Amazon Virtual Private Cloud

Được xây dựng trên mạng ảo tách biệt theo logic trong đám mây AWS.

Amazon Virtual Private Cloud (Amazon VPC) là dịch vụ cho phép bạn khởi chạy các tài nguyên AWS trong mạng ảo cô lập theo logic mà bạn xác định. Bạn có toàn quyền kiểm soát môi trường mạng ảo của mình, bao gồm lựa chọn dải địa chỉ IP, tạo các mạng con, cấu hình các bảng định tuyến và cổng kết nối mạng. Bạn có thể dùng cả IPv4 và IPv6 cho hầu hết các tài nguyên trong đám mây riêng ảo, giúp bảo mật nghiêm ngặt và truy cập dễ dàng các tài nguyên cũng như ứng dụng.

Là một trong các dịch vụ nền tảng của AWS, Amazon VPC sẽ giúp bạn dễ dàng tùy chỉnh cấu hình mạng của VPC. Bạn có thể tạo một mạng con công khai cho các máy chủ web có quyền truy cập internet. Dịch vụ này cũng cho phép bạn đặt các hệ thống backend, như máy chủ ứng dụng hoặc cơ sở dữ liệu, trong mạng con riêng tư không có quyền truy cập internet. Với Amazon VPC, bạn có thể sử dụng nhiều lớp bảo mật, bao gồm các nhóm bảo mật và danh sách kiểm soát truy cập mạng, để giúp kiểm soát quyền truy cập vào các phiên bản Amazon EC2 trong mỗi mạng con.

Video Hội nghị AWS 2019 về những kiến thức cơ bản dành cho AWS Networking tập trung vào VPC (40:08)

Lợi ích khi sử dụng Amazon Virtual Private Cloud (Amazon VPC)

Kết nối mạng bảo mật và được giám sát

Amazon VPC mang đến các tính năng bảo mật nâng cao, cho phép bạn lọc lưu lượng đến và đi ở cấp độ mạng con và phiên bản. Ngoài ra, bạn có thể lưu trữ dữ liệu trong Amazon S3 và hạn chế quyền truy cập để chỉ có thể truy cập những dữ liệu này từ các phiên bản bên trong VPC. Amazon VPC cũng có các tính năng giám sát để bạn có thể thực hiện các chức năng như giám sát ngoài dải tần và kiểm tra lưu lượng nội tuyến, từ đó giúp sàng lọc và bảo mật lưu lượng truy cập.

Thiết lập và sử dụng đơn giản

Với quá trình thiết lập đơn giản của Amazon VPC, bạn không mất thời gian thiết lập, quản lý và xác thực, nhờ đó có thể tập trung xây dựng các ứng dụng chạy trong VPC của mình. Bạn có thể dễ dàng tạo VPC bằng cách dùng Bảng điều khiển quản lý AWS hoặc Giao diện dòng lệnh (CLI). Sau khi bạn chọn cách thiết lập mạng phù hợp nhất với nhu cầu từ các cách thiết lập thông dụng, VPC sẽ tự động tạo mạng con, dải IP, bảng định tuyến và nhóm bảo mật bạn cần. Sau khi đặt cấu hình mạng, bạn có thể dễ dàng xác thực với Trình phân tích khả năng tiếp cận.

Mạng ảo có thể tùy chỉnh

Với Amazon VPC, bạn có thể tạo dải Địa chỉ IP và mạng con của riêng mình, cũng như đặt cấu hình mạng bảng định tuyến cho mọi cổng sẵn có, nhờ đó quản lý tốt hơn mạng ảo của bạn. Bạn có thể tùy chỉnh cấu hình mạng bằng cách tạo mạng con hướng công khai cho các máy chủ web có quyền truy cập internet. Đặt các hệ thống backend (như máy chủ ứng dụng hoặc cơ sở dữ liệu) trong mạng con hướng riêng tư. Với Amazon VPC, bạn có thể đảm bảo rằng đám mây riêng ảo của mình được đặt cấu hình phù hợp với các nhu cầu kinh doanh cụ thể.

