AWS

AWS Hybrid Connectivity

Đăng vào bởi Tuấn

Client VPN

Thông qua VPN Endpoint, tạo ra Client VPN network interface trong public subnet, từ đó connect với các resource trong VPC. Có thể sử dụng VPN client hoặc OpenVPN client để connect tới VPN Endpoint.

Site-to-Site VPN

Sử dụng Virtual Private Gateway (VGW) ở AWS, Customer gateway ở data center (DC) hoặc office, khởi tạo VPN connection với VPC trên AWS, và sử dụng Private IP để kết nối tới các resource trong VPC. Khác với Client VPN, StS VPN sử dụng 2 chiều như VPC Peering, chỉ khác cái 1 phía là DC.

VPN CloudHub

Sử dụng VGW và StS VPN để khởi tạo kết nối IPSecVPN từ các DC khác nhau tới AWS, rồi thông qua AWS tới các DC khác. Các DC này phải có BGP ASN (Border Gateway Protocol Autonomous System Number) khác nhau để có thể kết nối tới cùng 1 VGW. Đây không phải là 1 service của AWS, mà chỉ là architecture về StS VPN của AWS.

Direct Connect (DX)

Sử dụng private connection (không mã hoá) để kết nối với AWS (không sử dụng internet chung). Để sử dụng DX thì cần có AWS Direct Connect location ở trong city hoặc APN là partner của AWS. Khi đó sẽ sử dụng đường truyền riêng để connect tới AWS.

Do DX không mã hoá data nên có thể sử dụng kèm StS VPN để add 1 layer mã hoá data.

Lợi ích:

  • Kết nối private giữa AWS và DC
  • Tốc độ cao, độ trễ thấp
  • Giá thấp hơn khi truyền nhiều data hơn so với các loại khác.

DX đi kèm với Virtual Interface (VIF):

  • Private Virtual Interface (Private VIF): kết nối với 1 VPC trong cùng region sử dụng với Virtual Private Gateway (VGW). Có thể có nhiều Private VIF để connect với nhiều VPC trong cùng region.
  • Public Virtual Interface: kết nối với service AWS public ở bất kỳ region nào.

Có 2 loại hosted

  • hosted VIF: có thể share với account khác (hosted VIF), khi đó sẽ share bandwidth với các account khác.
  • hosted connection: 1 DX connection với 1 VIF duy nhất

Khi sử dụng DX Connect bằng APN partner (hosted VIF hoặc hosted connection), tốc độ có thể vào khoảng 50-500Mbps.

Có thể sử dụng Link aggregation groups (LAGs) để gộp nhiều physical connection lại thành một để có speed cao hơn.

DX location có thể có ở nhiều nơi trong 1 thành phố, khi đó, muốn build 1 HA connection thì phải sử dụng nhiều DX connect tới các DX location khác nhau. Trường hợp sử dụng nhiều DX connect tới cùng 1 DX location không được coi là HA. Cũng có thể backup connect qua 1 StS VPN thông qua Internet (không nên dùng khi cần hơn 1Gbps do giới hạn của VPN).

Direct Connect Gateway

Khởi tạo kết nối từ DX location tới AWS Cloud nói chung (nhiều region). Khi không sử dụng Direct Connect Gateway thì có thể sảy ra vấn đề cost tăng cao do khoảng cách từ DC tới các region khác xa hơn, hoặc phải tạo nhiều DX Connect với các region có DC khác nhau.

Có một điểm cần lưu ý là không thể route trafic từ VPC này sang VPC khác bằng Direct Connect Gateway.

Transit Gateway

Khi có nhiều VPC, nhiều DC ở các region khác nhau, độ phức tạp khi muốn thông tất cả chừng đó với nhau lại sẽ phải dùng nhiều VPC Peering, StS VPN. Transit Gateway sinh ra để giải quyết vấn đề đó, tất cả kết nối đến 1 nơi duy nhất và Transit Gateway sẽ làm nhiều vụ còn lại.

Phải chỉ định 1 subnet ứng với mỗi AZ.

Có thể attach vào VPN, DirectConnect Gateway, 3rd party application hoặc Transit Gateway ở region/account khác. Để sử dụng với DirectConnect Gateway thì cần sử dụng Transit VIF.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *