AWS DX trong 20 ngày
Lưu ý: Do DX rất khó để làm labs, nên sẽ stimulate bằng kết nối giữa các VPC (có thể là cross-region)
Ngày 1: Giới thiệu & Khái niệm Cơ bản
Sáng:
AWS Direct Connect là gì? Lợi ích so với kết nối qua internet.
Các loại kết nối Direct Connect: Dedicated, Hosted (giới thiệu lý thuyết).
Trường hợp sử dụng: Kiến trúc hybrid, truy cập độ trễ thấp, truyền dữ liệu.
Chiều:
Các thành phần chính: Virtual interface, LAG, Direct Connect gateway (lý thuyết).
Regions và Availability Zones.
Tùy chọn kết nối: Public và private virtual interface (lý thuyết).
Bài tập:
Vẽ sơ đồ minh họa các thành phần của một kết nối Direct Connect.
Tìm hiểu và so sánh giá Direct Connect (lý thuyết) ở các AWS Region khác nhau.
Giải thích sự khác biệt giữa public và private virtual interface.
Ngày 2: Thiết lập Kết nối Mô phỏng
Sáng:
Yêu cầu kết nối vật lý (LOA, CFA) - tìm hiểu lý thuyết.
Tốc độ kết nối và loại cổng - tìm hiểu lý thuyết.
Vị trí và đối tác AWS Direct Connect - tìm hiểu lý thuyết.
Chiều:
Mô phỏng kết nối Direct Connect bằng cách tạo 2 VPCs không kết nối trong AWS console.
Sử dụng VPC peering để mô phỏng kết nối private virtual interface.
Sử dụng Internet Gateway (IGW) trên một VPC để mô phỏng kết nối public virtual interface.
Bài tập:
Tạo 2 VPCs ở 2 Availability Zones khác nhau, không có kết nối.
Thiết lập VPC peering giữa 2 VPCs để mô phỏng private virtual interface.
Thêm IGW vào một VPC và cấu hình route table để mô phỏng public virtual interface.
Ngày 3: Virtual Interface
Sáng:
Tìm hiểu chi tiết về virtual interface: VLAN, BGP, ASN.
Các loại virtual interface: Private, Public, Transit.
Cấu hình BGP trên virtual interface (lý thuyết).
Chiều:
Mô phỏng cấu hình BGP bằng cách sử dụng Virtual Private Gateway (VGW) và Customer Gateway (CGW) trên mỗi VPC.
Cấu hình static route trên CGW để mô phỏng BGP peering.
Bài tập:
Tạo VGW trên mỗi VPC.
Tạo CGW (với địa chỉ IP public của IGW) cho mỗi VPC.
Cấu hình static route trên CGW để trỏ đến dải IP của VPC đối diện.
Ngày 4: Link Aggregation Groups (LAGs)
Sáng:
Giới thiệu LAG: Tăng băng thông, dự phòng.
Cấu hình LAG (lý thuyết).
Yêu cầu đối với LAG.
Chiều:
Mô phỏng LAG bằng cách tạo nhiều VPC peering connections giữa 2 VPCs.
Sử dụng Equal-Cost Multi-Path (ECMP) routing để phân phối lưu lượng qua các kết nối peering.
Bài tập:
Tạo thêm 2 VPC peering connections giữa 2 VPCs.
Kiểm tra route table để đảm bảo ECMP đang hoạt động.
Mô phỏng lỗi trên một VPC peering và kiểm tra xem lưu lượng có tự động chuyển sang các kết nối khác không.
Ngày 5: Direct Connect Gateway
Sáng:
Giới thiệu Direct Connect Gateway: Kết nối nhiều VPCs ở nhiều regions.
Kiến trúc và thành phần của Direct Connect Gateway.
Trường hợp sử dụng Direct Connect Gateway.
Chiều:
Mô phỏng Direct Connect Gateway bằng cách tạo Transit Gateway và kết nối các VPCs với Transit Gateway.
Cấu hình route table trên Transit Gateway để định tuyến giữa các VPCs.
Bài tập:
Tạo Transit Gateway.