Trường hợp sử dụng

Lưu trữ trang web hướng công khai đơn giản

Lưu trữ ứng dụng web cơ bản, như blog hoặc một trang web đơn giản trong VPC, đồng thời nhận thêm các lớp riêng tư và bảo mật do Amazon VPC cung cấp. Bạn có thể giúp bảo vệ trang web bằng cách tạo các quy tắc nhóm bảo mật cho phép máy chủ web phản hồi các yêu cầu đến của HTTP và SSL từ Internet, đồng thời ngăn máy chủ web khởi tạo các kết nối đi đến Internet. Tạo một VPC hỗ trợ trường hợp sử dụng này bằng cách chọn "VPC với duy nhất một mạng con công khai" từ trình hướng dẫn cho bảng điều khiển Amazon VPC.

Lưu trữ các ứng dụng web nhiều tầng

Lưu trữ các ứng dụng web nhiều tầng và nghiêm túc thực thi các hạn chế truy cập cũng như bảo mật giữa các máy chủ web, máy chủ ứng dụng và cơ sở dữ liệu của bạn. Khởi chạy máy chủ web trong mạng con công khai dễ tiếp cận trong khi vận hành cơ sở dữ liệu và máy chủ ứng dụng trong mạng con riêng tư. Điều này sẽ đảm bảo rằng không ai có thể trực tiếp truy cập cơ sở dữ liệu và máy chủ ứng dụng từ Internet. Bạn kiểm soát truy cập giữa các máy chủ và mạng con bằng cách sử dụng tính năng lọc gói đến và đi do các danh sách kiểm soát truy cập mạng và các nhóm bảo mật cung cấp. Để tạo VPC hỗ trợ trường hợp sử dụng này, bạn có thể chọn "VPC có mạng con công khai và riêng tư" trong trình hướng dẫn cho bảng điều khiển Amazon VPC.

Sao lưu và khôi phục dữ liệu sau thảm họa

Bằng cách sử dụng Amazon VPC để khôi phục sau thảm họa, chỉ với một mức chi phí nhỏ là bạn sẽ nhận được tất cả các lợi ích của một trang khôi phục sau thảm họa. Bạn có thể sao lưu theo định kỳ dữ liệu quan trọng từ trung tâm dữ liệu của mình vào một số phiên bản Amazon EC2 bằng ổ đĩa Amazon Elastic Block Store (EBS) hoặc nhập các hình ảnh máy ảo của bạn vào Amazon EC2. Để đảm bảo hoạt động kinh doanh liên tục, VPC cho phép bạn nhanh chóng khởi chạy dung lượng điện toán thay thế trong AWS. Khi thảm họa kết thúc, bạn có thể gửi dữ liệu quan trọng trở lại trung tâm dữ liệu và kết thúc các phiên bản Amazon EC2 mà bạn không còn cần nữa.

Mở rộng mạng công ty của bạn trên đám mây

Di chuyển các ứng dụng của công ty lên đám mây, khởi chạy các máy chủ web bổ sung hoặc thêm dung lượng điện toán cho mạng bằng cách kết nối VPC với mạng của công ty bạn. Vì bạn có thể lưu trữ VPC phía sau tường lửa của công ty nên bạn có thể di chuyển liền mạch tài nguyên CNTT của mình vào đám mây mà không làm thay đổi cách người dùng truy cập vào các ứng dụng này. Ngoài ra, bạn còn có thể lưu trữ các mạng con VPC trong AWS Outposts. Đây là dịch vụ cung cấp các dịch vụ AWS, cơ sở hạ tầng và các mô hình hoạt động gốc cho hầu hết các trung tâm dữ liệu, không gian chung hoặc cơ sở tại chỗ. Chọn "VPC chỉ có mạng con riêng tư và Truy cập VPN phần cứng" từ trình hướng dẫn dành cho bảng điều khiển Amazon VPC để tạo VPC hỗ trợ trường hợp sử dụng này.

Kết nối an toàn các ứng dụng đám mây với trung tâm dữ liệu của bạn

Kết nối VPN IPsec giữa Amazon VPC và mạng công ty bạn sẽ mã hóa tất cả các giao tiếp giữa máy chủ ứng dụng trong đám mây và cơ sở dữ liệu trong trung tâm dữ liệu của bạn. Các máy chủ web và các máy chủ ứng dụng trong VPC của bạn có thể sử dụng tính co giãn của Amazon EC2 và các tính năng Auto Scaling để phát triển và thu hẹp lại khi cần. Bạn có thể tạo một VPC để hỗ trợ trường hợp sử dụng này bằng cách chọn "VPC có mạng con công khai và riêng tư cùng Truy cập VPN phần cứng" trong trình hướng dẫn cho bảng điều khiển Amazon VPC.

Đối tác

Paloalto Logo
"Việc tích hợp Tường lửa ảo thế hệ mới của VM-Series với tính năng Định tuyến ngõ vào mới của Amazon VPC giúp khách hàng dễ dàng hơn trong việc đảm bảo tất cả lưu lượng đến VPC của họ đều được lọc thông qua các dịch vụ phòng ngừa hiểm họa của chúng tôi. Bằng cách đặt tường lửa ảo VM-Series làm thiết bị bump-in-the-wire trong môi trường đất nâu, khách hàng có thể bảo vệ thông suốt lưu lượng đến từ internet và trung tâm dữ liệu của họ."

- Mukesh Gupta, Phó Chủ tịch, Quản lý sản phẩm, VM-Series

Fortinet_Logo
"Định tuyến ngõ vào của Amazon VPC cho phép Fortinet gia tăng sự tự tin cho khách hàng bằng cách cho phép bảo mật mạng Fortinet trên bất kỳ lưu lượng nào vào VPC quan trọng trong kinh doanh quan trọng của khách hàng. Định tuyến ngõ vào VPC cũng cho phép tạo ra các giải pháp linh hoạt hơn, giúp bảo đảm các khối lượng công việc khác nhau với các Sản phẩm Fortinet riêng biệt trong một VPC duy nhất. Quan trọng nhất, một kiến trúc an toàn và linh hoạt hơn sẽ giúp khách hàng giảm thiểu rủi ro liên quan đến cấu hình sai cũng như mở rộng hơn nữa việc triển khai trên đám mây."

- Lior Cohen, Giám đốc cấp cao phụ trách các sản phẩm và giải pháp bảo mật đám mây, Fortinet

CP_logo
"Khách hàng doanh nghiệp của chúng tôi thường sử dụng AWS Transit Gateway để triển khai khả năng bảo vệ khỏi các mối đe dọa tiên tiến của CloudGuard. Tuy vậy, dịch vụ này không phù hợp với các doanh nghiệp vừa và nhỏ có số lượng VPC hạn chế. Cải tiến về định tuyến ngõ vào VPC mang đến cho khách hàng các triển khai nhỏ hơn có cách thức chuyển hướng dòng lưu lượng vào VPC dễ dàng, hiệu quả và tự nhiên hơn để tăng cường bảo mật nâng cao."

– Zohar Alon, Giám đốc phụ trách sản phẩm đám mây, Check Point Software

Barracuda_Logo
"Định tuyến ngõ vào VPC cho phép khách hàng của chúng tôi sàng lọc tất cả lưu lượng bên ngoài thông qua Tường lửa CloudGen của Barracuda trước khi đến đích. Giờ đây, sử dụng định tuyến xâm nhập VPC, khách hàng có thể áp dụng các chính sách kiểm tra gói sâu tùy chỉnh tùy theo đích của họ. Định tuyến ngõ vào VPC dành cho các VPC của Amazon, giúp khách hàng của chúng tôi dễ dàng triển khai các giải pháp bảo mật đám mây nội tuyến của Barracuda"

- Klaus Gheri, Giám đốc điều hành/Phó Chủ tịch phụ trách An ninh mạng, Barracuda Networks

Sophos_Logo
"Việc tổ chức bảo mật cơ sở hạ tầng đám mây - bao gồm lưu lượng bên trong đó - là điều cực kỳ quan trọng vì tội phạm mạng đang ngày càng gia tăng hoạt động nhắm mục tiêu và khởi động các cuộc tấn công nâng cao chống lại các môi trường đám mây này. AWS và Sophos đang giải quyết vấn đề bảo mật trên đám mây. Bằng việc mở rộng hỗ trợ cho định tuyến ngõ vào, Sophos UTM cung cấp thêm một lớp bảo mật để đảm bảo lưu lượng vào và ra khỏi VPC cũng như các thiết bị ảo khác được bảo vệ."

- Andy Miller, Giám đốc cấp cao phụ trách Đám mây công cộng toàn cầu, Sophos

Aviatrix Logo
"Với việc áp dụng cải tiến Định tuyến ngõ vào Amazon VPC mới, khách hàng giờ đây có thể định tuyến lưu lượng mạng VPC thông qua các dịch vụ nội tuyến nâng cao. Phần mềm kết nối mạng dành cho đám mây Aviatrix bao trọn và mở rộng các dịch vụ AWS nguyên bản - trong trường hợp này, Định tuyến ngõ vào Amazon VPC mới kết hợp với các dịch vụ AWS GuardDuty để cung cấp các chính sách thực thi đi vào và đi ra qua các cổng Aviatrix."

- Sherry Wei, Nhà sáng lập kiêm Giám đốc sản phẩm, Aviatrix

citrix-logo-black
"Ngày nay người dùng không quan tâm đến nơi lưu trữ các ứng dụng mà họ cần để thực hiện công việc. Mà cái họ muốn là thực hiện một cách nhất quán và tin cậy để có thể hoàn thành công việc. Thông qua việc tích hợp giữa Citrix® ADC và định tuyến ngõ vào Amazon VPC từ AWS, chúng tôi có thể mang đến cho công chúng một giải pháp cấp doanh nghiệp đã được chứng minh trong một mô hình phân phối thuận tiện, đồng thời tạo ra trải nghiệm hiệu suất cao để giúp mọi người thực hiện công việc tốt nhất."

- Mihir Maniar, Phó chủ tịch phụ trách Quản lý sản phẩm, Kết nối mạng, Citrix

Trend Micro Logo
"Trend Micro cung cấp bảo mật đám mây lai nhiều lớp cho hàng ngàn khách hàng trên AWS. Định tuyến ngõ vào Amazon VPC cho phép áp dụng rộng rãi và tăng cường tính linh hoạt trong triển khai cho các giải pháp bảo mật mạng đám mây của chúng tôi, nhờ đó, khách hàng của chúng tôi sẽ bảo vệ được AWS VPC của họ nhanh chóng trên quy mô lớn, mà không làm gián đoạn các ứng dụng kinh doanh của họ."

- Steve Quane, Phó chủ tịch điều hành, Bảo vệ mạng và Bảo mật đám mây lai, Trend Micro

Fire Eye Logo.1e32bd3851f0c10b78513de3684c90b37469f0ab
"Khách hàng An ninh mạng của FireEye đã được hưởng lợi từ khả năng áp dụng khả năng ngăn ngừa hiểm họa và phát hiện vi phạm cho môi trường AWS của họ. Việc công bố tính năng định tuyến ngõ vào Amazon VPC giúp việc triển khai giải pháp bảo mật mạng của FireEye trong AWS trở nên dễ dàng hơn nữa. Tính năng mới này sẽ cho phép khách hàng chuyển hướng lưu lượng Bắc-Nam vào và ra khỏi VPC thông qua cổng internet và cổng riêng ảo đến các thiết bị của bên thứ ba, như vậy, cổng NAT trở thành công cần thiết. Điều này cho phép khách hàng điều hướng lưu lượng đến các thiết bị cụ thể cho hoạt động quét chuyên dụng. Khách hàng của FireEye được hưởng lợi sự thuận tiện trong triển khai và tích hợp chặt chẽ hơn với các trung tâm dữ liệu đám mây tại chỗ, riêng tư và công khai của họ."

