Dịch vụ kết nối AWS (AWS connectivity services) là giải pháp hỗ trợ người dùng có thể thiết kế và vận hành kiến trúc mạng (network architectures) riêng biệt trong tài khoản (accounts) của họ. Trong quá trình chuyển đổi từ dịch vụ vật lý tại chỗ (on-premises services) sang nền tảng đám mây, các đám mây ảo riêng (Virtual Private Cloud – VPCs) sẽ hỗ trợ người dùng mở rộng quy mô triển khai ứng dụng, và áp dụng những design patterns (hay được sử dụng ở on-prems) trên cloud.
Trong đó, yếu tố quan trọng nhất là khả năng kết nối các ứng dụng đang chạy trên nền tảng đám mây và các trung tâm dữ liệu vật lý (on-premises data centres). Kết nối này có thể tiếp tục mở rộng khi cần thiết. Trước khi Transit Gateway ra đời, người dùng thường sử dụng VPC peering hoặc Transit VPC để tạo cấu trúc liên kết lưới (mesh topology). Hai phương thức liên kết này đều đòi hỏi cần thêm thiết bị mạng (extra network devices) và không thể mở rộng được, vì thế cả hai đều gặp nhiều hạn chế khi cung cấp kết nối đến các trung tâm dữ liệu vật lý (on-premise data centres), nhất là khi số lượng VPC ngày càng tăng.
Transit Gateway hỗ trợ các VPC riêng biệt có thể kết nối với nhau trên các tài khoản AWS khác nhau và VPC tại cơ sở vật lý tại chỗ thông qua AWS Direct Connect hoặc VPN. Transit Gateway là một hub mạng (network hub) dùng để kết nối các Amazon VPC và các hệ thống mạng vật lý (on-premise) với nhau.
Tổng quan về Transit Gateway
Transit Gateway (tạm dịch: Cổng chuyển tuyến), là một hub mạng (network hub) dùng để hỗ trợ kết nối các VPC và mạng vật lý tại chỗ. Transit Gateway hỗ trợ các loại dịch vụ đính kèm (attachments) như:
- VPC
- Cổng kết nối trực tiếp AWS (AWS Direct Connect Gateway)
- Kết nối VPN
- Thiết bị mạng SD-WAN (SD-WAN network appliance)
- Một Transit Gateway khác thông qua Transit Gateway Peering
Dưới đây là một số tính năng và lựa chọn tùy biến các doanh nghiệp cần biết khi muốn triển khai Transit Gateway.
Vùng khả dụng (Availability Zone)
Khi VPC kết nối với Transit Gateway sẽ tạo ra một Elastic Network Interface (ENI) ở Subnet nằm tại vùng khả dụng (Availability Zone) đó. Khi vùng khả dụng này được kích hoạt, các Subnet tại đây đều có thể giao tiếp thông qua Transit Gateway này.
Định tuyến (Routing)
Những bảng định tuyến (routing tables) trên Transit Gateway dùng để quản lý nhiều tùy chọn định tuyến đa dạng. Bảng định tuyến có thể bao gồm cả tuyến động (dynamic routes) và tuyến tĩnh (static routes), nhằm để xác định được bộ định tuyến (router) nào phù hợp nhất. Các tuyến động được truyền đến các bảng định tuyến dựa theo bộ đính kèm. Người dùng cũng có thể thêm những tuyến tĩnh và tuyến lỗ đen (blackhole routes) vào bảng định tuyến nếu muốn tách riêng các bộ đính kèm (attachments). Nếu các tuyến trong Transit Gateway được sử dụng cùng một lúc thì thứ tự ưu tiên sẽ như sau:
- Các tuyến đường tĩnh
- Các tuyến được tự động khởi tạo bởi VPCs (VPC-propagated routes)
- Các tuyến được tự động khởi tạo bởi Direct Connect Gateway (Direct Connect Gateway propagated routes)
- Các tuyến được tự động khởi tạo bởi Transit Gateway Connect (Transit Gateway Connect propagated routes)
- Các tuyến được tự động khởi tạo bởi S2S VPN (S2S VPN propagated routes)
Ứng dụng Transit Gateway trong kết nối tài khoản liên quyền (Cross Account Connectivity)
Trình quản lý truy cập tài nguyên AWS (AWS Resource Access Manager) được sử dụng để chia sẻ Transit Gateway giữa các tài khoản dành cho dữ liệu đính kèm VPC. Chủ sở hữu Transit Gateway có thể kiểm soát cách thức giao tiếp (communication) giữa các VPC được đính kèm, cũng như các loại đính kèm khác nhờ vào bảng định tuyến và các tuyến trên bảng định tuyến.
