2.1 - Thao tác
Truy cập link: https://cloud-dashboard.gdata.com.vn/
Tại trang đăng ký, điền đầy đủ thông tin các trường sau:
- Họ tên: Vui lòng nhập họ và tên đầy đủ.
- Địa chỉ email: Nhập email hợp lệ. Lưu ý không thay đổi được địa chỉ email sau khi đã đăng ký.
- Số điện thoại: Số di động liên hệ
- Mật khẩu: Tạo mật khẩu an toàn (8-12 ký tự, có các ký tự đặc biệt,…)
- Nhập lại mật khẩu: Nhập lại chính xác mật khẩu đã nhập.
- Nhấn Đăng ký.
- Kiểm tra email để xác thực tài khoản.
- Sau khi xác thực, bạn có thể đăng nhập vào site: https://cloud-dashboard.gdata.com.vn/login
- Cập nhật tài khoản
- Sau khi đăng nhập, tạo dashboard chọn tài khoản tại góc bên phải.
- Chọn tài khoản
- Cập nhật thông tin tài khoản
- Đối với tính năng xác thực 2 bước, khách hàng cần tải/cài đặt app google authenticator trên điện thoại và quét mã QR. Trường hợp khách hàng đã bật tính năng này nhưng lỡ xóa app, mất google authenticator thì có thể liên hệ hoặc tạo ticket hỗ trợ để tạm thời tắt tính năng này.
Truy cập link: https://cloud-dashboard.gdata.com.vn/
Tại trang đăng ký, điền đầy đủ thông tin các trường sau:
- Họ tên: Vui lòng nhập họ và tên đầy đủ.
- Địa chỉ email: Nhập email hợp lệ. Lưu ý không thay đổi được địa chỉ email sau khi đã đăng ký.
- Số điện thoại: Số di động liên hệ
- Mật khẩu: Tạo mật khẩu an toàn (8-12 ký tự, có các ký tự đặc biệt,…)
- Nhập lại mật khẩu: Nhập lại chính xác mật khẩu đã nhập.
- Nhấn Đăng ký.
- Kiểm tra email để xác thực tài khoản.
- Sau khi xác thực, bạn có thể đăng nhập vào site: https://cloud-dashboard.gdata.com.vn/login
- Cập nhật tài khoản
- Sau khi đăng nhập, tạo dashboard chọn tài khoản tại góc bên phải.
- Chọn tài khoản
- Cập nhật thông tin tài khoản
- Đối với tính năng xác thực 2 bước, khách hàng cần tải/cài đặt app google authenticator trên điện thoại và quét mã QR. Trường hợp khách hàng đã bật tính năng này nhưng lỡ xóa app, mất google authenticator thì có thể liên hệ hoặc tạo ticket hỗ trợ để tạm thời tắt tính năng này.
3.2 - Dashboard
Hiển thị các thông tin về số dư, danh sách đơn hàng chờ thanh toán, danh sách các máy chủ đang có.
Hiển thị các thông tin về số dư, danh sách đơn hàng chờ thanh toán, danh sách các máy chủ đang có.
4.1 - Network
Từ giao diện của network khách hàng có thể tạo các network private để sử dụng tùy theo nhu cầu và mục đích sử dụng.
Trong menu Network chọn Tạo Network.
Đặt tên dễ nhớ, dễ phân biệt để sử dụng tùy theo nhu cầu của khách hàng.
Tiếp theo, ấn vào network vừa tạo, tại tab Subnets > Tạo Subnet.
Điền thông tin subnet theo mẫu như sau:
+ Tên subnet: Đặt tên gợi nhớ, tùy chọn theo khách hàng.
+ Địa chỉ network: Địa chỉ dải IP Local mà khách hàng muốn sử dụng.
+ Gateway: Nếu add 2 subnet có gateway vào cùng 1 máy chủ thì máy chủ có thể bị mất network. Vui lòng cẩn thận khi khai báo gateway.
+ Xác nhận.Từ giao diện của network khách hàng có thể tạo các network private để sử dụng tùy theo nhu cầu và mục đích sử dụng.
Trong menu Network chọn Tạo Network.
Đặt tên dễ nhớ, dễ phân biệt để sử dụng tùy theo nhu cầu của khách hàng.
Tiếp theo, ấn vào network vừa tạo, tại tab Subnets > Tạo Subnet.
Điền thông tin subnet theo mẫu như sau:
+ Tên subnet: Đặt tên gợi nhớ, tùy chọn theo khách hàng.
+ Địa chỉ network: Địa chỉ dải IP Local mà khách hàng muốn sử dụng.
+ Gateway: Nếu add 2 subnet có gateway vào cùng 1 máy chủ thì máy chủ có thể bị mất network. Vui lòng cẩn thận khi khai báo gateway.
+ Xác nhận.Từ giao diện của network khách hàng có thể tạo các network private để sử dụng tùy theo nhu cầu và mục đích sử dụng.
Trong menu Network chọn Tạo Network.
Đặt tên dễ nhớ, dễ phân biệt để sử dụng tùy theo nhu cầu của khách hàng.
Tiếp theo, ấn vào network vừa tạo, tại tab Subnets > Tạo Subnet.
Điền thông tin subnet theo mẫu như sau:
+ Tên subnet: Đặt tên gợi nhớ, tùy chọn theo khách hàng.
+ Địa chỉ network: Địa chỉ dải IP Local mà khách hàng muốn sử dụng.
