Learn DevOps

AWS Transit gateway trong 15 ngày

Hải Yến Trịnh's photo
Hải Yến Trịnh
·

11 min read

Ngày 1: Tổng quan về Transit Gateway

  • Sáng:

    • Chủ đề: Giới thiệu AWS Transit Gateway (TGW), các khái niệm cơ bản, lợi ích và các thành phần chính.

    • Bài tập:

      1. Tạo một VPC (Virtual Private Cloud) đơn giản trong AWS.

      2. Tạo một Transit Gateway và kết nối VPC vừa tạo vào TGW.

      3. Mô tả cách thức các gói tin được định tuyến qua TGW.

  • Chiều:

    • Chủ đề: Tìm hiểu sâu về Transit Gateway Attachments (VPC, VPN, Direct Connect) và Transit Gateway Route Tables.

    • Bài tập:

      1. Tạo một VPC thứ hai và kết nối nó với TGW đã có.

      2. Cấu hình định tuyến để hai VPC có thể giao tiếp với nhau thông qua TGW.

      3. Mô tả vai trò của Route Table trong việc điều hướng lưu lượng mạng.

Ngày 2: Thiết kế Transit Gateway

  • Sáng:

    • Chủ đề: Các mẫu thiết kế Transit Gateway phổ biến (Centralized, Isolated, Shared Services, Peering).

    • Bài tập:

      1. Thiết kế một kiến trúc TGW tập trung cho 3 VPC với các yêu cầu định tuyến cụ thể.

      2. Thiết kế một kiến trúc TGW cho môi trường VPCs cô lập, chỉ cho phép giao tiếp giữa một số VPC nhất định.

      3. Giải thích ưu nhược điểm của từng mẫu thiết kế.

  • Chiều:

    • Chủ đề: Tìm hiểu về Centralized outbound routing, Appliance VPC, Transit Gateway Peering.

    • Bài tập:

      1. Cấu hình một TGW để định tuyến tất cả lưu lượng đi ra ngoài (internet) thông qua một VPC trung tâm.

      2. Tạo một Appliance VPC và định tuyến lưu lượng đến các dịch vụ cụ thể qua VPC này.

      3. Thiết lập kết nối peering giữa hai TGW khác nhau.

Ngày 3: Quản lý Transit Gateway

  • Sáng:

    • Chủ đề: Làm việc với Transit Gateway Attachments, VPN Attachments, Direct Connect Attachments, Peering Attachments.

    • Bài tập:

      1. Thêm một kết nối VPN site-to-site vào TGW hiện có.

      2. Kết nối một Direct Connect gateway vào TGW.

      3. Thiết lập một peering attachment giữa hai TGW khác nhau.

  • Chiều:

    • Chủ đề: Quản lý Transit Gateway Route Tables, Transit Gateway Policy Tables, Prefix List References.

    • Bài tập:

      1. Tạo một Route Table mới cho TGW và cấu hình các tuyến đường cụ thể.

      2. Sử dụng Transit Gateway Policy Table để kiểm soát lưu lượng mạng dựa trên các tiêu chí cụ thể (ví dụ: tags).

      3. Tạo một Prefix List và tham chiếu nó trong Route Table.

Ngày 4: Multicast trên Transit Gateway

  • Sáng:

    • Chủ đề:

      • Giới thiệu về Multicast: Khái niệm, ứng dụng, lợi ích của multicast trên AWS.

      • Các khái niệm chính: Multicast domain, multicast group, multicast source, multicast member.

      • Multicast routing trên Transit Gateway: Cách TGW định tuyến lưu lượng multicast giữa các VPC.

    • Bài tập:

      1. Tạo một multicast domain trên TGW.

      2. Tạo một multicast group và thêm các thành viên (ENI của EC2 instances) vào group.

      3. Mô phỏng việc gửi và nhận lưu lượng multicast giữa các thành viên trong group.

  • Chiều:

    • Chủ đề:

      • Các loại multicast domain: IGMP và static.

