1. Region , Availability Zone, Edge Locations
AWS thiết lập cơ sở hạ tầng của mình trên toàn thế giới để đảm bảo tính sẵn sàng cao, hiệu suất tối ưu và khả năng tuân thủ quy định pháp lý cho người dùng. Cấu trúc này bao gồm Region, Availability Zone (AZ), và Edge Locations.
1.1. Region (Vùng)
Một Region là một khu vực địa lý vật lý riêng biệt và độc lập nơi AWS đặt cơ sở hạ tầng của mình.
Đặc Điểm Chính
- Độc Lập Hoàn Toàn: Các Region được cách ly vật lý với nhau. Điều này đảm bảo sự độc lập về lỗi; sự cố xảy ra ở một Region sẽ không ảnh hưởng đến các Region khác về dữ liệu, dịch vụ hay tính sẵn sàng.
- Tập Hợp AZ: Mỗi Region bao gồm một tập hợp các Availability Zone (AZ).
- Mã Định Danh: Mỗi Region có một mã định danh duy nhất (ví dụ: us-east-1 cho North Virginia, ap-southeast-1 cho Singapore).
Cân Nhắc Quan Trọng Khi Chọn Region
Việc lựa chọn Region là bước đầu tiên và quan trọng nhất khi triển khai tài nguyên AWS. Bạn cần cân nhắc các yếu tố sau:
- Độ Trễ (Latency): Chọn Region gần nhất với người dùng cuối của bạn để giảm độ trễ truy cập (độ trễ thấp = phản hồi nhanh).
- Tuân Thủ Pháp Lý (Regulatory Compliance): Một số quy định pháp lý (ví dụ: GDPR ở EU) yêu cầu dữ liệu phải được lưu trữ trong một khu vực địa lý cụ thể.
- Chi Phí Dịch Vụ: Chi phí cho cùng một dịch vụ AWS có thể khác biệt giữa các Region.
AWS Cloud hiện có hơn 100+ Availability Zones tại 33 khu vực địa lý (Regions) trên toàn thế giới.
1.2. Availability Zone (AZ – Vùng Sẵn Sàng)
Một AZ là một hoặc nhiều Trung tâm Dữ liệu (Data Center) riêng biệt trong một Region.
Đặc Điểm Chính
- Cách Ly Về Vật Lý: Các AZ được cách ly vật lý với nhau, thường cách nhau hàng dặm, nhưng vẫn nằm trong cùng một Region.
- Hạ Tầng Độc Lập: Mỗi AZ có nguồn điện, mạng, và làm mát riêng biệt, giúp chúng cách ly khỏi các lỗi tiềm ẩn (như mất điện, lũ lụt, hỏa hoạn) ở các AZ khác.
- Kết Nối Tốc Độ Cao: Các AZ trong cùng một Region được kết nối với nhau bằng mạng nội bộ tốc độ cao, độ trễ thấp và có khả năng chịu lỗi.
- Mã Định Danh: Một AZ được định danh bằng mã Region cộng với một chữ cái (ví dụ: us-east-1a, us-east-1b, ap-southeast-1a).
Tăng Tính Sẵn Sàng (High Availability)
- Thực hành Tốt nhất: Để đạt được Tính Sẵn Sàng Cao (High Availability) và Khả năng Phục hồi sau Thảm họa (Disaster Recovery), bạn luôn luôn nên triển khai các tài nguyên quan trọng (như máy chủ EC2, cơ sở dữ liệu) của mình trên ít nhất hai AZ trong cùng một Region.
1.3. Edge Locations (Vị trí Biên) và Caching
Edge Locations là các trung tâm dữ liệu nhỏ, được phân phối rộng rãi trên toàn thế giới, có số lượng lớn hơn rất nhiều so với Region và AZ.
Mục Đích Chính
- Giảm Độ Trễ: Edge Locations được đặt ở gần người dùng cuối nhất có thể. Mục đích chính là giảm độ trễ bằng cách đưa nội dung và các dịch vụ mạng đến gần người dùng hơn.
- Không Dùng để Triển Khai Ứng Dụng: Khác với Region/AZ, bạn không thể triển khai trực tiếp các ứng dụng hoặc máy ảo (EC2) trên Edge Locations.
Dịch Vụ Sử Dụng Edge Locations
Edge Locations chủ yếu phục vụ các dịch vụ sau:
| Dịch Vụ | Vai Trò Chính tại Edge Location |
| Amazon CloudFront | Mạng Phân phối Nội dung (CDN). Dùng để lưu trữ bộ nhớ đệm (cache) cho nội dung tĩnh và động, giúp phân phối nội dung nhanh hơn. |
| Route 53 | Dịch vụ DNS. Xử lý các yêu cầu DNS (tìm kiếm địa chỉ IP) tại vị trí gần người dùng nhất. |
| AWS Global Accelerator | Cải thiện hiệu suất bằng cách sử dụng mạng xương sống (backbone network) của AWS, định tuyến lưu lượng truy cập tối ưu đến ứng dụng của bạn. |
Ví Dụ Về CloudFront
- Khi người dùng ở Hà Nội truy cập một website có máy chủ đặt tại ap-southeast-1 (Singapore) và sử dụng CloudFront, dữ liệu tĩnh (hình ảnh, CSS) sẽ được cache tại Edge Location ở Hà Nội hoặc TP.HCM.
- Lần truy cập tiếp theo, nội dung sẽ được phục vụ trực tiếp từ Edge Location này, giúp giảm đáng kể độ trễ thay vì phải đi thẳng ra Singapore.
1.4. Latency (Độ Trễ)
Độ trễ là khoảng thời gian cần thiết (thường được đo bằng mili giây – ms) giữa việc gửi một yêu cầu (request) và nhận được phản hồi tương ứng (response).
- Nguyên tắc Vàng: Độ trễ thấp luôn tốt hơn độ trễ cao vì nó đồng nghĩa với trải nghiệm người dùng nhanh hơn và hiệu suất ứng dụng cao hơn.
- Chiến lược AWS: Cấu trúc Region/AZ và Edge Locations được thiết kế để giảm thiểu độ trễ, đảm bảo người dùng truy cập dịch vụ AWS một cách nhanh chóng.
2. Mô Hình Chia Sẻ Trách Nhiệm (Shared Responsibility Model) của AWS
Mô hình Trách nhiệm Chia sẻ là một nguyên tắc cơ bản về bảo mật và tuân thủ (security and compliance) trong AWS. Nó phân định rõ trách nhiệm bảo mật giữa Amazon Web Services (AWS) và Khách hàng khi sử dụng các dịch vụ đám mây.
- Ý chính:
- AWS chịu trách nhiệm cho “Security of the Cloud” (Bảo mật của Đám mây).
- Khách hàng chịu trách nhiệm cho “Security in the Cloud” (Bảo mật trong Đám mây).
2.1. Trách Nhiệm của AWS: “Security of the Cloud”
AWS chịu trách nhiệm bảo mật và duy trì cơ sở hạ tầng nền tảng chạy các dịch vụ đám mây. Điều này bao gồm:
- Bảo mật Vật lý:
- Các vùng (Regions), vùng sẵn sàng (Availability Zones – AZs), và điểm hiện diện (Edge Locations).
- Cơ sở hạ tầng vật lý như data centers (trung tâm dữ liệu), máy chủ (servers), lưu trữ (storage), và thiết bị mạng (networking hardware).
- Hệ thống điện, điều hòa, và phòng cháy chữa cháy.
- Bảo mật Cơ sở Hạ tầng:
- Phần cứng, phần mềm, mạng và cơ sở hạ tầng chạy các dịch vụ AWS.
- Đảm bảo tính sẵn sàng cao (High Availability) và khả năng phục hồi của các dịch vụ.
- Patching (vá lỗi) hệ thống máy chủ host (nền tảng) của AWS.
- Tuân thủ (Compliance):
- AWS duy trì các chương trình tuân thủ trên toàn cầu (ví dụ: ISO 27001, SOC, PCI-DSS Level 1, HIPAA).
2.2. Trách Nhiệm của Khách hàng: “Security in the Cloud”
Khách hàng chịu trách nhiệm bảo mật mọi thứ họ đặt, triển khai, và cấu hình trên nền tảng AWS.
Đây là phần mà khách hàng có thể kiểm soát và là nơi hầu hết các rủi ro bảo mật tiềm ẩn xảy ra:
- Quản lý Dữ liệu:
- Mã hóa dữ liệu (Data Encryption) – cả dữ liệu khi nghỉ (at rest) và dữ liệu đang truyền (in transit).
- Sao lưu (Backup) dữ liệu.
- Phân loại dữ liệu (Ví dụ: Công khai, Riêng tư, Tuyệt mật).
- Quản lý Danh tính và Truy cập (IAM):
- Quản lý Người dùng (Users), Nhóm (Groups), Vai trò (Roles), và Chính sách (Policies).
- Bắt buộc sử dụng Xác thực Đa yếu tố (MFA) cho người dùng có đặc quyền cao.
- Hệ điều hành (OS) và Ứng dụng: (Đặc biệt đối với IaaS như EC2)
- Cập nhật (Update) và vá lỗi (patch) Hệ điều hành khách (Guest OS).
- Cài đặt phần mềm chống vi-rút/phần mềm độc hại.
- Quản lý tường lửa cấp ứng dụng và máy chủ web.
- Cấu hình Mạng:
- Quản lý Security Groups (Tường lửa ảo) và Network Access Control Lists (NACLs).
- Thiết lập VPNs và cấu hình mạng riêng ảo VPC (Virtual Private Cloud).
- Bảo mật Ứng dụng & Code:
- Đảm bảo mã ứng dụng không có lỗ hổng bảo mật.
2.3. Trách Nhiệm Thay Đổi Tùy Theo Dịch vụ
Mức độ phân chia trách nhiệm sẽ thay đổi tùy thuộc vào bản chất của dịch vụ AWS được sử dụng (IaaS, PaaS, SaaS).
| Loại Dịch vụ | Ví dụ | Trách nhiệm của AWS (Nhiều hơn) | Trách nhiệm của Khách hàng (Nhiều hơn) |
| IaaS | EC2, S3, VPC | Phần cứng, Cơ sở hạ tầng | Hệ điều hành, Ứng dụng, Dữ liệu, IAM, Cấu hình Mạng (SG/NACL). |
| PaaS | RDS, EKS, Elastic Beanstalk | OS, Quản lý Database, Patching hệ thống host | Dữ liệu, IAM, Cấu hình ứng dụng, Tối ưu hóa Database (RDS). |
| SaaS | S3, DynamoDB, Lambda | Hầu như toàn bộ hạ tầng, OS, Nền tảng | Dữ liệu, Phân quyền truy cập (IAM), Cấu hình an toàn của dịch vụ. |
Lưu ý Quan trọng (Tiếp thu Ghi chú)
- EC2 (IaaS): Khách hàng chịu trách nhiệm nhiều nhất. Bạn phải tự vá lỗi hệ điều hành và cài đặt ứng dụng.
- RDS (PaaS): AWS quản lý HĐH và việc vá lỗi cơ sở dữ liệu. Khách hàng tập trung vào dữ liệu, tham số DB và tối ưu hóa.
- S3 (IaaS/SaaS): Mặc dù AWS quản lý dung lượng lưu trữ vật lý, khách hàng HOÀN TOÀN chịu trách nhiệm về Quyền truy cập (Bucket Policy/ACL) và Mã hóa Dữ liệu trên các bucket S3 của họ. Việc để một bucket S3 công khai là một lỗi khách hàng điển hình.
Tóm lại: Mô hình này hoạt động như một sự bảo vệ bổ sung cho khách hàng: AWS cung cấp một Đám mây an toàn, còn bạn phải sử dụng nó một cách an toàn.
3. AWS Services: Compute, Storage, Databases, Networking
Chủ đề về các dịch vụ AWS là cánh cửa mở ra thế giới điện toán đám mây linh hoạt và mạnh mẽ. AWS cung cấp bộ công cụ toàn diện, chia thành các danh mục cốt lõi như Tính toán (EC2, Lambda), Lưu trữ (S3, EBS), Cơ sở dữ liệu (RDS, DynamoDB) và Mạng (VPC, Route 53). Việc hiểu rõ từng dịch vụ, use case, và sự khác biệt giữa chúng là chìa khóa để xây dựng các kiến trúc đám mây tối ưu, hiệu quả về chi phí và khả năng mở rộng.
3.1. Compute (Tính toán)
| Dịch vụ | Use Case Chính (Ứng dụng) | Sự Khác Biệt Cốt Lõi |
| EC2 (Elastic Compute Cloud) | Chạy các ứng dụng cần toàn quyền kiểm soát OS (Hệ điều hành), máy chủ ảo (VM), hoặc các workload không thể chạy dưới dạng serverless (ví dụ: các ứng dụng kế thừa, cần cấu hình phần cứng/phần mềm rất cụ thể). | IaaS (Infrastructure as a Service). Bạn quản lý OS, runtime, và mọi thứ bên trên. Cần quản lý máy chủ (provisioning, patching, scaling). |
| Lambda | Chạy các hàm code ngắn hạn (dưới 15 phút), phản ứng với sự kiện (ví dụ: xử lý ảnh ngay sau khi upload lên S3, backend cho API đơn giản). | FaaS (Function as a Service) / Serverless. Bạn chỉ cần code. AWS lo mọi thứ về máy chủ, OS, scaling. Thanh toán theo thời gian code chạy thực tế (từng mili giây). |
| Elastic Beanstalk | Triển khai nhanh ứng dụng web trọn gói (Java, Python, Node.js, v.v.) mà không cần cấu hình thủ công. Lý tưởng cho các ứng dụng web truyền thống. | PaaS (Platform as a Service). Bạn chỉ cần cung cấp code/cấu hình. AWS tự động quản lý EC2, Load Balancer, Auto Scaling, nhưng vẫn có máy chủ EC2 ẩn bên dưới. |
3.2. Storage (Lưu trữ)
| Dịch vụ | Use Case Chính (Ứng dụng) | Sự Khác Biệt Cốt Lõi |
| S3 (Simple Storage Service) | Lưu trữ đối tượng (Object storage): ảnh, video, bản sao lưu, data lake. Phù hợp cho dữ liệu không cần sửa đổi thường xuyên sau khi lưu. | Object Storage: Dữ liệu được lưu dưới dạng đối tượng với metadata, truy cập qua API (HTTP/HTTPS). Không thể gắn vào OS như ổ đĩa thông thường. Độ bền cao nhất (99.999999999%). |
| EBS (Elastic Block Store) | Lưu trữ khối (Block storage): Ổ đĩa hệ thống (Boot drive) và ổ đĩa dữ liệu cho các instance EC2. | Block Storage: Hoạt động như một ổ cứng vật lý gắn vào một EC2 instance duy nhất tại một thời điểm. Lý tưởng cho OS và database. |
| EFS (Elastic File System) | Lưu trữ tập tin (File storage): Cần chia sẻ dữ liệu file giữa nhiều EC2 instance cùng lúc (ví dụ: nội dung web server, môi trường dev/test dùng chung). | File Storage (NFS): Hỗ trợ giao thức NFS, cho phép nhiều EC2 instance cùng gắn và truy cập/ghi file đồng thời. Thường dùng trong môi trường Linux. |
| FSx | Lưu trữ tập tin chuyên biệt: Cung cấp file system hiệu suất cao, tối ưu sẵn cho các workload cụ thể (ví dụ: FSx for Windows File Server, FSx for Lustre). | Managed File Storage: Các hệ thống file chuyên dụng, hiệu suất cao, thường dùng cho các yêu cầu đặc thù (ví dụ: tương thích Windows AD, High-Performance Computing). |
| Storage Gateway | Dùng làm bộ nhớ đệm (caching) hoặc cầu nối để sao lưu dữ liệu từ trung tâm dữ liệu tại chỗ (on-premises) lên AWS S3/EBS. | Hybrid Cloud: Dùng để kết nối và di chuyển dữ liệu giữa môi trường tại chỗ và đám mây AWS. |
3.3. Databases (Cơ sở dữ liệu)
| Dịch vụ | Use Case Chính (Ứng dụng) | Sự Khác Biệt Cốt Lõi |
| RDS (Relational Database Service) | Ứng dụng nghiệp vụ cần tính toàn vẹn dữ liệu (ACID), các quan hệ phức tạp, và cơ sở dữ liệu quan hệ (ví dụ: website thương mại điện tử, hệ thống quản lý kho). | Managed Relational Database: AWS quản lý việc vá lỗi (patching), sao lưu, nhân bản (replication). Vẫn dựa trên máy chủ (EC2 ẩn), nhưng bạn không quản lý OS. |
| DynamoDB | Ứng dụng cần tốc độ cực cao, độ trễ thấp và khả năng scale vô hạn, không yêu cầu mô hình quan hệ phức tạp (ví dụ: giỏ hàng, bảng xếp hạng game, lưu trữ session). | Serverless NoSQL (Key-Value/Document): Tự động scale, hiệu suất cao, không cần quản lý máy chủ, thanh toán theo dung lượng lưu trữ và số lần đọc/ghi. |
| Redshift | Data Warehouse (Kho dữ liệu) để lưu trữ và phân tích lượng lớn dữ liệu (hàng Terabyte đến Petabyte). Dùng cho BI (Business Intelligence) và báo cáo phức tạp. | Columnar Storage: Tối ưu cho các truy vấn phân tích (OLAP) phức tạp, tốc độ cao trên cột dữ liệu (không phải giao dịch hàng ngày). |
3.4. Networking (Mạng)
| Dịch vụ | Use Case Chính (Ứng dụng) | Sự Khác Biệt Cốt Lõi |
| VPC (Virtual Private Cloud) | Nền tảng mạng cơ bản để cô lập, bảo mật và kết nối các tài nguyên AWS của bạn (EC2, RDS, v.v.). | Network Isolation: Tạo một mạng riêng ảo, định nghĩa dải IP, subnet, và quy tắc bảo mật (Security Groups, ACLs) của riêng bạn. |
| Direct Connect | Yêu cầu kết nối băng thông cao, ổn định giữa văn phòng/data center của bạn và AWS, bỏ qua Internet công cộng. | Dedicated Physical Link: Kết nối vật lý chuyên dụng, cung cấp độ trễ thấp và băng thông nhất quán hơn so với VPN qua Internet. |
| Route 53 | Quản lý tên miền (Domain Name System – DNS). Điều hướng lưu lượng truy cập đến các tài nguyên AWS hoặc bên ngoài AWS. | Managed DNS: Dịch vụ DNS toàn cầu, cung cấp khả năng định tuyến thông minh (Latency-based routing, Failover, Geolocation). |
| API Gateway | Tạo, xuất bản, bảo mật và quản lý API (REST/WebSocket) cho các ứng dụng backend (EC2, Lambda). | Managed API Layer: Cung cấp các tính năng như giới hạn tốc độ (throttling), xác thực (authentication), caching cho các API của bạn, thường là Serverless. |
| Global Accelerator | Tăng tốc truy cập cho người dùng cuối trên toàn cầu bằng cách sử dụng mạng lưới Edge Locations của AWS. | Network Performance Optimization: Dùng các địa chỉ IP tĩnh và mạng backbone của AWS để điều hướng lưu lượng đến endpoint gần nhất/tốt nhất. Khác với CloudFront (chỉ cache nội dung). |
4. AWS Well-Architected Framework
4.1. AWS Whitepapers (Sách Trắng) và Tài liệu Tham khảo
AWS Whitepapers và Reference Architectures (Kiến trúc Tham khảo) là nguồn tài liệu chính thống và thiết yếu từ Amazon Web Services. Đây là nơi bạn tìm thấy những hướng dẫn đã được kiểm chứng và các thực tiễn tốt nhất.
Tầm quan trọng của Whitepapers:
- Nguyên tắc Thiết kế Hệ thống Đám mây: Cung cấp cái nhìn sâu sắc về các nguyên tắc cơ bản để xây dựng hệ thống trên nền tảng đám mây AWS.
- Bài học Kinh nghiệm: Tổng hợp kinh nghiệm thực tế từ AWS và hàng triệu khách hàng toàn cầu.
- Best Practices (Thực tiễn Tốt nhất): Hướng dẫn chi tiết cách triển khai các dịch vụ AWS một cách an toàn, hiệu quả và tối ưu chi phí.
Mẹo Quan trọng khi Luyện thi Chứng chỉ AWS:
Đặc biệt khi ôn thi các chứng chỉ như Solutions Architect hoặc Cloud Practitioner, bạn nên ưu tiên đọc kỹ các tài liệu cốt lõi sau:
- AWS Well-Architected Framework Whitepaper: Tài liệu nền tảng cho mọi thiết kế hệ thống trên AWS.
- AWS Security Best Practices: Tài liệu trọng tâm về cách bảo vệ tài nguyên và dữ liệu trên đám mây.
