VPC (Virrtual Private Cloud)
Tính năng VPC cho phép Khách hàng tạo ra môi trường mạng riêng ảo để kết nối nội bộ các thành phần trong hệ thống, Khách hàng có toàn quyền quản trị mạng riêng này bao gồm: tạo subnet, cấu hình loadbance, port forward, VPN, access-list,…
Ví dụ xây dựng hệ thống cơ bản gồm các thành phần web, application, database dùng tính năng VPC trên CMC cloud sử dụng full tính năng VPC như:
- Port Forward
- Loadbalancer
- VPN site-to-site
- VPN Client to site
Mô hình hệ thống:
Triển khai mô hình VPC trên CMC cloud
B1. Tạo VPC trên CMC Cloud
Đăng nhập vào trang https://portal.cloud.cmctelecom.vn > Click Tab VPC bên trái
Nhập đầy đủ các thông tin:
- Name: Tên của VPC “HN-VPC-CMC-HELPDESK”
- Description: Mô tả về VPC “He thong ho tro HELPDESK”
- Zone: Chọn nơi muốn đặt hệ thống Hà Nội hoặc Hồ Chí Minh “Hà Nội”
- Super CIDR: Dải mạng tổng của các subnet nhỏ trong VPC “10.0.0.0/16”
Click “DEPLOY NOW” để tạo VPC. Sau khi DEPLOY VPC xong sẽ hiển thị các thông tin như sau:
B2. Tạo các dải mạng private cho Web cluster, App Cluster, DB Cluter với các thông tin sau
| Tên Cluster | Dải mạng | Gateway |
| Web Cluster | 10.0.0.0/24 | 10.0.0.1 |
| App Cluster | 10.0.1.0/24 | 10.0.1.1 |
| DB Cluster | 10.0.2.0/24 | 10.0.2.1 |
Lưu ý: Các dải mạng này phải là mạng nhỏ của dải mạng tổng VPC khai báo “10.0.0.0/16”
Click phần “Private Network”
sau đó click tiếp “Add VPC Private Network” để khai báo các dải mạng này:
Nhập các thông tin về private network cho Web cluster, rồi click OK để hoàn thành
Tương tư, khai báo lần lượt cho App Cluster và DB Cluster
B3: Tạo VM với mạng VPC
Đăng nhập vào trang https://portal.cloud.cmctelecom.vn > Click Tab VM bên trái
Tạo VM Web với các thông tin như: tên, cấu hình, hệ điều hành,…
Riêng mục số 6: chọn Advance Network, và chọn mạng private là Web Cluster
Đối với VM chạy App thì chọn private là App Cluster, chạy DB thì chọn DB Cluster
Sau khi tạo hết VM:
Cấu hình Port Forward
Click VPC > Click “Public IP Address”
Click “Add Public IP” rồi chọn OK
Click “Port forwarding”
Nhập các thông tin cần forward đến:
Ví dụ forward port 22 để ssh vào con web:
Chọn mục 1: mạng Web cluster, Mục 2: khai báo port ssh, Mục 3: chọn server cần ssh
Click số 4 để tạo Port forward
Lúc này có thể ssh vào server vm-1.web theo ip public là “202.134.18.53”.
Cấu hình loadbalance
Chú ý: Không sử dụng được cùng tính năng loadbalance và port forward trên cùng 1 IP
Ví dụ: loadbalance dịch vụ http,https đến 2 VM vm-1.web và vm-2.web
Add thêm 1 IP public cho Load Balancer, Click Load Balancer để tạo loadbalance
Chọn mạng private cần loadbalance “Web cluster”, Click “Deploy New Load Balancer”
Nhập các thông tin về port, thuật toán loadbalance, click “DEPLOY NOW”
Thực hiện lần lượt các mục 1,2,3,4 ở hình dưới để add VM vào loadbalance
Sau khi thực hiện xong thì đặt domain trỏ vào IP “202.134.18.54”, traffic truy cập web ở ngoài sẽ theo IP public là “202.134.18.54” và load balancer xuống 2 con VM web
Tính năng VPN site-to-site ipsec
VPC chỉ hỗ trợ tính năng VPN site-to-site đối với gateway VPN hỗ trợ giao thức IPSEC
Ví dụ: Khách hàng cần kết nối mạng văn phòng lên server đặt ở CMC Cloud dùng tính năng VPC.
Để thực hiện VPN site-to-site cần khai báo ở cả 2 đầu match các thông số:
Thông thường khai báo IPSEC như bảng sau:
IP public trên Cloud chính là IP source NAT trong VPC: 202.134.18.51
Dải IP kết nối VPN chính là dải network tổng VPC : 10.0.0.0/16
| Thông tin kết nối VPN | |||
| IKE | IPSEC | ||
| authentication | md5 | authentication | md5 |
| encrytion | 3des | encrytion | 3des |
| DH group | 5 | DH group | 5 |
| lifetime | 28800 | lifetime | 3600 |
| IKE Preshare key | CmCtelecom@123 | IPSEC Protocol | ESP |
| IP Public CMC | 202.134.18.51 | ||
| IP local CMC | 10.0.0.0/16 | ||
| IP public KH | 101.99.31.75 | ||
| IP local KH | 192.168.1.0/24 | ||
Thực hiện khai báo gateway phía mạng văn phòng KH:
Click tab VM bên trái > Click VPN Client to Site để khai báo gateway đầu xa
Click Add VPC Gateway
Điền các thông tin về gateway đầu xa > Click Create để tạo gateway
Thông tin gateway VPN sau khi tạo:
Để enable kết nối VPN site-to-site:
Click VPC > Click VPN-site-to-site
Click Enable VPN Site-To-Site
Click Connection
Chọn Gateway đầu xa, rồi click Add Connection
Thực hiện khai báo thông số VPN ở đầu văn phòng. Khi cả 2 đầu khớp thông tin thì kết nối VPN site-to-site sẽ thành công, trạng thái sẽ chuyển sang “Connected”
VPN Client to site
VPC chỉ hỗ trợ VPN client to site dạng L2TP Preshare Key
Để khai báo VPN client to site: Click VPC > Click Public IP Address > Click Enable VPN
Sau khi client Enable VPN, Click “show” để lấy key. Click VPN User để tạo user VPN
Sau khi tạo user thì đã có thông tin kết nối bao gồm:
- IP kêt nối là source NAT ip: 202.134.18.51
- Preshare Key: Lấy bằng cách click vào chữ “show”
- User/password vừa khai báo
Hướng dẫn kết nối VPN Client to site L2TP preshare key từ Windows 10
Tạo VPN Connection trong Network Setting
Khai báo các thông tin kết nối, Click Save
Sau khi tạo VPN connection vào Network Connection, Click chuột phải vào connection vừa tạo, chọn Properties
Click tab Security, chọn giao thực CHAP Version 2
Cấu hình gateway để tránh mất internet
Click tab network > IP v4 > Properties
Chọn tiếp Advance
Bỏ chọn default gateway, Click OK
Click connect để thực hiện kết nối
Sau khi kết nối thành công thì từ máy tính client có thể kết nối được các VM trên cloud theo VPN
Leave A Comment?