+ Gateway: Nếu add 2 subnet có gateway vào cùng 1 máy chủ thì máy chủ có thể bị mất network. Vui lòng cẩn thận khi khai báo gateway.
+ Xác nhận.Từ giao diện của network khách hàng có thể tạo các network private để sử dụng tùy theo nhu cầu và mục đích sử dụng.
Trong menu Network chọn Tạo Network.
Đặt tên dễ nhớ, dễ phân biệt để sử dụng tùy theo nhu cầu của khách hàng.
Tiếp theo, ấn vào network vừa tạo, tại tab Subnets > Tạo Subnet.
Điền thông tin subnet theo mẫu như sau:
+ Tên subnet: Đặt tên gợi nhớ, tùy chọn theo khách hàng.
+ Địa chỉ network: Địa chỉ dải IP Local mà khách hàng muốn sử dụng.
+ Gateway: Nếu add 2 subnet có gateway vào cùng 1 máy chủ thì máy chủ có thể bị mất network. Vui lòng cẩn thận khi khai báo gateway.
+ Xác nhận.
4.2 - Routers
Giới thiệu
Router trong VPC (Virtual Private Cloud) trên môi trường cloud Gdata (giống như AWS, GCP, Azure) có mục đích và tác dụng quan trọng trong việc định tuyến lưu lượng mạng. Dưới đây là chi tiết:
🎯 Mục đích sử dụng của Router trong VPC
Kết nối các subnet trong VPC
Router nội bộ giúp các subnet (private, public, database subnet, …) trong cùng một VPC có thể liên lạc với nhau.
Ví dụ: một web server ở public subnet cần kết nối đến database ở private subnet → router xử lý định tuyến.
Kết nối VPC với mạng bên ngoài
Cho phép lưu lượng đi ra Internet (thông qua Internet Gateway) hoặc đi đến mạng nội bộ công ty (qua VPN Gateway hoặc Direct Connect).
Kiểm soát đường đi của gói tin
Router dùng Route Table để xác định gói tin từ subnet đi ra đâu: nội bộ VPC, Internet, hoặc peering với VPC khác.
⚡ Tác dụng của Router trong VPC
Đảm bảo giao tiếp nội bộ
Router giúp các ứng dụng, dịch vụ trong cùng VPC hoạt động liền mạch, không cần kết nối ra ngoài.
Định tuyến linh hoạt
Có thể cấu hình các Route Table khác nhau cho từng subnet để kiểm soát đường đi:
Subnet public: cho phép ra Internet.
Subnet private: chỉ cho phép đi nội bộ hoặc qua NAT Gateway.
Bảo mật & phân tách mạng
Khi kết hợp với ACL (Access Control List), Security Group và Firewall, router đảm bảo rằng chỉ những luồng hợp lệ mới được định tuyến.
Hỗ trợ hybrid cloud và multi-VPC
Router trong VPC có thể kết nối với:
VPN Gateway → kết nối cloud với mạng on-premise.
Peering connection → kết nối nhiều VPC với nhau.
Lưu ý: tính năng của SNAT trong VPC Router
🔹 SNAT là gì?
SNAT (Source NAT) là cơ chế dịch địa chỉ IP nguồn của gói tin khi nó đi từ mạng nội bộ (private subnet) ra bên ngoài (Internet hoặc mạng khác).
Thay vì để nguyên IP private (không định tuyến được trên Internet), router sẽ thay bằng một IP public hợp lệ (ví dụ: IP của NAT Gateway, Load Balancer hoặc chính Router).
🔹 Chức năng của SNAT trong VPC Router
Cho phép máy trong private subnet ra ngoài Internet.
Instance trong private subnet thường chỉ có IP private (10.x.x.x, 172.16.x.x, 192.168.x.x).
Nhờ SNAT, khi máy này gửi request ra ngoài (HTTP, HTTPS, API call…), router đổi IP nguồn thành Public IP → server ngoài Internet trả lời về đúng IP public đó, sau đó router ánh xạ ngược về IP private ban đầu.
Ẩn danh IP nội bộ (IP masquerading)
Toàn bộ instance private có thể chia sẻ chung một public IP hoặc một dải public IP.
Điều này giúp bảo mật vì bên ngoài không thấy IP private thực sự.
Tiết kiệm địa chỉ IP public
Thay vì cấp phát public IP cho từng máy, SNAT giúp cả cụm máy private subnet chỉ cần dùng chung một hoặc vài IP public.
Điều phối lưu lượng outbound
SNAT có thể được cấu hình để ưu tiên đường đi hoặc kiểm soát luồng đi ra (ví dụ: chỉ một số subnet được phép đi Internet thông qua một NAT IP cụ thể).
3.2.1 Tạo Router
Truy cập Router > Tạo Router
+ Đặt tên router, lưu ý: Mỗi khách hàng chỉ tạo được 01 router.
+ External Network: Chọn 1 Dải vlan tùy ý. Vlan này sẽ cấp 01 IP public phục vụ cho router của khách hàng.
+ SNAT: Cho phép máy trong Private IP truy cập internet.
+ Xác nhận.
+ Khách hàng sẽ cần thanh toán cho đơn hàng tạo router, do phát sinh 01 IP public của router. Trường hợp khách hàng tạo router không sử dụng SNAT và External IP thì sẽ không phát sinh phí, tuy nhiên server sẽ mặc định không có internet do router không kết nối đến internet. Khuyến nghị khách hàng nên sử dụng.
+ Sau khi thanh toán đơn hàng thành công sẽ hoàn tất tạo router.