Tạo Transit Gateway attachments cho các VPCs.
Cấu hình static routes trên Transit Gateway để mô phỏng kết nối giữa các VPCs qua Direct Connect Gateway.
Ngày 6: Public Virtual Interface
Sáng:
Tìm hiểu chi tiết về Public Virtual Interface: Truy cập các dịch vụ AWS public.
Cấu hình Public Virtual Interface (lý thuyết).
Sử dụng Public Virtual Interface để truy cập S3, DynamoDB (lý thuyết).
Chiều:
Mô phỏng Public Virtual Interface bằng cách sử dụng NAT Gateway trên VPC.
Cấu hình route table để định tuyến lưu lượng internet ra ngoài qua NAT Gateway.
Bài tập:
Tạo NAT Gateway trên VPC.
Cấu hình route table để định tuyến lưu lượng internet ra ngoài qua NAT Gateway.
Kiểm tra khả năng truy cập các dịch vụ AWS public (ví dụ: S3) từ VPC.
Ngày 7: Hosted Virtual Interface
Sáng:
Tìm hiểu về Hosted Virtual Interface: Cung cấp bởi AWS Direct Connect Partner.
Quy trình tạo và quản lý Hosted Virtual Interface (lý thuyết).
So sánh Hosted Virtual Interface với Dedicated Connection (lý thuyết).
Chiều:
Mô phỏng Hosted Virtual Interface bằng cách sử dụng Site-to-Site VPN kết nối giữa VPC và một mạng khác (ví dụ: VPC khác hoặc mạng on-premise).
Cấu hình route table để định tuyến lưu lượng giữa VPC và mạng khác qua Site-to-Site VPN.
Bài tập:
Tạo Site-to-Site VPN connection giữa 2 VPCs.
Cấu hình route table để định tuyến lưu lượng giữa 2 VPCs qua Site-to-Site VPN.
Kiểm tra kết nối giữa 2 VPCs.
Ngày 8: Bảo mật Direct Connect
Sáng:
Tổng quan về bảo mật Direct Connect: MACsec, IPsec.
Các phương pháp mã hóa dữ liệu trên Direct Connect (lý thuyết).
Quản lý truy cập bằng IAM (lý thuyết).
Chiều:
Mô phỏng mã hóa IPsec bằng cách sử dụng Site-to-Site VPN giữa các VPCs.
Tạo IAM policies để kiểm soát truy cập vào Direct Connect resources (lý thuyết).
Bài tập:
Kích hoạt mã hóa IPsec trên Site-to-Site VPN.
Tạo IAM policy cho phép người dùng xem thông tin Direct Connect (mô phỏng).
Tạo IAM policy từ chối người dùng thực hiện thay đổi trên Direct Connect resources (mô phỏng).
Ngày 9: Quản lý và Giám sát Direct Connect
Sáng:
Sử dụng AWS CloudWatch để giám sát Direct Connect: Metrics, alarms.
Các chỉ số quan trọng cần theo dõi: Status, throughput, errors.
Cấu hình thông báo khi có sự cố (lý thuyết).
Chiều:
Mô phỏng giám sát bằng cách tạo CloudWatch alarms cho VPC peering connections.
Thiết lập thông báo qua SNS khi có sự cố với VPC peering (ví dụ: connection down).
Bài tập:
Tạo CloudWatch alarm để theo dõi trạng thái của VPC peering connections.
Tạo SNS topic và subscription để nhận thông báo khi alarm được kích hoạt.
Mô phỏng lỗi trên VPC peering và kiểm tra xem có nhận được thông báo không.
Ngày 10: Direct Connect Resiliency Toolkit
Sáng:
Giới thiệu Direct Connect Resiliency Toolkit: Tăng cường khả năng chịu lỗi.
Các mô hình triển khai: High resiliency, maximum resiliency.
Sử dụng toolkit để thiết kế kiến trúc Direct Connect (lý thuyết).
Chiều:
Mô phỏng high resiliency bằng cách tạo nhiều VPC peering connections giữa các VPCs ở các Availability Zones khác nhau.
Sử dụng Route 53 health checks để kiểm tra trạng thái của VPC peering connections.
