Tìm hiểu về Openstack và Triển khai hạ tầng Private Cloud mô phỏng | Tài liệu tham khảo học phần Điện toán đám mây

Cloud computing đạt được hiệu quả kinh tế do sự chia sẻ tài nguyên, cụ thể là cho phép các doanh nghiệp giảm chi phí về cơ sở hạ tầng. Sự phát triển của các mạng công nghệ tốc độ cao, giá thành của máy tính và các thiết bị lưu trữ thấp cũng như việc triển khai rộng rãi ảo hóa phần cứng, kiến trúc hướng dịch vụ, mô hình tự động hóa và các tiện ích máy tính sẵn có đã dẫn đến sự hình thành và phát triển của cloud computing. Tài liệu giúp bạn tham khảo, ôn tập và đạt kết quả cao. Mời bạn đón xem.

Đặt vấn đề
Trong sự phát triển của công nghệ thông tin, đặc biệt là sự phát triển
điện toán đám mây (Cloud Computing) trong những ứng dụng của cuộc
sống chưa bao giờ phổ biến tiện lợi như hiện nay. Việc ứng dụng điện
toán đám mây trong các doang nghiệp, các đơn vị hành chính sự nghiệp,
sở giáo dục nhu cầu cấp thiết trong việc xây dựng, thiết lập sở hạng
tầng và năng lực lưu trữ của các hệ thống hiện nay. Trên thế giới, điện toán
đám mây công nghệ đã phát triển khá lâu đã được đẩy mạnh trong
nhứng năm trở lại đây bởi các công ty công nghệ như Amazon, Google,
Microsoft. để quản phân phối tài nguyên cho các đơn vị trong
trường, trong đó chú trọng việc điều phối tài nguyên linh hoạt và phân chia
các vùng mạng.Trong báo cáo này chúng tôi sẽ nghiên cứ triển khai hệ
thống Private Cloud tại bộ môn “ĐIỆN TOÁN ĐÁM MÂY” của trường Đại
học PHENIKAA.
Do các ứng dụng đào tạo và thực hành là các ứng dụng đặc thù trong
giáo dục (đặc biệt là áp dụng cho trường đại học) nên đòi hỏi việc triển khai
cho từng đơn vị khác nhau. Các ứng dụng cho đào tạo thực hành
thường được sử dụng để phục vụ cho công tác quản lý, giảng dạy học tập
cho nên các đối tượng sử dụng rất đa dạng như các cán bộ quán lý của các
phòng ban, các cán bquán lý của các khoa trong nhà trường hay các giảng
viên, sinh viên… dẫn tới nhu cầu bảo mật phục vụ cho các đối tượng hay
nhóm đối tượng là khác nhau nên khi triển khai Private cloud, hệ thống cần
hoạt động ổn định, đảm bảo tính bảo mật nhưng không gây nhiều khó khăn
cho quản trị viên khi vận hành và phát triển. Ngoài ra, do
i
các ứng dụng đào tạo và thực hành phục vụ cho các mục đích và đối tượng
người dùng khác nhau nên cần quy hoạch hệ thống hạ tầng cơ sở một cách
tối ưu cũng là những thách thức và khó khăn khi triển khai hệ thống mạng
truyền thống nên khi triển khai Private cloud, đặc biệt dựa trên mà nguồn
mở Openstack, hệ thống cần được quy hoạch một cách hiệu quả tối ưu
nhưng vẫn đáp ứng nhu cầu về nền tảng cơ sở hạ tầng cho công tác quản lý,
giảng dạy học tập. Báo cáo này sẽ giới thiệu các khái niệm chung, hệ
thống thực tế đang triển khai cũng như các bài toàn khi triển khai, cụ thể là
quy hoạch hệ thống server đồng thời giải quyết bài toán quản trị và kết nối
mạng nhằm phục vụ cho các hoạt động đào tạo và thực hành.
ii
1
Chương 1 Giới thiệu đề tài
1. Tổng quan về Cloud computing:
Cloud computing sự tổng hòa các khái niệm như Web service, Web
2.0 các khái niệm mới khác cũng như các xu hướng công nghệ nổi bật,
dựa trên nền tảng Internet nhằm đáp ứng nhu cầu của người sử dụng. Ví dụ,
dịch vụ Google Application Engine hay Amazon EC2 cung cấp những ứng
dụng liên quan đến mua bán trực tuyến, được truy nhập từ một trình duyệt
web, còn các phần mềm và dữ liệu đều được lưu trữ trên các server hay các
datacenter.
Cloud computing còn được định nghĩa hình cung cấp các tài
nguyên hệ thống máy tính (như network, server, storage, ứng dụng và dịch
vụ), đặc biệt là khả năng lưu trữ và khả năng tự động xử lý mà người dùng
không quản trị một cách trực tiếp. Cloud computing còn được tả việc
nhiều người dùng sử dụng tài nguyên của các data center thông qua Internet.
Các hệ thống Cloud computing thường phân tán các tính năng tại các vị trí
khác nhau trong các cụm server.
2
Hình 1-1. Mô hình Cloud Computing
Cloud computing đạt được hiệu quả kinh tế do sự chia sẻ tài nguyên,
cụ thể là cho phép các doanh nghiệp giảm chi phí về cơ sở hạ tầng. Sự phát
triển của các mạng công nghệ tốc độ cao, giá thành của máy tính các
thiết bị lưu trữ thấp ng như việc triển khai rộng rãi ảo hóa phần cứng, kiến
trúc hướng dịch vụ, mô hình tự động hóa và các tiện ích máy nh sẵn có đã
dẫn đến sự hình thành và phát triển của cloud computing.
Theo NIST (Viện Quốc gia về tiêu chuẩn công nghệ mỹ), Cloud
computing gồm năm đặc tính bản: On-demand self-service, Broad
network access, Resource pooling, Rapid elasticity or expansion
Measured service. Trong đó, On-demand selfservice được hiểu khách
hàng thể tự quản dịch vụ của bản thân không cần sự trợ giúp của
đơn vị IT ngoài hoặc nhà cung cấp hosting. Broad network access được
3
hiểu là các dịch vụ cloud cần được truy cập thông qua các công nghệ mạng
thông thường. Resource pooling được hiểu các dịch vụ chạy trong
datacenter sử dụng chung hạ tầng được chia sẻ với nhiều người ng
khác nhau. Rapid elasticity or expansion được hiểu là dịch vụ cloud có kh
năng dễ dàng thay đổi theo đúng nhu cầu thực tế. Các dịch vụ phải được
thêm hay bớt theo đúng nhu cầu. Measured service được hiểu dịch vụ
cloud khnăng tối ưu tài nguyên sử dụng của người dùng được cập
nhật thường xuyên.
Ba hình dịch vụ được NIST trình bày dùng để định nghĩa các dịch
vụ cung c
p trong Cloud computing bao gồm: Software as a Service (SaaS),
Platform as a Service (PaaS) Infrastructure as a Service (IaaS). Trong
hình Software as a Service (SaaS), các phần mềm chạy trên datacenter
được quản lý bởi nhà cung cấp dịc vụ. Microsoft Office 365 là ví dụ điển
hình của hình SaaS. Trong hình Platform as a Service (PaaS), một
server chạy trên datacenter được quản lý bởi nhà cung cấp dịch vụ. Tuy
nhiên người dùng được quản lý các ứng dụng và lưu trữ dữ liệu trên server.
Ngoài Windows Azure, Amazon Web Service (AWS) dụ điển nh
trong hình này. Trong mô hình Infrastructure as a Service (IaaS), server
chạy trên datacenter của nhà cung cấp dịch vụ nhưng được quản hoàn
toàn bởi người dùng. Mọi chương trình, ứng dụng chạy trên server được
quản bởi người dùng: bao gồm các OS (bất kỳ hệ điều hành nào), các ứng
dụng và data lựu trữ trên Server.
Ngoài ra, NIST cũng liệt bốn hình triển khai cho Cloud
computing bao gồm: Private Cloud, Public Cloud, Community Cloud
Hybrid Cloud. hình Private Cloud hình sở hạ tầng được
triển khai dành cho chỉ duy nhất một khách hàng. Mỗi hệ thống Private
Cloud thể được đặt tại datacenter của người ng nhưng cũng thể
4
được đặt tại datacenter của nhà cung cấp dịch vụ. Các hệ thống Private
Cloud có thể được quản bởi người dùng, các nhà cung cấp dịch vụ hoặc
một đơn vị thứ ba chuyên cung cấp các dịch vụ Cloud. Tuy nhiên, người
dùng luôn phải chịu toàn bộ chi phí cho giải pháp. Các hệ thống Public
Cloud là mô hình mà cơ sở hạ tầng được triển khai để tất cả mọi người đều
thể sử dụng, không giới hạn số lượng, đối tượng người dùng ó thể
người dùng nhân hoặc các công ty lớn). Public Cloud được sdụng
phổ biến dễ dàng. Mirosoft Office 365, Microsoft Azure, Amazon Web
Service (AWS) NTC Cloud Server những dụ điển hình cho giải pháp
Public Cloud. hình Community Cloud hình sở hạ tầng được
chia scho nhiều tổ chức hoặc người ng chung mục đích. Việc quản
một Community Cloud thể do một tổ chức hoặc một đơn vị thứ ba
chuyên cung cấp các dịch vụ Cloud.
hình Hybrid Cloud hình sở hạ tầng được kết hợp từ 3
hình Cloud kể trên. Trong hệ thống Mirosoft Office 365, thể các mailbox
được lưu trữ trong hệ thống của Microsoft datacenter, nhưng cũng thể
kết hợp với Exchange Server các mailbox dùng riêng. Kết hợp lại tạo
nên một hện thống lai – hybrid messaging system.
Trong phạm vi triển khai của bài báo cáo, nh Private Cloud được
sử dụng để triển khai cài đặt.
2. Tổng quan về Private Cloud:
Private Cloud được định nghĩa các dịch vụ được cung cấp qua
Internet hoặc mạng nội bộ và bị giới hạn người dùng thay vì cho phép truy
cập công khai do vậy còn được gọi là Internal Cloud hay Corporate Cloud.
Private Cloud hỗ trợ doanh nghiệp những tiện ích như self-service, khnăng
mở rộngtính linh hoạt như khi sử dụng Public Cloud. Ngoài ra, Private
5
Cloud còn cung cấp tính riêng độ bảo mật cấp độ cao thông qua các
firewall và internal hosting để đảm bảo các hoạt động và dữ liệu quan trọng
không thể truy cập bởi nhà cung cấp dịch vụ bên thứ ba
Hai hình dịch vụ được áp dụng trong Private Cloud bao gồm:
Platform as a Service (PaaS) Infrastructure as a Service (IaaS). hình
đầu tiên Platform as a Service (PaaS) cho phép một tổ chức cung cấp mọi
thứ từ các ứng dụng miễn phí cho đến các ứng dụng trả phí. hình thứ
hai Infrastructure as a Serice (IaaS) cho phép một tổ chức sử dụng tài
nguyên của sở htầng như máy tính, hệ thống mạng các thiết bị lưu
trữ như một dịch vụ.
Private Cloud còn kết hợp với Public Cloud để tạo ra Hybrid Cloud
cho phép doanh nghiệp tận dụng Cloud Bursting để tối ưu không gian
quy mô các dịch vụ Cloud Computing khi người dùng hay tổ chức tăng nhu
cầu sử dụng.
3. Tổng quan về Virtualization:
Ảo a (virtualization) được định nghĩa là sự triển khai một hệ thống
máy tính ảo trên nền một hệ thống máy tính thật. Ngoài ra, ảo hóa đề cập
đến việc giả lập mọi thiết bị bằng bao gồm sự ảo hóa các nền tảng phần
cứng máy tính, các thiết bị lưu trữ, tài nguyên cũng như hệ thống mạng máy
tính. Nói cách khác, ảo hóa cũng có thể được coi một kỹ thuật cho phép
người dùng chia sẻ một instance vật của một tài nguyên hoặc một ứng
dụng giữa nhiều người dùng và tổ chức khác nhau.
Ý tưởng của ảo hóa không phải điều mới. Ý tưởng này được IBM
giới thiệu vào năm 1960 khi các mainframe được sử dụng. Các mainframe hầu
như không được sử dụng hết hiệu suất cũng như tính năng. Ảo hóa một
6
phương pháp tối ưu trong việc cung cấp các tài nguyên hệ thống cho các ứng
dụng khác nhau hoạt động trên các mainframe.
Hình 1-2. Sự khác biệt về kiến trúc máy tính giữa công nghệ truyền thống với
công nghệ ảo hóa
Do sự phát triển của công nghệ như
Utility Computing Cloud
Computing, công nghệ ảo hóa được chú trọng hơn trong sự phát triển của
các công nghệ mới gần đây.
Ảo hóa được phân thành rất nhiều loại, cụ thể như sau:
Bảng 1-1. Các loại ảo hóa
7
Nền tảng hypervisor được giới thiệu sau đây cũng sử dụng công nghệ ảo
hóa.
4. Tổng quan về Hypervisor:
Theo Redhat, hypervisor phần mềm khái quát phần cứng từ một hệ
điều hành cho phép nhiều hệ điều hành cùng chạy trên cùng nền tảng phần
8
cứng. Hypervisor chạy trên h
th
ng cho phép các máy ảo chạy trên n
n ph
n
c
ng c
a host.
Theo VMWare, hypervisor là phần mềm cung cấp các tính ng phân
vùng ảo chạy trực tiếp trên phần cứng, nhưng ảo hóa các dịch vụ mạng
mức tối đa.
Hypervisor phần mềm máy tính, firmware hay ph
n c
ng nh
m t
o
và ch
y máy ảo. Một máy tính mà một hypervisor chạy một hay nhiều máy
ảo được gọi là máy Host và mỗi máy ảo được gọi là máy Guest.
Hypervisor biểu diễn bằng một nền tảng vận hành ảo chứa Guest OS
và quản lý vận hành Guest OS. Các instance trong các hệ điều hành thể
chia sẻ nhau các tài nguyên phần cứng ảo, chẳng hạn, các instance chứa
Linux, Windows macOS thể cùng chạy trên một máy tính đơn x86.
chế Hypervisor trái ngược với OS virtualization, tại đó tất cả các
instance (container) phải chia scùng một nhân (kernel) thông qua Guest
OS để phân chia các không gian sử dụng khác nhau.
Hình 1-3. Hai cơ chế ảo hóa phần cứng
9
Do sự phát triển của công nghệ ảo hóa nên các nền tảng phần cứng
cũng sự thay đổi. Intel hay AMD đã thiết kế các hệ thống vi xử mới
mở rộng từ kiến trúc x86 tương ứng với những công nghệ được biết ngày
nay là Intel VT-x hay AMD-V. Chipset Intel 80286 đã được giới thiệu về 2
phương thức về địa chỉ bộ nhớ: địa chỉ bộ nhớ thực
(real mode) và địa chỉ bộ nhớ ảo (protected mode). Địa chỉ bộ nhớ ảo cung
cấp các tính năng hỗ trợ multicasting như phần cứng hỗ trợ bộ nhớ ảo
thành phần vi xử lý.
Dựa trên nền tảng đó, Hypervisor được phân thành 2 loại như sau:
Native hypervisor (Bare-metal hypervisor), Hosted hypervisor.
Hình 1-4. Phân loại hypervisor
a. Native hypervisor (Bare-metal hypervisor)
Hypervisor chạy trực tiếp trên phần cứng server và quản các Guest
OS. Các hypervisor được IBM phát triển vào những năm 1960, bao gồm
phần mềm test SIMON, hệ điều hành CP/CMS hay Hệ điều hành Antsle,
10
Xen, XCP-ng, SPARC Oracle VM Server, Oracle VM Server x86,
Microsoft Hyper-V, Xbox One VMware ESXi (phiên bản trước đó
VMware ESX).
b. Hosted hypervisor
Hypervisor chạy thông qua một chương trình máy tính hay một hệ điều
hành chạy nền. Mỗi Guest OS chạy như một vi xử lý của host.
Hypervisor khái quát Guest OS từ Host OS, bao gồm VMware Workstation,
VMware Player, VirtualBox, Parallels Desktop for Mac và
QEMU.
Tuy nhiên sự khác biệt của 2 loại hypervisor không phải lúc nào cũng
ràng. dụ như Kernel-based Virtual Machine (KVM) của Linux hay
Bhyve của FreeBSD những module nhân thể thao tác trực tiếp trên
máy host như một native hypervisor. Đồng thời, do các phiên bản Linux và
FreeBSD vẫn sử dụng nền tảng các hệ điều hành chung và cạnh tranh nhau
về các ưng dụng cho các tài nguyên máy ảo nên KVM Bhyve thể được
xem như một hosted hypervisor.
