- Tác giả
- Name
- Nguyễn Đức Xinh
- Ngày xuất bản
- Ngày xuất bản
AWS Site-to-Site VPN là gì? Hướng dẫn chi tiết kết nối an toàn giữa On-premises và AWS
Giới thiệu
Trong thời đại Hybrid Cloud, việc kết nối hạ tầng on-premises (trung tâm dữ liệu, văn phòng công ty) với đám mây AWS là nhu cầu thiết yếu.
AWS Site-to-Site VPN mang đến giải pháp kết nối bảo mật, nhanh chóng và tiết kiệm chi phí, giúp bạn truyền dữ liệu giữa hai môi trường một cách an toàn mà không cần đường truyền vật lý chuyên dụng.
1. AWS Site-to-Site VPN là gì?
AWS Site-to-Site VPN là dịch vụ giúp bạn thiết lập kết nối mạng riêng ảo (VPN) giữa mạng nội bộ (on-premises network) và Amazon Virtual Private Cloud (VPC) thông qua Internet công cộng, nhưng dữ liệu được mã hóa bằng giao thức IPsec.
Nói cách khác, AWS VPN tạo một đường hầm bảo mật (secure tunnel) giúp dữ liệu giữa AWS và on-premises truyền đi mà không bị lộ ra Internet.
📘 Ví dụ:
Bạn có trung tâm dữ liệu ở Hà Nội và muốn ứng dụng trong EC2 tại AWS Singapore kết nối tới hệ thống cơ sở dữ liệu nội bộ.
➡️ AWS Site-to-Site VPN cho phép tạo kết nối mã hóa giữa hai mạng mà không cần thuê đường truyền vật lý.
2. Cách hoạt động của AWS Site-to-Site VPN
AWS Site-to-Site VPN bao gồm hai thành phần chính:
-
Virtual Private Gateway (VGW):
- Là cổng VPN phía AWS, gắn vào VPC để nhận kết nối VPN từ mạng on-premises.
- Quản lý lưu lượng inbound/outbound giữa AWS và hệ thống nội bộ.
-
Customer Gateway (CGW):
- Là thiết bị hoặc phần mềm VPN ở phía doanh nghiệp (có thể là router vật lý hoặc máy chủ VPN).
- Kết nối tới VGW qua Internet bằng IP công cộng.
Khi kết nối được thiết lập, hai đường hầm (VPN tunnels) sẽ được tạo ra để đảm bảo high availability.
Nếu một đường bị lỗi, hệ thống tự động chuyển sang đường còn lại.
3. Ưu điểm của AWS Site-to-Site VPN
| Ưu điểm | Mô tả |
|---|---|
| 🔒 Bảo mật cao | Sử dụng mã hóa IPsec để bảo vệ dữ liệu truyền qua Internet. |
| ⚡ Triển khai nhanh | Chỉ mất vài phút để thiết lập kết nối. |
| 💰 Chi phí thấp | Không cần thuê đường truyền riêng như Direct Connect. |
| 🌐 Linh hoạt | Dễ dàng mở rộng hoặc kết hợp với nhiều VPC khác nhau. |
| 🧩 Tích hợp dễ dàng | Hoạt động tốt với các thiết bị VPN phổ biến (Cisco, Fortinet, pfSense, v.v.). |
4. Kiến trúc của AWS Site-to-Site VPN
[On-premises Network]
|
[Customer Gateway]
|
==== Encrypted Tunnel ====
|
[Virtual Private Gateway]
|
[VPC]
Luồng dữ liệu sẽ đi như sau:
- Dữ liệu từ mạng nội bộ được mã hóa bởi Customer Gateway (CGW).
- Gửi qua Internet dưới dạng IPsec VPN tunnel.
- AWS Virtual Private Gateway (VGW) nhận dữ liệu và giải mã trước khi chuyển vào VPC.
5. Các loại Site-to-Site VPN trên AWS
🔹 5.1. VPN qua Virtual Private Gateway (VGW)
- Kết nối giữa on-premises network và VPC.
- Dễ cấu hình và phổ biến nhất.
🔹 5.2. VPN qua Transit Gateway (TGW)
- Dùng khi bạn có nhiều VPC hoặc nhiều chi nhánh cần kết nối cùng lúc.
- Transit Gateway đóng vai trò “hub trung tâm” để quản lý kết nối tập trung.
- Giúp giảm chi phí vận hành và cấu hình phức tạp.
6. So sánh AWS Site-to-Site VPN và AWS Direct Connect
| Tiêu chí | AWS Site-to-Site VPN | AWS Direct Connect |
|---|---|---|
| Phương thức kết nối | Qua Internet (mã hóa IPsec) | Đường truyền vật lý riêng |
| Độ trễ (Latency) | Cao hơn, phụ thuộc vào Internet | Thấp và ổn định |
| Chi phí | Thấp | Cao hơn (phí thuê đường truyền) |
| Tốc độ | Thường < 1 Gbps | Lên đến 10 Gbps hoặc hơn |
| Thời gian triển khai | Vài phút | Vài ngày đến vài tuần |
| Mức độ bảo mật | Mã hóa IPsec | Riêng tư vật lý |
| Use case phổ biến | SMB, thử nghiệm, backup | Enterprise, workload lớn |
💡 Gợi ý:
- Dùng VPN để bắt đầu nhanh hoặc backup cho Direct Connect.
- Dùng Direct Connect nếu cần độ ổn định và throughput cao.
7. Use Case thực tế
💡 Use Case 1: Kết nối tạm thời
Khi doanh nghiệp muốn thử nghiệm AWS trước khi đầu tư hạ tầng, có thể tạo Site-to-Site VPN nhanh chóng trong vài phút.
💡 Use Case 2: Backup cho Direct Connect
Trong trường hợp Direct Connect gặp sự cố, VPN sẽ đảm nhiệm vai trò đường truyền dự phòng (failover).
💡 Use Case 3: Kết nối chi nhánh toàn cầu
Các văn phòng tại nhiều quốc gia có thể thiết lập VPN tới cùng một AWS VPC thông qua Transit Gateway, tạo mạng toàn cầu bảo mật.
8. Best Practices
✅ Cấu hình 2 tunnel (active-active hoặc active-standby) để tăng độ sẵn sàng.
✅ Sử dụng BGP (Border Gateway Protocol) để tự động định tuyến động.
✅ Giám sát kết nối với CloudWatch để phát hiện gián đoạn kịp thời.
✅ Kết hợp với AWS Transit Gateway để quản lý kết nối nhiều chi nhánh.
✅ Cập nhật IPsec policy theo khuyến nghị của AWS để đảm bảo bảo mật tối đa.
9. Chi phí của AWS Site-to-Site VPN
AWS tính phí theo hai yếu tố:
-
Phí kết nối VPN (VPN Connection-hour):
- Khoảng 0.05 USD/giờ cho mỗi kết nối.
-
Data Transfer Out:
- Dựa trên lượng dữ liệu truyền ra khỏi AWS (giống các dịch vụ khác).
💡 Lưu ý: Không có phí setup, và bạn chỉ trả tiền khi VPN hoạt động.
10. So sánh với các dịch vụ tương tự
| Dịch vụ | Mục đích chính | Khác biệt với VPN |
|---|---|---|
| AWS Direct Connect | Đường truyền vật lý chuyên dụng | Hiệu năng cao hơn, chi phí cao |
| AWS PrivateLink | Kết nối nội bộ giữa VPC và dịch vụ AWS | Không dùng cho on-premises |
| AWS Global Accelerator | Tối ưu truy cập qua Internet | Không tạo kết nối mạng riêng |
| AWS Transit Gateway | Kết nối và quản lý nhiều VPC | Có thể kết hợp với VPN |
11. Tổng kết
AWS Site-to-Site VPN là lựa chọn tuyệt vời nếu bạn:
- Cần kết nối nhanh và chi phí thấp giữa mạng nội bộ và AWS,
- Muốn truyền dữ liệu an toàn qua Internet,
- Hoặc cần đường kết nối dự phòng cho Direct Connect.
Với khả năng mã hóa IPsec, độ tin cậy cao, và tích hợp dễ dàng với các dịch vụ AWS khác, Site-to-Site VPN là bước đầu tiên quan trọng trong hành trình xây dựng hạ tầng Hybrid Cloud an toàn.
👉 Tóm lại:
AWS Site-to-Site VPN giúp bạn thiết lập cầu nối bảo mật giữa hệ thống nội bộ và đám mây AWS, mở ra con đường linh hoạt và an toàn cho chuyển đổi số doanh nghiệp.