+ Ấn vào router, sẽ nhìn thấy chi tiết thông tin của router. Tại tab Interface > Thêm interface
+ Hoàn tất thiết lập Router.Giới thiệu
Router trong VPC (Virtual Private Cloud) trên môi trường cloud Gdata (giống như AWS, GCP, Azure) có mục đích và tác dụng quan trọng trong việc định tuyến lưu lượng mạng. Dưới đây là chi tiết:
🎯 Mục đích sử dụng của Router trong VPC
Kết nối các subnet trong VPC
Router nội bộ giúp các subnet (private, public, database subnet, …) trong cùng một VPC có thể liên lạc với nhau.
Ví dụ: một web server ở public subnet cần kết nối đến database ở private subnet → router xử lý định tuyến.
Kết nối VPC với mạng bên ngoài
Cho phép lưu lượng đi ra Internet (thông qua Internet Gateway) hoặc đi đến mạng nội bộ công ty (qua VPN Gateway hoặc Direct Connect).
Kiểm soát đường đi của gói tin
Router dùng Route Table để xác định gói tin từ subnet đi ra đâu: nội bộ VPC, Internet, hoặc peering với VPC khác.
⚡ Tác dụng của Router trong VPC
Đảm bảo giao tiếp nội bộ
Router giúp các ứng dụng, dịch vụ trong cùng VPC hoạt động liền mạch, không cần kết nối ra ngoài.
Định tuyến linh hoạt
Có thể cấu hình các Route Table khác nhau cho từng subnet để kiểm soát đường đi:
Subnet public: cho phép ra Internet.
Subnet private: chỉ cho phép đi nội bộ hoặc qua NAT Gateway.
Bảo mật & phân tách mạng
Khi kết hợp với ACL (Access Control List), Security Group và Firewall, router đảm bảo rằng chỉ những luồng hợp lệ mới được định tuyến.
Hỗ trợ hybrid cloud và multi-VPC
Router trong VPC có thể kết nối với:
VPN Gateway → kết nối cloud với mạng on-premise.
Peering connection → kết nối nhiều VPC với nhau.
Lưu ý: tính năng của SNAT trong VPC Router
🔹 SNAT là gì?
SNAT (Source NAT) là cơ chế dịch địa chỉ IP nguồn của gói tin khi nó đi từ mạng nội bộ (private subnet) ra bên ngoài (Internet hoặc mạng khác).
Thay vì để nguyên IP private (không định tuyến được trên Internet), router sẽ thay bằng một IP public hợp lệ (ví dụ: IP của NAT Gateway, Load Balancer hoặc chính Router).
🔹 Chức năng của SNAT trong VPC Router
Cho phép máy trong private subnet ra ngoài Internet.
Instance trong private subnet thường chỉ có IP private (10.x.x.x, 172.16.x.x, 192.168.x.x).
Nhờ SNAT, khi máy này gửi request ra ngoài (HTTP, HTTPS, API call…), router đổi IP nguồn thành Public IP → server ngoài Internet trả lời về đúng IP public đó, sau đó router ánh xạ ngược về IP private ban đầu.
Ẩn danh IP nội bộ (IP masquerading)
Toàn bộ instance private có thể chia sẻ chung một public IP hoặc một dải public IP.
Điều này giúp bảo mật vì bên ngoài không thấy IP private thực sự.
Tiết kiệm địa chỉ IP public
Thay vì cấp phát public IP cho từng máy, SNAT giúp cả cụm máy private subnet chỉ cần dùng chung một hoặc vài IP public.
Điều phối lưu lượng outbound
SNAT có thể được cấu hình để ưu tiên đường đi hoặc kiểm soát luồng đi ra (ví dụ: chỉ một số subnet được phép đi Internet thông qua một NAT IP cụ thể).
4.2.1 Tạo Router
Truy cập Router > Tạo Router
+ Đặt tên router, lưu ý: Mỗi khách hàng chỉ tạo được 01 router.
+ External Network: Chọn 1 Dải vlan tùy ý. Vlan này sẽ cấp 01 IP public phục vụ cho router của khách hàng.
+ SNAT: Cho phép máy trong Private IP truy cập internet.
+ Xác nhận.
+ Khách hàng sẽ cần thanh toán cho đơn hàng tạo router, do phát sinh 01 IP public của router. Trường hợp khách hàng tạo router không sử dụng SNAT và External IP thì sẽ không phát sinh phí, tuy nhiên server sẽ mặc định không có internet do router không kết nối đến internet. Khuyến nghị khách hàng nên sử dụng.
+ Sau khi thanh toán đơn hàng thành công sẽ hoàn tất tạo router.
+ Ấn vào router, sẽ nhìn thấy chi tiết thông tin của router. Tại tab Interface > Thêm interface
+ Hoàn tất thiết lập Router.Giới thiệu
Router trong VPC (Virtual Private Cloud) trên môi trường cloud Gdata (giống như AWS, GCP, Azure) có mục đích và tác dụng quan trọng trong việc định tuyến lưu lượng mạng. Dưới đây là chi tiết:
🎯 Mục đích sử dụng của Router trong VPC
Kết nối các subnet trong VPC
Router nội bộ giúp các subnet (private, public, database subnet, …) trong cùng một VPC có thể liên lạc với nhau.
Ví dụ: một web server ở public subnet cần kết nối đến database ở private subnet → router xử lý định tuyến.
