Case Study: Paltech - Networking for complex environments with multiple VPCs and AWS accounts

FTI - Đối tác triển khai AWS toàn diện tại thị trường Việt Nam

Paltech là công ty Outsourcing chịu trách nhiệm xây dựng và quản lý sản phẩm của khách hàng cuối tại Châu Âu. Các nhóm DevOps và Cơ sở hạ tầng cốt lõi của Paltech có trụ sở tại Việt Nam.

✅ Khó khăn của Paltech

Paltech muốn áp dụng phát triển các ứng dụng cloud-native hiện đại, sử dụng kiến trúc microservices để đảm bảo khả năng mở rộng và khả năng phục hồi. Kubernetes cung cấp một cách dễ dàng để quản lý, mở rộng quy mô và triển khai các vi dịch vụ, đồng thời cung cấp các API và công cụ để cho phép cập nhật luân phiên cũng như cải thiện khả năng ghi nhật ký và giám sát. Hơn nữa, Kubernetes hoạt động tốt với các công cụ CI/CD hiện có của họ như Jenkins và Docker, đồng thời giúp cải thiện khả năng tự động hóa và quản lý tài nguyên trong quy trình CI/CD.

Do cơ sở hạ tầng tại chỗ đã cũ, Paltech đã chọn AWS làm cơ sở hạ tầng đám mây để di chuyển khối lượng công việc và triển khai các ứng dụng gốc đám mây hiện đại của mình. Khi lập kế hoạch cho dự án di chuyển này, Paltech đã phải đối mặt với 05 thách thức đòi hỏi một đối tác có chuyên môn cao về Mạng và có khả năng về Mạng AWS tại Việt Nam:

1. Tăng tốc và bảo vệ (và yêu cầu kết nối riêng tư) kết nối VPN Site-to-Site từ văn phòng của Paltech đến khu vực AWS Ireland cho nhiều tài khoản AWS.

2. Giảm độ trễ và chi phí đầu ra dữ liệu khi kết nối qua kết nối VPN Site-to-Site.

3. Cải thiện tính bảo mật của lưu lượng mạng trên các VPC và kết nối giữa các AWS region.

4. Có một số mạng con và VPC trong môi trường QAT, MGT, STG và Production trùng lặp CIDR với VPC của người dùng cuối (khách hàng của Paltech) và quá rủi ro khi thay đổi do tuân thủ và yêu cầu các biện pháp thực hành tốt nhất để tránh vấn đề này.

5. Public endpoints cho các EKS nodes nhưng không được publish các instance và đáp ứng các yêu cầu về kết nối mạng nâng cao

✅ Giải pháp của FPT Telecom International

Sử dụng AWS Direct Connect + AWS Transit Gateway + AWS VPN Site-to-Site

- AWS Direct Connect là giải pháp đạt tiêu chuẩn của FPT Telecom International (FTI), cung cấp cả kết nối chặng cuối từ văn phòng Paltech đến các địa điểm AWS Direct Connect gần nhất (Equinix và Global Switch) (Mô hình High resiliency
- AWS Transit Gateway được dùng để đơn giản hóa kết nối mạng và hỗ trợ cổng chuyển tiếp liên khu vực kết nối ngang hàng giữa khu vực ap-southeast-1 và eu-east-1 cũng như giữa nhiều Amazon VPCs.
- AWS VPN được sử dụng để bảo mật kết nối VPN Site-to-Site.
- Việc giám sát giải pháp AWS DX của chúng tôi dựa trên dự án này: https://github.com/awslabs/aws-dx-monitor. Hệ thống giám sát giamsat247 của chúng tôi được cấu hình để gửi email thông báo đến khách hàng khi có sự cố xảy ra ở cơ sở hạ tầng MPLS và hạ tầng last-mile.
- Các dịch vụ AWS liên quan khác: Amazon VPC, Amazon CloudWatch & CloudWatch Events

Mã hóa kết nối từ văn phòng tới các AWS Regions

- Mã hóa tất cả lưu lượng truy cập rời khỏi cơ sở vật lý của AWS và sử dụng mã hóa MACSec lớp 2 cho lưu lượng truy cập qua Direct Connect.
- AWS Transit Gateway để mã hóa lưu lượng truy cập bằng mã hóa AES-256 ở lớp mạng ảo khi lưu lượng di chuyển giữa các Khu vực.
- Các dịch vụ AWS liên quan khác: Amazon VPC