Ứng dụng Transit Gateway trong kết nối ngang hàng liên vùng (Inter Region Peering)
Transit Gateways ở các khu vực riêng biệt có thể được kết nối ngang hàng (peering) bằng cách sử dụng dịch vụ đính kèm ngang hàng giữa các khu vực (Inter Region peering attachment). Doanh nghiệp có thể khởi tạo một cấu trúc liên kết mạng toàn cầu (global network topologies) cho các ứng dụng của họ. Sau đó, doanh nghiệp sẽ có thể sử dụng một đường trục mạng AWS toàn cầu (AWS Global Networking backbone) để giữ liên lạc liên tục giữa các tài nguyên (resources) ở các khu vực riêng biệt
Ứng dụng Transit Gateway trong kết nối hạ tầng vật lý (On-Premises Connectivity)
Transit Gateway trong kết nối trực tiếp (Direct Connect Gateway) được dùng để hỗ trợ doanh nghiệp kết nối các trung tâm dữ liệu vật lý với Transit Gateway. Ngoài ra, người dùng có thể bổ sung tính năng kết nối dự phòng bằng cách kết nối nhiều kết nối Direct Connect với Direct Connect Gateway. Một phương pháp khác là sử dụng kết nối S2S VPN từ Transit Gateway để nhận được bản sao lưu.
Ứng dụng Transit Gateway trong phương thức giao tiếp đa hướng (Multicast Communication)
Các giao thức Multicast là dạng phương thức truyền tin “một-nhiều”, nghĩa là cung cấp một luồng dữ liệu duy nhất đến nhiều máy chủ cùng một lúc. Phương thức truyền thông đa hướng mang lại nhiều lợi ích cho khách hàng, đặc biệt những người đang sử dụng ứng dụng hỗ trợ chuyển mã video (supporting video transcoding), hệ thống giao dịch tài chính ( financial trading systems) và hệ thống phát sóng đa phương tiện (multimedia broadcast systems). Vào năm 2019, AWS chính thức trở thành nhà cung cấp đám mây công cộng đầu tiên cung cấp dịch vụ multicast với AWS Transit Gateway. Trước đây, người dùng đã phải sử dụng những lớp mạng phủ (overlay networks) khá rắc rối khi muốn chuyển dịch các ứng dụng về multicast.
Các kiểu cấu trúc liên kết của mạng lưới Transit Gateway
Dưới đây là một số kiểu cấu trúc liên kết mạng lưới:
Bộ định tuyến tập trung (Centralized Router)
Trong kiểu cấu trúc này, Transit Gateway đóng vai trò như một bộ định tuyến tập trung (Centralized Router) và kết nối tất cả bộ đính kèm như VPC, Direct Connects và phiên VPN S2S ( S2S VPN sessions). Tất cả các dữ liệu đính kèm có thể định tuyến các gói tin (packets) thông qua tính chất bắc cầu (ví dụ: VPC A đến VPC C).
VPC riêng biệt (Isolated VPCs)
Trong kiểu cấu trúc này, các VPC độc lập có thể được định tuyến đến một môi trường vật lý (on-premises environment) thông qua các kết nối đính kèm Direct Connect hoặc S2S VPN (các VPC này tách biệt với nhau). Transit gateway đóng vai trò như những bộ định tuyến riêng biệt khi sở hữu những bảng định tuyến khác nhau tương ứng với từng bộ đính kèm.
VPC riêng biệt sử dụng các dịch vụ được chia sẻ (Isolated VPC with Shared Services)
Cấu trúc liên kết này tương tự như cấu trúc liên kết trước đó , và bổ sung thêm các VPC dịch vụ được chia sẻ (Shared Services VPC). Mỗi bộ đính kèm VPC có thể định tuyến đến các cơ sở vật lý tại chỗ và VPC dịch vụ được chia sẻ. Mô hình này khá phổ biến trong các ứng dụng thực tế.
Cổng chuyển tuyến ngang hàng (Peering Transit Gateways)
Trong kiểu cấu trúc này, Transit Gateway ở các vùng khác nhau được sắp xếp ngang hàng (peering) để tạo thành một đường trục mạng hoạt động ở mọi quốc gia, nhờ vậy các VPC ở các khu vực khác nhau có thể định tuyến lưu lượng (route traffic) với nhau. Doanh nghiệp cũng có thể định tuyến lưu lượng truy cập từ cơ sở vật lý tại chỗ của họ đến các VPC ở các khu vực khác.
Định tuyến ngoại vi tập trung (Centralized Outbound Routing)
Trong kiểu cấu trúc này, tất cả các định tuyến Internet sẽ liên kết với một VPC trung tâm được gắn với cổng Internet (Internet Gateway). Vì vậy, chỉ có một VPC duy nhất cần cổng Internet hoặc các mạng con công cộng. Đôi khi, đây là mô hình triển khai cần thiết cho các doanh nghiệp.
Dịch vụ chia sẻ thiết bị VPC (Appliance Shared Services VPC)
Cấu trúc liên kết này hỗ trợ quá trình lưu trữ dữ liệu (host) của các thiết bị của dịch vụ được chia sẻ (Shared Services appliances) hoạt động trong nền tảng VPC, ví dụ như thiết bị bảo mật. Đồng thời hướng định tuyến lượng truy cập tới các bộ đính kèm đi qua thiết bị này. Thiết bị này có thể được sử dụng để đo đạc tổng lưu lượng chạy qua nó.