Kết nối VPC với mạng bên ngoài
Cho phép lưu lượng đi ra Internet (thông qua Internet Gateway) hoặc đi đến mạng nội bộ công ty (qua VPN Gateway hoặc Direct Connect).
Kiểm soát đường đi của gói tin
Router dùng Route Table để xác định gói tin từ subnet đi ra đâu: nội bộ VPC, Internet, hoặc peering với VPC khác.
⚡ Tác dụng của Router trong VPC
Đảm bảo giao tiếp nội bộ
Router giúp các ứng dụng, dịch vụ trong cùng VPC hoạt động liền mạch, không cần kết nối ra ngoài.
Định tuyến linh hoạt
Có thể cấu hình các Route Table khác nhau cho từng subnet để kiểm soát đường đi:
Subnet public: cho phép ra Internet.
Subnet private: chỉ cho phép đi nội bộ hoặc qua NAT Gateway.
Bảo mật & phân tách mạng
Khi kết hợp với ACL (Access Control List), Security Group và Firewall, router đảm bảo rằng chỉ những luồng hợp lệ mới được định tuyến.
Hỗ trợ hybrid cloud và multi-VPC
Router trong VPC có thể kết nối với:
VPN Gateway → kết nối cloud với mạng on-premise.
Peering connection → kết nối nhiều VPC với nhau.
Lưu ý: tính năng của SNAT trong VPC Router
🔹 SNAT là gì?
SNAT (Source NAT) là cơ chế dịch địa chỉ IP nguồn của gói tin khi nó đi từ mạng nội bộ (private subnet) ra bên ngoài (Internet hoặc mạng khác).
Thay vì để nguyên IP private (không định tuyến được trên Internet), router sẽ thay bằng một IP public hợp lệ (ví dụ: IP của NAT Gateway, Load Balancer hoặc chính Router).
🔹 Chức năng của SNAT trong VPC Router
Cho phép máy trong private subnet ra ngoài Internet.
Instance trong private subnet thường chỉ có IP private (10.x.x.x, 172.16.x.x, 192.168.x.x).
Nhờ SNAT, khi máy này gửi request ra ngoài (HTTP, HTTPS, API call…), router đổi IP nguồn thành Public IP → server ngoài Internet trả lời về đúng IP public đó, sau đó router ánh xạ ngược về IP private ban đầu.
Ẩn danh IP nội bộ (IP masquerading)
Toàn bộ instance private có thể chia sẻ chung một public IP hoặc một dải public IP.
Điều này giúp bảo mật vì bên ngoài không thấy IP private thực sự.
Tiết kiệm địa chỉ IP public
Thay vì cấp phát public IP cho từng máy, SNAT giúp cả cụm máy private subnet chỉ cần dùng chung một hoặc vài IP public.
Điều phối lưu lượng outbound
SNAT có thể được cấu hình để ưu tiên đường đi hoặc kiểm soát luồng đi ra (ví dụ: chỉ một số subnet được phép đi Internet thông qua một NAT IP cụ thể).
4.2.1 Tạo Router
Truy cập Router > Tạo Router
+ Đặt tên router, lưu ý: Mỗi khách hàng chỉ tạo được 01 router.
+ External Network: Chọn 1 Dải vlan tùy ý. Vlan này sẽ cấp 01 IP public phục vụ cho router của khách hàng.
+ SNAT: Cho phép máy trong Private IP truy cập internet.
+ Xác nhận.
+ Khách hàng sẽ cần thanh toán cho đơn hàng tạo router, do phát sinh 01 IP public của router. Trường hợp khách hàng tạo router không sử dụng SNAT và External IP thì sẽ không phát sinh phí, tuy nhiên server sẽ mặc định không có internet do router không kết nối đến internet. Khuyến nghị khách hàng nên sử dụng.
+ Sau khi thanh toán đơn hàng thành công sẽ hoàn tất tạo router.
+ Ấn vào router, sẽ nhìn thấy chi tiết thông tin của router. Tại tab Interface > Thêm interface
+ Hoàn tất thiết lập Router.Giới thiệu
Router trong VPC (Virtual Private Cloud) trên môi trường cloud Gdata (giống như AWS, GCP, Azure) có mục đích và tác dụng quan trọng trong việc định tuyến lưu lượng mạng. Dưới đây là chi tiết:
🎯 Mục đích sử dụng của Router trong VPC
Kết nối các subnet trong VPC
Router nội bộ giúp các subnet (private, public, database subnet, …) trong cùng một VPC có thể liên lạc với nhau.
Ví dụ: một web server ở public subnet cần kết nối đến database ở private subnet → router xử lý định tuyến.
Kết nối VPC với mạng bên ngoài
Cho phép lưu lượng đi ra Internet (thông qua Internet Gateway) hoặc đi đến mạng nội bộ công ty (qua VPN Gateway hoặc Direct Connect).
Kiểm soát đường đi của gói tin
Router dùng Route Table để xác định gói tin từ subnet đi ra đâu: nội bộ VPC, Internet, hoặc peering với VPC khác.
⚡ Tác dụng của Router trong VPC
Đảm bảo giao tiếp nội bộ
Router giúp các ứng dụng, dịch vụ trong cùng VPC hoạt động liền mạch, không cần kết nối ra ngoài.
Định tuyến linh hoạt
Có thể cấu hình các Route Table khác nhau cho từng subnet để kiểm soát đường đi:
Subnet public: cho phép ra Internet.
Subnet private: chỉ cho phép đi nội bộ hoặc qua NAT Gateway.
