Một trong những mục đích quan trọng nhất khi xây dựng hệ thống trên cloud đó chính là khả năng kết nối mọi lúc, mọi nơi. Vậy Làm cách nào để tạo kết nối giữa hệ thống và internet? Chúng ta cùng tìm hiểu về Internet-Gateway (Internet-GW) và Network Translation Address (NAT) nhé!
Mình có làm clip để giải thích cho trực quan vã dễ hiểu hơn, ngoài ra còn có demo trực tiếp nữa! Nên các bạn có thể kết hợp xem clip nhé.
Chuẩn bị môi trường: Ở bài VPC trước, chúng ta đã biết cách tạo VPC và subnet, cho nên mình tạo thêm 2 instance A và B như hình bên trên trong VPC. 1 VPC, 2 subnets, 2 instances (Public instance A nằm trong public subnet và Private instance B nằm trong private subnet).
Ok, nếu bạn nào chưa biét về VPC và EC2 instance là gì thì vào đây và đây để xem nhé!
I. Internet Gateway:
Trước tiên chúng ta cùng tìm hiểu về Internet Gateway (IGW). IGW là 1 dịch vụ của AWS cho phép chúng ta tạo kết nối từ các resources bên trong VPC với internet. Như trong bài này mình lấy con EC2 instance A làm ví dụ. Các bạn có thể hiểu đơn giản IGW như 1 cái cổng mở ra giữa VPC và internet, nhờ đó ta có được đường inbound/outbound (vào/ra) VPC.
Lợi ích khi dùng IGW đó là bạn ko cần phải tốn công quản lý IGW mà AWS sẽ quản lý giúp mình. công sức quản lý mình nói ở đây chính là cấu hình, cài đặt phần mềm, đảm bảo HA/DR,… Ngoài ra mình chỉ phải trả tiền phí cho lượng data đi ra/vào IGW thôi.
Các bạn có thể xem video hoặc theo hướng dẫn của aws để tạo IGW. Sau khi đã có IGW rồi thì việc cuối cùng là cấu hình 1 rule đi ra internet (0.0.0.0/0) trong public route table.
II. NAT:
NAT là Network Address Translation. Nghe cái tên lùng bùng quá! Gì mà “địa chỉ mạng” =]]]] Nếu ta gọi IGW là cánh cổng mở ra internet cho VPC thì NAT chính là người đại diện cho các resource trong VPC để đi ra internet. Các bạn sử dụng NAT trong trường hợp không muốn resource của các bạn kết nối trực tiếp tới internet. Ngoài ra, người đại diện này chỉ cho phép chiều đi từ trong VPC ra ngoài internet và ngăn chặn các loại request từ ngoài đi vào để bảo mật resource của bạn.
Như ở hình bên trên đã mô tả khá dễ hiểu về chức năng của NAT. Tất cả các con máy có local IP 10.0.0.2-10.0.0.99 nằm trong private network và khi muốn đi ra internet cần đi qua con NAT (có local IP là 10.0.0.1). Và con NAT này sẽ làm nhiệm vụ facing với internet bằng public IP 88.66.88.66.
Trên AWS có 3 loại NAT như dưới:
- NAT Gateway: Đơn giản nhất, out-of-the-box services, d o AWS cung cấp và quản lý, chúng ta chỉ cần thuê và dùng thôi. Chỉ hỗ trợ IPv4.
- NAT Instance: Là 1 con EC2 tự dựng, bạn có thể tự cài cài đặt phần mềm NAT lên trên instance đó hoặc dùng AMI amzn-ami-vpc-nat cài sẵn của AWS. Có 1 điều đặc biệt chú ý là bạn cần gắn EIP (hoặc cấp public IP) cho NAT Instance này để có thể giao tiếp với internet. Chỉ hỗ trợ IPv4.
- Egress-only Internet Gateway: Giống NAT Gateway nhưng hỗ trợ IPv6.
So Sánh Tóm Tắt:
Cuối cùng ta đi tới phần scope của IGW và NAT.
Các bạn cần quan tâm tới các điểm quan trọng sau là đủ:
- IGW có thể được apply cho toàn bộ subnets trong VPC mà nó đang đc attached vào với điều kiện phải được khai báo trong route-table.
- NAT (NAT-G W và NAT-Instance) chỉ ở mức subnet, phải được deploy trong 1 subnet cụ thể và phải là public subnet.
- Trong những hệ thống quan trọng, các bạn cần phải triển khai HA/DR cho NAT
Ở mức lvl-100 thì lượng kiến thức vậy là đủ, hẹn mọi người trong bài nâng cao nhé!