VPC Peering Overview

I. Khái niệm VPC Peering

VPC Peering là một tính năng trong Sunteco Virtual Private Cloud (VPC) cho phép hai VPC giao tiếp trực tiếp với nhau bằng cách sử dụng private IP address mà không cần đi qua internet, VPN, hoặc các kết nối vật lý. Điều này hữu ích khi bạn cần kết nối tài nguyên trong các VPC khác nhau để phục vụ các ứng dụng phân tán hoặc chia sẻ tài nguyên mạng.

Image
Image

1. Ưu điểm của VPC Peering

  • Hiệu suất cao: Lưu lượng giữa các VPC được truyền qua mạng nội bộ của Sunteco Cloud, giúp giảm thiểu độ trễ so với việc đi qua internet.

  • Bảo mật cao: Kết nối trực tiếp giữa các VPC không tiếp xúc với mạng công cộng, giảm nguy cơ bị tấn công từ bên ngoài.

  • Triển khai đơn giản: Không yêu cầu thiết bị vật lý hoặc các dịch vụ trung gian như VPN Gateway hay Direct Connect, giúp giảm chi phí và đơn giản hóa quản lý mạng.

2. Hạn chế của VPC Peering

  • Không hỗ trợ giao tiếp trung gian (transitive peering): Nếu VPC A peering với VPC B và VPC B peering với VPC C, thì A không thể giao tiếp trực tiếp với C. Mỗi kết nối phải được thiết lập riêng lẻ.

Image

  • Giới hạn số kết nối peering: Mỗi VPC có giới hạn về số lượng kết nối peering có thể tạo, tùy theo chính sách của Sunteco Cloud.

  • Xung đột CIDR: VPC Peering yêu cầu các CIDR của các VPC không được chồng lấn. Nếu CIDR của hai VPC bị trùng lặp, bạn không thể thiết lập kết nối Peering giữa chúng.

Image

  • Cấu hình thủ công: Sau khi thiết lập peering, cần cập nhật thủ công route tables để định tuyến lưu lượng và điều chỉnh Security Groups nếu cần để cấp quyền truy cập giữa các VPC.

II. Cách Hoạt Động của VPC Peering

1. Điều kiện

Trước khi bạn tạo một kết nối VPC peering giữa các tài khoản, hãy đảm bảo rằng cả VPC yêu cầu và VPC chấp nhận đều đã được tạo sẵn.

Vai trò trong kết nối VPC Peering

  • Người yêu cầu (Requester): Là VPC khởi tạo yêu cầu peering.

  • Người chấp nhận (Accepter): Là VPC chờ nhận và phê duyệt yêu cầu peering.

Hai vai trò này chỉ tồn tại trong quá trình thiết lập kết nối peering. Khi kết nối đã được tạo, cả hai VPC có thể trao đổi dữ liệu với nhau như thể chúng nằm trong cùng một mạng.

2. Thiết lập Peering Connection

Quy trình thiết lập VPC Peering bao gồm:

Bước 1: Gửi yêu cầu Peering

  • VPC nguồn (Requester VPC) khởi tạo yêu cầu peering đến VPC đích (Accepter VPC).

  • Yêu cầu này có thể được thực hiện giữa hai VPC thuộc cùng một workspace và cùng một tài khoản

  • Trong yêu cầu peering, cần chỉ định ID của VPC đích và quyền sở hữu tài khoản tương ứng.

Bước 2: Chấp nhận yêu cầu Peering

  • Chủ sở hữu của VPC đích phải vào giao diện quản lý cloud chấp nhận yêu cầu peering.

  • Nếu VPC đích không chấp nhận, kết nối peering sẽ không được thiết lập.

Bước 3: Hoàn tất thiết lập Peering

  • Sau khi VPC đích chấp nhận yêu cầu, trạng thái của Peering Connection chuyển sang “Active”, cho phép hai VPC giao tiếp với nhau.

  • Tuy nhiên, để lưu lượng có thể đi qua, cần thực hiện thêm các bước về cấu hình định tuyến và kiểm soát mạng.

Image

3. Cấu hình Routing

Sau khi thiết lập kết nối VPC Peering, cả hai VPC cần cập nhật bảng định tuyến (Route Table) của mình để đảm bảo lưu lượng được chuyển tiếp đúng cách thông qua Peering Connection.

3.1. Thêm tuyến đường (Route) trong bảng định tuyến

  • Trong phần Route Tables, chọn bảng định tuyến tương ứng với VPC muốn kết nối.

  • Xác định rõ dải IP đích của VPC đối tác và hướng lưu lượng qua Peering Connection.

  • Ví dụ: Nếu VPC A chứa subnet có IP Block (172.16.119.0/24) peering với VPC B chứa subnet có IP Block (192.168.0.0/16), thì bảng định tuyến của VPC A cần có:

    • Destination: 192.168.0.0/16

    • Target Type: Peering Connection

    • Target: Kết nối VPC Peering đã tạo

  • Tương tự, bảng định tuyến của VPC B cần có tuyến đường hướng đến CIDR của VPC A.

  • Sau khi cập nhật thành công, hai VPC sẽ có thể giao tiếp với nhau thông qua Peering Connection.

3.2. Kiểm soát truy cập mạng (Network Control)

Ngay cả khi đã thiết lập routing, lưu lượng giữa hai VPC vẫn có thể bị chặn nếu không có cấu hình phù hợp trong Security Groups. Trong hệ thống của Sunteco Cloud, Security Groups của VPC được thiết lập để cho phép đường kết nối ra vào dịch vụ VM, từ đó kiểm soát khả năng truy cập giữa các dịch vụ thuộc hai VPC.