Bảo mật & phân tách mạng
Khi kết hợp với ACL (Access Control List), Security Group và Firewall, router đảm bảo rằng chỉ những luồng hợp lệ mới được định tuyến.
Hỗ trợ hybrid cloud và multi-VPC
Router trong VPC có thể kết nối với:
VPN Gateway → kết nối cloud với mạng on-premise.
Peering connection → kết nối nhiều VPC với nhau.
Lưu ý: tính năng của SNAT trong VPC Router
🔹 SNAT là gì?
SNAT (Source NAT) là cơ chế dịch địa chỉ IP nguồn của gói tin khi nó đi từ mạng nội bộ (private subnet) ra bên ngoài (Internet hoặc mạng khác).
Thay vì để nguyên IP private (không định tuyến được trên Internet), router sẽ thay bằng một IP public hợp lệ (ví dụ: IP của NAT Gateway, Load Balancer hoặc chính Router).
🔹 Chức năng của SNAT trong VPC Router
Cho phép máy trong private subnet ra ngoài Internet.
Instance trong private subnet thường chỉ có IP private (10.x.x.x, 172.16.x.x, 192.168.x.x).
Nhờ SNAT, khi máy này gửi request ra ngoài (HTTP, HTTPS, API call…), router đổi IP nguồn thành Public IP → server ngoài Internet trả lời về đúng IP public đó, sau đó router ánh xạ ngược về IP private ban đầu.
Ẩn danh IP nội bộ (IP masquerading)
Toàn bộ instance private có thể chia sẻ chung một public IP hoặc một dải public IP.
Điều này giúp bảo mật vì bên ngoài không thấy IP private thực sự.
Tiết kiệm địa chỉ IP public
Thay vì cấp phát public IP cho từng máy, SNAT giúp cả cụm máy private subnet chỉ cần dùng chung một hoặc vài IP public.
Điều phối lưu lượng outbound
SNAT có thể được cấu hình để ưu tiên đường đi hoặc kiểm soát luồng đi ra (ví dụ: chỉ một số subnet được phép đi Internet thông qua một NAT IP cụ thể).
4.2.1 Tạo Router
Truy cập Router > Tạo Router
+ Đặt tên router, lưu ý: Mỗi khách hàng chỉ tạo được 01 router.
+ External Network: Chọn 1 Dải vlan tùy ý. Vlan này sẽ cấp 01 IP public phục vụ cho router của khách hàng.
+ SNAT: Cho phép máy trong Private IP truy cập internet.
+ Xác nhận.
+ Khách hàng sẽ cần thanh toán cho đơn hàng tạo router, do phát sinh 01 IP public của router. Trường hợp khách hàng tạo router không sử dụng SNAT và External IP thì sẽ không phát sinh phí, tuy nhiên server sẽ mặc định không có internet do router không kết nối đến internet. Khuyến nghị khách hàng nên sử dụng.
+ Sau khi thanh toán đơn hàng thành công sẽ hoàn tất tạo router.
+ Ấn vào router, sẽ nhìn thấy chi tiết thông tin của router. Tại tab Interface > Thêm interface
+ Hoàn tất thiết lập Router.
4.3 - Security Group
4.3.1 Giới thiệu về Security Group
🔹 Security Group là gì?
Security Group (SG) là một tường lửa ảo cấp instance trong VPC.
Nó kiểm soát luồng traffic vào (inbound) và ra (outbound) của các tài nguyên (EC2 instance, database, load balancer, …).
Có thể hiểu SG như một “danh sách quy tắc an ninh” gắn trực tiếp với tài nguyên.
🔹 Đặc điểm chính của Security Group
Hoạt động ở mức instance (VM):
Mỗi instance trong VPC có thể gắn một hoặc nhiều SG.
Tất cả traffic đi vào/ra instance sẽ được kiểm tra theo các quy tắc của SG.
Stateful (có trạng thái):
Nếu cho phép một kết nối inbound (ví dụ: từ ngoài vào port 80), thì outbound trả lời sẽ tự động được cho phép, không cần tạo rule ngược lại.
Ngược lại cũng vậy, nếu outbound được phép, thì phản hồi inbound cũng được tự động cho phép.
Mặc định chặn toàn bộ inbound:
Khi tạo mới, SG không cho phép traffic inbound nào cả.
Outbound thì mặc định thường được allow all (cho đi tất cả).
Dùng rule “Allow” chứ không có “Deny”
SG chỉ hỗ trợ Allow rule.
Nếu không có rule cho phép, traffic sẽ bị từ chối mặc định.
🔹 Cấu trúc quy tắc trong Security Group
Một rule của SG thường gồm:
- Protocol: TCP, UDP, ICMP, …
- Port Range: ví dụ 22 (SSH), 80 (HTTP), 443 (HTTPS)
- Source (đối với inbound): có thể là IP CIDR (0.0.0.0/0, 10.0.0.0/16) hoặc Security Group khác.
- Destination (đối với outbound): tương tự, có thể là CIDR hoặc SG.
🔹 Vai trò và tác dụng trong VPC
Bảo vệ tài nguyên
Giúp chặn truy cập không mong muốn từ Internet.
Ví dụ: chỉ cho phép SSH (port 22) từ IP công ty, HTTP/HTTPS từ toàn bộ Internet.
Kiểm soát chi tiết theo ứng dụng
Web server: allow inbound 80/443, outbound 3306 (kết nối DB).
Database server: chỉ allow inbound từ web server SG, không cho Internet vào.
Tăng tính linh hoạt
Có thể gán nhiều SG cho một instance.