Bài tập:
Tạo thêm VPC peering connections giữa các VPCs ở các Availability Zones khác nhau.
Tạo Route 53 health checks cho VPC peering connections.
Mô phỏng lỗi trên một VPC peering và kiểm tra xem Route 53 có chuyển lưu lượng sang các kết nối khác không.
Ngày 11: AWS CLI và Direct Connect
Sáng:
Giới thiệu AWS CLI: Tương tác với Direct Connect qua command line.
Cài đặt và cấu hình AWS CLI.
Các lệnh cơ bản để quản lý Direct Connect resources.
Chiều:
Sử dụng AWS CLI để mô phỏng tạo, xem, sửa, xóa các VPC peering connections.
Sử dụng AWS CLI để mô phỏng tạo, xem, sửa, xóa các Transit Gateway attachments.
Bài tập:
Sử dụng AWS CLI để tạo một VPC peering connection mới.
Sử dụng AWS CLI để xem thông tin về một VPC peering connection.
Sử dụng AWS CLI để xóa một VPC peering connection.
Ngày 12: Quotas và Troubleshooting
Sáng:
Giới thiệu về quotas của Direct Connect.
Các vấn đề thường gặp và cách khắc phục (lý thuyết).
Sử dụng AWS Support để giải quyết sự cố (lý thuyết).
Chiều:
Mô phỏng troubleshooting bằng cách tạo tình huống lỗi trên VPC peering hoặc Transit Gateway.
Sử dụng các công cụ như CloudWatch logs, VPC Flow Logs để phân tích và tìm nguyên nhân.
Bài tập:
Tạo một VPC peering connection với cấu hình sai (ví dụ: CIDR block không khớp).
Sử dụng CloudWatch logs để tìm lỗi và sửa lại cấu hình.
Tạo một static route sai trên Transit Gateway và sử dụng VPC Flow Logs để xác định nguyên nhân.
Ngày 13: Tối ưu hóa Hiệu suất Direct Connect
Sáng:
Các yếu tố ảnh hưởng đến hiệu suất Direct Connect: Tốc độ kết nối, số lượng virtual interface, cấu hình route table.
Sử dụng Jumbo Frames để tăng throughput (lý thuyết).
Tối ưu hóa đường truyền mạng trong VPC.
Chiều:
Mô phỏng tối ưu hóa bằng cách điều chỉnh MTU trên VPC peering connections và Transit Gateway attachments.
Thực hiện các bài kiểm tra hiệu năng để đo lường throughput và latency.
Bài tập:
Thay đổi MTU trên VPC peering connections thành giá trị lớn hơn (ví dụ: 9001).
Sử dụng iperf hoặc công cụ tương tự để đo lường throughput giữa các VPCs.
So sánh kết quả trước và sau khi thay đổi MTU.
Ngày 14: Tích hợp Direct Connect với các Dịch vụ AWS Khác
Sáng:
Tìm hiểu cách Direct Connect tích hợp với các dịch vụ AWS khác như S3, DynamoDB, RDS.
Sử dụng VPC endpoints để truy cập các dịch vụ AWS qua Direct Connect (lý thuyết).
Tích hợp Direct Connect với AWS CloudFormation (lý thuyết).
Chiều:
Mô phỏng tích hợp với S3 bằng cách tạo VPC endpoint cho S3 và cấu hình route table để định tuyến lưu lượng S3 qua VPC endpoint.
Tìm hiểu cách tạo CloudFormation template để triển khai Direct Connect resources (lý thuyết).
Bài tập:
Tạo VPC endpoint cho S3.
Cấu hình route table để định tuyến lưu lượng S3 qua VPC endpoint.
Kiểm tra khả năng truy cập S3 qua Direct Connect (mô phỏng bằng VPC peering).
Ngày 15: Direct Connect và Hybrid Architectures
Sáng:
Tìm hiểu về hybrid architectures: Kết hợp giữa on-premise và AWS cloud.
Vai trò của Direct Connect trong hybrid architectures.
Các mô hình triển khai hybrid architectures phổ biến.
