TOÀN CẢNH AWS NETWORKING NÂNG CAO: TRANSIT GATEWAY – TRAFFIC MIRRORING – IPv6 – NETWORK FIREWALL


Khi hệ thống AWS ngày càng mở rộng với nhiều VPC, nhiều tài khoản và kết nối hybrid (on-premises + cloud), việc quản lý mạng theo kiểu kết nối từng cặp VPC sẽ trở nên rất phức tạp. Bài viết này tập trung vào các dịch vụ AWS Networking nâng cao giúp giải quyết bài toán đó một cách tập trung, mở rộng và an toàn. AWS Transit Gateway – Trái tim kết nối của hạ tầng AWS lớn


AWS Transit Gateway được thiết kế để giải quyết vấn đề kết nối xuyên suốt (transitive routing) giữa:

• Hàng ngàn VPC

• On-premises (Site-to-Site VPN)

• Direct Connect

Thay vì kết nối từng VPC với nhau (VPC Peering không hỗ trợ chuyển tiếp), Transit Gateway hoạt động theo mô hình hub-and-spoke, trong đó:

• Transit Gateway đóng vai trò hub trung tâm

• Các VPC, VPN, Direct Connect là các spoke

Những đặc điểm rất quan trọng:

• Là dịch vụ theo region, nhưng có thể peering Transit Gateway giữa các region

• Có thể chia sẻ cross-account thông qua AWS RAM

• Sử dụng Route Table của Transit Gateway để kiểm soát VPC nào được phép nói chuyện với VPC nào

• Tích hợp trực tiếp với Direct Connect Gateway và VPN

• Hỗ trợ IP Multicast – điều mà không dịch vụ AWS networking nào khác hỗ trợ

Transit Gateway là lựa chọn bắt buộc cho kiến trúc enterprise-scale AWS. Transit Gateway & ECMP – Tăng băng thông VPN


Transit Gateway hỗ trợ ECMP (Equal-Cost Multi-Path Routing) cho Site-to-Site VPN.
ECMP cho phép:

• Gửi traffic qua nhiều đường tốt nhất cùng lúc

• Tăng tổng băng thông VPN bằng cách tạo nhiều VPN connection song song

Ví dụ thực tế:

• Mỗi VPN tunnel có throughput khoảng 1.25 Gbps

• Khi dùng nhiều tunnel với ECMP:

• • 2 tunnel ≈ 2.5 Gbps
  • 4 tunnel ≈ 5.0 Gbps
  • 6 tunnel ≈ 7.5 Gbps

So với VPN gắn trực tiếp vào Virtual Private Gateway, Transit Gateway + ECMP cho throughput cao hơn rất nhiều, phù hợp cho doanh nghiệp có lưu lượng lớn. Chia sẻ Direct Connect cho nhiều tài khoản bằng Transit Gateway


Transit Gateway cho phép:

• Một đường Direct Connect duy nhất

• Kết nối cho nhiều VPC thuộc nhiều AWS account

Kiến trúc phổ biến:

• Direct Connect → Direct Connect Gateway

• Direct Connect Gateway → Transit Gateway

• Transit Gateway → nhiều VPC ở nhiều account khác nhau

Đây là mô hình tiêu chuẩn cho các tổ chức lớn dùng multi-account strategy. VPC Traffic Mirroring – Bắt và phân tích traffic mạng


VPC Traffic Mirroring cho phép sao chép traffic mạng trong VPC để phân tích bảo mật hoặc troubleshooting.
Bạn có thể:

• Bắt traffic từ ENI (Elastic Network Interface) của EC2

• Gửi traffic đến:

• Bắt cả inbound và outbound traffic

• Lọc traffic theo nhu cầu (filter, truncate packet)

• • ENI khác
  • Network Load Balancer

Source và Target có thể:

• Cùng VPC

• Khác VPC (qua VPC Peering)

Use case điển hình:

• Phân tích nội dung

• Giám sát tấn công

• Điều tra sự cố mạng

• IDS / IPS

IPv6 – Tương lai của Internet và AWS

IPv6 là gì?

• IPv4 chỉ có ~4.3 tỷ địa chỉ → sắp cạn

• IPv6 cung cấp 3.4 × 10³⁸ địa chỉ

• Mọi IPv6 đều là public và Internet-routable

• Không có khái niệm private IPv6 như IPv4

Định dạng IPv6 gồm 8 nhóm hex, có thể rút gọn bằng dấu ::. IPv6 trong VPC AWS


Một số điểm bắt buộc phải nhớ:

• IPv4 không thể tắt trong VPC và subnet

• IPv6 chỉ hoạt động theo dual-stack

• EC2 sẽ có:

• EC2 có thể truy cập Internet qua Internet Gateway bằng cả IPv4 và IPv6

• • Private IPv4
  • Public IPv6

Lỗi thường gặp:


Nếu không tạo được EC2 dù đã bật IPv6 → nguyên nhân không phải thiếu IPv6, mà là hết IPv4 trong subnet.
Giải pháp: mở rộng CIDR IPv4 cho subnet. Egress-only Internet Gateway – NAT cho IPv6


IPv6 không dùng NAT Gateway như IPv4.
AWS cung cấp Egress-only Internet Gateway để:

• Cho phép EC2 trong private subnet đi ra Internet bằng IPv6

• Chặn Internet không được khởi tạo kết nối vào EC2

Chức năng tương tự NAT Gateway nhưng chỉ dành cho IPv6. Chi phí mạng trong AWS – Hiểu để tiết kiệm


Một số nguyên tắc quan trọng:

• Ingress (traffic vào AWS): thường miễn phí

• Egress (traffic ra ngoài): có tính phí

• Dùng Private IP rẻ hơn Public IP

• Traffic trong cùng AZ rẻ nhất

• S3 ingress miễn phí

• S3 → Internet đắt hơn S3 → CloudFront

• Gateway VPC Endpoint cho S3 miễn phí, rẻ hơn NAT Gateway rất nhiều

Thiết kế mạng đúng giúp tiết kiệm rất nhiều chi phí vận hành. Bảo mật mạng nâng cao – AWS Network Firewall


Khi Security Group và NACL chưa đủ mạnh, AWS cung cấp AWS Network Firewall để bảo vệ toàn bộ VPC.
AWS Network Firewall:

• Bảo vệ từ Layer 3 đến Layer 7

• Kiểm tra traffic:

• Hoạt động dựa trên AWS Gateway Load Balancer

• Có thể quản lý tập trung nhiều VPC, nhiều account bằng AWS Firewall Manager

• • VPC VPC
  • Outbound Internet
  • Inbound Internet
  • Direct Connect & VPN

Khả năng kiểm soát chi tiết:

• Hàng ngàn rule IP & port

• Chặn protocol (ví dụ SMB)

• Domain allowlist (chỉ cho phép *.mycorp.com)

• Regex pattern matching

• Cho phép, drop hoặc alert traffic

• Ghi log về S3, CloudWatch Logs, Kinesis Firehose

Đây là lớp phòng thủ mạng cao cấp nhất trong AWS. Nếu bạn đang:

• Học AWS Solutions Architect / DevOps

• Muốn làm Cloud Engineer / Network Engineer

• Muốn hiểu sâu AWS Networking – Transit Gateway – Firewall – IPv6

Hãy đăng ký khóa học AWS tại VnPro
Học bài bản – lab thực tế – giảng viên kèm sát – học xong làm được việc.
Comment “HỌC AWS” hoặc inbox để được tư vấn lộ trình miễn phí!​