Site logo
Loading...
Tác giả
  • avatar Nguyễn Đức Xinh
    Name
    Nguyễn Đức Xinh
    Twitter
Ngày xuất bản
Ngày xuất bản

Tổng Hợp Các Dịch Vụ AWS Networking & Content Delivery

Giới Thiệu

Nhóm dịch vụ AWS Networking & Content Delivery là nền tảng kết nối ứng dụng với người dùng ở quy mô toàn cầu: từ mạng ảo riêng (VPC), định tuyến DNS (Route 53), phân phối nội dung (CloudFront), đến quản lý API (API Gateway), tối ưu hóa đường đi (Global Accelerator), và kết nối lai (Direct Connect/VPN). Bài viết này giúp bạn hiểu đúng vai trò từng dịch vụ, cách ghép chúng thành kiến trúc thực chiến, và các best practices để đạt bảo mật, hiệu năng và chi phí tối ưu.

Phạm vi dịch vụ chính (in‑scope exam):

  • Amazon VPC
  • Amazon Route 53
  • Amazon API Gateway
  • Amazon CloudFront
  • AWS Global Accelerator
  • AWS Direct Connect
  • AWS VPN (Site‑to‑Site VPN, Client VPN)

Mục tiêu:

  • Nắm rõ chức năng, khác biệt, và khi nào dùng mỗi dịch vụ.
  • So sánh nhanh theo lớp OSI, latency, traffic patterns, mô hình chi phí.
  • Có decision guide, kiến trúc mẫu, và tips tối ưu/cost saving.

Phân Loại Nhanh Theo Nhu Cầu

  • Mạng riêng, phân đoạn, bảo mật nội bộ: Amazon VPC
  • DNS toàn cầu và routing chính sách: Amazon Route 53
  • Phân phối nội dung tĩnh/động toàn cầu, giảm độ trễ: Amazon CloudFront (CDN)
  • Tối ưu đường đi TCP/UDP anycast tới endpoint vùng: AWS Global Accelerator
  • Cổng API serverless có throttle, auth, transform: Amazon API Gateway
  • Kết nối lai on‑prem ↔ AWS với băng thông ổn định: AWS Direct Connect
  • Kết nối nhanh, linh hoạt, mã hóa IPSec: AWS VPN (Site‑to‑Site, Client VPN)

Tổng Quan & So Sánh Nhanh

Dịch vụ Lớp/Phạm vi Use case chính Latency Global awareness Chi phí (khái quát)
VPC Network nội bộ Mạng riêng, subnet, SG/NACL Nội vùng Không (per Region) VPC endpoints, NAT GW, data transfer
Route 53 DNS/Health Check DNS public/private, routing policy ms Toàn cầu Hosted zone, query, health check
CloudFront CDN (L7) Cache tĩnh/động, TLS, WAF tích hợp rất thấp (edge) Toàn cầu (edge PoP) Data transfer out, request, invalidation
Global Accelerator L4 anycast Tối ưu TCP/UDP tới ALB/NLB/EC2/EIP rất thấp/ổn định Toàn cầu (anycast) Hourly + data transfer accelerator
API Gateway API (L7) REST/HTTP/WebSocket API serverless thấp Multi‑Region patterns Request tiered, data transfer
Direct Connect Layer 2/3 dedicated Hybrid link ổn định băng thông rất ổn định Khu vực PoP Port hours + data transfer
VPN IPSec (L3) Hybrid nhanh, dự phòng, remote users phụ thuộc ISP Toàn cầu qua Internet Tính giờ endpoint + data transfer

1. Amazon VPC

1.1 VPC Là Gì?

Amazon VPC cung cấp mạng ảo cô lập trong AWS: subnets (public/private), route tables, Internet/NAT gateway, Security Groups, NACLs, VPC endpoints (Interface/Gateway), VPC peering. Đây là nền tảng để chạy EC2/ECS/EKS/RDS… một cách an toàn.

1.2 Tính Năng Chính

  • Subnet hóa theo AZ; tách public/private.
  • Security Group (stateful) và NACL (stateless) kiểm soát lưu lượng.
  • NAT Gateway cho outbound internet từ private subnet.
  • VPC endpoints truy cập dịch vụ AWS qua backbone không qua internet.
  • Flow Logs theo dõi traffic; VPC peering kết nối VPC‑to‑VPC.

1.3 Best Practices

  • Nguyên tắc “deny by default”, SG tối thiểu; NACL cho boundary.
  • Dùng PrivateLink/VPC endpoints cho S3, DynamoDB, API nội bộ.
  • Phân tách subnet theo tier (web/app/data), tách routing table rõ ràng.

2. Amazon Route 53

2.1 Route 53 Là Gì?

Route 53 là dịch vụ DNS cloud‑scale với health check và các routing policies: Simple, Weighted, Latency‑based, Failover, Geolocation, Geoproximity, Multivalue Answer. Hỗ trợ cả Public và Private Hosted Zone.

2.2 Tính Năng Chính

  • Health check và DNS failover đến endpoint healthy.
  • Latency‑based routing đưa người dùng tới Region có độ trễ thấp nhất.
  • Geolocation/Geoproximity điều tiết theo vị trí địa lý.

2.3 Tips

  • Kết hợp health check với CloudWatch/ALB target health.
  • Dùng alias tới CloudFront/ALB/NLB/Global Accelerator để tối ưu chi phí/truy vấn.

3. Amazon CloudFront

3.1 CloudFront Là Gì?

CloudFront là CDN toàn cầu giúp giảm độ trễ nhờ cache tại edge PoP, bảo vệ bằng TLS/HTTP/2/3, tích hợp WAF/Shield, hỗ trợ Lambda@Edge/CloudFront Functions cho logic nhẹ ở edge.

3.2 Tính Năng Chính

  • Cache tĩnh/động; Origin Shield; Signed URL/Cookie.
  • Tích hợp tốt với S3, ALB, API Gateway, MediaStore.
  • Tùy biến cache policy, origin request policy; compress/brotli.

3.3 Best Practices

  • Thiết kế TTL hợp lý; versioning asset; invalidate ít và có chủ đích.
  • Bật HTTP/3/QUIC; dùng Origin Shield cho offload mạnh.
  • WAF managed rules để lọc bot/SQLi/XSS (nếu Internet‑facing).

4. AWS Global Accelerator (GA)

4.1 GA Là Gì?

Global Accelerator cung cấp địa chỉ IP anycast toàn cầu và tối ưu đường đi L4 (TCP/UDP) trên mạng AWS đến các endpoint (ALB/NLB/EC2/EIP) ở nhiều Region, cải thiện ổn định/độ trễ và hỗ trợ failover nhanh.

4.2 Khi Nào Dùng?

  • Ứng dụng interactive, latency‑sensitive, nhiều Region, yêu cầu IP cố định.
  • Non‑HTTP/S traffic hoặc muốn giữ nguyên L4 với tối ưu hóa đường đi.

4.3 Khác Với CloudFront?

  • CloudFront: CDN L7, cache nội dung HTTP(S) và biên dịch vụ web.
  • GA: Tối ưu vận chuyển L4, không cache, phù hợp bất kỳ TCP/UDP.

5. Amazon API Gateway

5.1 API Gateway Là Gì?

API Gateway là cổng API fully managed (REST/HTTP/WebSocket) với auth/authorization (Cognito/JWT/IAM), rate limit & burst control, request/response transform, integration Lambda/ALB/HTTP backend.

5.2 Tính Năng Chính

  • Stage/Deployment; Canary release; Usage plan & API keys.
  • CORS, mapping template, validation; private API qua VPC endpoint.
  • Access logging, WAF tích hợp qua CloudFront hoặc native.

5.3 Mẹo Thiết Kế

  • Chọn giữa REST vs HTTP API (chi phí, tính năng, latency).
  • Tách microservice; hạn chế payload; bật compression; test rate limit.

6. AWS Direct Connect

6.1 Direct Connect Là Gì?

Kênh kết nối vật lý chuyên dụng giữa on‑prem và AWS (qua DX location), độ ổn định cao, băng thông lớn, latency ổn định hơn Internet. Thường dùng cho hybrid workloads, data replication, doanh nghiệp tuân thủ nghiêm.

6.2 Kiến Trúc Cơ Bản

  • L2/L3 kết nối tới AWS; tạo Virtual Interface (Private VIF tới VPC, Public VIF tới dịch vụ public, Transit VIF nếu dùng backbones trung gian).
  • Kết hợp VPN như đường dự phòng (DX primary, VPN backup).

6.3 Lưu Ý Chi Phí

  • Port hours theo tốc độ (1/10/100 Gbps), data transfer; cân nhắc commit dài hạn.

7. AWS VPN

7.1 VPN Là Gì?

Kết nối mã hóa IPSec qua Internet: Site‑to‑Site (on‑prem gateway ↔ AWS VGW/Transit GW) và Client VPN (người dùng truy cập mạng VPC an toàn).

7.2 Khi Nào Dùng?

  • Nhanh chóng, linh hoạt, chi phí thấp ban đầu.
  • Dự phòng cho DX (failover), hoặc cho workforce remote.

7.3 Tips

  • Dual tunnels; BGP routing; health checks; giám sát CloudWatch.

So Sánh Cụ Thể Theo Từng Cặp

CloudFront vs Global Accelerator

  • CloudFront: Cache nội dung HTTP(S) ở edge, giảm tải origin, WAF/tính năng web.
  • GA: Không cache; tối ưu vận chuyển L4 tới endpoint gần nhất, IP cố định, failover nhanh.

API Gateway vs ALB (để front API)

  • API Gateway: Serverless API, auth tích hợp, throttling, usage plans, WebSocket; thích hợp event‑driven/microservices.
  • ALB: L7 load balancing, path/host routing, WebSocket, target group đến ECS/EKS/EC2; phí theo LCU, không có usage plan native.

Direct Connect vs VPN

  • DX: Ổn định, băng thông cao, latency dự đoán; chi phí cao hơn, cần provisioning.
  • VPN: Nhanh, rẻ, linh hoạt nhưng phụ thuộc Internet; phù hợp backup/khởi đầu.

Route 53 vs Global Accelerator (Traffic Management)

  • Route 53: DNS‑level policies, TTL ảnh hưởng chuyển hướng; chi phí thấp.
  • GA: Anycast L4, chuyển mạch gần thời gian thực, không phụ thuộc TTL DNS, IP cố định.

Decision Guide (Hỏi‑Đáp Nhanh)

  • Cần CDN giảm latency và offload? → CloudFront.
  • Cần IP cố định toàn cầu, tối ưu đường đi L4, failover nhanh? → Global Accelerator.
  • Xây REST/HTTP/WebSocket API serverless? → API Gateway.
  • Hybrid enterprise cần băng thông/độ ổn định? → Direct Connect (VPN dự phòng).
  • DNS thông minh, geo/latency routing? → Route 53.
  • Thiết kế mạng nội bộ an toàn, phân tầng? → VPC với SG/NACL + private endpoints.

Kiến Trúc Mẫu

1) Global Web App: CloudFront + API Gateway + Lambda/ALB

  • Route 53 (alias) → CloudFront (WAF) → API Gateway/ALB → Lambda/ECS/EKS trong VPC.
  • Cache động bằng CloudFront Functions/Lambda@Edge; Signed URLs cho asset riêng tư.

2) Hybrid Connectivity: DX Primary + VPN Backup

  • On‑prem ↔ AWS qua Direct Connect (Private VIF) cho prod/replication.
  • Site‑to‑Site VPN là standby; health monitoring + route failover.

3) Multi‑Region Active‑Active (User‑Facing)

  • Route 53 latency routing → GA front endpoints ở 2+ Regions.
  • CloudFront làm CDN; dữ liệu dùng dịch vụ hỗ trợ đa vùng (ví dụ DynamoDB Global Tables ở mảng Database, nếu phù hợp kiến trúc tổng thể).

