VPC và mạng con trong điện toán đám mây là gì và chúng hoạt động như thế nào?
Điện toán đám mây đã mang lại những thay đổi đáng kể đối với cách chúng ta tưởng tượng về tài nguyên điện toán.
Các nhà cung cấp đám mây đã loại bỏ nhu cầu lo lắng về phần cứng đắt tiền hoặc việc bảo trì cơ sở hạ tầng phức tạp, đồng thời giúp truy cập và thiết lập các tài nguyên máy tính từ thấp đến cao cấp theo yêu cầu với chi phí phải chăng.
Trong thế giới điện toán đám mây, bạn có thể gặp các thuật ngữ VPC Và mạng con. Vậy chúng có ý nghĩa gì, và chúng hoạt động như thế nào?
Mục Lục
VPC là gì?
VPC là từ viết tắt của đám mây riêng ảo. VPC, như thuật ngữ ngụ ý, là một môi trường riêng ảo mà bạn có thể tạo trên đám mây.
VPC thường được các nhà cung cấp đám mây cung cấp dưới dạng dịch vụ trên đám mây công cộng, nhưng với VPC, bạn có được một mạng an toàn và biệt lập trong cơ sở hạ tầng của nhà cung cấp, nơi bạn có thể tạo và quản lý tài nguyên.
VPC có thể được ví như cơ sở hạ tầng tại chỗ, nơi bạn thiết lập và định cấu hình tất cả các tài nguyên máy tính của mình ở một nơi vì bạn sở hữu tất cả chúng. Điểm khác biệt duy nhất ở đây là bạn không sở hữu hoặc bảo trì phần cứng và bạn có thể dễ dàng tăng hoặc giảm quy mô cơ sở hạ tầng dựa trên yêu cầu của mình.
Để tìm dịch vụ VPC trên các nền tảng đám mây hàng đầu, hãy tìm kiếm dịch vụ VPC trên AWS, Google Cloud và IBM Cloud; trên Azure thì gọi là mạng ảo; còn trên Oracle thì gọi là mạng đám mây ảo.
VPC hoạt động như thế nào?
Sau khi biết rằng VPC cho phép bạn tạo một mạng tài nguyên trong một phần được cách ly hợp lý của đám mây, điều quan trọng là phải hiểu những điểm quan trọng về cách thức hoạt động của VPC.
Khi tạo VPC, bạn có thể xác định một dải địa chỉ IP cho nó. Dải địa chỉ IP này chia VPC thành mạng concó thể được chia thành các mạng con nhỏ hơn khi cần thiết.
Mỗi mạng con được liên kết với một mạng cụ thể khu vực sẵn có, là một vị trí thực tế riêng biệt trong cơ sở hạ tầng của nhà cung cấp đám mây. Bạn cũng cấu hình nhóm bảo mật (tường lửa), danh sách kiểm soát truy cậpVà bảng lộ trình để kiểm soát truy cập mạng và luồng lưu lượng trong mạng.
Một VPC thường bao trùm tất cả các vùng khả dụng trong vùng mà nó được tạo. Ví dụ: hình ảnh bên dưới hiển thị một Amazon VPC được tạo trong một khu vực chỉ có hai vùng khả dụng.
Cũng cần lưu ý rằng, với việc sử dụng mạng riêng ảo (VPN), có thể tạo nhiều môi trường biệt lập trong một VPC. Điều này hữu ích cho việc tổ chức các tài nguyên và cung cấp các mức truy cập mạng khác nhau cho những người dùng khác nhau.
ý tưởng của VPN và các khái niệm mạng khác trở nên rõ ràng hơn khi bạn tìm hiểu thêm về cách thức hoạt động của mạng.
Mạng con là gì?
“Mạng con” là viết tắt của “mạng con”. Mạng con là một mạng nhỏ hơn được tìm thấy trong một mạng lớn hơn. Khi bạn tạo VPC trên nền tảng đám mây, bạn chỉ định một dải địa chỉ IP duy nhất cho nó. Mỗi địa chỉ IP riêng biệt phục vụ để xác định một mạng con của VPC.