Có thể tái sử dụng SG cho nhiều instance để quản lý dễ dàng.
✅ Tổng kết:
Security Group trong VPC là tường lửa ảo stateful, kiểm soát traffic inbound và outbound ở mức instance, mặc định chặn toàn bộ inbound và chỉ cho phép theo rule. Đây là công cụ bảo mật chính trong VPC để bảo vệ EC2 và các tài nguyên khác.
4.3.2 Tạo Security Group
Tạo Security Group
Ví dụ: Tạo 1 Security Group cho Remote Desktop
Ấn dấu ⁞ ở cuối dòng RDP-Limit > Quản lý Rule
Mặc định sẽ có 2 rule egress tức là chiều ra của server.
Tạo thêm rule với option Tạo rule
Trong option Rule có một số rule mặc định, hay sử dụng như: SSH, ICMP, HTTP, HTTPS,…
Ở đây ta chọn RDP (port 3389), điền mô tả nếu muốn.
CIDR: là source IP được phép truy cập. Nếu mở all thì giá trị là 0.0.0.0/0 còn nếu limit IP truy cập ví dụ: 123.31.99.99/32 tức là chỉ có IP 123.31.99.99 được phép Remote vào server.
Xác nhận
Tương tự với các port khác.
4.3.1 Giới thiệu về Security Group
🔹 Security Group là gì?
Security Group (SG) là một tường lửa ảo cấp instance trong VPC.
Nó kiểm soát luồng traffic vào (inbound) và ra (outbound) của các tài nguyên (EC2 instance, database, load balancer, …).
Có thể hiểu SG như một “danh sách quy tắc an ninh” gắn trực tiếp với tài nguyên.
🔹 Đặc điểm chính của Security Group
Hoạt động ở mức instance (VM):
Mỗi instance trong VPC có thể gắn một hoặc nhiều SG.
Tất cả traffic đi vào/ra instance sẽ được kiểm tra theo các quy tắc của SG.
Stateful (có trạng thái):
Nếu cho phép một kết nối inbound (ví dụ: từ ngoài vào port 80), thì outbound trả lời sẽ tự động được cho phép, không cần tạo rule ngược lại.
Ngược lại cũng vậy, nếu outbound được phép, thì phản hồi inbound cũng được tự động cho phép.
Mặc định chặn toàn bộ inbound:
Khi tạo mới, SG không cho phép traffic inbound nào cả.
Outbound thì mặc định thường được allow all (cho đi tất cả).
Dùng rule “Allow” chứ không có “Deny”
SG chỉ hỗ trợ Allow rule.
Nếu không có rule cho phép, traffic sẽ bị từ chối mặc định.
🔹 Cấu trúc quy tắc trong Security Group
Một rule của SG thường gồm:
- Protocol: TCP, UDP, ICMP, …
- Port Range: ví dụ 22 (SSH), 80 (HTTP), 443 (HTTPS)
- Source (đối với inbound): có thể là IP CIDR (0.0.0.0/0, 10.0.0.0/16) hoặc Security Group khác.
- Destination (đối với outbound): tương tự, có thể là CIDR hoặc SG.
🔹 Vai trò và tác dụng trong VPC
Bảo vệ tài nguyên
Giúp chặn truy cập không mong muốn từ Internet.
Ví dụ: chỉ cho phép SSH (port 22) từ IP công ty, HTTP/HTTPS từ toàn bộ Internet.
Kiểm soát chi tiết theo ứng dụng
Web server: allow inbound 80/443, outbound 3306 (kết nối DB).
Database server: chỉ allow inbound từ web server SG, không cho Internet vào.
Tăng tính linh hoạt
Có thể gán nhiều SG cho một instance.
Có thể tái sử dụng SG cho nhiều instance để quản lý dễ dàng.
✅ Tổng kết:
Security Group trong VPC là tường lửa ảo stateful, kiểm soát traffic inbound và outbound ở mức instance, mặc định chặn toàn bộ inbound và chỉ cho phép theo rule. Đây là công cụ bảo mật chính trong VPC để bảo vệ EC2 và các tài nguyên khác.
4.3.2 Tạo Security Group
Tạo Security Group
Ví dụ: Tạo 1 Security Group cho Remote Desktop
Ấn dấu ⁞ ở cuối dòng RDP-Limit > Quản lý Rule
Mặc định sẽ có 2 rule egress tức là chiều ra của server.
Tạo thêm rule với option Tạo rule
Trong option Rule có một số rule mặc định, hay sử dụng như: SSH, ICMP, HTTP, HTTPS,…
Ở đây ta chọn RDP (port 3389), điền mô tả nếu muốn.
CIDR: là source IP được phép truy cập. Nếu mở all thì giá trị là 0.0.0.0/0 còn nếu limit IP truy cập ví dụ: 123.31.99.99/32 tức là chỉ có IP 123.31.99.99 được phép Remote vào server.
Xác nhận
Tương tự với các port khác.
4.3.1 Giới thiệu về Security Group
🔹 Security Group là gì?
Security Group (SG) là một tường lửa ảo cấp instance trong VPC.
Nó kiểm soát luồng traffic vào (inbound) và ra (outbound) của các tài nguyên (EC2 instance, database, load balancer, …).
Có thể hiểu SG như một “danh sách quy tắc an ninh” gắn trực tiếp với tài nguyên.
🔹 Đặc điểm chính của Security Group
Hoạt động ở mức instance (VM):
Mỗi instance trong VPC có thể gắn một hoặc nhiều SG.
