Lesson 06 — Mạng đám mây (Cloud Networking)
Trình thiết kế VPC tương tác — CIDR, subnet, gateway, Security Group, NACL, route table.
1. Thiết kế VPC & mô phỏng luồng gói tin
Cấu hình VPC
Chọn kịch bản để mô phỏng luồng gói tin
2. Máy tính CIDR & chia subnet
Nhập CIDR rồi bấm Tính
Biểu diễn nhị phân
Chia thành N subnet bằng nhau
3. Trình giả lập Security Group (Stateful)
Security Group chỉ có rule ALLOW. Mặc định chặn tất cả inbound. Stateful: nếu inbound được phép, response outbound tự động qua.
Thêm Inbound Rule:
–
Rules hiện tại:
Chưa có rule — tất cả inbound bị chặn.
Kiểm tra kết nối:
Nhập thông tin kết nối rồi bấm Kiểm tra.
4. Trình giả lập Network ACL (Stateless)
Network ACL có cả ALLOW và DENY, đánh số thứ tự — rule số nhỏ kiểm tra trước, rule đầu khớp thì dừng. Stateless: phải thêm rule cho cả 2 chiều (inbound + outbound) và ephemeral ports.
Inbound Rules
| # | Proto | Port | Nguồn | Action |
|---|
Outbound Rules
| # | Proto | Port | Đích | Action |
|---|
Kiểm tra gói tin (kịch bản NACL):
Nhập thông tin rồi bấm Kiểm tra.
5. Bảng định tuyến & Longest Prefix Match
Route table dùng longest prefix match: quy tắc với prefix dài nhất (cụ thể nhất) được ưu tiên. Ví dụ: đích
10.0.2.5 khớp cả 10.0.0.0/16 và 0.0.0.0/0, nhưng /16 cụ thể hơn → dùng route nội bộ.
Route table — Public Subnet public
| Destination | Target | Ghi chú |
|---|---|---|
| 10.0.0.0/16 | local | Nội bộ VPC |
| 0.0.0.0/0 | igw-0a1b2c3d | Ra Internet |
Route table — Private Subnet private
| Destination | Target | Ghi chú |
|---|---|---|
| 10.0.0.0/16 | local | Nội bộ VPC |
| 0.0.0.0/0 | nat-0x1y2z3w | Ra ngoài qua NAT GW |
Tìm route cho địa chỉ đích:
Nhập địa chỉ đích và chọn subnet, rồi bấm Tra cứu.
6. So sánh Security Group vs Network ACL
| Tiêu chí | Security Group SG | Network ACL NACL |
|---|---|---|
| Gắn vào | Instance (EC2, RDS...) | Subnet |
| Stateful/Stateless | Stateful — response tự động | Stateless — phải thêm cả 2 chiều |
| Loại rule | Chỉ ALLOW | ALLOW + DENY |
| Thứ tự rule | Tất cả rule đều đánh giá (union) | Số nhỏ trước; khớp đầu tiên → dừng |
| Mặc định (AWS) | Chặn inbound, cho outbound | Cho tất cả (default NACL) hoặc chặn tất cả (custom NACL) |
| Khi nào cần | Kiểm soát chi tiết từng instance | Chặn IP xấu ở cấp subnet; DENY nhanh trước khi SG xử lý |
Thứ tự kiểm tra gói tin vào instance:
Internet → IGW → NACL inbound (subnet) → Security Group inbound (instance) → instance xử lý →
Security Group outbound (stateful: response tự động qua nếu inbound ok) →
NACL outbound (stateless: phải có rule) → IGW → Internet.