AWS VPC trong 32 ngày
Table of contents
- Tuần 1: Giới thiệu và Kiến thức Cơ bản về VPC
- Tuần 2: Kết nối VPC và Định tuyến Nâng cao
- Tuần 3: VPC Peering và Bảo mật VPC
- Tuần 4: Bảo mật VPC Nâng cao, Giám sát và Khắc phục sự cố
- Tuần 5: Traffic Mirroring, Khái niệm VPC Nâng cao và Tích hợp
- Tuần 6: Bảo mật VPC Nâng cao, VPC Peering chuyên sâu và Kiểm tra Kết nối
- Tuần 7: Kiến trúc VPC, Tính sẵn sàng cao và VPN
- Tuần 8: Bảo mật nâng cao, Giám sát & Tối ưu hóa, và Dự án Tổng hợp
Tuần 1: Giới thiệu và Kiến thức Cơ bản về VPC
Ngày 1: Amazon VPC là gì?
Buổi sáng:
Amazon VPC: Khái niệm, lợi ích, so sánh với mạng truyền thống.
Cách hoạt động của VPC: Đám mây riêng ảo, VPC mặc định, vùng sẵn sàng (Availability Zones).
Các thành phần chính của VPC: Subnet, Route Table, Internet Gateway, NAT Gateway.
Buổi chiều:
Bài tập thực hành:
Tạo một VPC: Tạo một VPC mới với CIDR block 10.0.0.0/16.
Khám phá VPC mặc định: Khám phá VPC mặc định trong tài khoản AWS của bạn và xác định CIDR block của nó.
Tìm hiểu Availability Zones: Liệt kê các Availability Zones trong khu vực của bạn và tìm hiểu ý nghĩa của chúng đối với VPC.
Ngày 2: Định địa chỉ IP trong VPC
Buổi sáng:
CIDR blocks: Khái niệm, cách tính toán, phân bổ CIDR block cho VPC và subnet.
VPC CIDR blocks: Kích thước tối thiểu và tối đa, các yếu tố cần xem xét khi chọn CIDR block.
Subnet CIDR blocks: Mối quan hệ với VPC CIDR block, số lượng subnet tối đa trong một VPC.
Buổi chiều:
Bài tập thực hành:
Tính toán CIDR block: Tính toán subnet mask, số lượng địa chỉ IP khả dụng, và phạm vi địa chỉ IP cho một CIDR block nhất định (ví dụ: 10.0.1.0/24).
Phân bổ CIDR block: Phân bổ CIDR block cho một VPC mới và tạo các subnet con với các CIDR block phù hợp.
Thay đổi CIDR block của VPC: Thay đổi CIDR block của một VPC hiện có (nếu có thể) và tìm hiểu các hạn chế.
Ngày 3: Danh sách tiền tố (Prefix Lists)
Buổi sáng:
Danh sách tiền tố: Khái niệm, loại (Managed, Customer-managed, Shared), cách sử dụng.
AWS-managed prefix lists: Tổng quan về các danh sách tiền tố do AWS quản lý.
Customer-managed prefix lists: Tạo và quản lý danh sách tiền tố tùy chỉnh.
Buổi chiều:
Bài tập thực hành:
Sử dụng AWS-managed prefix lists: Tạo một security group và sử dụng AWS-managed prefix list để cho phép truy cập từ một dịch vụ AWS cụ thể (ví dụ: Amazon S3).
Tạo customer-managed prefix lists: Tạo một danh sách tiền tố tùy chỉnh chứa các địa chỉ IP hoặc CIDR block cụ thể.
Chia sẻ prefix lists: Tạo một shared prefix list và chia sẻ nó với một tài khoản AWS khác.
Ngày 4: DHCP, DNS và IPv6
Buổi sáng:
DHCP option sets: Khái niệm, cách hoạt động, cấu hình DHCP option set.
DNS attributes: Tùy chỉnh cài đặt DNS cho VPC (ví dụ: sử dụng Amazon Route 53 Resolver).
IPv6: Giới thiệu về IPv6, lợi ích, cách thêm hỗ trợ IPv6 vào VPC.
Buổi chiều:
Bài tập thực hành:
Cấu hình DHCP options: Tạo một DHCP option set tùy chỉnh và liên kết nó với VPC của bạn.
Tùy chỉnh DNS attributes: Cấu hình VPC để sử dụng Amazon Route 53 Resolver làm DNS resolver.
Kích hoạt IPv6: Kích hoạt hỗ trợ IPv6 cho VPC của bạn và tạo một subnet có IPv6 CIDR block.
Tuần 2: Kết nối VPC và Định tuyến Nâng cao
Ngày 5: Internet Gateway và NAT
Buổi sáng:
Internet Gateway (IGW): Chức năng, cách hoạt động, gắn IGW vào VPC.
NAT Gateway (NAT GW): Khái niệm, trường hợp sử dụng, lợi ích so với NAT Instance.
NAT Instance: Khi nào nên sử dụng, cách thiết lập và cấu hình.
Buổi chiều:
Bài tập thực hành:
Tạo và gắn IGW: Tạo một IGW và gắn nó vào VPC của bạn.
Tạo NAT GW: Tạo một NAT GW trong một public subnet và cấu hình route table để các private subnet có thể truy cập Internet.
So sánh NAT GW và NAT Instance: Tạo một NAT Instance và so sánh hiệu năng và chi phí của nó với NAT GW.
Ngày 6: Elastic IP Addresses và Transit Gateway
Buổi sáng:
Elastic IP Address (EIP): Khái niệm, cách cấp phát, liên kết và quản lý EIP.
AWS Transit Gateway (TGW): Giới thiệu về TGW, lợi ích của nó trong việc kết nối nhiều VPC và mạng on-premises.
Buổi chiều:
Bài tập thực hành:
Liên kết EIP: Liên kết một EIP với một EC2 instance trong public subnet.
Tạo TGW: Tạo một TGW và gắn hai VPC vào nó.
Kiểm tra kết nối: Kiểm tra kết nối giữa các resource trong hai VPC thông qua TGW.
Ngày 7: Virtual Private Network (VPN)
Buổi sáng:
AWS VPN: Tổng quan về Site-to-Site VPN và Client VPN.
Site-to-Site VPN: Cách thức hoạt động, cấu hình, trường hợp sử dụng.
Client VPN: Cách thức hoạt động, cấu hình, trường hợp sử dụng.
Buổi chiều:
Bài tập thực hành:
Tạo Site-to-Site VPN: Tạo một kết nối Site-to-Site VPN giữa VPC của bạn và một mạng on-premises giả lập (sử dụng StrongSwan hoặc OpenVPN).
Tạo Client VPN: Tạo một Client VPN endpoint và cấu hình nó để cho phép người dùng kết nối từ xa vào VPC.
Kiểm tra kết nối VPN: Kiểm tra kết nối VPN bằng cách kết nối từ một máy tính từ xa vào VPC thông qua Client VPN.
Ngày 8: VPC Peering
Buổi sáng:
VPC Peering: Khái niệm, lợi ích, so sánh với các phương pháp kết nối VPC khác (TGW, VPN).
Các bước tạo kết nối peering: Yêu cầu peering, chấp nhận peering, cập nhật bảng định tuyến.
Lưu lượng mạng trong VPC peering: Cách thức hoạt động, các tùy chọn bảo mật.
Buổi chiều:
Bài tập thực hành:
Tạo kết nối peering: Tạo một kết nối peering giữa hai VPC trong cùng một tài khoản AWS.
Cấu hình định tuyến: Cấu hình bảng định tuyến để cho phép lưu lượng mạng giữa hai VPC peered.
Kiểm tra kết nối peering: Kiểm tra kết nối peering bằng cách ping một EC2 instance trong VPC này từ một EC2 instance trong VPC kia.
Tuần 3: VPC Peering và Bảo mật VPC
Ngày 9: VPC Peering Nâng cao
Buổi sáng:
VPC Peering qua các Region: Thiết lập và cấu hình peering giữa các VPC ở các Region khác nhau.
