Tổng Hợp Các Dịch Vụ Networking & Content Delivery của AWS

Giới Thiệu

Trong môi trường cloud hiện đại, networking và content delivery đóng vai trò trung tâm để đảm bảo:

• Kết nối nhanh, ổn định giữa các hệ thống và người dùng
• Bảo mật dữ liệu trên internet và mạng riêng
• Tối ưu hiệu năng cho ứng dụng real-time và global apps
• Giảm chi phí nhờ routing thông minh và caching

AWS cung cấp một hệ sinh thái rộng lớn các dịch vụ networking & content delivery, từ mạng ảo (VPC), kết nối on-premises (Direct Connect, VPN), load balancing, CDN, edge computing, DNS, đến security network.

1. Nhóm Core Networking (Mạng lõi AWS)

Nhóm dịch vụ này giúp bạn tạo, quản lý và bảo mật mạng trong AWS, đồng thời kết nối với on-premises và multi-region.

1.1 Amazon VPC (Virtual Private Cloud)

• Mục đích: Tạo mạng riêng biệt trong AWS, quản lý IP, subnet, routing, security.
• Use case:
  • Chạy EC2, RDS, Lambda trong subnet private
  • Tạo network ACL, Security Group, NAT
  • VPN hoặc Direct Connect
• Ưu điểm:
  • Full control, flexible, secure
  • Tích hợp AWS services dễ dàng
• Hạn chế:
  • Multi-VPC hoặc multi-region quản lý phức tạp
• Thành phần:
  • Subnets: Private, public
  • Route Tables: Quản lý routing giữa subnets và internet
  • Internet Gateway: Kết nối VPC → Internet
  • NAT Gateway / NAT Instance: Private subnet truy cập Internet
  • Security Groups & Network ACLs: Control inbound/outbound traffic
  • VPC Peering: Kết nối VPC khác trong cùng region

1.2 AWS Transit Gateway

• Mục đích: Kết nối nhiều VPC, Region và mạng on-premises với nhau (hub trung tâm). Theo mô hình hub-and-spoke.
• Vị trí: Hoạt động trong AWS cloud
• Kết nối: VPC-to-VPC, VPC-to-on-premises qua VPN/Direct Connect
• Use case: Multi-account architecture, hybrid cloud, Đơn giản hóa kiến trúc mạng phức tạp, thay thế VPC peering nhiều chiều
• Độ trễ: Thấp trong AWS
• Ưu điểm:
  • Tối ưu routing, giảm complexity peering
  • Quản lý tập trung
• Hạn chế: Chi phí theo số lượng attachments và traffic processed
• Components / Thành phần:
  • Transit Gateway Attachments: Kết nối VPC, VPN, Direct Connect
  • Route Tables: Control traffic flow giữa attachments
  • Propagation: Tự động propagate routes giữa attachments

1.3 AWS Direct Connect

• Mục đích: Kết nối private, high-bandwidth, low-latency từ on-premises → AWS.
• Vị trí: Đường truyền riêng, không qua Internet
• Kết nối: On-premises-to-AWS
• Use case: Hybrid cloud, dữ liệu nhạy cảm, real-time processing. Băng thông lớn, độ trễ ổn định, bảo mật cao, giảm chi phí transfer
• Độ trễ: Thấp và ổn định hơn VPN qua Internet
• Ưu điểm:
  • Stable, Băng thông cao, latency thấp
  • An toàn hơn VPN qua internet
• Hạn chế: Setup phức tạp, hợp đồng với nhà cung cấp
• Components / Thành phần:
  • Dedicated Connection / Hosted Connection: Kết nối vật lý
  • Virtual Interfaces (VIFs): Public/Private VIF kết nối tới VPC hoặc AWS service
  • Link Aggregation Groups (LAG): Nối nhiều connections cho redundancy

Thường dùng Direct Connect + Transit Gateway để:

• Direct Connect kết nối on-premises vào AWS
• Transit Gateway phân phối kết nối đó đến nhiều VPC

Tóm tắt: Direct Connect = "đường dây riêng vào AWS", Transit Gateway = "bộ định tuyến trung tâm trong AWS"

1.4 AWS Site-to-Site VPN

• Mục đích: Kết nối on-premises → AWS qua internet.
• Use case: Backup VPN, hybrid cloud nhỏ, dev/test
• Ưu điểm: Dễ triển khai, chi phí thấp, secure
• Hạn chế: Latency cao hơn Direct Connect, băng thông giới hạn
• Components / Thành phần:
  • Customer Gateway (CGW): On-premises router
  • Virtual Private Gateway (VGW): AWS side VPN endpoint
  • VPN Tunnels: 2 tunnels for redundancy
  • IPSec Protocol: Bảo mật dữ liệu

1.5 AWS PrivateLink

• Mục đích: Truy cập services riêng tư giữa VPC hoặc SaaS qua mạng nội bộ AWS (không qua Internet)
• Cơ chế: Tạo VPC Endpoint để kết nối đến AWS services hoặc services của bên thứ ba
• Bảo mật: Traffic không rời khỏi mạng AWS
• Use case:
  • Kết nối SaaS trong VPC private
  • Tránh public internet exposure
  • Truy cập S3, DynamoDB, SaaS partners một cách an toàn
• Ưu điểm: Secure, private
• Hạn chế: Chỉ private connectivity, scope hạn chế
• Components / Thành phần:
  • Các loại VPC Endpoint
    • Interface Endpoint (VPC Endpoint Interface):
      • Sử dụng Elastic Network Interface (ENI) với private IP
      • Hỗ trợ hầu hết AWS services: EC2, Lambda, SNS, SQS, API Gateway...
      • Tính phí theo giờ và data transfer
      • Có thể dùng Security Groups
    • Gateway Endpoint
      • Không dùng ENI, không có private IP
      • Chỉ hỗ trợ S3 và DynamoDB
      • Miễn phí, chỉ trả phí data transfer
      • Cấu hình qua route table
    • Gateway Load Balancer Endpoint
      • Kết nối đến third-party security appliances (firewall, IDS/IPS)
      • Traffic đi qua security virtual appliances trước khi đến destination
  • Service NLB (Network Load Balancer): Endpoint backend

Tiêu chí	Interface Endpoint	Gateway Endpoint	Gateway LB Endpoint
Services	Hầu hết AWS services	Chỉ S3, DynamoDB	Security appliances
Chi phí	Có phí	Miễn phí	Có phí
ENI	Có (với private IP)	Không	Có
Security Groups	Hỗ trợ	Không	Hỗ trợ