      • Quản lý multicast domain: Thêm/xóa subnet, chia sẻ multicast domain giữa các tài khoản AWS.

      • Giới hạn và lưu ý khi sử dụng multicast trên TGW.

    • Bài tập:

      1. Tạo một multicast domain IGMP và một multicast domain static.

      2. Thêm một subnet vào multicast domain và gỡ bỏ một subnet khỏi multicast domain.

      3. Chia sẻ một multicast domain với một tài khoản AWS khác.

Ngày 5: Transit Gateway Flow Logs

  • Sáng:

    • Chủ đề:

      • Transit Gateway Flow Logs: Giới thiệu, lợi ích, cách thức hoạt động.

      • Các trường dữ liệu trong Flow Logs: Thông tin về nguồn, đích, giao thức, cổng, hành động, v.v.

      • Các tùy chọn publish Flow Logs: CloudWatch Logs, Amazon S3, Kinesis Data Firehose.

    • Bài tập:

      1. Kích hoạt Flow Logs cho một TGW.

      2. Cấu hình Flow Logs để xuất dữ liệu vào CloudWatch Logs.

      3. Phân tích dữ liệu Flow Logs mẫu để hiểu về lưu lượng mạng qua TGW.

  • Chiều:

    • Chủ đề:

      • Sử dụng Flow Logs để giám sát và khắc phục sự cố mạng.

      • Phân tích dữ liệu Flow Logs bằng các công cụ như Amazon Athena.

      • Tối ưu hóa chi phí lưu trữ và truy vấn Flow Logs.

    • Bài tập:

      1. Sử dụng Flow Logs để xác định nguồn gốc của một vấn đề kết nối mạng.

      2. Sử dụng Amazon Athena để truy vấn và phân tích dữ liệu Flow Logs.

      3. Tìm hiểu cách giảm thiểu chi phí lưu trữ Flow Logs bằng cách lọc dữ liệu không cần thiết.

Ngày 6: Giám sát Transit Gateway

  • Sáng:

    • Chủ đề:

      • Giám sát TGW bằng CloudWatch metrics: Các chỉ số quan trọng cần theo dõi (ví dụ: số lượng gói tin, băng thông, lỗi).

      • Tạo CloudWatch alarms để cảnh báo khi có sự cố.

      • Sử dụng CloudWatch dashboards để trực quan hóa dữ liệu giám sát.

    • Bài tập:

      1. Tạo một CloudWatch dashboard để hiển thị các chỉ số quan trọng của TGW.

      2. Tạo một CloudWatch alarm để cảnh báo khi băng thông của TGW vượt quá ngưỡng cho phép.

      3. Phân tích các chỉ số CloudWatch để xác định các vấn đề về hiệu suất của TGW.

  • Chiều:

    • Chủ đề:

      • Giám sát TGW bằng CloudTrail logs: Theo dõi các hoạt động cấu hình và API liên quan đến TGW.

      • Sử dụng CloudTrail logs để kiểm tra và khắc phục sự cố.

      • Tích hợp CloudTrail logs với các dịch vụ khác như Amazon EventBridge để tự động hóa các tác vụ giám sát.

    • Bài tập:

      1. Xem các CloudTrail logs liên quan đến TGW.

      2. Tạo một bộ lọc CloudTrail để chỉ ghi lại các sự kiện cụ thể (ví dụ: thay đổi cấu hình định tuyến).

      3. Sử dụng Amazon EventBridge để tạo một quy tắc tự động gửi thông báo khi có sự kiện CloudTrail quan trọng xảy ra.

Ngày 7: IAM, Security & Quotas

  • Sáng:

    • Chủ đề:

      • IAM (Identity and Access Management): Vai trò của IAM trong việc kiểm soát truy cập vào TGW.

      • Các thành phần chính của IAM: Users, groups, roles, policies.

      • Tạo và quản lý IAM policies cho TGW.