VPC Peering với Transit Gateway: Tích hợp VPC peering với TGW để tạo cấu trúc mạng phức tạp hơn.
VPC Peering và Shared VPC: Chia sẻ tài nguyên giữa các VPC thông qua peering.
Buổi chiều:
Bài tập thực hành:
Peering qua các Region: Tạo một kết nối peering giữa hai VPC ở hai Region khác nhau (ví dụ: Singapore và Tokyo).
Peering với TGW: Tạo một TGW và thiết lập peering giữa một VPC và một TGW attachment.
Peering với Shared VPC: Tạo một Shared VPC và thiết lập peering giữa Shared VPC và một VPC khác trong cùng một organization.
Ngày 10: IAM cho VPC Peering
Buổi sáng:
IAM Roles và Policies cho VPC Peering: Giới thiệu về IAM, cách tạo IAM role và policy để quản lý truy cập VPC peering.
Các quyền cần thiết cho VPC peering: Quyền tạo, chấp nhận, sửa đổi và xóa kết nối peering.
Ví dụ về IAM Policy cho VPC peering: Tìm hiểu các ví dụ cụ thể về IAM policy cho các trường hợp sử dụng khác nhau.
Buổi chiều:
Bài tập thực hành:
Tạo IAM Role: Tạo một IAM role với các quyền cần thiết để quản lý VPC peering.
Tạo IAM Policy: Tạo một IAM policy cho phép người dùng thực hiện các hành động cụ thể trên kết nối peering (ví dụ: chỉ cho phép xem thông tin kết nối, không cho phép xóa).
Gắn IAM Policy vào IAM Role: Gắn IAM policy đã tạo vào IAM role để cấp quyền cho người dùng hoặc dịch vụ AWS.
Ngày 11: Security Groups
Buổi sáng:
Security Groups: Ôn tập lại khái niệm, cách hoạt động, quy tắc inbound và outbound.
Default Security Group: Tìm hiểu về default security group và các quy tắc mặc định của nó.
Stateless vs. Stateful: So sánh security group (stateful) với NACL (stateless).
Buổi chiều:
Bài tập thực hành:
Tạo Security Group: Tạo một security group mới cho phép truy cập SSH (TCP port 22) từ một địa chỉ IP cụ thể.
Sửa đổi Security Group: Sửa đổi một security group hiện có để thêm một quy tắc cho phép truy cập HTTP (TCP port 80) từ bất kỳ đâu.
Xóa Security Group: Xóa một security group không cần thiết và tìm hiểu về các hạn chế khi xóa security group.
Ngày 12: Network ACLs (NACLs)
Buổi sáng:
Network ACLs: Khái niệm, cách hoạt động, quy tắc inbound và outbound, số thứ tự quy tắc.
Default Network ACL: Tìm hiểu về default network ACL và các quy tắc mặc định của nó.
So sánh NACL và Security Group: Hiểu rõ sự khác biệt và khi nào nên sử dụng NACL hoặc security group.
Buổi chiều:
Bài tập thực hành:
Tạo NACL: Tạo một NACL mới cho phép tất cả lưu lượng outbound và chỉ cho phép lưu lượng inbound SSH (TCP port 22).
Sửa đổi NACL: Sửa đổi một NACL hiện có để từ chối tất cả lưu lượng ICMP.
Kiểm tra NACL: Khởi chạy một EC2 instance trong subnet có NACL đã cấu hình và kiểm tra xem các quy tắc NACL có hoạt động như mong đợi không.
Tuần 4: Bảo mật VPC Nâng cao, Giám sát và Khắc phục sự cố
Ngày 13: Bảo vệ Dữ liệu trong VPC
Buổi sáng:
Mã hóa dữ liệu tại chỗ: EBS encryption, S3 encryption, RDS encryption.
Mã hóa dữ liệu truyền tải: SSL/TLS, VPC endpoints.
Quản lý khóa mã hóa: AWS KMS, Customer Managed Keys.
Buổi chiều:
Bài tập thực hành:
Mã hóa EBS: Tạo một EC2 instance với EBS volume được mã hóa bằng AWS KMS.
Mã hóa S3: Tạo một S3 bucket với mã hóa mặc định (SSE-S3) hoặc mã hóa bằng KMS (SSE-KMS).
Truy cập S3 qua VPC endpoint: Tạo một VPC endpoint cho S3 và cấu hình EC2 instance để truy cập S3 thông qua endpoint này.
Ngày 14: Bảo mật Lưu lượng Mạng
Buổi sáng:
Security Groups và NACLs: Ôn tập và tổng hợp kiến thức về hai lớp bảo mật này.
AWS Network Firewall: Giới thiệu chi tiết về Network Firewall, các tính năng và khả năng bảo vệ.
Các dịch vụ bảo mật khác: AWS WAF, AWS Shield, AWS GuardDuty.
Buổi chiều:
Bài tập thực hành:
Cấu hình Network Firewall: Triển khai Network Firewall và cấu hình các quy tắc cơ bản để bảo vệ VPC.
Tích hợp Network Firewall với WAF: Tạo một web application firewall (WAF) và tích hợp nó với Network Firewall để bảo vệ ứng dụng web của bạn.
Giám sát Network Firewall: Sử dụng CloudWatch để giám sát các metric của Network Firewall và xem các log về lưu lượng mạng bị chặn.
Ngày 15: VPC Flow Logs
Buổi sáng:
VPC Flow Logs: Khái niệm, cách thức hoạt động, thông tin được ghi lại trong flow log.
Các định dạng flow log: AWS default format, Custom format.
Xuất bản flow log: CloudWatch Logs, Amazon S3, Amazon Kinesis Data Firehose.
Buổi chiều:
Bài tập thực hành:
Kích hoạt VPC Flow Logs: Kích hoạt VPC Flow Logs cho VPC của bạn và chọn một đích đến để lưu trữ log (ví dụ: CloudWatch Logs).
Phân tích Flow Logs: Sử dụng Athena để truy vấn và phân tích VPC Flow Logs để hiểu rõ hơn về lưu lượng mạng trong VPC.
Tạo dashboard giám sát: Sử dụng CloudWatch để tạo dashboard trực quan hóa dữ liệu từ VPC Flow Logs.
Ngày 16: Giám sát và Khắc phục sự cố VPC
Buổi sáng:
CloudWatch: Giới thiệu về CloudWatch, các loại metric, cách tạo alarm.
Giám sát VPC: Các metric quan trọng cần theo dõi (ví dụ: CPU utilization, network traffic, status check).
Khắc phục sự cố kết nối: Sử dụng VPC Flow Logs, Reachability Analyzer, và các công cụ khác.
Buổi chiều:
Bài tập thực hành:
Tạo CloudWatch Alarm: Tạo một CloudWatch alarm để thông báo khi CPU utilization của một EC2 instance vượt quá ngưỡng cho phép.
Sử dụng Reachability Analyzer: Sử dụng Reachability Analyzer để kiểm tra kết nối giữa hai resource trong VPC.
Phân tích VPC Flow Logs để khắc phục sự cố: Phân tích VPC Flow Logs để tìm hiểu nguyên nhân của một sự cố kết nối mạng trong VPC.
Tuần 5: Traffic Mirroring, Khái niệm VPC Nâng cao và Tích hợp
Ngày 17: Traffic Mirroring
Buổi sáng:
Traffic Mirroring: Khái niệm, hoạt động, lợi ích trong giám sát và phân tích bảo mật.
Các thành phần của Traffic Mirroring: Target, filter, session, mirroring session.
Các tùy chọn kết nối: VPC traffic mirroring, Cross-account traffic mirroring.
Buổi chiều:
Bài tập thực hành:
Thiết lập Traffic Mirroring: Tạo một traffic mirroring session để mirror lưu lượng TCP từ một ENI đến một EC2 instance khác.
Tạo filter: Tạo một filter để chỉ mirror lưu lượng đến một cổng cụ thể (ví dụ: port 80).
Phân tích lưu lượng mirrored: Sử dụng Wireshark hoặc tcpdump để phân tích lưu lượng mạng được mirrored.
Ngày 18: Traffic Mirroring Nâng cao
Buổi sáng:
Traffic Mirroring với nhiều target: Gửi lưu lượng mirrored đến nhiều đích khác nhau.
Traffic Mirroring với Gateway Load Balancer: Sử dụng Gateway Load Balancer để phân phối lưu lượng mirrored đến các thiết bị bảo mật.
Các công cụ phân tích lưu lượng mirrored: Sử dụng các công cụ như Suricata, Zeek để phân tích lưu lượng mirrored.
Buổi chiều:
Bài tập thực hành:
Traffic Mirroring đa target: Tạo một traffic mirroring session với nhiều target và kiểm tra xem lưu lượng được gửi đến tất cả các target.
Traffic Mirroring với Gateway Load Balancer: Tạo một Gateway Load Balancer và cấu hình traffic mirroring để gửi lưu lượng đến endpoint của Gateway Load Balancer.
Phân tích lưu lượng bằng Suricata: Cài đặt Suricata trên một EC2 instance và sử dụng nó để phân tích lưu lượng mirrored từ một traffic mirroring session.
Ngày 19: Shared VPC
Buổi sáng:
Shared VPC: Khái niệm, lợi ích, kiến trúc, các thành phần (host VPC, participant VPC).
Chia sẻ subnet: Cách chia sẻ subnet giữa các tài khoản AWS trong cùng một organization.
Quản lý tài nguyên trong Shared VPC: Vai trò của VPC owner và participant.
Buổi chiều:
Bài tập thực hành:
Tạo Shared VPC: Tạo một Shared VPC và chia sẻ một subnet với một tài khoản AWS khác.
Khởi chạy EC2 instance trong Shared VPC: Khởi chạy một EC2 instance trong subnet được chia sẻ từ tài khoản participant.
Quản lý Security Group: Tạo và quản lý security group trong Shared VPC từ tài khoản host và participant.
Ngày 20: VPC Endpoints
Buổi sáng:
VPC Endpoints: Khái niệm, loại (Gateway, Interface), lợi ích so với truy cập public.
Gateway VPC Endpoints: Cách hoạt động, các dịch vụ được hỗ trợ (S3, DynamoDB).
Interface VPC Endpoints: Cách hoạt động, các dịch vụ được hỗ trợ (AWS PrivateLink).
Buổi chiều:
Bài tập thực hành:
Tạo Gateway VPC Endpoint: Tạo một Gateway VPC Endpoint cho S3 và kiểm tra truy cập từ một EC2 instance trong VPC.
Tạo Interface VPC Endpoint: Tạo một Interface VPC Endpoint cho một dịch vụ AWS PrivateLink (ví dụ: AWS Systems Manager).
So sánh Gateway và Interface VPC Endpoints: So sánh sự khác biệt giữa Gateway và Interface VPC Endpoints về cách hoạt động và trường hợp sử dụng.
Tuần 6: Bảo mật VPC Nâng cao, VPC Peering chuyên sâu và Kiểm tra Kết nối
Ngày 21: AWS PrivateLink
Buổi sáng:
AWS PrivateLink: Khái niệm, hoạt động, lợi ích trong việc truy cập dịch vụ AWS và dịch vụ của bên thứ ba một cách riêng tư.
Các thành phần của PrivateLink: VPC endpoint service, endpoint, service provider, service consumer.
Các trường hợp sử dụng PrivateLink: Truy cập các dịch vụ AWS (ví dụ: S3, DynamoDB) và dịch vụ của bên thứ ba (ví dụ: Salesforce) mà không cần thông qua internet công cộng.
Buổi chiều:
Bài tập thực hành:
Tạo VPC endpoint service: Tạo một VPC endpoint service cho một ứng dụng web chạy trên EC2 instance trong VPC của bạn.
Tạo VPC endpoint: Tạo một VPC endpoint trong một VPC khác để truy cập VPC endpoint service đã tạo ở trên.