Chương 2 : Giới thiệu về, VPC, Networking, Computing,
OPENSTACK
1. Virtual Private Cloud (VPC).
1.1. Tổng quan
Amazon Virtual Private Cloud (Amazon VPC) là dịch vụ cho phép bạn khởi
chạy các tài nguyên AWS trong mạng ảo cô lập theo logic mà bạn xác định.
Bạn toàn quyền kiểm soát môi trường mạng ảo của mình, bao gồm lựa
chọn dải địa chỉ IP, tạo các mạng con, cấu hình các bảng định tuyến và cổng
kết nối mạng. Bạn có thể dùng cả IPv4 IPv6 cho hầu hết các tài nguyên
11
trong đám mây riêng ảo, giúp bảo mật nghiêm ngặt và truy cập dễ dàng các
tài nguyên cũng như ứng dụng.
một trong các dịch vụ nền tảng của AWS, Amazon VPC sẽ giúp bạn dễ
dàng tùy chỉnh cấu hình mạng của VPC. Bạn có thể tạo một mạng con công
khai cho các máy chủ web có quyền truy cập internet. Dịch vụ này cũng cho
phép bạn đặt các hệ thống backend, như máy chủ ứng dụng hoặc sở dữ
liệu, trong mạng con riêng không quyền truy cập internet. Với Amazon
VPC, bạn có thể sử dụng nhiều lớp bảo mật, bao gồm các nhóm bảo mật và
danh sách kiểm soát truy cập mạng, để giúp kiểm soát quyền truy cập vào
các phiên bản Amazon EC2 trong mỗi mạng con.
1.2. Thành phần của VPC
1.1.1 A Virtual Private Cloud: Một mạng ảo được phân chia một cách
logic trên đám mây AWS
1.1.2 Subnet: Subnet chỉ phân đoạn network nhỏ hơn khi bạn
VPC rồi chia ra thành những phần network nhỏ hơn để quản lý.
1.1.3 Internet Gateway: Internet Gateway thành phần VPC cho phép
truyền tin giữa internet và instance của VPC.
1.1.4 Route Table: Một bảng định tuyến bao gồm các rule được gọi
‘route’, các route này sẽ giúp xác định đường đi của lưu lượng
mạng ra vào. Mỗi subnet trong VPC của bạn sẽ được liên kết với
một bảng định tuyến (route table), bảng định tuyến này sẽ quản lý
route trong subnet. Một subnet chỉ có thể liên kế với 1 bảng định
tuyến tại 1 thời điểm, nhưng chiều ngược lại bạn có thể liên kết nhiều
subnet với 1 bảng định tuyến.
12
1.1.5 NAT Gateway: Một dịch vụ Network Address Translation (NAT)
được quản lý, sẵn có cho các tài nguyên của bạn trong một Private
subnet để truy cập Internet.
1.1.6 Virtual private gateway: Kết nối VPN từ phía của Amazon.
1.1.7 Peering Connection: Kết nối ngang hàng cho phép bạn định tuyến
lưu lượng qua các địa chỉ Private IP giữa hai VPC ngang hàng.
chế để các instance của VPC sử dụng địa chỉ IP private
thể truyền tin tới các resource khác như là S3, RDS ...
1.1.8 VPC Endpoints: Cho phép kết nối riêng với các dịch vụ được
lưu trữ trong AWS, tbên trong VPC của bạn không cần sử
dụng Cổng Internet, VPN, thiết bị Network Address Translation
(NAT) hoặc proxy Firewall.
1.1.9 Egress-only Internet Gateway: Một cổng kết nối trạng thái để cung
cấp quyền truy cập duy nhất cho lưu lượng IPv6 từ VPC đến
Internet.
1.1.10 Security Group: Nhóm bảo mật hoạt động như một bức tườnglửa
cho các phiên bản Amazon EC2 được liên kết, kiểm soát cả lưu
lượng truy cập vào ra cấp phiên bản. Khi khởi chạy một phiên
bản, bạn thể liên kết với một hoặc nhiều nhóm bảo mật
bạn đã tạo. Mỗi phiên bản trong VPC của bạn thể thuộc một
nhóm bảo mật khác nhau. Nếu bạn không chỉ định
nhóm bảo mật khi khởi chạy một phiên bản, phiên bản đó sẽ tự động
được liên kết với nhóm bảo mật mặc định cho VPC.
13
1.1.11 Network Access Control Lists (ACLs): Danh sách kiểm soát
truycập mạng (ACL) một lớp bảo mật tùy chọn cho VPC của
bạn, hoạt động như một bức tường lửa để kiểm soát lưu lượng truy
cập vào và ra khỏi một hoặc nhiều mạng con. Bạn có thể thiết lập
ACL mạng với các quy tắc tương tự như các nhóm bảo mật của
mình để thêm một lớp bảo mật bổ sung vào VPC của bạn.
1.1.12 VPC CIDR Block: mỗi VPC được liên kết (associated) với mộtdải
địa chỉ IP là một phần của Classless Inter-Domain Routing (CIDR)
block được sử dụng để cấp phát (hay phân bổ) địa chỉ IP private
đến EC2 Instances, tất cả VPC mặc định sẽ được liên kết 1 dải địa
chỉ 172.31.0.0/16 với IPv4 CIDR block.
1.3. Các đặc tính của Amazon VPC
Kết nối trực tiếp Internet public từ lớp mạng public. Bạn thể
khởi tạo instance từ một subnet public có thể gửi và nhận dữ liệu trực
tiếp với Internet.
Kết nối đến Internet Public thông qua NAT (private subnet). Nếu bạn
chạy các Instance ở phía trong mạng nội bộ và có nhu cầu muốn truy
xuất ra Internet public thì thể định tuyến lưu lượng qua NAT
Gateway ở lớp mạng public.
Kết nối an toàn tới trung tâm dữ liệu của bạn. Mọi lưu lượng vào
ra máy chủ Instance trong VPC thể được định tuyến tới Data Center,
hỗ trợ VPN phần cứng IPSec.
Kết nối riêng (private connect) giữa các VPC peer VPC giúp chia sẻ tài
nguyên qua lớp mạng ảo hoá sở hữu của nhiều tài khoản AWS.
14
Kết nối riêng với các dịch vụ của AWS thông qua VPC Endpoint bao
gồm các dịch vụ : S3, DynamoDB, Kinesis Streams, Service Catalog,
AWS Systems Manager, Elastic Load Balancing (ELB) API, Amazon
Elastic Compute Cloud (EC2) API và SNS.
Kết nối riêng (private connect) đến các giải pháp SaaS do AWS
PrivateLink hỗ trợ.
Kết nối riêng (private connect) đến các dịch vụ nội bộ thông qua các
tài khoản khác nhau hình VPC khác trong hệ thống của tổ
chức/doanh nghiệp của bạn nhằm giúp đơn giản hoá kiến trúc mạng
nội bộ
1.4. Các lợi ích khi sử dụng Amazon VPC
Kết nối mạng bảo mật và được giám sát: Amazon VPC mang đến các
tính năng bảo mật nâng cao, cho phép bạn lọc lưu lượng đến và đi ở cấp
độ mạng con phiên bản. Ngoài ra, bạn thể lưu trữ dữ liệu trong
Amazon S3 hạn chế quyền truy cập để chỉ thể truy cập những dữ
liệu này từ các phiên bản bên trong VPC. Amazon VPC cũng có các tính
năng giám sát để bạn có thể thực hiện các chức năng như giám sát ngoài
dải tần kiểm tra lưu lượng nội tuyến, từ đó giúp sàng lọc bảo mật
lưu lượng truy cập.
Thiết lập sử dụng đơn giản: Với quá trình thiết lập đơn giản của
Amazon VPC, bạn không mất thời gian thiết lập, quản xác thực,
nhờ đó thể tập trung xây dựng các ứng dụng chạy trong VPC của mình.
Bạn thể dễ dàng tạo VPC bằng cách dùng Bảng điều khiển quản
AWS hoặc Giao diện dòng lệnh (CLI). Sau khi bạn chọn cách thiết lập
mạng phù hợp nhất với nhu cầu từ các cách thiết lập thông dụng, VPC sẽ
tự động tạo mạng con, dải IP, bảng định tuyến và nhóm bảo mật bạn cần.
