Hướng Dẫn Tạo và Cấu Hình Mạng Ảo trong Azure

Giới thiệu

Mỗi ứng dụng đám mây bắt đầu với một nền tảng mạng an toàn và có khả năng mở rộng. Trong Azure, Mạng Ảo (VNet) cung cấp cơ sở hạ tầng cho việc kết nối các ứng dụng, cơ sở dữ liệu và thiết bị bảo mật, đồng thời duy trì các môi trường riêng tư và cách ly.

Trong hướng dẫn này, chúng ta sẽ đi qua các bước sau:

• Tạo mạng ảo kiểu hub-and-spoke cho một ứng dụng web.
• Thêm các subnet cho frontend, backend và các công việc của firewall.
• Cấu hình VNet peering an toàn để cho phép giao tiếp riêng tư.

Cuối cùng, bạn sẽ biết cách thiết kế kiến trúc mạng đơn giản nhưng sẵn sàng cho sản xuất trong Azure.

Mục tiêu học tập

Bạn sẽ học cách:

• Triển khai mạng ảo và subnet trong Azure.
• Thiết lập kiến trúc mạng hub-and-spoke.
• Cấu hình VNet peering để giao tiếp an toàn giữa các mạng.

Tổng quan kiến trúc

Mô hình hub-and-spoke mà bạn đã tạo là một mô hình mạng Azure phổ biến được thiết kế cho khả năng mở rộng, bảo mật và dễ quản lý.

• Hub VNet hoạt động như một điểm điều khiển trung tâm. Nó chứa các dịch vụ chia sẻ như Azure Firewall, công cụ giám sát hoặc cổng VPN. Bằng cách tập trung bảo mật ở đây, bạn tránh việc sao chép tài nguyên firewall hoặc gateway trong mỗi mạng.

• App VNet phục vụ như một mạng spoke. Nó chứa hai subnet cách ly:

  • Subnet frontend, nơi chứa các máy chủ web mà người dùng tương tác.
  • Subnet backend, nơi chứa cơ sở dữ liệu hoặc dịch vụ nội bộ không bao giờ nên được tiếp xúc trực tiếp với internet.

• VNet peering tạo ra một kết nối riêng tư an toàn giữa hub và spoke, cho phép lưu lượng truy cập chảy như thể cả hai mạng là một phần của một VNet duy nhất, trong khi vẫn giữ các ranh giới quản trị.

Kiến trúc này đảm bảo rằng lưu lượng ứng dụng chảy một cách riêng tư thông qua hạ tầng của Azure mà không chạm vào internet công cộng, trong khi vẫn giữ cho các khối công việc được phân tách để bảo mật và tuân thủ tốt hơn.

Bước 1: Tạo Mạng Ảo Ứng Dụng và Subnet

💡 Tại sao bắt đầu ở đây?
Mạng ứng dụng (spoke) chứa khối công việc — các máy chủ web trong subnet frontend và cơ sở dữ liệu trong subnet backend. Phân đoạn tài nguyên thành các subnet giúp cải thiện bảo mật và kiểm soát lưu lượng.

1. Đăng nhập vào Azure Portal.

2. Tìm kiếm Mạng Ảo và nhấp vào + Tạo.

3. Chọn nhóm tài nguyên hiện có hoặc tạo một nhóm tài nguyên mới, ví dụ RG1.

4. Nhập tên mạng ảo là app-vnet và chọn East US làm khu vực.

5. Định nghĩa không gian địa chỉ IP là 10.1.0.0/16.

6. Dưới phần subnet, tạo một subnet tên là frontend với dải địa chỉ 10.1.0.0/24, và một subnet khác tên là backend với dải địa chỉ 10.1.1.0/24.

7. Nhấp vào Xem + tạo, rồi Tạo.

✅ Tại đây, bạn đã có một mạng ứng dụng riêng biệt sẵn sàng cho các khối công việc.

Bước 2: Tạo Mạng Ảo Hub

💡 Tại sao cần một hub?
Hub là mạng trung tâm kết nối với các dịch vụ bên ngoài và thực thi chính sách bảo mật như firewall, giám sát hoặc VPN.

