Learn DevOps

AWS PrivateLink trong 8 ngày

Hải Yến Trịnh's photo
Hải Yến Trịnh
·

6 min read

Ngày 1: Khái niệm nền tảng và bắt đầu

  • Sáng:

    • Khái niệm AWS PrivateLink: Hiểu tại sao lại cần PrivateLink, cách thức hoạt động (traffic đi qua mạng nội bộ của AWS, không public internet), lợi ích (tăng tính bảo mật, giảm độ trễ, ...).

    • Các trường hợp sử dụng: Khi nào nên dùng PrivateLink (kết nối tới các dịch vụ AWS, các ứng dụng SaaS, chia sẻ dịch vụ của bạn một cách riêng tư, ...)

  • Chiều:

    • Bắt đầu với PrivateLink: Các thành phần chính (endpoint service, endpoint, ...) và quy trình tạo một kết nối PrivateLink đơn giản (ví dụ: kết nối tới một dịch vụ RDS qua PrivateLink).

  • Bài tập:

    1. Tạo một VPC mới và một dịch vụ RDS (hoặc dịch vụ AWS khác) trong VPC đó.

    2. Tạo một endpoint service cho dịch vụ RDS.

    3. Tạo một endpoint trong một VPC khác và kết nối tới dịch vụ RDS qua endpoint service.

Ngày 2: Truy cập dịch vụ AWS

  • Sáng:

    • Interface VPC endpoints: Tìm hiểu chi tiết về Interface VPC endpoints (dùng để kết nối tới các dịch vụ AWS hỗ trợ giao thức AWS PrivateLink) - cách tạo, cấu hình, giám sát và xóa.

    • Các dịch vụ AWS tích hợp với Interface VPC endpoints: Danh sách các dịch vụ AWS mà bạn có thể kết nối qua Interface VPC endpoints (ví dụ: S3, DynamoDB, KMS, ...)

  • Chiều:

    • Gateway VPC endpoints: Tìm hiểu chi tiết về Gateway VPC endpoints (dùng để kết nối tới S3 và DynamoDB) - cách tạo, cấu hình, giám sát và xóa.

  • Bài tập:

    1. Tạo một Interface VPC endpoint tới một dịch vụ AWS (ví dụ: S3, DynamoDB, ...) trong cùng một VPC.

    2. Tạo một Interface VPC endpoint tới một dịch vụ AWS trong một VPC khác.

    3. Tạo một Gateway VPC endpoint tới S3 (hoặc DynamoDB) và kiểm tra kết nối.

Ngày 3: Truy cập ứng dụng SaaS và thiết bị ảo

  • Sáng:

    • Truy cập ứng dụng SaaS: Tìm hiểu cách sử dụng PrivateLink để kết nối tới các ứng dụng SaaS (ví dụ: Salesforce, Snowflake, ...) một cách riêng tư và bảo mật.

  • Chiều:

    • Truy cập thiết bị ảo (Network Load Balancer): Tìm hiểu cách tạo một endpoint service cho một Network Load Balancer, sau đó tạo endpoint để kết nối tới các thiết bị ảo đằng sau Network Load Balancer đó.

  • Bài tập:

    1. Tạo một Network Load Balancer và một vài EC2 instance đằng sau nó.

    2. Tạo một endpoint service cho Network Load Balancer.

    3. Tạo một endpoint và kết nối tới các EC2 instance thông qua PrivateLink.

Ngày 4: Chia sẻ dịch vụ của bạn

  • Sáng:

    • Tạo và cấu hình endpoint service: Tìm hiểu cách tạo endpoint service cho các dịch vụ của bạn (ví dụ: một ứng dụng web chạy trên EC2), cấu hình các thuộc tính (ví dụ: Availability Zone, DNS name, ...), và quản lý các kết nối tới dịch vụ của bạn.

  • Chiều:

    • Quản lý DNS names: Tìm hiểu cách gán DNS name cho endpoint service của bạn (dùng AWS Cloud Map hoặc DNS riêng của bạn), giúp người dùng dễ dàng kết nối tới dịch vụ của bạn.

  • Bài tập:

    1. Tạo một ứng dụng web đơn giản chạy trên EC2.

    2. Tạo một endpoint service cho ứng dụng web.

    3. Tạo một endpoint và kết nối tới ứng dụng web qua PrivateLink.

Ngày 5: Identity and Access Management (IAM)

  • Sáng:

    • PrivateLink và IAM: Tìm hiểu cách IAM hoạt động với PrivateLink, cách kiểm soát truy cập vào các endpoint service và endpoint.

    • Ví dụ về Identity-based policy: Các ví dụ về policy cho phép hoặc từ chối truy cập vào các endpoint service và endpoint dựa trên identity của người dùng hoặc role.

  • Chiều:

    • Endpoint policy: Tìm hiểu cách sử dụng endpoint policy để kiểm soát chi tiết hơn các kết nối tới endpoint service của bạn (ví dụ: chỉ cho phép truy cập từ một số VPC nhất định, một số tài khoản AWS nhất định, ...).

  • Bài tập:

    1. Tạo một IAM role với quyền hạn giới hạn (ví dụ: chỉ cho phép truy cập vào một số endpoint nhất định).

    2. Tạo một endpoint policy cho endpoint service, cho phép truy cập từ một số VPC nhất định.

    3. Kiểm tra kết nối với endpoint service từ các tài khoản AWS khác nhau và từ các VPC khác nhau.

Ngày 6: Giám sát và Quotas

  • Sáng:

    • CloudWatch metrics: Tìm hiểu các metrics mà PrivateLink cung cấp (ví dụ: số lượng kết nối, lưu lượng mạng, ...), cách sử dụng CloudWatch để giám sát các metrics này, và thiết lập các alarm để nhận thông báo khi có sự cố.

  • Chiều:

    • Quotas: Tìm hiểu các quotas của PrivateLink (ví dụ: số lượng endpoint service, số lượng endpoint, ...), cách kiểm tra quotas hiện tại của bạn, và cách yêu cầu tăng quotas nếu cần.

  • Bài tập:

    1. Thiết lập một CloudWatch alarm để nhận thông báo khi số lượng kết nối tới endpoint service vượt quá một ngưỡng nhất định.

    2. Kiểm tra quotas PrivateLink hiện tại của bạn.

    3. (Nếu cần) Yêu cầu tăng quotas PrivateLink.

Ngày 7: Xây dựng kiến trúc và triển khai PrivateLink

  • Sáng:

    • Thiết kế kiến trúc:

      • Xác định các dịch vụ AWS bạn muốn kết nối (ví dụ: RDS, S3, DynamoDB, ...).

      • Xác định các ứng dụng SaaS bạn muốn kết nối (ví dụ: Salesforce, Snowflake, ...).

      • Xác định các thiết bị ảo bạn muốn kết nối (ví dụ: một ứng dụng web chạy trên EC2, một firewall, ...).

      • Vẽ sơ đồ kiến trúc mạng, thể hiện rõ các VPC, các subnet, các dịch vụ, các ứng dụng, và cách chúng kết nối với nhau thông qua PrivateLink.

  • Chiều:

    • Triển khai PrivateLink:

      • Tạo các VPC và subnet cần thiết.

      • Triển khai các dịch vụ AWS, ứng dụng SaaS, và thiết bị ảo.

      • Tạo các endpoint service cho các dịch vụ và ứng dụng.

      • Tạo các endpoint và kết nối chúng tới các dịch vụ và ứng dụng thông qua PrivateLink.

      • Cấu hình DNS (sử dụng AWS Cloud Map hoặc DNS riêng của bạn) để các endpoint có thể được truy cập bằng tên miền.

Ngày 8: Kiểm thử, giám sát và tối ưu hóa

  • Sáng:

    • Kiểm thử kết nối:

      • Kiểm tra kết nối từ các VPC khác nhau tới các dịch vụ và ứng dụng thông qua PrivateLink.

      • Kiểm tra kết nối từ các tài khoản AWS khác nhau tới các dịch vụ và ứng dụng thông qua PrivateLink.

      • Kiểm tra kết nối từ các ứng dụng SaaS tới các dịch vụ AWS thông qua PrivateLink.

  • Chiều:

    • Giám sát và tối ưu hóa:

      • Thiết lập CloudWatch để giám sát các metrics của PrivateLink (ví dụ: số lượng kết nối, lưu lượng mạng, ...).

      • Thiết lập các alarm để nhận thông báo khi có sự cố.

      • Tối ưu hóa cấu hình PrivateLink (ví dụ: điều chỉnh số lượng endpoint, cấu hình endpoint policy, ...) để đảm bảo hiệu suất và bảo mật tốt nhất.

Ví dụ dự án cụ thể:

Bạn có thể xây dựng một hệ thống quản lý khách hàng (CRM) sử dụng PrivateLink để kết nối các thành phần sau:

  • RDS: Lưu trữ dữ liệu khách hàng.

  • S3: Lưu trữ các tài liệu liên quan đến khách hàng.

  • Salesforce: Ứng dụng CRM của bên thứ ba.

  • Ứng dụng web (chạy trên EC2): Giao diện người dùng cho nhân viên quản lý khách hàng.

Lưu ý:

  • Bạn có thể sử dụng các dịch vụ AWS, ứng dụng SaaS, và thiết bị ảo khác nhau tùy theo nhu cầu của bạn.
AWS