Mạng ảo thể tùy chỉnh: Với Amazon VPC, bạn có thể tạo dải Địa chỉ
IP mạng con của riêng mình, cũng như đặt cấu hình mạng bảng định
tuyến cho mọi cổng sẵn có, nhđó quản tốt hơn mạng ảo của bạn. Bạn
thể tùy chỉnh cấu nh mạng bằng cách tạo mạng con hướng công khai
cho các máy chủ web quyền truy cập internet. Đặt các hệ thống
15
backend (như máy chủ ứng dụng hoặc sở dữ liệu) trong mạng con
hướng riêng tư. Với Amazon VPC, bạn thể đảm bảo rằng đám mây
riêng ảo của mình được đặt cấu hình phù hợp với các nhu cầu kinh doanh
cụ thể.
1.5. Ưu nhược điểm của VPC
1.5.1. Ưu điểm
Khả năng mở rộng
VPC được lưu trữ bởi nhà cung cấp đám mây công cộng, khách hàng
thể có thêm nhiều tài nguyên điện toán hơn theo yêu cầu.
Triển khai Hybrid Cloud dễ dàng
Việc kết nối VPC với đám mây công cộng hoặc với cơ sở hạ tầng tại chỗ
thông qua VPN là tương đối đơn giản. Nâng cao hiệu suất
Các trang web ứng dụng được lưu trữ trên các đám mây thường hoạt
động tốt hơn so với các trang web và các ứng dụng được lưu trữ trên các
máy chủ cục bộ tại chỗ.
Tăng cường bảo mật
Các nhà cung cấp dịch vụ Public Cloud thường đưa ra nhiều tài nguyên
hơn để cập nhật duy trì sở hạ tầng, đặc biệt là với các doanh nghiệp
quy mô vừa và nhỏ trên thị trường đối với các khách hàng sử dụng VPC.
Đối với các doanh nghiệp lớn hoặc bất kỳ công ty nào phải đối mặt với
các quy định bảo mật dữ liệu cực kỳ chặt chẽ, việc sử dụng VPC thể
sẽ không mang lại nhiều lợi ích.
1.5.2. Nhược điểm
16
Chi phí cao: Sử dụng VPC thể tốn kém hơn so với việc sử dụng mạng truyền
thống hoặc mạng riêng ảo (VPN).
Khó khăn trong việc triển khai: Cài đặt cấu hình VPC có thể phức tạp đối
với người không có kinh nghiệm về đám mây.
Bảo mật có thể bị đe dọa: Dù VPC được xem là một mô hình mạng an toàn,
nhưng nếu không được cấu hình đúng cách, nó thể bị tấn công từ các mối
đe dọa bên ngoài.
Không kiểm soát đầy đủ: Việc cấu hình quản lý VPC phải được thực
hiện bởi nhà cung cấp đám mây, do đó, người sử dụng không kiểm soát
đầy đủ về môi trường VPC.
Phụ thuộc vào nhà cung cấp dịch vụ đám mây: VPC chỉ hoạt động trên nền
tảng đám mây phthuộc vào nhà cung cấp dịch vđám mây, nếu nhà cung
cấp có sự cố hoặc ngừng hoạt động, VPC có thể bị gián đoạn.
2. Networking
2.1. Tổng quan
hình networking một khung nhìn tổng quan về cách các thiết bị
mạng ơng tác với nhau trong một mạng máy nh. nh này cung cấp
một cách tiêu chuẩn để thiết kế, triển khai và quản lý mạng máy tính.
Một trong những hình networking phổ biến nhất hình TCP/IP
(Transmission Control Protocol/Internet Protocol), được sdụng rộng rãi trên
toàn cầu trong việc kết nối các thiết bị mạng với nhau. Mô hình này chia quá
trình truyền tải dữ liệu trên mạng thành các lớp khác nhau, từ lớp vật cho
đến lớp ứng dụng.
Một số hình networking khác bao gồm OSI (Open Systems
Interconnection) hình SNA (Systems Network Architecture), được phát
triển bởi IBM. Mỗi mô hình đều cách tiếp cận khác nhau để tương tác giữa
các thiết bị mạng, nhưng mục đích chung của chúng tạo ra một chuẩn chung
để các thiết bị mạng có thể hoạt động cùng nhau trong một mạng máy tính.
2.2. Thành phần
17
Lớp vật lý (Physical Layer): Lớp này đại diện cho phần cứng của mạng,
bao gồm cáp, hub, switch, router các thiết bị mạng khác. Nhiệm vụ
của lớp này chuyển đổi dữ liệu từ dạng tín hiệu điện tử sang tín hiệu
vật lý để truyền qua các kết nối mạng.
Lớp liên kết dữ liệu (Data Link Layer): Lớp này quản các khung dữ
liệu đảm bảo dữ liệu được truyền tải đúng không bị lỗi. Các thiết
bị mạng trong cùng một mạng LAN (Local Area Network) thường hoạt
động ở lớp này.
Lớp mạng (Network Layer): Lớp này quản việc chuyển tiếp các i
dữ liệu qua các mạng khác nhau. Các thiết bị mạng tại lớp này bao gồm
router, gateway, firewall và các thiết bị mạng khác.
Lớp vận chuyển (Transport Layer): Lớp này quản việc chia nhỏ
ghép nối các gói dữ liệu để truyền tải thông tin giữa các ứng dụng trên
mạng. Các giao thức được sử dụng thường TCP (Transmission Control
Protocol) và UDP (User Datagram Protocol.
Lớp phiên (Session Layer): Lớp này quản việc thiết lập, duy trì giải
phóng các phiên kết nối giữa các ứng dụng trên mạng.
Lớp trình diễn (Presentation Layer): Lớp này quản lý việc định dạng dữ
liệu và mã hóa truyền tải dữ liệu giữa các thiết bị mạng.
Lớp ứng dụng (Application Layer): Lớp này quản các ứng dụng trên
mạng, bao gồm các giao thức truyền tải dữ liệu như HTTP (HyperText
Transfer Protocol), FTP (File Transfer Protocol) và SMTP (Simple Mail
Transfer Protocol).
18
2.3. Ưu nhược điểm
2.3.1. Ưu điểm:
Chia sẻ tài nguyên: Mạng máy tính cho phép các thiết bị truy cập và chia
sẻ các tài nguyên như máy in, phần mềm, dữ liệu, ổ đĩa và máy chủ.
Dễ dàng quản lý và bảo trì: Mạng máy tính cho phép quản trị viên quản
cấu hình các thiết bị mạng từ một vị trí duy nhất giúp dễ dàng
kiểm soát và bảo trì các thiết bị mạng.
Tăng tốc độ truyền tải dữ liệu: Mạng máy tính có thể tăng tốc độ truyền
tải dữ liệu giữa các thiết bị mạng giảm thiểu thời gian truyền tải dữ
liệu.
Tăng khả năng linh hoạt: Mạng máy tính cho phép các thiết bị mạng kết
nối với nhau, tăng khả năng linh hoạt đồng bộ hoá giữa các thiết bị
mạng.
Tiết kiệm chi phí: Mạng máy tính giúp tiết kiệm chi phí khi sử dụng các
tài nguyên chung như máy in, máy chủ và phần mềm.
2.3.2. Nhược điểm:
Bảo mật riêng tư: Mạng máy tính thể bị đe dọa về bảo mật riêng tư,
nếu không được cấu hình và bảo mật đúng cách.
Sự cố kỹ thuật: Mạng máy tính có thể gặp sự cố kỹ thuật, khiến cho các thiết bị
mạng không hoạt động như mong đợi.
Chi phí đầu tư ban đầu: Thiết lập mạng máy tính đòi hỏi một khoản đầu tư lớn
cho phần cứng và phần mềm cũng như chi phí triển khai và bảo trì.
Phụ thuộc vào mạng: Sự cố hoặc lỗi ở mạng có thkhiến cho các thiết bị mạng
không thhoạt động hoặc giảm hiệu suất, ảnh hưởng đến công việc kinh
doanh của doanh nghiệp
Giới hạn về khoảng cách: Mạng máy tính có giới hạn về khoảng cách giữa các
thiết bị mạng
Hiệu suất mạng: Hiệu suất mạng có thbị giảm do sự tắc nghẽn mạng hoặc tốc
độ truyền tải chậm.
| 1/40

Preview text:

Đặt vấn đề
Trong sự phát triển của công nghệ thông tin, đặc biệt là sự phát triển
điện toán đám mây (Cloud Computing) trong những ứng dụng của cuộc
sống chưa bao giờ phổ biến và tiện lợi như hiện nay. Việc ứng dụng điện
toán đám mây trong các doang nghiệp, các đơn vị hành chính sự nghiệp, cơ
sở giáo dục là nhu cầu cấp thiết trong việc xây dựng, thiết lập cơ sở hạng
tầng và năng lực lưu trữ của các hệ thống hiện nay. Trên thế giới, điện toán
đám mây là công nghệ đã phát triển khá lâu và đã được đẩy mạnh trong
nhứng năm trở lại đây bởi các công ty công nghệ như Amazon, Google,
Microsoft. Và để quản lý và phân phối tài nguyên cho các đơn vị trong
trường, trong đó chú trọng việc điều phối tài nguyên linh hoạt và phân chia
các vùng mạng.Trong báo cáo này chúng tôi sẽ nghiên cứ và triển khai hệ
thống Private Cloud tại bộ môn “ĐIỆN TOÁN ĐÁM MÂY” của trường Đại học PHENIKAA.
Do các ứng dụng đào tạo và thực hành là các ứng dụng đặc thù trong
giáo dục (đặc biệt là áp dụng cho trường đại học) nên đòi hỏi việc triển khai
cho từng đơn vị là khác nhau. Các ứng dụng cho đào tạo và thực hành
thường được sử dụng để phục vụ cho công tác quản lý, giảng dạy và học tập
cho nên các đối tượng sử dụng rất đa dạng như các cán bộ quán lý của các
phòng ban, các cán bộ quán lý của các khoa trong nhà trường hay các giảng
viên, sinh viên… dẫn tới nhu cầu bảo mật phục vụ cho các đối tượng hay
nhóm đối tượng là khác nhau nên khi triển khai Private cloud, hệ thống cần
hoạt động ổn định, đảm bảo tính bảo mật nhưng không gây nhiều khó khăn
cho quản trị viên khi vận hành và phát triển. Ngoài ra, do i
các ứng dụng đào tạo và thực hành phục vụ cho các mục đích và đối tượng
người dùng khác nhau nên cần quy hoạch hệ thống hạ tầng cơ sở một cách
tối ưu cũng là những thách thức và khó khăn khi triển khai hệ thống mạng
truyền thống nên khi triển khai Private cloud, đặc biệt là dựa trên mà nguồn
mở Openstack, hệ thống cần được quy hoạch một cách hiệu quả và tối ưu
nhưng vẫn đáp ứng nhu cầu về nền tảng cơ sở hạ tầng cho công tác quản lý,
giảng dạy và học tập. Báo cáo này sẽ giới thiệu các khái niệm chung, hệ
thống thực tế đang triển khai cũng như các bài toàn khi triển khai, cụ thể là
quy hoạch hệ thống server đồng thời giải quyết bài toán quản trị và kết nối
mạng nhằm phục vụ cho các hoạt động đào tạo và thực hành. ii
Chương 1 Giới thiệu đề tài
1. Tổng quan về Cloud computing:
Cloud computing là sự tổng hòa các khái niệm như Web service, Web
2.0 và các khái niệm mới khác cũng như các xu hướng công nghệ nổi bật,
dựa trên nền tảng Internet nhằm đáp ứng nhu cầu của người sử dụng. Ví dụ,
dịch vụ Google Application Engine hay Amazon EC2 cung cấp những ứng
dụng liên quan đến mua bán trực tuyến, được truy nhập từ một trình duyệt
web, còn các phần mềm và dữ liệu đều được lưu trữ trên các server hay các datacenter.
Cloud computing còn được định nghĩa là mô hình cung cấp các tài
nguyên hệ thống máy tính (như network, server, storage, ứng dụng và dịch
vụ), đặc biệt là khả năng lưu trữ và khả năng tự động xử lý mà người dùng
không quản trị một cách trực tiếp. Cloud computing còn được mô tả việc
nhiều người dùng sử dụng tài nguyên của các data center thông qua Internet.
Các hệ thống Cloud computing thường phân tán các tính năng tại các vị trí
khác nhau trong các cụm server. 1
Hình 1-1. Mô hình Cloud Computing
Cloud computing đạt được hiệu quả kinh tế do sự chia sẻ tài nguyên,
cụ thể là cho phép các doanh nghiệp giảm chi phí về cơ sở hạ tầng. Sự phát
triển của các mạng công nghệ tốc độ cao, giá thành của máy tính và các
thiết bị lưu trữ thấp cũng như việc triển khai rộng rãi ảo hóa phần cứng, kiến
trúc hướng dịch vụ, mô hình tự động hóa và các tiện ích máy tính sẵn có đã
dẫn đến sự hình thành và phát triển của cloud computing.
Theo NIST (Viện Quốc gia về tiêu chuẩn và công nghệ mỹ), Cloud
computing gồm năm đặc tính cơ bản: On-demand self-service, Broad
network access, Resource pooling, Rapid elasticity or expansion
Measured service. Trong đó, On-demand selfservice được hiểu là khách
hàng có thể tự quản lý dịch vụ của bản thân mà không cần sự trợ giúp của
đơn vị IT ngoài hoặc nhà cung cấp hosting. Broad network access được 2
hiểu là các dịch vụ cloud cần được truy cập thông qua các công nghệ mạng
thông thường. Resource pooling được hiểu là các dịch vụ chạy trong
datacenter sử dụng chung hạ tầng và được chia sẻ với nhiều người dùng
khác nhau. Rapid elasticity or expansion được hiểu là dịch vụ cloud có khả
năng dễ dàng thay đổi theo đúng nhu cầu thực tế. Các dịch vụ phải được
thêm hay bớt theo đúng nhu cầu. Measured service được hiểu là dịch vụ
cloud có khả năng tối ưu tài nguyên sử dụng của người dùng và được cập nhật thường xuyên.
Ba mô hình dịch vụ được NIST trình bày dùng để định nghĩa các dịch
vụ cung cấp trong Cloud computing bao gồm: Software as a Service (SaaS),
Platform as a Service (PaaS)
Infrastructure as a Service (IaaS). Trong
mô hình Software as a Service (SaaS), các phần mềm chạy trên datacenter
và được quản lý bởi nhà cung cấp dịc vụ. Microsoft Office 365 là ví dụ điển
hình của mô hình SaaS. Trong mô hình Platform as a Service (PaaS), một
server chạy trên datacenter và được quản lý bởi nhà cung cấp dịch vụ. Tuy
nhiên người dùng được quản lý các ứng dụng và lưu trữ dữ liệu trên server.
Ngoài Windows Azure, Amazon Web Service (AWS) là ví dụ điển hình
trong mô hình này. Trong mô hình Infrastructure as a Service (IaaS), server
chạy trên datacenter của nhà cung cấp dịch vụ nhưng được quản lý hoàn
toàn bởi người dùng. Mọi chương trình, ứng dụng chạy trên server được
quản lý bởi người dùng: bao gồm các OS (bất kỳ hệ điều hành nào), các ứng
dụng và data lựu trữ trên Server.
Ngoài ra, NIST cũng liệt kê bốn mô hình triển khai cho Cloud
computing bao gồm: Private Cloud, Public Cloud, Community Cloud
Hybrid Cloud. Mô hình Private Cloud là mô hình mà cơ sở hạ tầng được
triển khai dành cho chỉ duy nhất một khách hàng. Mỗi hệ thống Private
Cloud
có thể được đặt tại datacenter của người dùng nhưng cũng có thể 3
được đặt tại datacenter của nhà cung cấp dịch vụ. Các hệ thống Private
Cloud
có thể được quản lý bởi người dùng, các nhà cung cấp dịch vụ hoặc
một đơn vị thứ ba chuyên cung cấp các dịch vụ Cloud. Tuy nhiên, người
dùng luôn phải chịu toàn bộ chi phí cho giải pháp. Các hệ thống Public
Cloud
là mô hình mà cơ sở hạ tầng được triển khai để tất cả mọi người đều
có thể sử dụng, không giới hạn số lượng, đối tượng người dùng (đó có thể
là người dùng cá nhân hoặc các công ty lớn). Public Cloud được sử dụng
phổ biến và dễ dàng. Mirosoft Office 365, Microsoft Azure, Amazon Web
Service (AWS) và NTC Cloud Server là những ví dụ điển hình cho giải pháp
Public Cloud. Mô hình Community Cloud là mô hình mà cơ sở hạ tầng được
chia sẻ cho nhiều tổ chức hoặc người dùng có chung mục đích. Việc quản
lý một Community Cloud có thể do một tổ chức hoặc một đơn vị thứ ba
chuyên cung cấp các dịch vụ Cloud.
Mô hình Hybrid Cloud là mô hình mà cơ sở hạ tầng được kết hợp từ 3 mô
hình Cloud kể trên. Trong hệ thống Mirosoft Office 365, có thể các mailbox
được lưu trữ trong hệ thống của Microsoft datacenter, nhưng cũng có thể
kết hợp với Exchange Server và các mailbox dùng riêng. Kết hợp lại tạo
nên một hện thống lai – hybrid messaging system.
Trong phạm vi triển khai của bài báo cáo, mô hình Private Cloud được
sử dụng để triển khai cài đặt.
2. Tổng quan về Private Cloud:
Private Cloud được định nghĩa là các dịch vụ được cung cấp qua
Internet hoặc mạng nội bộ và bị giới hạn người dùng thay vì cho phép truy
cập công khai do vậy còn được gọi là Internal Cloud hay Corporate Cloud.
Private Cloud hỗ trợ doanh nghiệp những tiện ích như self-service, khả năng
mở rộng và tính linh hoạt như khi sử dụng Public Cloud. Ngoài ra, Private 4
Cloud còn cung cấp tính riêng tư và độ bảo mật cấp độ cao thông qua các
firewall và internal hosting để đảm bảo các hoạt động và dữ liệu quan trọng
không thể truy cập bởi nhà cung cấp dịch vụ bên thứ ba
Hai mô hình dịch vụ được áp dụng trong Private Cloud bao gồm:
Platform as a Service (PaaS) Infrastructure as a Service (IaaS). Mô hình
đầu tiên là Platform as a Service (PaaS) cho phép một tổ chức cung cấp mọi
thứ từ các ứng dụng miễn phí cho đến các ứng dụng trả phí. Mô hình thứ
hai là Infrastructure as a Serice (IaaS) cho phép một tổ chức sử dụng tài
nguyên của cơ sở hạ tầng như máy tính, hệ thống mạng và các thiết bị lưu trữ như một dịch vụ.
Private Cloud còn kết hợp với Public Cloud để tạo ra Hybrid Cloud
cho phép doanh nghiệp tận dụng Cloud Bursting để tối ưu không gian và
quy mô các dịch vụ Cloud Computing khi người dùng hay tổ chức tăng nhu cầu sử dụng.
3. Tổng quan về Virtualization:
Ảo hóa (virtualization) được định nghĩa là sự triển khai một hệ thống
máy tính ảo trên nền một hệ thống máy tính thật. Ngoài ra, ảo hóa đề cập
đến việc giả lập mọi thiết bị bằng bao gồm sự ảo hóa các nền tảng phần
cứng máy tính, các thiết bị lưu trữ, tài nguyên cũng như hệ thống mạng máy
tính. Nói cách khác, ảo hóa cũng có thể được coi là một kỹ thuật cho phép
người dùng chia sẻ một instance vật lý của một tài nguyên hoặc một ứng
dụng giữa nhiều người dùng và tổ chức khác nhau.
Ý tưởng của ảo hóa không phải là điều gì mới. Ý tưởng này được IBM
giới thiệu vào năm 1960 khi các mainframe được sử dụng. Các mainframe hầu
như không được sử dụng hết hiệu suất cũng như tính năng. Ảo hóa là một 5
phương pháp tối ưu trong việc cung cấp các tài nguyên hệ thống cho các ứng
dụng khác nhau hoạt động trên các mainframe.
Hình 1-2. Sự khác biệt về kiến trúc máy tính giữa công nghệ truyền thống với công nghệ ảo hóa
Do sự phát triển của công nghệ như Utility Computing và Cloud
Computing, công nghệ ảo hóa được chú trọng hơn trong sự phát triển của
các công nghệ mới gần đây.
Ảo hóa được phân thành rất nhiều loại, cụ thể như sau:
Bảng 1-1. Các loại ảo hóa 6
Nền tảng hypervisor được giới thiệu sau đây cũng sử dụng công nghệ ảo hóa.
4. Tổng quan về Hypervisor:
Theo Redhat, hypervisor là phần mềm khái quát phần cứng từ một hệ
điều hành cho phép nhiều hệ điều hành cùng chạy trên cùng nền tảng phần 7
cứng. Hypervisor chạy trên hệ thống cho phép các máy ảo chạy trên nền phần cứng của host.
Theo VMWare, hypervisor là phần mềm cung cấp các tính năng phân
vùng ảo chạy trực tiếp trên phần cứng, nhưng ảo hóa các dịch vụ mạng ở mức tối đa.
Hypervisor là phần mềm máy tính, firmware hay phần cứng nhằm tạo
và chạy máy ảo. Một máy tính mà một hypervisor chạy một hay nhiều máy
ảo được gọi là máy Host và mỗi máy ảo được gọi là máy Guest.
Hypervisor biểu diễn bằng một nền tảng vận hành ảo chứa Guest OS
và quản lý vận hành Guest OS. Các instance trong các hệ điều hành có thể
chia sẻ nhau các tài nguyên phần cứng ảo, chẳng hạn, các instance chứa
Linux, Windows và macOS có thể cùng chạy trên một máy tính đơn x86.
Cơ chế Hypervisor trái ngược với OS virtualization, tại đó tất cả các
instance (container) phải chia sẻ cùng một nhân (kernel) thông qua Guest
OS để phân chia các không gian sử dụng khác nhau.
Hình 1-3. Hai cơ chế ảo hóa phần cứng 8
Do sự phát triển của công nghệ ảo hóa nên các nền tảng phần cứng
cũng có sự thay đổi. Intel hay AMD đã thiết kế các hệ thống vi xử lý mới
mở rộng từ kiến trúc x86 tương ứng với những công nghệ được biết ngày
nay là Intel VT-x hay AMD-V. Chipset Intel 80286 đã được giới thiệu về 2
phương thức về địa chỉ bộ nhớ: địa chỉ bộ nhớ thực
(real mode) và địa chỉ bộ nhớ ảo (protected mode). Địa chỉ bộ nhớ ảo cung
cấp các tính năng hỗ trợ multicasting như phần cứng hỗ trợ bộ nhớ ảo và thành phần vi xử lý.
Dựa trên nền tảng đó, Hypervisor được phân thành 2 loại như sau:
Native hypervisor (Bare-metal hypervisor), Hosted hypervisor.
Hình 1-4. Phân loại hypervisor
a. Native hypervisor (Bare-metal hypervisor)
Hypervisor chạy trực tiếp trên phần cứng server và quản lý các Guest
OS. Các hypervisor được IBM phát triển vào những năm 1960, bao gồm
phần mềm test SIMON, hệ điều hành CP/CMS hay Hệ điều hành Antsle, 9
Xen, XCP-ng, SPARC Oracle VM Server, Oracle VM Server x86,
Microsoft Hyper-V, Xbox One và VMware ESXi (phiên bản trước đó là VMware ESX). b. Hosted hypervisor
Hypervisor chạy thông qua một chương trình máy tính hay một hệ điều
hành chạy nền. Mỗi Guest OS chạy như một vi xử lý của host.
Hypervisor khái quát Guest OS từ Host OS, bao gồm VMware Workstation,
VMware Player, VirtualBox, Parallels Desktop for Mac và QEMU.
Tuy nhiên sự khác biệt của 2 loại hypervisor không phải lúc nào cũng
rõ ràng. Ví dụ như Kernel-based Virtual Machine (KVM) của Linux hay
Bhyve của FreeBSD là những module nhân có thể thao tác trực tiếp trên
máy host như một native hypervisor. Đồng thời, do các phiên bản Linux và
FreeBSD vẫn sử dụng nền tảng các hệ điều hành chung và cạnh tranh nhau
về các ưng dụng cho các tài nguyên máy ảo nên KVM và Bhyve có thể được
xem như một hosted hypervisor.
