Lesson 06 — Mạng đám mây (Cloud Networking)

Trình thiết kế VPC tương tác — CIDR, subnet, gateway, Security Group, NACL, route table.

1. Thiết kế VPC & mô phỏng luồng gói tin

Cấu hình VPC

Chọn kịch bản để mô phỏng luồng gói tin

2. Máy tính CIDR & chia subnet

Nhập CIDR rồi bấm Tính
Biểu diễn nhị phân
Chia thành N subnet bằng nhau

3. Trình giả lập Security Group (Stateful)

Security Group chỉ có rule ALLOW. Mặc định chặn tất cả inbound. Stateful: nếu inbound được phép, response outbound tự động qua.
Thêm Inbound Rule:
Rules hiện tại:
Chưa có rule — tất cả inbound bị chặn.
Kiểm tra kết nối:
Nhập thông tin kết nối rồi bấm Kiểm tra.

4. Trình giả lập Network ACL (Stateless)

Network ACL có cả ALLOW và DENY, đánh số thứ tự — rule số nhỏ kiểm tra trước, rule đầu khớp thì dừng. Stateless: phải thêm rule cho cả 2 chiều (inbound + outbound) và ephemeral ports.
Inbound Rules
#ProtoPortNguồnAction
Outbound Rules
#ProtoPortĐíchAction
Kiểm tra gói tin (kịch bản NACL):
Nhập thông tin rồi bấm Kiểm tra.

5. Bảng định tuyến & Longest Prefix Match

Route table dùng longest prefix match: quy tắc với prefix dài nhất (cụ thể nhất) được ưu tiên. Ví dụ: đích 10.0.2.5 khớp cả 10.0.0.0/160.0.0.0/0, nhưng /16 cụ thể hơn → dùng route nội bộ.
Route table — Public Subnet public
DestinationTargetGhi chú
10.0.0.0/16localNội bộ VPC
0.0.0.0/0igw-0a1b2c3dRa Internet
Route table — Private Subnet private
DestinationTargetGhi chú
10.0.0.0/16localNội bộ VPC
0.0.0.0/0nat-0x1y2z3wRa ngoài qua NAT GW
Tìm route cho địa chỉ đích:
Nhập địa chỉ đích và chọn subnet, rồi bấm Tra cứu.

6. So sánh Security Group vs Network ACL

Tiêu chí Security Group SG Network ACL NACL
Gắn vào Instance (EC2, RDS...) Subnet
Stateful/Stateless Stateful — response tự động Stateless — phải thêm cả 2 chiều
Loại rule Chỉ ALLOW ALLOW + DENY
Thứ tự rule Tất cả rule đều đánh giá (union) Số nhỏ trước; khớp đầu tiên → dừng
Mặc định (AWS) Chặn inbound, cho outbound Cho tất cả (default NACL) hoặc chặn tất cả (custom NACL)
Khi nào cần Kiểm soát chi tiết từng instance Chặn IP xấu ở cấp subnet; DENY nhanh trước khi SG xử lý
Thứ tự kiểm tra gói tin vào instance: Internet → IGW → NACL inbound (subnet) → Security Group inbound (instance) → instance xử lý → Security Group outbound (stateful: response tự động qua nếu inbound ok) → NACL outbound (stateless: phải có rule) → IGW → Internet.