    • Bài tập:

      1. Tạo một IAM role cho phép một ứng dụng truy cập vào TGW.

      2. Tạo một IAM policy cho phép người dùng xem thông tin về TGW nhưng không được phép thay đổi cấu hình.

      3. Sử dụng IAM Access Analyzer để kiểm tra các chính sách IAM và đảm bảo an ninh.

  • Chiều:

    • Chủ đề:

      • Bảo mật TGW: Sử dụng encryption, AWS Firewall Manager, VPC endpoints, Security Groups, Network ACLs.

      • Các best practices bảo mật TGW.

      • Quotas và giới hạn của TGW: Số lượng attachment, route table, v.v.

    • Bài tập:

      1. Kích hoạt encryption cho các attachment của TGW.

      2. Sử dụng AWS Firewall Manager để quản lý các quy tắc firewall cho TGW.

      3. Kiểm tra các quotas của TGW và yêu cầu tăng giới hạn nếu cần.

Ngày 8: Thiết kế kiến trúc mạng phức tạp sử dụng TGW

  • Sáng:

    • Chủ đề:

      • Xây dựng kiến trúc TGW đa tài khoản: Chia sẻ TGW giữa các tài khoản AWS, cách ly tài khoản, quản lý định tuyến.

      • TGW trong môi trường hybrid: Kết nối TGW với mạng on-premises thông qua VPN và Direct Connect.

      • TGW và các dịch vụ AWS khác: Tích hợp TGW với các dịch vụ như AWS Lambda, AWS Transit Gateway Network Manager.

    • Bài tập:

      1. Thiết kế một kiến trúc TGW cho một tổ chức có nhiều tài khoản AWS, đảm bảo tính bảo mật và cách ly giữa các tài khoản.

      2. Thiết lập kết nối VPN và Direct Connect từ mạng on-premises đến TGW.

      3. Sử dụng AWS Lambda để tự động hóa các tác vụ quản lý TGW.

  • Chiều:

    • Chủ đề:

      • Các mẫu thiết kế TGW nâng cao: TGW Hub-and-Spoke, TGW với Shared Services VPC, TGW Multi-Region.

      • Xử lý các tình huống phức tạp: Định tuyến bất đối xứng, NAT trên TGW, cân bằng tải lưu lượng qua TGW.

      • Tối ưu hóa hiệu suất TGW: Sử dụng Equal Cost Multipath Routing (ECMP), tăng băng thông TGW.

    • Bài tập:

      1. Thiết kế một kiến trúc TGW Hub-and-Spoke cho một ứng dụng đa tầng.

      2. Xử lý tình huống định tuyến bất đối xứng giữa hai VPC kết nối qua TGW.

      3. Cấu hình ECMP để tăng tính sẵn sàng và hiệu suất của TGW.

Ngày 9-10: Ôn tập và Luyện tập

  • Sáng:

    • Ôn tập lại các khái niệm quan trọng về TGW: Kiến trúc, thành phần, định tuyến, bảo mật, giám sát.

    • Thảo luận về các bài tập đã làm và giải đáp thắc mắc.

    • Làm các bài tập tổng hợp để củng cố kiến thức.

  • Chiều:

    • Thực hành trên môi trường AWS thực tế: Xây dựng một kiến trúc TGW đơn giản hoặc phức tạp tùy theo khả năng.

    • Thử nghiệm các tính năng khác nhau của TGW.

    • Khắc phục sự cố và tối ưu hóa cấu hình TGW.

Ngày 11: VPC và Subnetting

  • Sáng:

    • Chủ đề:

      • Ôn tập kiến thức cơ bản về VPC: Khái niệm, thành phần, loại VPC, CIDR block.

      • Subnetting: Cách chia subnet, public và private subnet, tính toán số lượng IP khả dụng.

      • VPC Peering: Kết nối các VPC với nhau, transitive peering.

    • Bài tập:

      1. Thiết kế một VPC với nhiều subnet, đảm bảo tính sẵn sàng cao và bảo mật.

      2. Tính toán số lượng IP khả dụng trong một subnet cho trước.

      3. Thiết lập kết nối peering giữa hai VPC và kiểm tra khả năng giao tiếp.

  • Chiều:

    • Chủ đề:

      • VPC endpoints: Gateway endpoints, interface endpoints.

