VPC trong AWS là gì?

Question

Accepted Answer

**VPC** (Virtual Private Cloud) là **mạng ảo cô lập** của riêng bạn bên trong AWS — nơi bạn khởi chạy tài nguyên (như EC2 instances) với khả năng kiểm soát dải IP, subnets, routing và bảo mật. Đây là nền tảng mạng cho tài nguyên AWS.

## VPC là gì

```text
A VPC is a logically ISOLATED virtual network in AWS that YOU control:
  → define your IP address range (CIDR block, e.g. 10.0.0.0/16)
  → divide it into SUBNETS; control ROUTING and security
  → your resources (EC2, RDS, etc.) live inside it, isolated from other networks
→ Like having your own private network in the cloud.
```

## Các thành phần chính

```text
SUBNET → a segment of the VPC's IP range, placed in one Availability Zone:
  PUBLIC subnet  → has a route to the internet (via an Internet Gateway) — for
    public-facing resources (web servers, load balancers)
  PRIVATE subnet → NO direct internet route — for backend resources (databases, app
    servers) that shouldn't be publicly reachable
INTERNET GATEWAY → connects the VPC to the internet (for public subnets)
NAT GATEWAY → lets PRIVATE subnet resources reach OUT to the internet (e.g. updates)
  without being reachable FROM the internet
ROUTE TABLES → control where traffic goes
SECURITY GROUPS / NACLs → firewalls controlling traffic to resources/subnets
```

## Một kiến trúc điển hình

```text
VPC (10.0.0.0/16)
  ├─ PUBLIC subnet  → load balancer, bastion (internet-facing)
  └─ PRIVATE subnet → app servers, DATABASE (no direct internet access — more secure)
→ Public subnet handles incoming traffic; private subnet protects backend resources.
```

## Tại sao điều này quan trọng

Hiểu VPC là quan trọng vì nó là **nền tảng mạng** cho tài nguyên AWS — gần như mọi thứ đều chạy bên trong một VPC — nên đây là kiến thức AWS nền tảng thiết yếu để triển khai tài nguyên một cách an toàn.

VPC cung cấp **mạng ảo cô lập** của riêng bạn trong AWS nơi bạn kiểm soát dải IP, subnets, routing và bảo mật, cho bạn khả năng thiết kế mạng giống như mạng on-premises nhưng trên đám mây.

Hiểu **các thành phần chính** là cần thiết để triển khai tài nguyên đúng cách: **subnets** (các phân đoạn của mạng, được chia quan trọng thành subnet **public** có truy cập internet cho tài nguyên public-facing và subnet **private** không có truy cập internet trực tiếp cho tài nguyên backend), **internet gateways** (kết nối tới internet), **NAT gateways** (cho phép tài nguyên private vươn ra ngoài mà không thể bị truy cập từ bên ngoài), route tables, và security groups/NACLs (firewall). **Sự phân biệt public/private subnet đặc biệt quan trọng cho bảo mật**: đặt tài nguyên backend (đặc biệt là cơ sở dữ liệu) trong **subnet private** — được bảo vệ khỏi truy cập internet trực tiếp trong khi tài nguyên public-facing (load balancers, web servers) xử lý lưu lượng đến ở subnet public — là một kiến trúc bảo mật nền tảng ngăn ngừa phơi bày trực tiếp các hệ thống backend nhạy cảm.

Hiểu kiến trúc điển hình này (subnet public cho các thành phần internet-facing, subnet private bảo vệ cơ sở dữ liệu và app server) phản ánh thiết kế mạng hợp lý và an toàn.

Vì gần như mọi tài nguyên AWS chạy bên trong VPC và kiến trúc mạng đúng đắn (đặc biệt là sự tách biệt public/private subnet) là thiết yếu cho bảo mật, và vì hiểu VPC, subnets và các thành phần là cần thiết để triển khai tài nguyên AWS đúng đắn và an toàn, hiểu kiến thức cơ bản về VPC là kiến thức AWS nền tảng thiết yếu — lớp mạng làm cơ sở cho các triển khai AWS và là chủ đề mà đặc biệt mẫu bảo mật public/private subnet quan trọng để bảo vệ tài nguyên backend, khiến nó trở thành kiến thức then chốt cho bất kỳ ai thiết kế hạ tầng AWS.