Sử dụng AWS Transit Gateway và AWS PrivateLink để tránh trùng lặp CIDR

- FTI thực hiện đánh giá mạng và quy hoạch lại IP cho các mục đích mở rộng quy mô hơn nữa.
- FTI đã tư vấn cho Paltech kết nối ứng dụng thông qua endpoint service (được cung cấp bởi AWS PrivateLink) và áp dụng với AWS Transit Gateway để tích hợp workload trên EKS nhằm giải quyết các thách thức CIDR chồng chéo trong khi vẫn bảo toàn các địa chỉ IP và vẫn có thể định tuyến.
- Sử dụng endpoint service được hỗ trợ bởi AWS PrivateLink để chia sẻ dịch vụ chạy trên Kubernetes và ingress (qua NLB) với VPC của khách hàng cuối trong các tài khoản AWS riêng biệt.
- Các dịch vụ AWS liên quan khác: Amazon VPC, Amazon CloudWatch & CloudWatch Events, AWS Service Endpoints, AWS NAT Gateway.

Tích hợp AWS Network Load Balancer với Nginx reverse proxy để xuất bản cổng 80/443

- FTI đã sử dụng AWS NAT Gateway để hiển thị các workload node trong mạng con riêng tư.
- Bởi vì khách hàng không muốn sử dụngApplication Load Balancer do các yêu cầu của dự án chưa được đáp ứng, nên NLB và Nginx reverse proxy là những gì FTI đưa ra để giải quyết thách thức.
- Sử dụng AWS Network Load Balancer để xuất bản cổng 80/443 và tích hợp Nginx Reverse Proxy để xử lý lưu lượng truy cập đến các Backend node.
- Enhanced Networking được bật.
- Các dịch vụ AWS liên quan khác: Amazon VPC, Elastic Load Balancing (ELB), EC2/ECS Enhanced Networking

✅ Kết quả đạt được

⭐Hỗ trợ Paltech đáp ứng yêu cầu quản lý an ninh mạng theo tiêu chuẩn ISO 27001:2022.

⭐Giảm độ trễ và các vấn đề giật lag khi điều khiển từ xa và kết nối với khu vực AWS Ireland lên tới 50%.

⭐Giảm 30% chi phí truyền dữ liệu ra ngoài khi tải xuống tệp, hình ảnh... thông qua kết nối Site-to-Site của AWS VPN từ tài khoản AWS.

⭐Đạt được dải IP không chồng chéo (overlapping IP Range) cho mỗi VPC được kết nối.

⭐Xuất bản các endpoint cho các EKS node.

⭐Đơn giản hóa kết nối mạng giữa các tài khoản VPC và AWS.

⭐Nhận kết nối mạng toàn diện và hỗ trợ tận tình từ đội ngũ FTI.

✅ Về FPT Telecom International (FTI)

⭐FPT Telecom là Đối tác Công nghệ Tiên tiến của AWS. Kể từ tháng 1/2021, FPT Telecom trở thành Amazon Direct Connect Delivery Partner của AWS tại Châu Á Thái Bình Dương (APAC). Từ ngày 2/1/2022, FPT Telecom trở thành AWS Advanced Tier Services Partner cung cấp giải pháp tư vấn, thanh toán và dịch vụ Managed Service của AWS.

⭐Tháng 3/2022, FPT Telecom là đối tác đầu tiên tại Việt Nam đạt AWS Networking ISV Competency, chứng chỉ này xác nhận năng lực và kinh nghiệm chuyên sâu của đối tác trong việc tư vấn, triển khai và quản trị dịch vụ AWS Direct Connect. Ngoài ra, FPT Telecom còn là Đối tác Khu vực Công của AWS, được chứng nhận có kinh nghiệm cung cấp giải pháp cho các khách hàng chính phủ, tổ chức giáo dục và phi lợi nhuận trên toàn khu vực Việt Nam và trên thế giới

⭐Tổng quan thông tin của FPT Telecom trên APN: https://partners.amazonaws.com/partners/0010h00001cCj5aAAC/
#aws #FPTTelecom #spp #solutionprovider

FTI-logo

Hotline: 1900 6973 — Sales: 090.745.1357

Email: [email protected]

Số giấy chứng nhận đăng ký kinh doanh:
0305793402 do Sở Kế Hoạch và Đầu Tư Thành Phố Hồ Chí Minh cấp lần đầu ngày 22/5/2008

COPYRIGHT © 2022, FPT TELECOM INTERNATIONAL