4) Private APIs

  • API Gateway private + VPC Endpoint; Route 53 Private Hosted Zone.
  • Truy cập chỉ từ VPC/peered VPC; audit qua CloudTrail/Access Logs.

Bảo Mật & Tuân Thủ

  • Network segmentation: Subnet hoá, nguyên tắc tối thiểu, SG/NACL rõ ràng.
  • Private connectivity: VPC endpoints, PrivateLink; hạn chế public exposure.
  • TLS everywhere: ACM quản lý chứng chỉ; TLS 1.2/1.3.
  • Edge protection: Tích hợp WAF/Shield với CloudFront/API Gateway khi Internet‑facing.
  • Logging/Audit: CloudFront/ALB/NLB access logs, API Gateway logs, CloudTrail, VPC Flow Logs.

Hiệu Năng & Độ Trễ

  • CloudFront: Sử dụng Origin Shield, tối ưu TTL, nén Brotli/HTTP/3.
  • GA: Anycast đến edge gần nhất, giảm “last mile/first mile” issues.
  • API Gateway: Dùng HTTP API khi phù hợp (latency thấp, phí rẻ hơn REST API).
  • VPC: Giảm hairpinning; cân nhắc kiến trúc tránh qua Internet khi không cần.

Tối Ưu Chi Phí

  • CloudFront: Ưu tiên cache hit cao (giảm egress origin); dùng price class phù hợp.
  • API Gateway: Chọn giữa REST vs HTTP API; bật caching ở stage khi lợi ích > chi phí.
  • Direct Connect: Chọn port speed phù hợp; kết hợp commit; so sánh với chi phí egress Internet.
  • Route 53: Dùng alias để tránh phí truy vấn một số trường hợp; tối ưu TTL hợp lý.
  • VPC: Tối ưu NAT Gateway (consolidate AZ khi phù hợp), dùng Gateway Endpoint cho S3/DynamoDB.

Mẹo Ôn Thi (AWS Certified)

  • Phân biệt rõ CloudFront (CDN) vs Global Accelerator (L4 anycast optimization).
  • Route 53 routing policies (Latency/Weighted/Failover/Geo…).
  • API Gateway REST vs HTTP vs WebSocket, private endpoint, auth, throttling.
  • Direct Connect vs VPN, hybrid patterns và dự phòng.
  • VPC SG vs NACL; NAT Gateway vs Internet Gateway; VPC endpoints.

Ví Dụ Nhanh

Route 53: Weighted Routing (Minh Hoạ)

example.com (A/AAAA):
  - 50% → ALB-RegionA
  - 50% → ALB-RegionB
Health check: enable failover if endpoint unhealthy

CloudFront: Cache Policy Cơ Bản

Cache policy:
  - MinTTL: 60s, Default: 600s, Max: 1d
  - Allow list headers: Accept, Authorization (nếu cần)
  - Query strings: whitelist theo use case

Checklist Áp Dụng Nhanh

  • Alias DNS qua Route 53; TTL hợp lý, health checks.
  • CDN trước public endpoints bằng CloudFront; WAF/Shield nếu cần.
  • GA khi cần IP cố định toàn cầu và tối ưu L4/failover nhanh.
  • Private connectivity: VPC endpoints/PrivateLink, giới hạn egress; NAT GW tối ưu.
  • Hybrid: DX primary + VPN backup; giám sát và kiểm thử failover định kỳ.

Kết Luận

Không có một dịch vụ “vạn năng” cho mạng/phân phối nội dung. Hãy kết hợp các khối AWS Networking & Content Delivery để vừa nhanh, vừa an toàn, vừa tiết kiệm: VPC cho nền tảng mạng riêng; Route 53 cho DNS thông minh; CloudFront để đưa nội dung sát người dùng; Global Accelerator để tối ưu đường đi L4; API Gateway để quản trị API serverless; Direct Connect/VPN cho hybrid ổn định và linh hoạt. Thiết kế đúng, quan sát liên tục, và tối ưu chi phí sẽ giúp hệ thống của bạn vận hành mượt mà ở quy mô toàn cầu.