Tối ưu chi phí và tăng cường bảo mật với Amazon VPC Endpoints

Bài viết này giải thích những lợi ích từ việc sử dụng Amazon VPC endpoints và chỉ ra cách OSAM có thể giúp doanh nghiệp của bạn tối ưu chi phí và bảo mật với dịch vụ này.

Tối ưu chi phí với Amazon VPC endpoints

Amazon Virtual Private Cloud (Amazon VPC) cho phép bạn khởi chạy tài nguyên vào một hệ thống mạng ảo mà bạn đã thiết lập. Hệ thống mạng ảo này giống như hệ thống mạng truyền thống mà bạn thường dùng để vận hành cơ sở dữ liệu của riêng mình. Tuy nhiên, khác với những hệ thống mạng truyền thống, VPC cho bạn tận dụng được cơ sở hạ tầng có thể co giãn của AWS.

VPC endpoints cho phép bạn kết nối riêng VPC của mình với các dịch vụ AWS được hỗ trợ mà không yêu cầu kết nối Internet, thiết bị NAT hay kết nối AWS Direct Connect. Endpoints là các thiết bị ảo có dự phòng với khả năng co giãn theo chiều ngang (tăng số lượng nếu cần xử lý khối lượng công việc lớn hơn), và đặc biệt là những thành phần VPC có tính ứng dụng cao. Chúng cho phép những thành phần trong VPC của bạn liên kết với những dịch vụ khác từ AWS mà không gây rủi ro về tính khả dụng hay hạn chế về băng thông lên lưu lượng mạng của bạn.

VPC endpoints giúp bạn giảm thiểu được chi phí truyền dữ liệu do kết nối riêng giữa những tài nguyên trong VPC (chẳng hạn Amazon Elastic Cloud Compute, EC2,…) và các dịch vụ AWS (ví dụ Amazon Quantum Ledger Database, QLDB,…) là kết nối nội bộ Amazon (không yêu cầu kết nối Internet, thiết bị NAT hay kết nối AWS Direct Connect nên sẽ không bị tính phí) . Nếu VPC endpoints không được thiết lập, giao tiếp giữa VPC và các dịch vụ AWS công cộng sẽ phải qua kết nối Internet. Đường dẫn mạng này phải chịu phí truyền dữ liệu. Phí truyền dữ liệu từ Amazon EC2 đến Internet sẽ phụ thuộc vào lưu lượng truy cập. Tuy nhiên, tại thời điểm viết bài, sau 01GB/tháng đầu tiên, lưu lượng truy cập sẽ được tính phí ở mức 0,09 USD/GB (với AWS US-East 1 Virginia). Với các VPC endpoints được thiết lập, giao tiếp giữa VPC của bạn và các dịch vụ liên kết từ AWS sẽ không ròi khỏi mạng Amazon. Nếu khối lượng công việc yêu cầu bạn phải chuyển một khối lượng đáng kể dữ liệu giữa VPC và AWS, bạn có thể tối ưu chi phí bằng cách tận dụng VPC endpoints.

Trong môi trường AWS đa tài khoản lớn hơn, hệ thống mạng sẽ rất đa dạng về cách thiết kế . Xét một tổ chức đã xây dựng hệ thống mạng hub-and-spoke với AWS Transit Gateway. VPCs đã được cấp phép cho nhiều tài khoản AWS, tùy thuộc vào mục đích của người sử dụng, điều này có thể tạo điều kiện cho việc cách ly hệ thống mạng hoặc cho phép ủy quyền quản trị hệ thống mạng. Khi triển khai các kiến trúc phân tán như thế này, xây dựng một dịch vụ VPC dùng chung rất phổ biến, cung cấp quyền truy cập vào các dịch vụ phù hợp với khối lượng công việc trong mỗi VPC. Điều này có thể bao gồm các dịch vụ danh mục hoặc VPC endpoints. Chia sẻ tài nguyên từ một vị trí trung tâm thay vì xây dựng chúng trong mỗi VPC có thể giảm chi phí quản lý và vận hành.

Hình 1: Hệ thống VPC Endpoints tập trung (hệ thống đa VPCs)

Tối ưu bảo mật với Amazon VPC endpoints

Có hai loại VPC endpoints: interface endpoints và gateway endpoints. Amazon Simple Storage Service (S3) và Amazon DynamoDB được truy cập bằng các gateway endpoints. Bạn có thể thiết lập các chính sách tài nguyên trên cả các gateway endpoints và tài nguyên AWS mà endpoints cung cấp quyền truy cập. Chính sách VPC endpoint là chính sách tài nguyên AWS Identity and Access Management (AWS IAM) mà bạn có thể đính kèm vào một endpoint. Nó là một chính sách riêng để kiểm soát tryt cập từ endpoint đến cách dịch vụ được chỉ định. Điều này cho phép kiểm soát truy cập chi tiết và kết nối mạng riêng từ bên trong VPC. Ví dụ, bạn có thể tạo một chính sách hạn chế quyền truy cập vào một bảng DynamoDB cụ thể thông qua VPC endpoint.

Hình 2: Truy cập S3 thông qua một Gateway VPC Endpoint

Interface endpoints cho phép bạn kết nối với các dịch vụ được hỗ trợ bởi AWS PrivateLink. Những dịch vụ này rất đa dạng về cả số lượng lẫn danh mục, bao gồm dịch vụ từ AWS, từ khách và đối tác của AWS trong VPC của riêng họ hay trên Marketplace. Giống như gateway endpoints, interface endpoints có thể được bảo mật bằng cách sử dụng các chính sách tài nguyên trên chính các endpoints và tài nguyên mà các endpoints ấy cung cấp quyền truy cập. Interface endpoints cho phép sử dụng các nhóm bảo mật để hạn chế quyền truy cập vào endpoint.

Hình 3: Truy cập QLDB thông qua một Interface VPC Endpoint

Ngoài ra, một tổ chức có thể tập trung hệ thống mạng của mình và tận dụng chia sẻ VPC để cho phép nhiều tài khoản AWS tạo tài nguyên ứng dụng (chẳng hạn như các Amazon EC2, Amazon Relational Database Service (RDS), và AWS Lambda) thành một hệ thống mạng tập trung, dễ dàng chia sẻ và quản lý. Với cả hai mô hình, việc thiết lập một bộ kiểm soát chi tiết để hạn chế quyền truy cập vào các tài nguyên rất quan trọng trong việc củng cố bảo mật của tổ chức và các mục tiêu phù hợp trong khi vẫn duy trì được hiệu quả hoạt động.

Hình 4: Hệ thống VPC Endpoints tập trung (chia sẻ VPC)

OSAM có thể giúp bạn

Bước 01: ĐÁNH GIÁ VÀ PHÂN TÍCH

  • Đánh giá kiến trúc hạ tầng của khách hàng

  • Thu thập các yêu cầu của khách hàng

Bước 02: TƯ VẤN

  • Trò chuyện cùng khách hàng để tìm ra giải pháp phù hợp nhất

  • Đề xuất kế hoạch dịch chuyển đối với Microsoft workloads

  • Cung cấp gói credit AWS cho khách hàng

Bước 03: DỊCH CHUYỂN

  • Xác định phần dữ liệu và ứng dụng cần dịch chuyển

  • Dịch chuyển Microsoft workloads tới môi trường cloud lý tưởng

Bước 04: ĐẢM BẢO TÍNH KHẢ THI

  • Chạy các test thử nghiệm để đảm bảo tính khả thi

  • Dự án được triển khai sau khi hoàn thành bước đảm bảo tính khả thi

Bước 05: TỐI ƯU HÓA

  • Triển khai dịch vụ quản trị để đạt được hiệu quả tốt nhất

  • Tối ưu hóa mô hình để tận dụng toàn bộ nguồn đầu tư IT của doanh nghiệp