Chương 03: VPC & Networking
Tổng Quan
Amazon VPC (Virtual Private Cloud) cho phép bạn tạo một mạng ảo riêng biệt trong AWS Cloud. Đây là chương QUAN TRỌNG NHẤT cho kỳ thi SAA vì nó xuất hiện trong hầu hết mọi câu hỏi kiến trúc.
1. VPC Cơ Bản
1.1 VPC là gì?
- Mạng ảo riêng biệt, cách ly trong AWS Cloud.
- Mỗi VPC thuộc 1 Region, trải rộng trên tất cả AZs trong Region.
- AWS tạo sẵn 1 Default VPC cho mỗi Region.
- Bạn tạo Custom VPC để kiểm soát hoàn toàn.
1.2 CIDR Block
- Mỗi VPC cần 1 dải IP (CIDR block) — từ
/16(65,536 IPs) đến/28(16 IPs). - Phổ biến:
10.0.0.0/16cho production.
2. Subnets
- Là phần nhỏ của VPC, nằm trong 1 AZ duy nhất.
| Đặc điểm | Public Subnet | Private Subnet |
|---|---|---|
| Internet access | ✅ Qua IGW | ❌ Không trực tiếp |
| Route Table | Route → Internet Gateway | Route → NAT Gateway |
| Dùng cho | Web servers, ALB | Databases, App servers |
AWS giữ lại 5 IP đầu tiên trong mỗi Subnet. Subnet
/24(256 IPs) → thực tế dùng được 251 IPs.
3. Internet Gateway (IGW) & NAT
3.1 Internet Gateway (IGW)
- Cho phép Public Subnet giao tiếp với Internet.
- 1 VPC ↔ 1 IGW (1:1). Highly available, auto-scale.
3.2 NAT Gateway
- Cho phép Private Subnet truy cập Internet 1 chiều (ra ngoài, Internet không vào được).
- Đặt trong Public Subnet. Managed service bởi AWS.
- Best Practice: 1 NAT Gateway mỗi AZ cho High Availability.
3.3 NAT Instance (Legacy)
- EC2 instance làm NAT. Không khuyến khích — dùng NAT Gateway thay thế.
Internet ─── IGW ─── PUBLIC SUBNET (Web EC2, NAT Gateway)
│
PRIVATE SUBNET (App EC2, RDS)
4. Route Tables
- Mỗi Subnet có Route Table quy định traffic đi đâu.
- Public:
0.0.0.0/0 → igw-xxx - Private:
0.0.0.0/0 → nat-xxx
5. Security: Security Groups vs NACLs
| Security Group | NACL | |
|---|---|---|
| Cấp độ | Instance (ENI) | Subnet |
| Rule type | Chỉ Allow | Allow + Deny |
| Stateful/Stateless | Stateful (return traffic tự động cho phép) | Stateless (cần rule 2 chiều) |
| Rule evaluation | Tất cả cùng lúc | Theo số thứ tự |
| Mặc định | Deny inbound, Allow outbound | Allow all (default NACL) |
💡 Block 1 IP cụ thể → NACL. Security Group không có Deny rule.
6. VPC Peering
- Kết nối 2 VPCs qua mạng riêng AWS. Cross-account, cross-region.
- KHÔNG transitive: A↔B, B↔C ≠ A↔C (cần tạo peer riêng).
- CIDR không được chồng lấp.
7. VPC Endpoints
Truy cập dịch vụ AWS từ Private Subnet không qua Internet.
| Loại | Hỗ trợ | Cấu hình | Giá |
|---|---|---|---|
| Gateway Endpoint | S3, DynamoDB | Route Table | Miễn phí |
| Interface Endpoint | Hầu hết dịch vụ khác | ENI (PrivateLink) | Tính phí |
S3/DynamoDB → Gateway Endpoint (free). Dịch vụ khác → Interface Endpoint.
8. Kết Nối Hybrid (On-Premises ↔ AWS)
| Site-to-Site VPN | Direct Connect | |
|---|---|---|
| Đi qua | Internet (encrypted) | Kết nối vật lý riêng |
| Setup time | Vài phút | Vài tuần → vài tháng |
| Bandwidth | ~1.25 Gbps | 1-10 Gbps |
| Chi phí | Rẻ | Đắt |
| Encryption | Có (IPSec) | Không mặc định |
Transit Gateway
- Hub trung tâm kết nối nhiều VPCs, VPNs, Direct Connect.
- Thay thế hàng chục VPC Peering connections.
- Cross-region, cross-account.
9. VPC Flow Logs
- Ghi metadata traffic (Source/Dest IP, Port, ACCEPT/REJECT).
- Xuất ra CloudWatch Logs hoặc S3.
- Dùng để troubleshoot, audit bảo mật.
Exam Tips 💡
- Private subnet + Internet = NAT Gateway (không gắn IGW cho private).
- Block IP → NACL. SG không có Deny.
- S3/DynamoDB → Gateway Endpoint (free). Khác → Interface Endpoint.
- VPC Peering không transitive → dùng Transit Gateway cho nhiều VPCs.
- Direct Connect = private, stable, nhưng setup lâu. VPN = nhanh, qua Internet.
- SG = Stateful. NACL = Stateless.
Câu Hỏi Ôn Tập 📝
Câu 1: EC2 ở Private Subnet cần download updates. Cấu hình gì?
Xem đáp án
NAT Gateway trong Public Subnet + route 0.0.0.0/0 → NAT Gateway trong Route Table của Private Subnet.
Câu 2: EC2 Private Subnet cần truy cập S3 mà KHÔNG qua Internet. Dùng gì?
Xem đáp án
VPC Gateway Endpoint cho S3. Miễn phí, traffic đi nội bộ AWS.
Câu 3: Cần block IP 1.2.3.4. Dùng SG hay NACL?
Xem đáp án
NACL. SG chỉ có Allow rules, không block được IP cụ thể.
Câu 4: 15 VPCs cần kết nối với nhau + on-premises. Giải pháp?
Xem đáp án
AWS Transit Gateway — hub trung tâm thay vì hàng chục VPC Peering connections.