1. Quay lại Mạng Ảo và nhấp vào + Tạo một lần nữa.

2. Sử dụng cùng nhóm tài nguyên RG1.

3. Đặt tên cho mạng này là hub-vnet và chọn East US.

4. Gán không gian địa chỉ là 10.0.0.0/16.

5. Chỉnh sửa subnet mặc định/Thêm một subnet tên là AzureFirewallSubnet với dải địa chỉ 10.0.0.0/26.

6. Chọn Xem + tạo, rồi Tạo.

✅ Bạn đã có một mạng hub được chuẩn bị để bảo mật và định tuyến lưu lượng.

Bước 3: Cấu Hình VNet Peering

💡 Tại sao cần VNet peering?
Peering cho phép các mạng ảo giao tiếp riêng tư mà không sử dụng internet công cộng. Điều này đảm bảo lưu lượng an toàn giữa ứng dụng và các dịch vụ hub.

1. Mở app-vnet từ danh sách các mạng ảo.

2. Dưới phần Cài đặt, chọn Peerings, rồi nhấp vào + Thêm.

3. Nhập tên liên kết peering từ xa là app-vnet-to-hub.

4. Chọn mạng ảo hub-vnet làm peer.

5. Đối với tên liên kết peering nội bộ, nhập hub-to-app-vnet.

6. Để các cài đặt khác ở mặc định và nhấp Thêm.

✅ Khi triển khai hoàn tất, xác nhận rằng trạng thái peering hiển thị là Kết nối.

Bước 4: Xác Minh Kiến Trúc

💡 Tại sao cần xác minh?
Kiểm tra đảm bảo rằng kết nối hoạt động trước khi triển khai các khối công việc quan trọng.

• Mở cả app-vnet và hub-vnet trong portal để xác nhận rằng các subnet của chúng tồn tại.
• Kiểm tra rằng kết nối peering hiển thị là đã kết nối.

Kết luận

Trong hướng dẫn thực hành này, bạn đã xây dựng nền tảng cho một mạng Azure an toàn và có khả năng mở rộng:

• Một mạng ảo ứng dụng với các subnet frontend và backend riêng biệt.
• Một mạng ảo hub với một subnet firewall.
• VNet peering để cho phép giao tiếp riêng tư an toàn giữa hai mạng.

Thiết kế hub-and-spoke này được sử dụng rộng rãi trong mạng Azure để giữ cho các ứng dụng được cách ly nhưng vẫn kết nối với các dịch vụ tập trung.

Thực hành tốt nhất

• Luôn sử dụng các nhóm tài nguyên để dễ dàng quản lý: Sử dụng các nhóm tài nguyên để tổ chức tài nguyên Azure của bạn theo cách dễ quản lý. Điều này giúp bạn dễ dàng theo dõi và bảo trì.

Cạm bẫy phổ biến

• Bỏ qua việc kiểm tra kết nối: Trước khi triển khai ứng dụng thực tế, hãy chắc chắn rằng kết nối giữa các mạng ảo đã được thiết lập và hoạt động.

Mẹo hiệu suất

• Tối ưu hóa thiết lập của bạn: Đảm bảo rằng các subnet được cấu hình đúng cách để tối ưu hóa hiệu suất lưu lượng mạng.

Khắc phục sự cố

• Không thể kết nối giữa các subnet: Nếu gặp sự cố khi kết nối giữa các subnet, hãy kiểm tra cấu hình của VNet peering và đảm bảo rằng các ranh giới mạng không cản trở lưu lượng.

Câu hỏi thường gặp (FAQ)

1. VNet peering là gì?
VNet peering cho phép các mạng ảo giao tiếp với nhau như thể chúng là một mạng đơn lẻ mà không cần sử dụng internet công cộng.

2. Mạng hub-and-spoke là gì?
Mạng hub-and-spoke là mô hình mạng mà trong đó một mạng trung tâm (hub) kết nối đến các mạng con (spoke), thường để quản lý và bảo mật tốt hơn.

3. Tôi có thể thêm bao nhiêu subnet vào một VNet?
Số lượng subnet bạn có thể thêm vào một VNet phụ thuộc vào không gian địa chỉ IP mà bạn đã xác định cho VNet đó.