Các tài nguyên trong cùng một mạng con có thể trao đổi dữ liệu với nhau mà không cần định tuyến qua mạng lớn hơn. Ví dụ: một máy chủ Linux được triển khai trong một mạng con sẽ có quyền truy cập trực tiếp vào cơ sở dữ liệu Postgres được triển khai trong cùng một mạng con.
Các loại mạng con trong đám mây
Chủ yếu có hai loại mạng con trong điện toán đám mây:
- Mạng con công cộng
- Mạng con riêng
MỘT mạng con công cộng có thể truy cập trực tiếp từ internet. Tài nguyên được triển khai trong các mạng con công cộng thường được gán địa chỉ công cộng, có thể được sử dụng để giao tiếp trực tiếp với internet.
Mạng con công khai được sử dụng để triển khai các tài nguyên cần truy cập công khai trên internet, chẳng hạn như bộ cân bằng tải và API công khai.
MỘT mạng con riêng là một mạng con không thể truy cập trực tiếp từ internet (không có địa chỉ IP công cộng). Các mạng con riêng tư chỉ có thể được truy cập từ bên trong VPC (chỉ các tài nguyên trong VPC mới có thể giao tiếp với chúng).
Các tài nguyên được triển khai trong các mạng con riêng tư thường chỉ có thể truy cập được trong mạng thông qua cổng NAT (Dịch địa chỉ mạng). Các mạng con riêng được sử dụng để triển khai các tài nguyên không cần quyền truy cập chung, chẳng hạn như máy chủ ứng dụng và cơ sở dữ liệu, giúp cải thiện an ninh mạng bằng cách hạn chế việc các tài nguyên tiếp xúc với internet.
Ngoài các mạng con công khai và riêng tư, còn có các mạng con được chia sẻ và các mạng con bị cô lập. Các mạng con được chia sẻ có thể được truy cập bởi nhiều VPC, trong khi các mạng con bị cô lập chỉ có thể truy cập được trong một VPC.
Mạng con hoạt động như thế nào?
Mạng con cho phép bạn phân đoạn tài nguyên đám mây của mình thành các mạng bị cô lập với các dải địa chỉ IP riêng biệt. Sự phân đoạn này cung cấp một cách để kiểm soát luồng lưu lượng mạng giữa các tài nguyên, cải thiện hiệu suất mạng và tăng cường bảo mật.
Mỗi mạng con trong đám mây có bộ quy tắc kiểm soát truy cập mạng riêng, có thể được sử dụng để hạn chế lưu lượng truy cập vào (đến) và gửi đi (đi) đến các địa chỉ hoặc dải IP cụ thể. Điều này cung cấp một lớp bảo mật bổ sung cho tài nguyên đám mây của bạn, giúp ngăn chặn truy cập trái phép.
Hình ảnh sau đây cho thấy một cơ sở hạ tầng hoàn chỉnh trong VPC được hình dung ở trên. Lưu ý bốn mạng con, hai mạng riêng tư và hai mạng công cộng, bảng định tuyến để điều chỉnh lưu lượng trong VPC, cổng NAT, cổng internet và các tài nguyên khác như bộ cân bằng tải và phiên bản EC2.
Hiểu về VPC và mạng con trong đám mây
VPC và mạng con là các thành phần thiết yếu của cơ sở hạ tầng điện toán đám mây. Với VPC, bạn có thể tạo một mạng biệt lập trong cơ sở hạ tầng của nhà cung cấp đám mây và với các mạng con, bạn có thể chia dải địa chỉ IP của mình thành các phân đoạn nhỏ hơn và dễ quản lý hơn.
Bạn cũng nên luôn triển khai tất cả các tài nguyên của ứng dụng, chẳng hạn như máy ảo (ví dụ: phiên bản EC2) và cơ sở dữ liệu (ví dụ: phiên bản Amazon RDS) trong một VPC thay vì triển khai ngẫu nhiên chúng trên các giá trị mặc định khác nhau do nhà cung cấp đám mây cung cấp .