Chiều:
Mô phỏng hybrid architecture bằng cách kết nối VPC với một mạng on-premise (ví dụ: thông qua Site-to-Site VPN).
Cấu hình route table để định tuyến lưu lượng giữa VPC và mạng on-premise.
Bài tập:
Thiết lập Site-to-Site VPN connection giữa VPC và một mạng khác (ví dụ: sử dụng OpenVPN trên máy local).
Cấu hình route table để định tuyến lưu lượng giữa VPC và mạng on-premise.
Kiểm tra kết nối giữa VPC và mạng on-premise.
Dự án: Xây dựng Môi trường Hybrid Mô phỏng với Direct Connect
Ngày 16: Thiết kế Kiến trúc
Sáng:
Xác định yêu cầu:
Kết nối 3 VPCs ở 3 regions khác nhau (ví dụ: Hà Nội, Singapore, Tokyo).
VPC 1 (Hà Nội): Chứa ứng dụng web public, cần truy cập internet.
VPC 2 (Singapore): Chứa database, chỉ cho phép truy cập từ VPC 1.
VPC 3 (Tokyo): Chứa hệ thống nội bộ, chỉ cho phép truy cập từ mạng on-premise.
Lựa chọn mô hình triển khai:
Direct Connect Gateway để kết nối các VPCs.
Public virtual interface cho VPC 1.
Private virtual interface cho VPC 2.
Site-to-Site VPN cho VPC 3.
Chiều:
- Vẽ sơ đồ kiến trúc chi tiết, bao gồm các thành phần AWS (VPC, subnet, Direct Connect Gateway, Transit Gateway, NAT Gateway, VPC endpoints, Site-to-Site VPN) và các kết nối.
Ngày 17: Triển khai VPCs và Direct Connect Gateway
Sáng:
Tạo 3 VPCs ở 3 regions khác nhau.
Tạo các subnet public và private trong mỗi VPC.
Tạo Direct Connect Gateway và kết nối với các VPCs thông qua Transit Gateway.
Chiều:
Cấu hình route table trên Transit Gateway để định tuyến giữa các VPCs.
Kiểm tra kết nối giữa các VPCs bằng cách ping giữa các instance ở các VPCs khác nhau.
Ngày 18: Cấu hình Public và Private Virtual Interface
Sáng:
Mô phỏng public virtual interface cho VPC 1 bằng cách tạo NAT Gateway và cấu hình route table.
Kiểm tra khả năng truy cập internet từ VPC 1.
Chiều:
Mô phỏng private virtual interface cho VPC 2 bằng cách tạo VPC peering connection giữa VPC 1 và VPC 2.
Cấu hình security group để chỉ cho phép lưu lượng từ VPC 1 đến VPC 2.
Kiểm tra kết nối giữa VPC 1 và VPC 2.
Ngày 19: Cấu hình Site-to-Site VPN
Sáng:
Thiết lập Site-to-Site VPN connection giữa VPC 3 và một mạng khác (ví dụ: sử dụng OpenVPN trên máy local).
Cấu hình route table để định tuyến lưu lượng giữa VPC 3 và mạng on-premise.
Chiều:
Kiểm tra kết nối giữa VPC 3 và mạng on-premise.
Cấu hình security group để chỉ cho phép lưu lượng từ mạng on-premise đến VPC 3.
Ngày 20: Kiểm tra và Tối ưu hóa
Sáng:
Thực hiện các bài kiểm tra toàn diện để đảm bảo kiến trúc hoạt động đúng như thiết kế.
Kiểm tra hiệu suất của các kết nối Direct Connect mô phỏng.
Chiều:
Tìm kiếm các điểm cần cải thiện và tối ưu hóa kiến trúc (ví dụ: điều chỉnh MTU, cấu hình lại route table).
Tổng kết dự án và rút ra bài học kinh nghiệm.
Lưu ý: Dự án này là mô phỏng, không sử dụng Direct Connect thực tế. Tuy nhiên, nó sẽ giúp bạn hiểu rõ hơn về cách thiết kế và triển khai một kiến trúc hybrid phức tạp sử dụng Direct Connect.