Kiểm tra kết nối PrivateLink: Kiểm tra kết nối PrivateLink bằng cách truy cập ứng dụng web từ EC2 instance trong VPC thứ hai.
Ngày 22: Route 53 Resolver DNS Firewall
Buổi sáng:
Route 53 Resolver DNS Firewall: Khái niệm, hoạt động, cách thức bảo vệ VPC khỏi các tên miền độc hại.
Các thành phần của DNS Firewall: Rule group, rule.
Các loại rule: Block list, Allow list.
Buổi chiều:
Bài tập thực hành:
Tạo DNS Firewall rule group: Tạo một DNS Firewall rule group và thêm một số tên miền độc hại vào block list.
Liên kết rule group với VPC: Liên kết DNS Firewall rule group đã tạo với VPC của bạn.
Kiểm tra DNS Firewall: Kiểm tra xem DNS Firewall có hoạt động bằng cách thử truy cập một tên miền trong block list từ một EC2 instance trong VPC.
Ngày 23: Reachability Analyzer
Buổi sáng:
Reachability Analyzer: Giới thiệu về Reachability Analyzer, cách thức phân tích đường dẫn mạng và khắc phục sự cố kết nối trong VPC.
Các thành phần của Reachability Analyzer: Source, destination, protocol, port.
Phân tích kết quả: Hiểu các trạng thái kết nối (Reachable, Unreachable) và các thông báo lỗi.
Buổi chiều:
Bài tập thực hành:
Phân tích kết nối giữa hai EC2 instances: Sử dụng Reachability Analyzer để kiểm tra kết nối giữa hai EC2 instance trong cùng một VPC hoặc ở các VPC khác nhau.
Phân tích kết nối từ VPC đến Internet: Sử dụng Reachability Analyzer để kiểm tra kết nối từ một EC2 instance trong VPC đến một địa chỉ IP public trên Internet.
Phân tích kết nối đến một dịch vụ AWS: Sử dụng Reachability Analyzer để kiểm tra kết nối từ một EC2 instance trong VPC đến một dịch vụ AWS (ví dụ: S3, DynamoDB) thông qua VPC endpoint.
Ngày 24: VPC Peering chuyên sâu
Buổi sáng:
Khắc phục sự cố VPC peering: Các vấn đề thường gặp và cách giải quyết.
VPC peering limits: Các giới hạn của VPC peering cần lưu ý.
VPC peering best practices: Các phương pháp hay để thiết kế và quản lý kết nối peering hiệu quả.
Buổi chiều:
Bài tập thực hành:
Khắc phục sự cố định tuyến: Giải quyết các vấn đề định tuyến thường gặp trong VPC peering (ví dụ: xung đột bảng định tuyến, thiếu tuyến).
Khắc phục sự cố bảo mật: Xác định và sửa các lỗi cấu hình security group hoặc NACL gây cản trở lưu lượng giữa các VPC peered.
Tối ưu hóa VPC peering: Áp dụng các best practice để cải thiện hiệu suất và độ tin cậy của kết nối peering.
Tuần 7: Kiến trúc VPC, Tính sẵn sàng cao và VPN
Ngày 25: Thiết kế Kiến trúc VPC
Buổi sáng:
Các mô hình kiến trúc VPC phổ biến: Public/private subnet, multi-tier, hub-and-spoke.
Các yếu tố cần xem xét khi thiết kế kiến trúc VPC: Yêu cầu ứng dụng, bảo mật, khả năng mở rộng, chi phí.
Ví dụ về kiến trúc VPC: Thiết kế kiến trúc VPC cho một ứng dụng web đơn giản và một ứng dụng doanh nghiệp phức tạp.
Buổi chiều:
Bài tập thực hành:
Thiết kế kiến trúc VPC cho một ứng dụng web: Thiết kế kiến trúc VPC cho một ứng dụng web có hai tầng (web server và database server), với các yêu cầu về tính sẵn sàng cao và bảo mật.
Thiết kế kiến trúc VPC cho một ứng dụng doanh nghiệp: Thiết kế kiến trúc VPC cho một ứng dụng doanh nghiệp có nhiều tầng (web server, application server, database server) và nhiều VPC (production, development, testing).
