Trong bài viết này, chúng ta sẽ tìm hiểu các thành phần của Azure Virtual Network, từ Subnets, Network Security Groups (NSG) đến Azure DNS. Đây là những yếu tố cốt lõi để đảm bảo sự linh hoạt, bảo mật và hiệu quả khi xây dựng và quản lý hạ tầng mạng trên đám mây.
Xem thêm:
1. Azure Virtual Network
Azure Virtual Network (VNet) là một mạng riêng tư ảo được tạo trên nền tảng đám mây Azure. Nó giống như một mạng riêng biệt dành riêng cho tài khoản đăng ký Azure, giúp bạn cô lập và bảo mật các tài nguyên của bạn trong môi trường đám mây.
Mạng ảo có thể được chia thành các mạng con (subnet), giúp tạo ra các phân vùng logic bên trong mạng. Sử dụng subnet mang lại nhiều lợi ích:
- Cải thiện bảo mật: Bạn có thể phân cách các thiết bị nhạy cảm vào các subnet riêng, giúp hạn chế truy cập trái phép.
- Tăng hiệu suất: Lưu lượng truy cập trong mạng được hạn chế ở phạm vi subnet, tránh gây tắc nghẽn cho toàn bộ mạng.
- Quản lý mạng dễ dàng hơn: Chia nhỏ mạng thành các subnet giúp bạn dễ dàng quản lý và theo dõi hoạt động của từng subnet riêng lẻ.
2. Các trường hợp sử dụng mạng ảo
Tạo đám mây riêng tư chuyên dụng (Private Cloud-Only VNet)
- Toàn bộ tài nguyên của bạn nằm trong một môi trường đám mây riêng tư.
- Các dịch vụ trên mạng ảo có thể trao đổi dữ liệu trực tiếp mà không cần đi qua internet.
Mở rộng trung tâm dữ liệu an toàn (Securely Extend Your Data Center)
- VPN site-to-site (S2S): Mở rộng trung tâm dữ liệu hiện có bằng cách sử dụng kết nối VPN S2S truyền thống.
- Bảo mật IPSec: Kết nối được mã hóa giữa Azure và VPN gateway của tổ chức đảm bảo tính toàn vẹn dữ liệu.
Hỗ trợ đám mây lai (Hybrid Cloud Scenarios)
- Linh hoạt: Kết nối an toàn giữa các ứng dụng trên đám mây với hệ thống tại chỗ như máy chủ mainframe hoặc Unix.
- Đồng bộ tài nguyên: Đáp ứng nhu cầu triển khai và vận hành trong môi trường lai.
3. Các thành phần trong Azure Virtual Network
3.1 IP Addressing
Việc gán địa chỉ IP cho các tài nguyên Azure giúp chúng giao tiếp với nhau.
Trong Azure, bạn có thể sử dụng hai loại địa chỉ IP:
- Private IP addresses: Giống như mạng nội bộ. Địa chỉ IP riêng được sử dụng cho các resource Azure giao tiếp với nhau trong cùng một mạng ảo. Private IP Addresses không truy cập được từ internet.
- Public IP addresses: Cho phép các thiết bị trên internet truy cập vào các tài nguyên Azure.
3.2 Static and Dynamic addressing
Static addressing: là địa chỉ cố định, không thay đổi. Các trường hợp sử dụng:
- DNS name resolution (phân giải tên miền DNS);
- IP address-based security (bảo mật dựa trên IP): Mô hình bảo mật cho phép truy cập từ địa chỉ IP cụ thể. IP tĩnh đảm bảo điều này không bị gián đoạn;
- SSL certificates;
- Firewall rules: IP tĩnh đảm bảo các quy tắc kiểm soát truy cập hoạt động chính xác;
- Role-based Virtual Machine.
Dynamic addressing: Tự động gán qua DHCP, có thể thay đổi khi khởi động lại tài nguyên.
4. Một số yếu tố quan trọng khi thiết kế Azure Virtual Network
Các yếu tố quan trọng cần cân nhắc khi thiết kế mạng ảo Azure (Azure Virtual Network):
4.1 Yêu cầu của dịch vụ (Service reqiurement):
- Mỗi dịch vụ được triển khai trực tiếp trong mạng ảo có những yêu cầu cụ thể về định tuyến và loại lưu lượng truy cập được phép vào và ra khỏi subnet.
4.2 Điểm cuối dịch vụ (Service endpoints):
- Bạn có thể sử dụng service endpoint để hạn chế quyền truy cập vào các dịch vụ Azure cụ thể (như tài khoản lưu trữ Azure hoặc cơ sở dữ liệu SQL Azure) chỉ cho các subnet cụ thể trong mạng ảo của bạn.
- Điều này cho phép bạn từ chối quyền truy cập công khai internet vào các tài nguyên đó trong khi vẫn cho phép các tài nguyên được ủy quyền trong mạng ảo của bạn truy cập chúng.
4.3 Nhóm bảo mật mạng (Network security groups):
- Mỗi subnet trong mạng ảo của bạn có thể có zero hoặc một nhóm bảo mật mạng Azure Network Security Groups (NSG) được liên kết với nó.
- Bạn có thể gán cùng một NSG cho nhiều subnet hoặc tạo các NSG khác nhau với các quy tắc cụ thể cho mỗi subnet.
- NSG chứa các quy tắc cho phép hoặc từ chối lưu lượng truy cập dựa trên thông tin nguồn, đích và cổng. Điều này cho phép bạn xác định loại lưu lượng truy cập nào có thể vào và thoát khỏi các subnet của bạn.
Bài viết liên quan:
