Giaosucan's blog - Chia sẻ kiến thức theo cách bá đạo

Ticker

20/recent/ticker-posts

Thông nhau dùng VPC endpoint

  • VPC Endpoint Workshop ::

Trong truyện Lang Nha Bảng, nhân vật Mai Trường Tô vốn là thiếu soái của quân Xích Diễm (thân phận cũ là Lâm Thù). Nhưng vì kẻ gian hãm hại mà cha mình và cả đội quân bị kết tội mưu phản và tiêu diệt tại Mai Lĩnh. Lâm Thù sống sót nhưng trúng độc, thay đổi hoàn toàn diện mạo, sau đó trở thành Mai Trường Tô – Tông chủ của Giang Tả Minh. Nơi đây, chàng xây dựng kế hoạch báo thù, lật lại vụ án năm xưa, quyết tâm rửa sạch oan khuất cho cha và bảy vạn quân Xích Diễm năm xưa. Lấy lý do dưỡng bệnh, Mai Trường Tô đã quay trở lại thành Kim Lăng sau 12 năm. Khi đó thiên hạ có câu truyền: “Lang Nha Bảng thủ, Giang Tả Mai lang” (Đứng đầu bảng Lang Nha, ở Giang Tả có chàng họ Mai) và lời đồn Mai Trường Tô với danh “Kỳ Lân tài tử”, có được Mai Trường Tô là có được thiên hạ. Do vậy khi vừa trở về, chàng lập tức bị cuốn vào cuộc chiến vương quyền của các hoàng tử Đại Lương, nổi bật là Thái tử Tiêu Cảnh Tuyên và Dự vương Tiêu Cảnh Hoàn. Mặc cho Thái tử và Dự vương lôi kéo về phe cánh của mình, Mai Trường Tô chỉ một lòng phò tá Tĩnh vương Tiêu Cảnh Diễm.


 Để trốn tránh sự theo dõi của thái tử và Dự vương, Mai Trường Tô đã bí mật xây dựng một đường hầm bí mật nối giữa nhà mình và vương phủ của Tĩnh Vương, giúp hai người có thể qua lại bí mật để bàn kế sách đoạt vương vị.

Vài trăm năm sau, hậu duệ của Mai Trường Tô là Mai Werner, đang làm CTO cho AWS đã sáng tạo ra VPC endpoint, lấy idea của cụ tổ năm xưa, để tạo ra một private connection để cho resources trong private subnet có thể access vào AWS resources

Vậy đẻ ra cái gateway endpoint này làm gì

Trường hợp bạn có 1 ec2 nằm trong public subnet, thì có thể truy cập AWS resources như S3 qua internet gateway như ở dưới

Đơn giản vì ec2 này kết nối với internet, nên download file S3 như máy tính thông thường. Nhưng vì truy cập được internet thì em ec2 này trở thành hàng public, nude giữa bàn dân thiên hạ, nên các hacker có thể nhẩy vô hấp diêm em ý.

Do đó EC2 sẽ được move vào private subnet, không thể truy cập internet, nhưng lúc này muốn access S3 lại không được nữa

Thế là VPC endpoint dc phát triển để khắc phục vấn đề này, ec2 nằm trong private subnet có thể access AWS resource thông qua VPC endpoint

Lý thuyết thì tra GG, nên thực hành để nắm được chi tiết

Đầu tiên, bạn cần tạo 2 subnets public và private và 2 EC2 thuộc 2 subnets này. 

Public subnet đc attach internet gateway và add route trong route table

Để private ec2 có thể access vào s3 thì cần attach 1 role cho ec2 này. Role này mình gắn policy full quyền trên S3. Tương tự muốn truy cập vào service aws nào thì gắn policy tương ứng

Ssh vào private EC2 thông qua ec2 trong public subnet thử run, không thông, connection time out

aws s3 ls


Giờ cần tạo 1 VPC endpoint, endpoint sẽ gắn với VPC và main route table

Lúc này route table sẽ được add thêm một entry, request tới S3 sẽ đi qua S3 VPC Gateway endpoint

Bây giờ thì kết nối ngon lành

OK, như vậy một đường hầm private đã được đào giữa nhà của Mai Trường Tôn (VPC) tới vương phủ của Tĩnh Vương (S3), hai an hem có thể qua thông nhau thoải mái mà không sợ bị bắt đi cách li.

Ngoài Gateway endpoint ra thì còn một loại nữa gọi là Interface Endpoint, cho phép kết nối tới service  thông qua AWS PrivateLink

Chi tiết sẽ trình bày ở bài sau

No information, kết nối hết thời gian chờ

Đăng nhận xét

0 Nhận xét