- Ramesh Gupta, Tổng Giám đốc phụ trách Sản phẩm an ninh mạng, FireEye

Versa Logo
"Nền tảng quản lý và điều phối SD-WAN của Versa cho phép tự động hóa quy trình toàn diện bao gồm việc khởi tạo và hỗ trợ thiết bị biên WAN trên AWS. Giờ đây, khách hàng còn có thể sử dụng định tuyến ngõ vào Amazon VPC để chuyển hướng lưu lượng vào và ra khỏi VPC, thông qua cổng internet và cổng riêng ảo, đến các thiết bị bảo mật NGFW tại chỗ của Versa."

- Giám đốc tiếp thị, Versa Networks

ShieldX_Logo
"Nền tảng bảo mật ShieldX Elastic (ESP) được xây dựng để bảo mật các trung tâm dữ liệu đa đám mây hiện đại. ESP là một giải pháp không phụ thuộc vào đám mây và không sử dụng tác nhân, được thiết kế để cung cấp các biện pháp kiểm soát bảo mật toàn diện và nhất quán nhằm bảo vệ các trung tâm dữ liệu động, cơ sở hạ tầng đám mây, ứng dụng và dữ liệu, bất kể chúng đang ở đâu và đi đến đâu. Là đối tác của AWS, ShieldX tích hợp với các chức năng mạng của AWS, như phản chiếu lưu lượng VPC và định tuyến ngõ vào VPC, để hỗ trợ phát hiện tài sản liên tục, tạo chính sách bảo mật mạng tự động và kiểm tra lớp 7. Các tính năng này hợp lại và cung cấp cho doanh nghiệp giải pháp toàn diện để giám sát và ngăn chặn lưu lượng mạng đi qua cả Bắc/Nam và Đông/Tây trong đám mây công cộng AWS"

- Ken Levine, CEO, ShieldX

Vectra Logo
"Định tuyến ngõ vào Amazon VPC cho phép khách hàng của chúng tôi sàng lọc tất cả lưu lượng bên ngoài trước khi lưu lượng đến được mạng con. Tính năng này dành cho Amazon VPC và giúp khách hàng của chúng tôi dễ triển khai Phát hiện và ứng phó sự cố mạng cho đám mây hơn."

- Kevin Sheu, Phó Chủ tịch phụ trách Tiếp thị sản phẩm tại Vectra

IBM Security Logo
"IBM Security giúp khách hàng tối đa hóa hiệu quả của các biện pháp kiểm soát bảo mật dành cho AWS của họ. Chúng tôi giúp khách hàng thiết kế kiến trúc bảo mật, lựa chọn và triển khai các biện pháp kiểm soát của AWS nhằm đạt được mức độ bảo mật cao nhất. Định tuyến ngõ vào Amazon VPC mang đến cho chúng tôi sự linh hoạt trong việc triển khai các giải pháp bảo mật ở biên của VPC, tạo khả năng sàng lọc và chặn lưu lượng Bắc-Nam trước khi lưu lượng đó đi đến khối lượng công việc trong VPC."

- Mike Sanders, Giám đốc chương trình, cung cấp Chiến lược cho Cloud Security, IBM Security Services

Lastline Logo
“Với nền tảng phát hiện và ứng phó sự cố mạng dành cho đám mây, Lastline đang hợp tác chặt chẽ với AWS để cung cấp các cải tiến bảo mật cho dữ liệu của khách hàng của chúng tôi trong AWS. Định tuyến ngõ vào Amazon VPC cho phép chúng tôi cung cấp cho khách hàng sự linh hoạt và khả năng hiển thị lưu lượng nội tuyến không đối thủ nào sánh được trên mạng AWS.”

– Tiến sĩ Christopher Kruegel, Nhà đồng sáng lập kiêm Giám đốc sản phẩm, Lastline

Netscout Logo black
"Cải tiến Định tuyến ngõ vào Amazon VPC được công bố gần đây, kết hợp với Phản chiếu lưu lượng của Amazon VPC, cho phép NETSCOUT giám sát hiệu quả lưu lượng nội bộ và liên VPC trong AWS đồng thời khai thác một cách hiệu quả để cung cấp Khả năng hiển thị không biên giới trên toàn bộ trung tâm dữ liệu tại chỗ, trong AWS và trên đám mây lai."

