• Thứ Sáu, 04/06/2010 17:49 (GMT+7)

    Điện toán mây kết hợp mạng riêng ảo

    Nguyễn Thị Hạnh

    Việc tích hợp tốt điện toán mây (Cloud Computing) với mạng riêng ảo (VPN) của doanh nghiệp tạo nên “đám mây riêng ảo” (VPC - Virtual Private Cloud) giúp mở rộng, nâng cao các khả năng quản lý.

    Mạnh nhưng chưa đủ

    Bất kỳ mạng nội bộ (LAN) của doanh nghiệp (DN) nào cũng có các thiết bị vật lý như định tuyến, chuyển mạch, máy chủ… và nhân viên kết nối vào làm việc. Việc sử dụng dịch vụ (DV), tài nguyên đám mây qua Internet công cộng trong trường hợp này có phát sinh rủi ro. Sự ra đời của VPC xuất phát từ các thử thách của mạng riêng ảo (VPN) với những rủi ro khi DN sử dụng DV đám mây qua Internet.

    DN sử dụng DV đám mây sẽ dễ dàng tạo các máy ảo (Virtual Machine - VM), nền tảng để chạy các ứng dụng. Tuy nghiên, khi một số thành phần của ứng dụng bị rớt ra ngoài do kết nối hoặc do bị tấn công thì DN sẽ gặp rất nhiều khó khăn. Rủi ro về bảo mật và độ chính xác dữ liệu trên đám mây rất lớn: mất dữ liệu, dữ liệu bị nhầm lẫn (hoặc trộn lẫn) với dữ liệu của khách hàng khác, thông tin bị ăn cắp… Để bảo mật thông tin và đảm bảo tính độc lập giữa mức hệ thống mạng và máy chủ DV, các DN thường muốn tự quản lý cơ sở hạ tầng mạng hơn là đi thuê dùng trên các đám mây. DN muốn các địa chỉ IP là của mình và các nhân viên của DN khi sử dụng tài nguyên cũng phải được đặt ở một mức độ ưu tiên nhất định.

    Bên cạnh đó, động lực để đám mây phát triển chính là việc các tài nguyên vật lý có thể được kết nối hoặc gỡ bỏ dễ dàng trên đám mây. Các nhà cung cấp đám mây phải kết hợp với các nhà quản lý mạng thiết lập động trên các máy chủ, tường lửa, định tuyến, lưu trữ… Hiện, các DV đám mây chưa làm được điều này.

    Hình 1. Doanh nghiệp sử dụng tài nguyên đám mây qua internet

    Hệ thống VPC

    Một VPC kết hợp các tài nguyên của điện toán mây như phần mềm, DV, lưu trữ, dữ liệu… với hạ tầng VPN cho phép người dùng thiết lập DV, tài nguyên riêng trên chính hạ tầng của mình và sử dụng nó an toàn, tin cậy hơn. VPC thường được tạo ra nhờ cấu hình động các tài nguyên đám mây và kết nối chúng với một hoặc nhiều site của DN thông qua các VPN.

    Thường, các VPN được dùng tạo kênh kết nối an toàn cho tài nguyên DN. Các VPC dùng VPN cũng với mục đích như vậy để tạo các kênh giao tiếp bảo mật khi triển khai DV đám mây đến các DN, người dùng. Các điểm kết nối trên VPN giúp khách hàng của VPC không bị tranh chấp kết nối với người dùng trên đám mây khác.

    Một VPC có thể có nhiều trung tâm dữ liệu đám mây khác nhau nhưng nó phục vụ cho 1 DN. Để tăng hiệu quả cho kết nối này, trong VPN sử dụng các DV mạng LAN riêng ảo (Virtual Private LAN Services - VPLS). Nó sẽ cài đặt giúp các thành phần chạy dễ dàng trên các đám mây mà không phải thay đổi khi các DV, tài nguyên của đám mây cập nhật thay đổi. VPLS còn giúp xử lý tự động giữa các VM trên đám mây khi di chuyển giữa các DN, khách hàng khác nhau.

    Một VPC phức tạp (CloudNet - xem hình minh hoạ) cho hiệu quả cao hơn rất nhiều khi kết hợp nhiều thành phần và tách biệt phần quản lý hạ tầng mạng của DN với quản lý tài nguyên đám mây. Trên thị trường cho chúng ta nhiều lựa chọn, tùy nhu cầu để kết hợp các VPN với các tài nguyên đám mây.

    Lợi ích của VPC

    Điện toán mây bước đầu mang lại nhiều lợi ích, nhưng nó cũng cần phải mở rộng ứng dụng để theo kịp yêu cầu của các DN, cụ thể là kết hợp mạng riêng ảo.

    Đối với khách hàng, khi tách biệt giữa tài nguyên máy tính và mạng, cho phép truy cập các DV đám mây thông qua mạng VPN như tài nguyên cục bộ giúp DV an toàn và đáng tin cậy hơn rất nhiều so với dùng chúng trên hạ tầng điện toán mây. DN sẽ dễ dàng triển khai các DV, ứng dụng khác trên hạ tầng của mình vì trên VPC, các DV đám mây được sử dụng như cục bộ. DN cũng chủ động thay đổi, gỡ bỏ hoặc thêm thiết bị khi có thêm nhân viên hoặc thay đổi 1 định tuyến cũ bằng 1 định tuyến mới… DN sẽ không phải phụ thuộc nhiều vào các nhà cung cấp đám mây cũng như các nhà cung cấp DV mạng.

    Về phía nhà cung cấp DV, DV được quản lý dễ dàng hơn các trung tâm dữ liệu rời rạc trước kia nhờ bảo vệ được quyền điều khiển trên ứng dụng của khách hàng. Trước kia, tất cả khách hàng đều sử dụng Internet để thao tác trên phần mềm nên đôi khi bị rớt kết nối hoặc mất quyền thao tác. Với VPC, điều đó không xảy ra. Tập trung khách hàng tại một VPC sẽ giúp nhận dạng, kiểm tra và quản lý đơn giản, tập trung hóa và chuyên nghiệp hơn.

    Các thử thách với VPC

    Khi tạo các điểm kết nối VPN, cần phải phối hợp rất chặt chẽ giữa các nhà khai thác mạng và nhà cung cấp DV đám mây. Các DV đám mây không đảm bảo an toàn tuyệt đối khi gắn chúng vào VPN. VPN thường gắn với các cơ sở vật lý như định tuyến, chuyển mạch... trong khi các DV đám mây yêu cầu tách biệt với chúng. Do đó, khi kết hợp 2 phần này cần phải tính toán kỹ và chính xác. Các điểm kết nối của VPN phải được liên kết đến VLAN ở bên trong các trung tâm dữ liệu của đám mây.

    Triển khai thực tế

    Đây là hướng đi mới trong ứng dụng điện toán mây. Thế giới hiện có các tập đoàn như Amazon (Amazon VPC, http://aws.amazon.com/vpc/) đã triển khai: Tích hợp VPN vào mạng đám mây EC2 của hãng. Amazon VPC phát triển hướng bán giải pháp cho các nhà phát triển và khách hàng thông qua các giao diện lập trình ứng dụng API (DeleteVpnConnection API) để tích hợp VPN với các DV đám mây. Tại Việt Nam, khi các cơ sở vật chất cho điện toán mây hoàn thiện thì việc tích hợp chúng với mạng riêng ảo sẽ là xu hướng cần thiết và đơn giản.

    Hình 2: Một mô hình VPC đơn giản (VM – Virtual Machine: các máy ảo ứng dụng trên đám mây)

    ID: B1005_54