4.2. Khung Kiến Trúc Tối Ưu AWS (AWS Well-Architected Framework)
AWS Well-Architected Framework là một tập hợp các nguyên tắc thiết kế được xây dựng để giúp các kiến trúc sư đám mây xây dựng các hệ thống an toàn, hiệu suất cao, đàn hồi và hiệu quả trên nền tảng AWS.
Framework này bao gồm Sáu Trụ Cột (Six Pillars) chính đóng vai trò là tiêu chí đánh giá khi thiết kế và vận hành bất kỳ workload (tải công việc) nào trên AWS.
| Trụ cột | Định nghĩa Chính | Các Trường hợp Sử dụng Tốt nhất/Dịch vụ AWS Liên quan |
| 1. Operational Excellence (Vận hành Xuất sắc) | Khả năng chạy và giám sát hệ thống để cung cấp giá trị kinh doanh, và liên tục cải tiến quy trình và thủ tục hỗ trợ. | Tự động hóa (Automation), Giám sát (Monitoring) bằng Amazon CloudWatch (để theo dõi số liệu và log), AWS CloudTrail (để ghi lại các hành động API), và Học hỏi từ sự cố (Learning from Failure). |
| 2. Security (Bảo mật) | Khả năng bảo vệ thông tin, hệ thống và tài sản bằng cách đánh giá rủi ro và chiến lược giảm thiểu. | Phân quyền truy cập tối thiểu (Least Privilege) bằng AWS IAM (Identity and Access Management). Bảo vệ dữ liệu (Data Protection) bằng cách Mã hóa (Encryption) dữ liệu lưu trữ (ví dụ: S3, RDS) với AWS KMS (Key Management Service). |
| 3. Reliability (Độ tin cậy) | Khả năng của workload thực hiện đúng chức năng mong muốn và khả năng khôi phục sau thất bại (failure) một cách nhanh chóng. | Thiết kế hệ thống đa vùng sẵn sàng (Multi-AZ) cho các dịch vụ như Amazon RDS (để tự động chuyển đổi dự phòng – failover) hoặc sử dụng Auto Scaling Group để duy trì số lượng instance cần thiết. |
| 4. Performance Efficiency (Hiệu suất) | Khả năng sử dụng tài nguyên điện toán một cách hiệu quả để đáp ứng các yêu cầu của hệ thống khi nhu cầu thay đổi. | Lựa chọn tài nguyên phù hợp (Right-sizing) như chọn loại instance EC2 tối ưu cho workload (ví dụ: Graviton dựa trên kiến trúc ARM để tiết kiệm chi phí và cải thiện hiệu suất cho một số workload). |
| 5. Cost Optimization (Tối ưu Chi phí) | Khả năng tránh lãng phí tiền bạc không cần thiết, đạt được giá trị kinh doanh cao nhất với mức giá thấp nhất. | Sử dụng các mô hình thanh toán linh hoạt: Auto Scaling (để tắt/giảm bớt instance khi ít tải), Reserved Instances (RI) hoặc Savings Plans (để tiết kiệm cho workload ổn định), và Amazon S3 Intelligent-Tiering (tự động chuyển đổi tầng lưu trữ). |
| 6. Sustainability (Bền vững) | Tập trung vào việc giảm thiểu tác động môi trường của các hoạt động trên đám mây. | Thiết kế hệ thống để sử dụng ít tài nguyên hơn (ví dụ: tắt các tài nguyên không sử dụng, sử dụng các dịch vụ được quản lý hiệu quả năng lượng như AWS Lambda) và tận dụng hiệu suất năng lượng của cơ sở hạ tầng AWS (như trung tâm dữ liệu AWS sử dụng năng lượng tái tạo). |
Cảnh báo quan trọng:
- Các trụ cột thường có sự đánh đổi (trade-offs) lẫn nhau. Ví dụ, tăng cường Bảo mật (ví dụ: thêm nhiều bước xác thực) có thể ảnh hưởng đến Hiệu suất hoặc Vận hành Xuất sắc (ví dụ: làm phức tạp hóa quy trình triển khai).
- Mục tiêu là tìm ra sự cân bằng tối ưu giữa sáu trụ cột dựa trên nhu cầu kinh doanh cụ thể của bạn.
