Tính năng VPC trên CMC Cloud

VPC (Virrtual Private Cloud)

Tính năng VPC cho phép Khách hàng tạo ra môi trường mạng riêng ảo để kết nối nội bộ các thành phần trong hệ thống, Khách hàng có toàn quyền quản trị mạng riêng này bao gồm: tạo subnet, cấu hình loadbance, port forward, VPN, access-list,…

Ví dụ xây dựng hệ thống cơ bản gồm các thành phần web, application, database dùng tính năng VPC trên CMC cloud sử dụng full tính năng VPC như:

  • Port Forward
  • Loadbalancer
  • VPN site-to-site
  • VPN Client to site

Mô hình hệ thống:

Triển khai mô hình VPC trên CMC cloud

B1. Tạo VPC trên CMC Cloud

Đăng nhập vào trang https://portal.cloud.cmctelecom.vn > Click Tab VPC bên trái

Nhập đầy đủ các thông tin:

  • Name: Tên của VPC “HN-VPC-CMC-HELPDESK
  • Description: Mô tả về VPC “He thong ho tro HELPDESK
  • Zone: Chọn nơi muốn đặt hệ thống Hà Nội hoặc Hồ Chí Minh “Hà Nội
  • Super CIDR: Dải mạng tổng của các subnet nhỏ trong VPC “10.0.0.0/16

Click “DEPLOY NOW” để tạo VPC. Sau khi DEPLOY VPC xong sẽ hiển thị các thông tin như sau:

B2. Tạo các dải mạng private cho Web cluster, App Cluster, DB Cluter với các thông tin sau

Tên Cluster Dải mạng Gateway
Web Cluster 10.0.0.0/24 10.0.0.1
App Cluster 10.0.1.0/24 10.0.1.1
DB Cluster 10.0.2.0/24 10.0.2.1

Lưu ý: Các dải mạng này phải là mạng nhỏ của dải mạng tổng VPC khai báo “10.0.0.0/16

Click phần “Private Network”

sau đó click tiếp “Add VPC Private Network” để khai báo các dải mạng này:

Nhập các thông tin về private network cho Web cluster, rồi click OK để hoàn thành

Tương tư, khai báo lần lượt cho App Cluster và DB Cluster

B3: Tạo VM với mạng VPC

Đăng nhập vào trang https://portal.cloud.cmctelecom.vn > Click Tab VM bên trái

Tạo VM Web với các thông tin như: tên, cấu hình, hệ điều hành,…

Riêng mục số 6: chọn Advance Network, và chọn mạng private là Web Cluster

Đối với VM chạy App thì chọn private là App Cluster, chạy DB thì chọn DB Cluster

Sau khi tạo hết VM:

Cấu hình Port Forward

Click VPC > Click “Public IP Address

Click “Add Public IP” rồi chọn OK

Click “Port forwarding

Nhập các thông tin cần forward đến:

Ví dụ forward port 22 để ssh vào con web:

Chọn mục 1: mạng Web cluster, Mục 2: khai báo port ssh, Mục 3: chọn server cần ssh

Click số 4 để tạo Port forward

Lúc này có thể ssh vào server vm-1.web theo ip public là “202.134.18.53”.

Cấu hình loadbalance

Chú ý: Không sử dụng được cùng tính năng loadbalance và port forward trên cùng 1 IP

Ví dụ: loadbalance dịch vụ http,https đến 2 VM vm-1.web và vm-2.web

Add thêm 1 IP public cho Load Balancer, Click Load Balancer để tạo loadbalance

Chọn mạng private cần loadbalance “Web cluster”, Click “Deploy New Load Balancer

Nhập các thông tin về port, thuật toán loadbalance, click “DEPLOY NOW

Thực hiện lần lượt các mục 1,2,3,4 ở hình dưới để add VM vào loadbalance

Sau khi thực hiện xong thì đặt domain trỏ vào IP “202.134.18.54”, traffic truy cập web ở ngoài sẽ theo IP public là “202.134.18.54” và load balancer xuống 2 con VM web

Tính năng VPN site-to-site ipsec

VPC chỉ hỗ trợ tính năng VPN site-to-site đối với gateway VPN hỗ trợ giao thức IPSEC

Ví dụ: Khách hàng cần kết nối mạng văn phòng lên server đặt ở CMC Cloud dùng tính năng VPC.

Để thực hiện VPN site-to-site cần khai báo ở cả 2 đầu match các thông số:

Thông thường khai báo IPSEC như bảng sau:

IP public trên Cloud chính là IP source NAT trong VPC: 202.134.18.51

Dải IP kết nối VPN chính là dải network tổng VPC : 10.0.0.0/16

Thông tin kết nối VPN
IKE IPSEC
authentication md5 authentication md5
encrytion 3des encrytion 3des
DH group 5 DH group 5
lifetime 28800 lifetime 3600
IKE Preshare key CmCtelecom@123 IPSEC Protocol ESP
IP Public CMC 202.134.18.51    
IP local CMC 10.0.0.0/16    
IP public KH 101.99.31.75    
IP local KH 192.168.1.0/24    

Thực hiện khai báo gateway phía mạng văn phòng KH:

Click tab VM bên trái > Click VPN Client to Site để khai báo gateway đầu xa

Click Add VPC Gateway

Điền các thông tin về gateway đầu xa > Click Create để tạo gateway

Thông tin gateway VPN sau khi tạo:

Để enable kết nối VPN site-to-site:

Click VPC > Click VPN-site-to-site

Click Enable VPN Site-To-Site

Click Connection

Chọn Gateway đầu xa, rồi click Add Connection

Thực hiện khai báo thông số VPN ở đầu văn phòng. Khi cả 2 đầu khớp thông tin thì kết nối VPN site-to-site sẽ thành công, trạng thái sẽ chuyển sang “Connected

VPN Client to site

VPC chỉ hỗ trợ VPN client to site dạng L2TP Preshare Key

Để khai báo VPN client to site: Click VPC > Click Public IP Address > Click Enable VPN

Sau khi client Enable VPN, Click “show” để lấy key. Click VPN User để tạo user VPN

Sau khi tạo user thì đã có thông tin kết nối bao gồm:

  • IP kêt nối là source NAT ip: 202.134.18.51
  • Preshare Key: Lấy bằng cách click vào chữ “show”
  • User/password vừa khai báo

Hướng dẫn kết nối VPN Client to site L2TP preshare key từ Windows 10

Tạo VPN Connection trong Network Setting

Khai báo các thông tin kết nối, Click Save

Sau khi tạo VPN connection vào Network Connection, Click chuột phải vào connection vừa tạo, chọn Properties

Click tab Security, chọn giao thực CHAP Version 2

Cấu hình gateway để tránh mất internet

Click tab network > IP v4 > Properties

Chọn tiếp Advance

Bỏ chọn default gateway, Click OK

Click connect để thực hiện kết nối

Sau khi kết nối thành công thì từ máy tính client có thể kết nối được các VM trên cloud theo VPN

 

Leave A Comment?