- Bruce Kelley, Jr., Phó Chủ tịch cấp cao, Giám đốc công nghệ, Nhà cung cấp dịch vụ, NETSCOUT

Valtix_Logo
“Valtix cách mạng hóa bảo mật mạng đám mây nội tuyến, bằng cách là: Trước hết, khám phá các ứng dụng, sau đó Triển khai bảo mật mạng và liên tục Bảo vệ các ứng dụng đó trên các Khu vực AWS. Định tuyến ngõ vào Amazon VPC cho phép các cụm tường lửa dành cho đám mây Valtix đi vào đường dẫn lưu lượng ứng dụng từ internet và liên mạng con trong các VPC, do đó đạt được khả năng hiển thị lưu lượng mạng đầy đủ cho các ứng dụng doanh nghiệp chạy trong AWS.”

- Vijay Chander, CTO, Valtix

128T Logo
“Các doanh nghiệp cần kết nối an toàn và tin cậy hơn với các Amazon VPC từ trung tâm dữ liệu của họ và Bộ định tuyến Session Smart™ của 128 Technology cung cấp cho khách hàng mức độ bảo mật và độ tin cậy cao vượt trội, đồng thời giảm đi sự phức tạp. Với việc bổ sung định tuyến ngõ vào VPC, khách hàng của chúng tôi sẽ có quyền kiểm soát nhiều hơn đối với lưu lượng vào các Amazon VPC của họ. 128 Technology hân hạnh là một trong các nhóm cộng tác hệ sinh thái được lựa chọn hỗ trợ dịch vụ này.

- Andy Ory, CEO, 128 Technology

Forcepoint
"Trong thế giới ngày nay với môi trường mà ở đó lực lượng lao động có tính di động cao và doanh nghiệp phân tán khắp toàn cầu, NGFW hỗ trợ đám mây của Forcepoint cung cấp quyền truy cập an toàn, không bị cản trở vào dữ liệu quan trọng và tài sản trí tuệ ở khắp mọi nơi trong khi giảm nguy cơ nổ ra các cuộc tấn công khai thác lỗ hổng zero-day và các mối đe dọa mới nổi khác trên một cụm CNTT lai của tổ chức. Việc bổ sung khả năng định tuyến ngõ vào Amazon VPC cho phép khách hàng của NGFW Forcepoint linh hoạt hơn trong phân khúc bảo mật mạng của họ cũng như tận dụng các tính năng bảo mật tối ưu, tương tự như cách chúng tôi sử dụng tính năng này trong Nền tảng bảo mật của Forcepoint để cung cấp các dịch vụ Dynamic Edge Protection."

- Nicolas Fischbach, Global CTO, Forcepoint

Bắt đầu với Amazon VPC

Bạn có thể tự động cung cấp tài nguyên AWS trong một VPC mặc định ở trạng thái sẵn sàng sử dụng. Cấu hình VPC này bằng cách thêm hoặc xóa các mạng con, gắn cổng mạng, thay đổi bảng định tuyến mặc định và sửa đổi các ACL mạng.

Tạo các VPC bổ sung từ trang Amazon VPC trên Bảng điều khiển quản lý AWS và chọn nút "Bắt đầu Trình hướng dẫn VPC". Bạn sẽ được giới thiệu về bốn cấu trúc liên kết mạng cơ bản. Chọn một cấu trúc gần nhất với cấu trúc liên kết mạng mà bạn muốn tạo và nhấp vào nút "Tạo VPC". Sau đó, bạn có thể tùy chỉnh cấu trúc liên kết thêm để phù hợp hơn với nhu cầu của bạn. Ngay sau đó, bạn có thể bắt đầu khởi chạy phiên bản Amazon EC2 bên trong VPC của chính bạn.

Bài viết và bài đăng trên blog

ngày
  • ngày
1

Tìm hiểu thêm về Amazon VPC

Truy cập trang chi tiết sản phẩm
Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với Amazon VPC
Bạn có thêm câu hỏi?
Liên hệ với chúng tôi