Đánh giá kiến trúc VPC: Đánh giá kiến trúc VPC hiện có của bạn và xác định các điểm cần cải thiện về bảo mật, hiệu suất và khả năng mở rộng.
Ngày 26: Tính sẵn sàng cao và Khả năng chịu lỗi
Buổi sáng:
Tính sẵn sàng cao (High Availability): Khái niệm, tầm quan trọng, các chiến lược để đạt được tính sẵn sàng cao trong VPC.
Khả năng chịu lỗi (Fault Tolerance): Khái niệm, các kỹ thuật để đảm bảo khả năng chịu lỗi trong VPC.
Multi-AZ deployment: Triển khai tài nguyên trên nhiều Availability Zone để tăng tính sẵn sàng và khả năng chịu lỗi.
Buổi chiều:
Bài tập thực hành:
Triển khai ứng dụng web trên nhiều AZ: Triển khai một ứng dụng web trên hai Availability Zone khác nhau và sử dụng Elastic Load Balancer để phân phối lưu lượng.
Cấu hình Auto Scaling Group: Tạo một Auto Scaling Group để tự động mở rộng quy mô ứng dụng web khi lưu lượng tăng.
Kiểm tra khả năng chịu lỗi: Mô phỏng sự cố mất một Availability Zone và kiểm tra xem ứng dụng web có tiếp tục hoạt động bình thường không.
Ngày 27: Direct Connect
Buổi sáng:
AWS Direct Connect: Giới thiệu về Direct Connect, lợi ích của nó so với kết nối VPN.
Các loại kết nối Direct Connect: Dedicated connection, Hosted connection.
Cấu hình Direct Connect: Các bước thiết lập kết nối Direct Connect, tạo virtual interface.
Buổi chiều:
Bài tập thực hành:
Tìm hiểu về Direct Connect: Tìm hiểu các tùy chọn Direct Connect có sẵn trong khu vực của bạn và so sánh chi phí.
Lên kế hoạch triển khai Direct Connect: Lập kế hoạch triển khai Direct Connect cho một ứng dụng doanh nghiệp, bao gồm các yêu cầu về băng thông, độ trễ và tính sẵn sàng.
Tính toán chi phí Direct Connect: Sử dụng AWS Pricing Calculator để ước tính chi phí sử dụng Direct Connect cho ứng dụng của bạn.
Ngày 28: Kiến trúc Hybrid
Buổi sáng:
Kiến trúc Hybrid: Khái niệm, lợi ích, các mô hình triển khai (ví dụ: hybrid cloud, multi-cloud).
Tích hợp mạng on-premises với AWS: Sử dụng VPN, Direct Connect, AWS Transit Gateway.
Các dịch vụ AWS hỗ trợ kiến trúc hybrid: AWS Storage Gateway, AWS DataSync, AWS Outposts.
Buổi chiều:
Bài tập thực hành:
Thiết kế kiến trúc hybrid: Thiết kế kiến trúc hybrid cho một doanh nghiệp muốn mở rộng ứng dụng on-premises lên AWS, sử dụng cả VPN và Direct Connect.
Triển khai Storage Gateway: Triển khai AWS Storage Gateway để tích hợp hệ thống lưu trữ on-premises với S3.
Đồng bộ hóa dữ liệu: Sử dụng AWS DataSync để đồng bộ hóa dữ liệu giữa hệ thống lưu trữ on-premises và S3.
Tuần 8: Bảo mật nâng cao, Giám sát & Tối ưu hóa, và Dự án Tổng hợp
Ngày 29: Bảo mật VPC Nâng cao
Buổi sáng:
Kiểm tra bảo mật VPC: Sử dụng các công cụ như Amazon Inspector, AWS Security Hub để đánh giá và cải thiện bảo mật VPC.
Chiến lược bảo mật theo chiều sâu: Áp dụng nhiều lớp bảo mật để bảo vệ VPC (ví dụ: WAF, Shield, GuardDuty).