Chương 2 : Giới thiệu về, VPC, Networking, Computing, OPENSTACK
1. Virtual Private Cloud (VPC). 1.1. Tổng quan
Amazon Virtual Private Cloud (Amazon VPC) là dịch vụ cho phép bạn khởi
chạy các tài nguyên AWS trong mạng ảo cô lập theo logic mà bạn xác định.
Bạn có toàn quyền kiểm soát môi trường mạng ảo của mình, bao gồm lựa
chọn dải địa chỉ IP, tạo các mạng con, cấu hình các bảng định tuyến và cổng
kết nối mạng. Bạn có thể dùng cả IPv4 và IPv6 cho hầu hết các tài nguyên 10
trong đám mây riêng ảo, giúp bảo mật nghiêm ngặt và truy cập dễ dàng các
tài nguyên cũng như ứng dụng.
Là một trong các dịch vụ nền tảng của AWS, Amazon VPC sẽ giúp bạn dễ
dàng tùy chỉnh cấu hình mạng của VPC. Bạn có thể tạo một mạng con công
khai cho các máy chủ web có quyền truy cập internet. Dịch vụ này cũng cho
phép bạn đặt các hệ thống backend, như máy chủ ứng dụng hoặc cơ sở dữ
liệu, trong mạng con riêng tư không có quyền truy cập internet. Với Amazon
VPC, bạn có thể sử dụng nhiều lớp bảo mật, bao gồm các nhóm bảo mật và
danh sách kiểm soát truy cập mạng, để giúp kiểm soát quyền truy cập vào
các phiên bản Amazon EC2 trong mỗi mạng con.
1.2. Thành phần của VPC
1.1.1 A Virtual Private Cloud: Một mạng ảo được phân chia một cách logic trên đám mây AWS
1.1.2 Subnet: Subnet là chỉ phân đoạn network nhỏ hơn khi mà bạn có
VPC rồi chia nó ra thành những phần network nhỏ hơn để quản lý.
1.1.3 Internet Gateway: Internet Gateway là thành phần VPC cho phép
truyền tin giữa internet và instance của VPC.
1.1.4 Route Table: Một bảng định tuyến bao gồm các rule được gọi là
‘route’, các route này sẽ giúp xác định đường đi của lưu lượng
mạng ra vào. Mỗi subnet trong VPC của bạn sẽ được liên kết với
một bảng định tuyến (route table), bảng định tuyến này sẽ quản lý
route trong subnet. Một subnet chỉ có thể liên kế với 1 bảng định
tuyến tại 1 thời điểm, nhưng chiều ngược lại bạn có thể liên kết nhiều
subnet với 1 bảng định tuyến. 11
1.1.5 NAT Gateway: Một dịch vụ Network Address Translation (NAT)
được quản lý, sẵn có cho các tài nguyên của bạn trong một Private
subnet để truy cập Internet.
1.1.6 Virtual private gateway: Kết nối VPN từ phía của Amazon.
1.1.7 Peering Connection: Kết nối ngang hàng cho phép bạn định tuyến
lưu lượng qua các địa chỉ Private IP giữa hai VPC ngang hàng. Nó
là cơ chế để các instance của VPC sử dụng địa chỉ IP private có
thể truyền tin tới các resource khác như là S3, RDS ...
1.1.8 VPC Endpoints: Cho phép kết nối riêng tư với các dịch vụ được
lưu trữ trong AWS, từ bên trong VPC của bạn mà không cần sử
dụng Cổng Internet, VPN, thiết bị Network Address Translation (NAT) hoặc proxy Firewall.
1.1.9 Egress-only Internet Gateway: Một cổng kết nối trạng thái để cung
cấp quyền truy cập duy nhất cho lưu lượng IPv6 từ VPC đến Internet.
1.1.10 Security Group: Nhóm bảo mật hoạt động như một bức tườnglửa
cho các phiên bản Amazon EC2 được liên kết, kiểm soát cả lưu
lượng truy cập vào và ra ở cấp phiên bản. Khi khởi chạy một phiên
bản, bạn có thể liên kết nó với một hoặc nhiều nhóm bảo mật mà
bạn đã tạo. Mỗi phiên bản trong VPC của bạn có thể thuộc một
nhóm bảo mật khác nhau. Nếu bạn không chỉ định
nhóm bảo mật khi khởi chạy một phiên bản, phiên bản đó sẽ tự động
được liên kết với nhóm bảo mật mặc định cho VPC. 12
1.1.11 Network Access Control Lists (ACLs): Danh sách kiểm soát
truycập mạng (ACL) là một lớp bảo mật tùy chọn cho VPC của
bạn, hoạt động như một bức tường lửa để kiểm soát lưu lượng truy
cập vào và ra khỏi một hoặc nhiều mạng con. Bạn có thể thiết lập
ACL mạng với các quy tắc tương tự như các nhóm bảo mật của
mình để thêm một lớp bảo mật bổ sung vào VPC của bạn.
1.1.12 VPC CIDR Block: mỗi VPC được liên kết (associated) với mộtdải
địa chỉ IP là một phần của Classless Inter-Domain Routing (CIDR)
block mà được sử dụng để cấp phát (hay phân bổ) địa chỉ IP private
đến EC2 Instances, tất cả VPC mặc định sẽ được liên kết 1 dải địa
chỉ 172.31.0.0/16 với IPv4 CIDR block.
1.3. Các đặc tính của Amazon VPC
Kết nối trực tiếp Internet public từ lớp mạng public. Bạn có thể
khởi tạo instance từ một subnet public có thể gửi và nhận dữ liệu trực tiếp với Internet.
Kết nối đến Internet Public thông qua NAT (private subnet). Nếu bạn
chạy các Instance ở phía trong mạng nội bộ và có nhu cầu muốn truy
xuất ra Internet public thì có thể định tuyến lưu lượng qua NAT
Gateway ở lớp mạng public.
Kết nối an toàn tới trung tâm dữ liệu của bạn. Mọi lưu lượng vào và
ra máy chủ Instance trong VPC có thể được định tuyến tới Data Center,
hỗ trợ VPN phần cứng IPSec.
Kết nối riêng (private connect) giữa các VPC peer VPC giúp chia sẻ tài
nguyên qua lớp mạng ảo hoá sở hữu của nhiều tài khoản AWS. 13
Kết nối riêng với các dịch vụ của AWS thông qua VPC Endpoint bao
gồm các dịch vụ : S3, DynamoDB, Kinesis Streams, Service Catalog,
AWS Systems Manager, Elastic Load Balancing (ELB) API, Amazon
Elastic Compute Cloud (EC2) API và SNS.
Kết nối riêng (private connect) đến các giải pháp SaaS do AWS PrivateLink hỗ trợ.
Kết nối riêng (private connect) đến các dịch vụ nội bộ thông qua các
tài khoản khác nhau và mô hình VPC khác trong hệ thống của tổ
chức/doanh nghiệp của bạn nhằm giúp đơn giản hoá kiến trúc mạng nội bộ
1.4. Các lợi ích khi sử dụng Amazon VPC
Kết nối mạng bảo mật và được giám sát: Amazon VPC mang đến các
tính năng bảo mật nâng cao, cho phép bạn lọc lưu lượng đến và đi ở cấp
độ mạng con và phiên bản. Ngoài ra, bạn có thể lưu trữ dữ liệu trong
Amazon S3 và hạn chế quyền truy cập để chỉ có thể truy cập những dữ
liệu này từ các phiên bản bên trong VPC. Amazon VPC cũng có các tính
năng giám sát để bạn có thể thực hiện các chức năng như giám sát ngoài
dải tần và kiểm tra lưu lượng nội tuyến, từ đó giúp sàng lọc và bảo mật lưu lượng truy cập.
Thiết lập và sử dụng đơn giản: Với quá trình thiết lập đơn giản của
Amazon VPC, bạn không mất thời gian thiết lập, quản lý và xác thực,
nhờ đó có thể tập trung xây dựng các ứng dụng chạy trong VPC của mình.
Bạn có thể dễ dàng tạo VPC bằng cách dùng Bảng điều khiển quản lý
AWS hoặc Giao diện dòng lệnh (CLI). Sau khi bạn chọn cách thiết lập
mạng phù hợp nhất với nhu cầu từ các cách thiết lập thông dụng, VPC sẽ
tự động tạo mạng con, dải IP, bảng định tuyến và nhóm bảo mật bạn cần.