      • VPC Flow Logs: Giám sát lưu lượng mạng trong VPC.

      • NAT Gateway và NAT instance: Cho phép các instance trong private subnet truy cập internet.

    • Bài tập:

      1. Tạo một gateway endpoint cho Amazon S3 và kiểm tra khả năng truy cập.

      2. Kích hoạt VPC Flow Logs và phân tích dữ liệu mẫu.

      3. Cấu hình NAT Gateway hoặc NAT instance để cung cấp khả năng truy cập internet cho các instance trong private subnet.

Ngày 12: Route 53 và Network Firewall

  • Sáng:

    • Chủ đề:

      • Route 53: Giới thiệu về dịch vụ DNS của AWS, các loại record, routing policies.

      • Tạo và quản lý các hosted zone trong Route 53.

      • Sử dụng Route 53 để định tuyến lưu lượng đến các ứng dụng và dịch vụ.

    • Bài tập:

      1. Tạo một hosted zone trong Route 53 và thêm các record A, CNAME, MX.

      2. Cấu hình một health check cho một record A.

      3. Sử dụng Route 53 để định tuyến lưu lượng đến một ứng dụng web chạy trên EC2.

  • Chiều:

    • Chủ đề:

      • Network Firewall: Giới thiệu về dịch vụ tường lửa của AWS, các loại rule, stateful inspection.

      • Tạo và quản lý các firewall policy và rule group.

      • Triển khai Network Firewall trong VPC.

    • Bài tập:

      1. Tạo một firewall policy và rule group để chặn các lưu lượng không mong muốn.

      2. Triển khai Network Firewall trong một VPC và kiểm tra khả năng lọc lưu lượng.

      3. Sử dụng AWS Firewall Manager để quản lý tập trung các firewall policy.

Ngày 13: VPN và Direct Connect

  • Sáng:

    • Chủ đề:

      • VPN: Site-to-Site VPN, Client VPN.

      • Các thành phần của VPN: Virtual Private Gateway, Customer Gateway.

      • Thiết lập kết nối VPN giữa mạng on-premises và VPC.

    • Bài tập:

      1. Tạo một Site-to-Site VPN connection giữa mạng on-premises và VPC.

      2. Kiểm tra khả năng giao tiếp giữa các máy chủ trong hai mạng.

      3. Cấu hình Client VPN để cho phép người dùng từ xa truy cập vào VPC.

  • Chiều:

    • Chủ đề:

      • Direct Connect: Giới thiệu về dịch vụ kết nối mạng riêng của AWS.

      • Các loại Direct Connect: Dedicated connection, hosted connection.

      • Thiết lập kết nối Direct Connect giữa mạng on-premises và VPC.

    • Bài tập:

      1. Tìm hiểu các tùy chọn Direct Connect và lựa chọn loại phù hợp với nhu cầu của bạn.

      2. Thiết lập một kết nối Direct Connect giữa mạng on-premises và VPC.

      3. Cấu hình BGP để định tuyến lưu lượng qua kết nối Direct Connect.

Ngày 14: Ôn tập và Thi thử

  • Sáng:

    • Ôn tập tất cả các kiến thức đã học trong 3 ngày trước.

    • Làm các bài tập tổng hợp và thi thử để củng cố kiến thức.

  • Chiều:

    • Tiếp tục làm các bài thi thử và đánh giá kết quả.

    • Xác định các điểm yếu và tập trung ôn tập lại.

    • Chuẩn bị tâm lý và các thủ tục cần thiết cho kỳ thi thật.

Ngày 15: Tổng kết và Thi thử

  • Sáng:

    • Tổng kết lại kiến thức đã học trong suốt khóa học.

  • Chiều:

    • Làm một bài thi thử đầy đủ để kiểm tra kiến thức và sẵn sàng cho kỳ thi thật.

    • Đánh giá kết quả và xác định các điểm cần cải thiện.

AWS