Ứng dụng Transit Gateway để đơn giản hóa việc triển khai VPCs cho Spoke Accounts (tài khoản Spoke)
Deloitte Continental Europe (DCE) đã triển khai giải pháp mạng dựa trên AWS Transit Gateway: sử dụng tiện ích chia sẻ thiết bị trên nền tảng VPC (Appliance Shared VPC). Trong quá trình đó, Transit Gateway đóng vai trò rất quan trọng để hỗ trợ Deloitte mở rộng quy mô triển khai dịch vụ khách hàng hiệu quả và tiết kiệm.
Các kết nối được đặt ngang hàng với các AWS Transit Gateway tại cùng hoặc khác khu vực, nhờ vậy mà kết nối sẽ nhanh chóng được kích hoạt và luôn có sẵn trong trường hợp các khách hàng và các công ty con của Deloitte cần sử dụng. Nhờ vậy, người dùng có thể đảm bảo tính khả dụng cho các giải pháp khách hàng (customer solutions) trên khắp thế giới.
Trong kiểu kiến trúc này, Transit Gateway đóng vai trò trung tâm để kết nối với Internal Service Hub (nền tảng cung cấp các đám mây ảo riêng cho ứng dụng kèm theo dịch vụ như service publishing, ISP, North/South filtering, IDP, DNS). Các VPC Spoke của khách hàng được gắn vào Transit Gateway trong quá trình thiết lập những tài khoản. Toàn bộ đề xuất trên đều sử dụng nguồn mã tự động hóa (code) là các cơ sở hạ tầng (infrastructure). Vì vậy, doanh nghiệp có thể hỗ trợ nhiều yêu cầu kết nối khác nhau của khách hàng.
Transit Gateway hỗ trợ các kết nối tập trung vào giữa các VPC dịch vụ riêng biệt và cả cơ sở vật lý tại chỗ, từ đó đơn giản hoá kiến trúc (architecture) của hệ thống.
Deloitte DCE sử dụng AWS transit gateway để kết nối các mạng lõi (core networks), tài khoản Spoke và dịch vụ chia sẻ (shared services) như DNS và dịch vụ kiểm tra mạng. Nhờ vào các bảng định tuyến, Deloitte DCE có thể phân biệt giữa lưu lượng truy cập (traffic) và giám sát lưu lượng (traffic inspection), nhất là dòng lưu lượng theo hướng Đông – Tây.
AWS Transit Gateway có thể đáp ứng mọi nhu cầu kết nối cả trong và liên các vùng của AWS. Hiện nay, nhờ vào cổng chuyển tuyến ngang hàng liên khu vực, Deloitte DCS đã hoàn thành được một trục mạng để kết nối toàn Châu Âu, giữa hệ thống mạng nội bộ và hệ thống mạng biên có sẵn (edge networks). Nhờ vậy mà chỉ trong vòng vài tuần, Deloitte đã triển khai một trục mạng cho những kết nối quan trọng ở Châu Âu, cùng lúc với việc hoàn thành cơ sở hạ tầng toàn cầu AWS trên nhiều khu vực AWS Châu Âu.
Thông qua AWS Transit Gateway, Deloitte có thể đề xuất quy trình triển khai mạng cho các tài khoản spoke mới. Những tài khoản spoke này mang tính chất lặp lại, tự động và có thể tiếp tục mở rộng trong tương lai.
AWS Transit Gateway cũng giúp Deloitte triển khai hiệu quả các Spoke VPCs, cũng như tiếp tục mở rộng trong tương lai. Ngoài ra, bằng cách sử dụng Cơ sở hạ tầng dạng mã (Infrastructure as Code – IaC), Deloitte có thể triển khai cấu trúc liên kết mạng đa AZ và định cấu hình trước, trên nền tảng VPC của tài khoản Spoke. Ngoài ra, AWS Transit Gateway còn hỗ trợ kết nối nền tảng VPCs với AWS Transit Gateway, đồng thời giúp các tài khoản spoke có thể nhanh chóng truy cập vào các dịch vụ của Deloitte.
Kết luận
Bài viết trên đã hướng dẫn người dùng cách sử dụng Transit Gateway để triển khai thiết kế ứng dụng theo từng kiểu cấu trúc liên kết mạng. Bài viết cũng đồng thời đưa ra ví dụ về cách Deloitte đã sử dụng Transit Gateway làm yếu tố then chốt trong kiến trúc toàn cầu của AWS.
Về VTI Cloud
VTI Cloud là Đối tác cấp cao (Advanced Consulting Partner) của AWS, với đội ngũ hơn 50+ kỹ sư về giải pháp được chứng nhận bởi AWS. Với mong muốn hỗ trợ khách hàng trong hành trình chuyển đổi số và dịch chuyển lên đám mây AWS, VTI Cloud tự hào là đơn vị tiên phong trong việc tư vấn giải pháp, phát triển phần mềm và triển khai hạ tầng AWS cho khách hàng tại Việt Nam và Nhật Bản.
Xây dựng các kiến trúc an toàn, hiệu suất cao, linh hoạt, và tối ưu chi phí cho khách hàng là nhiệm vụ hàng đầu của VTI Cloud trong sứ mệnh công nghệ hóa doanh nghiệp.
Liên hệ với chúng tôi: Tại đây
Nguồn: https://www.cio.com