Tất cả traffic đi vào/ra instance sẽ được kiểm tra theo các quy tắc của SG.
Stateful (có trạng thái):
Nếu cho phép một kết nối inbound (ví dụ: từ ngoài vào port 80), thì outbound trả lời sẽ tự động được cho phép, không cần tạo rule ngược lại.
Ngược lại cũng vậy, nếu outbound được phép, thì phản hồi inbound cũng được tự động cho phép.
Mặc định chặn toàn bộ inbound:
Khi tạo mới, SG không cho phép traffic inbound nào cả.
Outbound thì mặc định thường được allow all (cho đi tất cả).
Dùng rule “Allow” chứ không có “Deny”
SG chỉ hỗ trợ Allow rule.
Nếu không có rule cho phép, traffic sẽ bị từ chối mặc định.
🔹 Cấu trúc quy tắc trong Security Group
Một rule của SG thường gồm:
- Protocol: TCP, UDP, ICMP, …
- Port Range: ví dụ 22 (SSH), 80 (HTTP), 443 (HTTPS)
- Source (đối với inbound): có thể là IP CIDR (0.0.0.0/0, 10.0.0.0/16) hoặc Security Group khác.
- Destination (đối với outbound): tương tự, có thể là CIDR hoặc SG.
🔹 Vai trò và tác dụng trong VPC
Bảo vệ tài nguyên
Giúp chặn truy cập không mong muốn từ Internet.
Ví dụ: chỉ cho phép SSH (port 22) từ IP công ty, HTTP/HTTPS từ toàn bộ Internet.
Kiểm soát chi tiết theo ứng dụng
Web server: allow inbound 80/443, outbound 3306 (kết nối DB).
Database server: chỉ allow inbound từ web server SG, không cho Internet vào.
Tăng tính linh hoạt
Có thể gán nhiều SG cho một instance.
Có thể tái sử dụng SG cho nhiều instance để quản lý dễ dàng.
✅ Tổng kết:
Security Group trong VPC là tường lửa ảo stateful, kiểm soát traffic inbound và outbound ở mức instance, mặc định chặn toàn bộ inbound và chỉ cho phép theo rule. Đây là công cụ bảo mật chính trong VPC để bảo vệ EC2 và các tài nguyên khác.
4.3.2 Tạo Security Group
Tạo Security Group
Ví dụ: Tạo 1 Security Group cho Remote Desktop
Ấn dấu ⁞ ở cuối dòng RDP-Limit > Quản lý Rule
Mặc định sẽ có 2 rule egress tức là chiều ra của server.
Tạo thêm rule với option Tạo rule
Trong option Rule có một số rule mặc định, hay sử dụng như: SSH, ICMP, HTTP, HTTPS,…
Ở đây ta chọn RDP (port 3389), điền mô tả nếu muốn.
CIDR: là source IP được phép truy cập. Nếu mở all thì giá trị là 0.0.0.0/0 còn nếu limit IP truy cập ví dụ: 123.31.99.99/32 tức là chỉ có IP 123.31.99.99 được phép Remote vào server.
Xác nhận
Tương tự với các port khác.
4.3.1 Giới thiệu về Security Group
🔹 Security Group là gì?
Security Group (SG) là một tường lửa ảo cấp instance trong VPC.
Nó kiểm soát luồng traffic vào (inbound) và ra (outbound) của các tài nguyên (EC2 instance, database, load balancer, …).
Có thể hiểu SG như một “danh sách quy tắc an ninh” gắn trực tiếp với tài nguyên.
🔹 Đặc điểm chính của Security Group
Hoạt động ở mức instance (VM):
Mỗi instance trong VPC có thể gắn một hoặc nhiều SG.
Tất cả traffic đi vào/ra instance sẽ được kiểm tra theo các quy tắc của SG.
Stateful (có trạng thái):
Nếu cho phép một kết nối inbound (ví dụ: từ ngoài vào port 80), thì outbound trả lời sẽ tự động được cho phép, không cần tạo rule ngược lại.
Ngược lại cũng vậy, nếu outbound được phép, thì phản hồi inbound cũng được tự động cho phép.
Mặc định chặn toàn bộ inbound:
Khi tạo mới, SG không cho phép traffic inbound nào cả.
Outbound thì mặc định thường được allow all (cho đi tất cả).
Dùng rule “Allow” chứ không có “Deny”
SG chỉ hỗ trợ Allow rule.
Nếu không có rule cho phép, traffic sẽ bị từ chối mặc định.
🔹 Cấu trúc quy tắc trong Security Group
Một rule của SG thường gồm:
- Protocol: TCP, UDP, ICMP, …
- Port Range: ví dụ 22 (SSH), 80 (HTTP), 443 (HTTPS)
- Source (đối với inbound): có thể là IP CIDR (0.0.0.0/0, 10.0.0.0/16) hoặc Security Group khác.
- Destination (đối với outbound): tương tự, có thể là CIDR hoặc SG.
🔹 Vai trò và tác dụng trong VPC
Bảo vệ tài nguyên
Giúp chặn truy cập không mong muốn từ Internet.
Ví dụ: chỉ cho phép SSH (port 22) từ IP công ty, HTTP/HTTPS từ toàn bộ Internet.
Kiểm soát chi tiết theo ứng dụng
Web server: allow inbound 80/443, outbound 3306 (kết nối DB).
Database server: chỉ allow inbound từ web server SG, không cho Internet vào.
Tăng tính linh hoạt
Có thể gán nhiều SG cho một instance.