Mạng ảo có thể tùy chỉnh: Với Amazon VPC, bạn có thể tạo dải Địa chỉ
IP và mạng con của riêng mình, cũng như đặt cấu hình mạng bảng định
tuyến cho mọi cổng sẵn có, nhờ đó quản lý tốt hơn mạng ảo của bạn. Bạn
có thể tùy chỉnh cấu hình mạng bằng cách tạo mạng con hướng công khai
cho các máy chủ web có quyền truy cập internet. Đặt các hệ thống 14
backend (như máy chủ ứng dụng hoặc cơ sở dữ liệu) trong mạng con
hướng riêng tư. Với Amazon VPC, bạn có thể đảm bảo rằng đám mây
riêng ảo của mình được đặt cấu hình phù hợp với các nhu cầu kinh doanh cụ thể.
1.5. Ưu nhược điểm của VPC 1.5.1. Ưu điểm • Khả năng mở rộng
Vì VPC được lưu trữ bởi nhà cung cấp đám mây công cộng, khách hàng có
thể có thêm nhiều tài nguyên điện toán hơn theo yêu cầu.
Triển khai Hybrid Cloud dễ dàng
Việc kết nối VPC với đám mây công cộng hoặc với cơ sở hạ tầng tại chỗ
thông qua VPN là tương đối đơn giản. Nâng cao hiệu suất
Các trang web và ứng dụng được lưu trữ trên các đám mây thường hoạt
động tốt hơn so với các trang web và các ứng dụng được lưu trữ trên các
máy chủ cục bộ tại chỗ.
• Tăng cường bảo mật
Các nhà cung cấp dịch vụ Public Cloud thường đưa ra nhiều tài nguyên
hơn để cập nhật và duy trì cơ sở hạ tầng, đặc biệt là với các doanh nghiệp
quy mô vừa và nhỏ trên thị trường đối với các khách hàng sử dụng VPC.
Đối với các doanh nghiệp lớn hoặc bất kỳ công ty nào phải đối mặt với
các quy định bảo mật dữ liệu cực kỳ chặt chẽ, việc sử dụng VPC có thể
sẽ không mang lại nhiều lợi ích. 1.5.2. Nhược điểm 15
Chi phí cao: Sử dụng VPC có thể tốn kém hơn so với việc sử dụng mạng truyền
thống hoặc mạng riêng ảo (VPN).
Khó khăn trong việc triển khai: Cài đặt và cấu hình VPC có thể phức tạp đối
với người không có kinh nghiệm về đám mây.
Bảo mật có thể bị đe dọa: Dù VPC được xem là một mô hình mạng an toàn,
nhưng nếu không được cấu hình đúng cách, nó có thể bị tấn công từ các mối đe dọa bên ngoài.
Không có kiểm soát đầy đủ: Việc cấu hình và quản lý VPC phải được thực
hiện bởi nhà cung cấp đám mây, do đó, người sử dụng không có kiểm soát
đầy đủ về môi trường VPC.
Phụ thuộc vào nhà cung cấp dịch vụ đám mây: VPC chỉ hoạt động trên nền
tảng đám mây và phụ thuộc vào nhà cung cấp dịch vụ đám mây, nếu nhà cung
cấp có sự cố hoặc ngừng hoạt động, VPC có thể bị gián đoạn. 2. Networking 2.1. Tổng quan
Mô hình networking là một khung nhìn tổng quan về cách các thiết bị
mạng tương tác với nhau trong một mạng máy tính. Mô hình này cung cấp
một cách tiêu chuẩn để thiết kế, triển khai và quản lý mạng máy tính.
Một trong những mô hình networking phổ biến nhất là mô hình TCP/IP
(Transmission Control Protocol/Internet Protocol), được sử dụng rộng rãi trên
toàn cầu trong việc kết nối các thiết bị mạng với nhau. Mô hình này chia quá
trình truyền tải dữ liệu trên mạng thành các lớp khác nhau, từ lớp vật lý cho đến lớp ứng dụng.
Một số mô hình networking khác bao gồm OSI (Open Systems
Interconnection) và mô hình SNA (Systems Network Architecture), được phát
triển bởi IBM. Mỗi mô hình đều có cách tiếp cận khác nhau để tương tác giữa
các thiết bị mạng, nhưng mục đích chung của chúng là tạo ra một chuẩn chung
để các thiết bị mạng có thể hoạt động cùng nhau trong một mạng máy tính. 2.2. Thành phần 16
• Lớp vật lý (Physical Layer): Lớp này đại diện cho phần cứng của mạng,
bao gồm cáp, hub, switch, router và các thiết bị mạng khác. Nhiệm vụ
của lớp này là chuyển đổi dữ liệu từ dạng tín hiệu điện tử sang tín hiệu
vật lý để truyền qua các kết nối mạng.
• Lớp liên kết dữ liệu (Data Link Layer): Lớp này quản lý các khung dữ
liệu và đảm bảo dữ liệu được truyền tải đúng và không bị lỗi. Các thiết
bị mạng trong cùng một mạng LAN (Local Area Network) thường hoạt động ở lớp này.
• Lớp mạng (Network Layer): Lớp này quản lý việc chuyển tiếp các gói
dữ liệu qua các mạng khác nhau. Các thiết bị mạng tại lớp này bao gồm
router, gateway, firewall và các thiết bị mạng khác.
• Lớp vận chuyển (Transport Layer): Lớp này quản lý việc chia nhỏ và
ghép nối các gói dữ liệu để truyền tải thông tin giữa các ứng dụng trên
mạng. Các giao thức được sử dụng thường là TCP (Transmission Control
Protocol) và UDP (User Datagram Protocol.
• Lớp phiên (Session Layer): Lớp này quản lý việc thiết lập, duy trì và giải
phóng các phiên kết nối giữa các ứng dụng trên mạng.
• Lớp trình diễn (Presentation Layer): Lớp này quản lý việc định dạng dữ
liệu và mã hóa truyền tải dữ liệu giữa các thiết bị mạng.
• Lớp ứng dụng (Application Layer): Lớp này quản lý các ứng dụng trên
mạng, bao gồm các giao thức truyền tải dữ liệu như HTTP (HyperText
Transfer Protocol), FTP (File Transfer Protocol) và SMTP (Simple Mail Transfer Protocol). 17
2.3. Ưu nhược điểm 2.3.1. Ưu điểm:
• Chia sẻ tài nguyên: Mạng máy tính cho phép các thiết bị truy cập và chia
sẻ các tài nguyên như máy in, phần mềm, dữ liệu, ổ đĩa và máy chủ.
• Dễ dàng quản lý và bảo trì: Mạng máy tính cho phép quản trị viên quản
lý và cấu hình các thiết bị mạng từ một vị trí duy nhất và giúp dễ dàng
kiểm soát và bảo trì các thiết bị mạng.
• Tăng tốc độ truyền tải dữ liệu: Mạng máy tính có thể tăng tốc độ truyền
tải dữ liệu giữa các thiết bị mạng và giảm thiểu thời gian truyền tải dữ liệu.
• Tăng khả năng linh hoạt: Mạng máy tính cho phép các thiết bị mạng kết
nối với nhau, tăng khả năng linh hoạt và đồng bộ hoá giữa các thiết bị mạng.
• Tiết kiệm chi phí: Mạng máy tính giúp tiết kiệm chi phí khi sử dụng các
tài nguyên chung như máy in, máy chủ và phần mềm.
2.3.2. Nhược điểm:
Bảo mật và riêng tư: Mạng máy tính có thể bị đe dọa về bảo mật và riêng tư,
nếu không được cấu hình và bảo mật đúng cách.
Sự cố kỹ thuật: Mạng máy tính có thể gặp sự cố kỹ thuật, khiến cho các thiết bị
mạng không hoạt động như mong đợi.
Chi phí đầu tư ban đầu: Thiết lập mạng máy tính đòi hỏi một khoản đầu tư lớn
cho phần cứng và phần mềm cũng như chi phí triển khai và bảo trì.
Phụ thuộc vào mạng: Sự cố hoặc lỗi ở mạng có thể khiến cho các thiết bị mạng
không thể hoạt động hoặc giảm hiệu suất, ảnh hưởng đến công việc và kinh doanh của doanh nghiệp
Giới hạn về khoảng cách: Mạng máy tính có giới hạn về khoảng cách giữa các thiết bị mạng
Hiệu suất mạng: Hiệu suất mạng có thể bị giảm do sự tắc nghẽn mạng hoặc tốc độ truyền tải chậm. 18