Direct Connect
Dedicated Network Connection, Private VIF, Transit VIF, LAG, MACsec, SiteLink
AWS Direct Connect
[!NOTE] Đừng nhầm lẫn! AWS Direct Connect ≠ Amazon Connect
- AWS Direct Connect: Dịch vụ networking - kết nối mạng riêng từ on-premises đến AWS
- Amazon Connect: Dịch vụ contact center (tổng đài) - xây dựng hệ thống CSKH trên cloud
Xem thêm: Amazon Connect
Giới thiệu
AWS Direct Connect là dịch vụ cung cấp kết nối mạng riêng, chuyên dụng từ on-premises (data center, văn phòng) đến AWS, không đi qua Internet công cộng.
Lợi ích chính
| Lợi ích | Mô tả |
|---|---|
| Hiệu suất ổn định | Băng thông nhất quán, không bị ảnh hưởng bởi Internet congestion |
| Độ trễ thấp | Latency thấp và có thể dự đoán được |
| Bảo mật cao | Traffic không đi qua Internet công cộng |
| Tiết kiệm chi phí | Giảm phí data transfer out so với Internet |
| Băng thông cao | Hỗ trợ từ 50 Mbps đến 400 Gbps |
Kiến trúc và cách hoạt động
Các thành phần chính
Quy trình thiết lập
- Chọn Direct Connect Location - Chọn một trong 100+ locations trên toàn cầu
- Yêu cầu kết nối - Qua AWS Console hoặc qua Partner
- Thiết lập Cross-connect - Kết nối vật lý tại colocation facility
- Cấu hình Virtual Interface - Tạo VIF để định tuyến traffic
- Cấu hình BGP - Thiết lập Border Gateway Protocol routing
Các loại kết nối
1. Dedicated Connection
Kết nối vật lý chuyên dụng được AWS cung cấp trực tiếp cho khách hàng.
| Đặc điểm | Chi tiết |
|---|---|
| Tốc độ | 1 Gbps, 10 Gbps, 100 Gbps, 400 Gbps |
| Yêu cầu | Yêu cầu trực tiếp qua AWS Console |
| Thời gian setup | 4-12 tuần |
| Port | AWS cung cấp physical port |
| Sử dụng LAG | ✅ Có thể tạo LAG |
2. Hosted Connection
Kết nối được cung cấp bởi AWS Direct Connect Partner thay mặt cho khách hàng.
| Đặc điểm | Chi tiết |
|---|---|
| Tốc độ | 50 Mbps - 10 Gbps |
| Yêu cầu | Qua AWS Partner |
| Thời gian setup | Nhanh hơn Dedicated |
| Linh hoạt | Dễ scale up/down |
| Sử dụng LAG | ❌ Không thể tạo LAG trực tiếp |
So sánh
Virtual Interfaces (VIFs)
Virtual Interface (VIF) là logical interface được tạo trên connection để định tuyến traffic đến các mạng khác nhau.
3 loại VIF
| Loại VIF | Mục đích | Sử dụng BGP |
|---|---|---|
| Private VIF | Kết nối đến VPC (Private IP) | Private ASN |
| Public VIF | Truy cập AWS public services (S3, DynamoDB, etc.) | Public ASN |
| Transit VIF | Kết nối đến Transit Gateway | Private ASN |
Private VIF vs Transit VIF
| Tiêu chí | Private VIF | Transit VIF |
|---|---|---|
| Kết nối đến | 1 VPC hoặc nhiều VPC (via DX Gateway) | Transit Gateway |
| Số VPC tối đa | 10 VGW per DX Gateway | Hàng nghìn VPCs |
| Routing | BGP với VGW | BGP với Transit Gateway |
| Use case | Ít VPCs | Enterprise với nhiều VPCs |
Direct Connect Gateway
Direct Connect Gateway là tài nguyên global cho phép kết nối từ on-premises đến nhiều VPCs ở nhiều AWS Regions thông qua một connection duy nhất.
Lưu ý quan trọng
⚠️ Direct Connect Gateway KHÔNG cho phép route traffic giữa các VPC với nhau. Nó chỉ cho phép on-premises kết nối đến nhiều VPCs. Để VPC-to-VPC communication, cần sử dụng Transit Gateway.
Link Aggregation Groups (LAG)
LAG là cơ chế kết hợp nhiều physical connections thành một logical connection để tăng băng thông và độ tin cậy.
Đặc điểm LAG
| Đặc điểm | Chi tiết |
|---|---|
| Giao thức | LACP (Link Aggregation Control Protocol) |
| Chế độ | Active/Active |
| Loại connection | Chỉ Dedicated Connections |
| Cùng tốc độ | Tất cả connections phải cùng port speed |
| Cùng endpoint | Tất cả phải terminate tại cùng DX endpoint |
Giới hạn LAG
Ví dụ LAG
Tính năng bảo mật
Encryption Options
| Tùy chọn | Mô tả | Tốc độ hỗ trợ |
|---|---|---|
| MACsec | Point-to-point encryption (IEEE 802.1AE) | 10, 100, 400 Gbps |
| IPsec VPN | Chạy VPN tunnel qua Direct Connect | Tất cả |
MACsec (Media Access Control Security)
Private IP VPN over Direct Connect
Kết hợp Direct Connect với Site-to-Site VPN để có cả tốc độ cao VÀ encryption.
SiteLink
SiteLink cho phép gửi traffic giữa các Direct Connect locations mà không cần đi qua on-premises network.
So sánh Direct Connect vs VPN
| Tiêu chí | AWS Direct Connect | AWS Site-to-Site VPN |
|---|---|---|
| Kết nối | Private, dedicated | Qua Internet (encrypted) |
| Băng thông | 50 Mbps - 400 Gbps | ~1.25 Gbps per tunnel |
| Latency | Thấp, ổn định | Phụ thuộc Internet |
| Chi phí ban đầu | Cao | Thấp |
| Thời gian setup | 4-12 tuần | Vài phút - vài giờ |
| Encryption | Optional (MACsec/VPN) | Built-in (IPsec) |
| Reliability | Cao, ổn định | Phụ thuộc ISP |
Tại sao Direct Connect không cần Internet, còn VPN thì cần?
Sự khác biệt nằm ở hạ tầng vật lý:
Tóm lại:
- VPN = Phần mềm tạo tunnel mã hóa qua Internet có sẵn → nhanh, rẻ, không ổn định
- Direct Connect = Đường cáp vật lý riêng không dính gì đến Internet → chậm setup, đắt, nhưng cực kỳ ổn định
Khi nào dùng gì?
Use Cases
1. Large-scale Data Migration
2. Hybrid Cloud
3. Real-time Applications
4. Disaster Recovery
5. Regulatory Compliance
Pricing
Pricing Model
AWS Direct Connect sử dụng mô hình pay-as-you-go, không có upfront fee hoặc minimum commitment.
Thành phần chi phí
| Thành phần | Mô tả | Ví dụ giá (US East) |
|---|---|---|
| Port Hours | Phí cho thời gian port được provision | $0.30/hr (1 Gbps dedicated) |
| Data Transfer Out | Phí cho data transfer từ AWS ra | $0.02/GB |
| Data Transfer In | Phí cho data transfer vào AWS | FREE |
Ví dụ tính giá
💡 Tip: Sử dụng AWS Pricing Calculator để estimate chi phí chính xác.
Best Practices
High Availability
Recommended Practices
- Multiple connections - Ít nhất 2 connections cho production workloads
- Different locations - Sử dụng 2+ Direct Connect locations khác nhau
- VPN backup - Luôn có VPN làm backup path
- Monitoring - Sử dụng CloudWatch metrics để monitor connection health
- BGP - Cấu hình AS path prepending cho failover control
Exam Tips
Key Points for AWS Exams
-
Direct Connect vs VPN
- Direct Connect = private, dedicated, consistent (4-12 weeks setup)
- VPN = encrypted over Internet, quick setup (minutes)
-
Virtual Interfaces
- Private VIF → VPC (private IP)
- Public VIF → AWS public services (S3, etc.)
- Transit VIF → Transit Gateway
-
Direct Connect Gateway
- Global resource
- Kết nối on-prem đến nhiều VPCs/Regions
- KHÔNG cho phép VPC-to-VPC routing
-
LAG
- Chỉ với Dedicated Connections
- Cùng port speed
- Max 4 connections (<100G) hoặc 2 connections (100G/400G)
-
Encryption
- Direct Connect không encrypted by default
- MACsec cho 10/100/400 Gbps
- Private IP VPN for end-to-end encryption
- Exam note: Khi đề nhấn mạnh đồng thời encrypted + dedicated, đáp án thường là Direct Connect + Site-to-Site VPN (IPsec over DX), trừ khi đề nêu rõ dùng MACsec.
- Tham chiếu AWS:
- Direct Connect encryption in transit: https://docs.aws.amazon.com/directconnect/latest/UserGuide/encryption-in-transit.html
- Direct Connect + Site-to-Site VPN (VPC Connectivity Options): https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-site-to-site-vpn.html
-
High Availability
- Minimum 2 connections cho resilience
- Khác locations cho maximum HA
- VPN backup cho failover
Common Exam Scenarios
| Scenario | Answer |
|---|---|
| Cần kết nối nhanh, budget thấp | VPN |
| Cần consistent bandwidth cao | Direct Connect |
| Kết nối on-prem đến nhiều VPCs | Direct Connect Gateway |
| Encrypted traffic + dedicated connection (exam default) | Direct Connect + Site-to-Site VPN (hoặc MACsec nếu đề nêu rõ điều kiện hỗ trợ) |
| Cần gộp nhiều connections | LAG (chỉ Dedicated) |
| Office-to-office qua AWS backbone | SiteLink |