiều chi nhánh với nhau qua AWS
AWS VPN CloudHub là giải pháp mở rộng của Site-to-Site VPN khi doanh nghiệp có nhiều chi nhánh ở các vị trí khác nhau.
CloudHub cho phép nhiều CGW cùng kết nối về một VGW duy nhất, tạo mô hình hub-and-spoke. Lợi ích:
Chỉ cần tất cả các VPN đều kết nối đến cùng một VGW và bật BGP routing.
AWS sẽ định tuyến giữa các site một cách tự động.
🎯 TÓM GỌN DỄ HIỂU NHẤT
➡ Đây là kiến thức trọng tâm trong các kỳ thi AWS SAA, Networking và DevOps.
Site-to-Site VPN là dịch vụ của AWS cho phép kết nối mạng on-premises (trung tâm dữ liệu của doanh nghiệp) với VPC trên AWS thông qua một đường VPN thực sự an toàn, mã hóa hoàn toàn và chạy trên Internet công cộng.
Nếu doanh nghiệp muốn mở rộng trung tâm dữ liệu lên AWS hoặc muốn kết nối ứng dụng nội bộ với cloud, thì Site-to-Site VPN là giải pháp nhanh – an toàn – chi phí thấp.
⭐ 1. Hai thành phần quan trọng của Site-to-Site VPN
1. Virtual Private Gateway (VGW)
Đây là thiết bị VPN nằm phía AWS.
VGW được tạo trong AWS và gắn vào VPC mà ta muốn kết nối.
VGW có thể tùy chỉnh ASN (Autonomous System Number) để phù hợp routing của doanh nghiệp, đặc biệt khi kết hợp BGP.
2. Customer Gateway (CGW)
Đây là thiết bị phía doanh nghiệp.
CGW có thể là:
- Thiết bị firewall
- Router hỗ trợ VPN
- Hoặc phần mềm VPN
Điều quan trọng là CGW phải có IP Public để AWS có thể kết nối đến.
Nếu đặt sau NAT, thiết bị NAT phải hỗ trợ NAT-Traversal (NAT-T) và khi đó ta dùng IP Public của thiết bị NAT làm địa chỉ CGW.
⭐ 2. Những điều quan trọng khi cấu hình VPN
1. CGW cần dùng địa chỉ IP Public
AWS phải nhìn thấy một IP Public để thiết lập tunnel VPN.
Nếu thiết bị nằm sau NAT → bắt buộc NAT phải bật NAT-T.
2. Bật Route Propagation trong Route Table
Đây là bước rất quan trọng!
Khi dùng Site-to-Site VPN, ta cần bật Route Propagation cho route table của subnet.
Nếu không bật, các route từ BGP/VGW sẽ không tự động được thêm vào route table → on-premises không truy cập được EC2.
3. Muốn ping được EC2 từ on-premises
Phải mở ICMP ở inbound của Security Group gắn vào EC2.
Nếu không, ping từ trung tâm dữ liệu sẽ bị drop.
⭐ 3. Mô hình hoạt động của Site-to-Site VPN
Mạng doanh nghiệp (Corporate Data Center) kết nối với AWS qua:
- Customer Gateway (CGW) ở phía doanh nghiệp
- Virtual Private Gateway (VGW) ở phía AWS
- Kết nối IPSec Tunnel qua Internet
- Traffic đi vào VPC → Route Table → Subnet → EC2
Mô hình được file PDF minh họa rất rõ: NAT, subnet, route table, security group, flow logs, S3, DynamoDB… nhưng trọng tâm vẫn là đường VPN được mã hóa và nối thẳng on-premises với VPC.
⭐ 4. AWS VPN CloudHub – Kết nối nhiều chi nhánh với nhau qua AWS
AWS VPN CloudHub là giải pháp mở rộng của Site-to-Site VPN khi doanh nghiệp có nhiều chi nhánh ở các vị trí khác nhau.
CloudHub cho phép nhiều CGW cùng kết nối về một VGW duy nhất, tạo mô hình hub-and-spoke. Lợi ích:
- Kết nối nhiều chi nhánh với chi phí thấp
- Sử dụng chính đường VPN qua Internet
- Routing động qua BGP giúp các site giao tiếp với nhau
Chỉ cần tất cả các VPN đều kết nối đến cùng một VGW và bật BGP routing.
AWS sẽ định tuyến giữa các site một cách tự động.
🎯 TÓM GỌN DỄ HIỂU NHẤT
- VGW = thiết bị VPN phía AWS
- CGW = thiết bị VPN phía doanh nghiệp
- CGW cần IP Public (hoặc NAT-T)
- Route Propagation phải bật → nếu không, VPN sẽ không route được
- Muốn ping EC2 → mở ICMP trong SG
- CloudHub cho phép nhiều chi nhánh kết nối xuyên qua AWS
➡ Đây là kiến thức trọng tâm trong các kỳ thi AWS SAA, Networking và DevOps.