Các mối đe dọa bảo mật phổ biến và cách phòng tránh: Tìm hiểu về các cuộc tấn công DDoS, injection, XSS và các biện pháp phòng ngừa.
Buổi chiều:
Bài tập thực hành:
Sử dụng Amazon Inspector: Quét VPC của bạn bằng Amazon Inspector để phát hiện các lỗ hổng bảo mật.
Cấu hình AWS Shield: Kích hoạt AWS Shield Standard để bảo vệ VPC khỏi các cuộc tấn công DDoS.
Thiết lập Amazon GuardDuty: Kích hoạt Amazon GuardDuty để phát hiện các hoạt động đáng ngờ trong VPC.
Ngày 30: Giám sát và Tối ưu hóa VPC
Buổi sáng:
CloudWatch: Sử dụng CloudWatch để giám sát hiệu suất và tình trạng của VPC.
VPC Flow Logs: Phân tích VPC Flow Logs để hiểu rõ hơn về lưu lượng truy cập mạng.
Các công cụ giám sát khác: Sử dụng các công cụ như Amazon CloudWatch Synthetics, AWS X-Ray để giám sát và tối ưu hóa ứng dụng.
Buổi chiều:
Bài tập thực hành:
Tạo CloudWatch Dashboard: Tạo một CloudWatch dashboard để hiển thị các metric quan trọng của VPC (ví dụ: CPU utilization, network throughput).
Phân tích VPC Flow Logs bằng Athena: Sử dụng Athena để truy vấn và phân tích VPC Flow Logs để tìm ra các mẫu lưu lượng truy cập bất thường.
Sử dụng CloudWatch Synthetics: Tạo một Canary trong CloudWatch Synthetics để giám sát tính khả dụng của ứng dụng web của bạn.
Ngày 31-32: Dự án Tổng hợp
Dự án: Thiết kế và Triển khai Môi trường VPC Hybrid cho Ứng dụng Thương mại Điện tử
Kịch bản: Bạn là một kiến trúc sư giải pháp đám mây cho một công ty thương mại điện tử đang phát triển nhanh chóng. Công ty hiện đang vận hành một số ứng dụng quan trọng tại chỗ (Stimulate bằng 1 VPC khác) nhưng muốn tận dụng khả năng mở rộng và linh hoạt của AWS. Mục tiêu của bạn là thiết kế và triển khai một môi trường VPC hybrid đáp ứng các yêu cầu sau:
Tính sẵn sàng cao (High Availability).
Bảo mật.
Hiệu suất.
Kết nối giữa hạ tầng tại chỗ và AWS VPC.
Giám sát.
Tối ưu hóa chi phí.
Ngày 31:
Thiết kế kiến trúc VPC:
Xác định số lượng VPC cần thiết (ví dụ: production, development/test).
Phân bổ CIDR block cho mỗi VPC và subnet.
Xác định loại VPC endpoint cần thiết (ví dụ: S3, DynamoDB).
Chọn giải pháp kết nối (ví dụ: Site-to-Site VPN, Direct Connect).
Thiết kế kiến trúc bảo mật.
Triển khai VPC:
Tạo VPC và subnet.
Cấu hình VPC endpoint.
Thiết lập kết nối.
Triển khai các thành phần bảo mật.
Ngày 32:
Triển khai ứng dụng:
Triển khai các thành phần ứng dụng thương mại điện tử (ví dụ: web server, database server) trên EC2 instance.
Cấu hình Auto Scaling Group và Load Balancer.
Cấu hình giám sát:
Kích hoạt VPC Flow Logs.
Tạo CloudWatch alarm.
Kiểm tra và tối ưu hóa:
Thực hiện kiểm tra toàn diện.
Tối ưu hóa hiệu suất.
Xem xét và điều chỉnh kiến trúc để tối ưu chi phí.
Sản phẩm:
Môi trường VPC hybrid (Stimulate bằng 2 VPC khác nhau) đáp ứng các yêu cầu.
Tài liệu chi tiết về kiến trúc VPC.
Bài thuyết trình hoặc báo cáo tóm tắt dự án.
Tài liệu đọc thêm:
https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html