Có thể tái sử dụng SG cho nhiều instance để quản lý dễ dàng.
✅ Tổng kết:
Security Group trong VPC là tường lửa ảo stateful, kiểm soát traffic inbound và outbound ở mức instance, mặc định chặn toàn bộ inbound và chỉ cho phép theo rule. Đây là công cụ bảo mật chính trong VPC để bảo vệ EC2 và các tài nguyên khác.
4.3.2 Tạo Security Group
Tạo Security Group
Ví dụ: Tạo 1 Security Group cho Remote Desktop
Ấn dấu ⁞ ở cuối dòng RDP-Limit > Quản lý Rule
Mặc định sẽ có 2 rule egress tức là chiều ra của server.
Tạo thêm rule với option Tạo rule
Trong option Rule có một số rule mặc định, hay sử dụng như: SSH, ICMP, HTTP, HTTPS,…
Ở đây ta chọn RDP (port 3389), điền mô tả nếu muốn.
CIDR: là source IP được phép truy cập. Nếu mở all thì giá trị là 0.0.0.0/0 còn nếu limit IP truy cập ví dụ: 123.31.99.99/32 tức là chỉ có IP 123.31.99.99 được phép Remote vào server.
Xác nhận
Tương tự với các port khác.
4.4 - Floating IP
4.4.1 Giới thiệu
🔹 Floating IP là gì?
Floating IP là một địa chỉ IP Public động, có thể gán và hủy gán cho một tài nguyên (VM, router, load balancer) trong VPC mà không cần thay đổi cấu hình mạng nội bộ.
Thường được dùng trong các nền tảng cloud như OpenStack, AWS (Elastic IP), GCP (Static External IP), Azure (Public IP).
Gọi là “floating” vì nó có thể “trôi” từ instance này sang instance khác một cách linh hoạt.
🔹 Đặc điểm chính
IP Public tĩnh đối với bên ngoài, nhưng có thể di chuyển giữa các máy
Ví dụ: bạn có một dịch vụ chạy trên VM1 với Floating IP 203.x.x.x. Nếu VM1 hỏng, bạn có thể chuyển Floating IP này sang VM2, dịch vụ vẫn hoạt động mà không đổi DNS hoặc cấu hình client.
Tách biệt giữa mạng private và public
Instance trong VPC thường chỉ có IP private.
Khi gán Floating IP, nó sẽ ánh xạ tới IP private của instance → giúp instance truy cập được từ Internet.
Quản lý linh hoạt
Có thể nhanh chóng bind/unbind IP mà không cần khởi động lại máy.
Hữu ích trong các trường hợp failover hoặc cân bằng tải thủ công.
🔹 Tác dụng của Floating IP trong VPC
Khả năng truy cập từ Internet
Cho phép client từ ngoài Internet truy cập trực tiếp vào instance trong VPC qua IP public.
High Availability (HA)
Nếu server chính gặp sự cố, có thể chuyển Floating IP sang server backup → dịch vụ không gián đoạn.
Dễ bảo trì & thay thế tài nguyên
Khi cần nâng cấp hoặc thay thế VM, chỉ cần di chuyển Floating IP, không phải thay đổi cấu hình ứng dụng/dns của client.
Tăng tính linh hoạt trong triển khai dịch vụ
Có thể dùng Floating IP để gán nhanh cho các dịch vụ mới, test môi trường hoặc phân tách traffic.
✅ Tổng kết:
Floating IP trong VPC cloud là một địa chỉ IP công cộng linh hoạt, cho phép ánh xạ tới tài nguyên trong VPC, có thể nhanh chóng di chuyển giữa các máy ảo/thiết bị để đảm bảo truy cập Internet, tính sẵn sàng cao và tính linh hoạt trong vận hành.
4.4.2 Floating IP
Trong dashbroad của Floating IP (FIP) khách hàng sẽ thấy được danh sách các IP đã mua và trạng thái của từng IP.
Để mua 1 FIP và sử dụng khách hàng thao tác như sau:
Bước 1: Chọn Allocate tại góc phải dashbroad.
Bước 2: Chọn băng thông.
Bước 3: Khách hàng chọn gói thuê bao, tức là thời gian sử dụng cho IP.
Bước 4: Xác nhận và thanh toán.
Sau khi thanh toán thành công, ở dashbroad sẽ thấy được IP vừa mua với các trạng thái như sau:
Địa chỉ IP: IP public đã mua.
Mapped Fixed IP Address: Địa chỉ IP privare map với IP public.
Băng thông: Băng thông internet tương ứng với IP, có thể thay đổi theo nhu cầu.
Trạng thái: Active (đã gán vào IP private). Down (chưa gán vào IP private).
3.4.1 Giới thiệu
🔹 Floating IP là gì?
Floating IP là một địa chỉ IP Public động, có thể gán và hủy gán cho một tài nguyên (VM, router, load balancer) trong VPC mà không cần thay đổi cấu hình mạng nội bộ.
Thường được dùng trong các nền tảng cloud như OpenStack, AWS (Elastic IP), GCP (Static External IP), Azure (Public IP).
Gọi là “floating” vì nó có thể “trôi” từ instance này sang instance khác một cách linh hoạt.
🔹 Đặc điểm chính
IP Public tĩnh đối với bên ngoài, nhưng có thể di chuyển giữa các máy
Ví dụ: bạn có một dịch vụ chạy trên VM1 với Floating IP 203.x.x.x. Nếu VM1 hỏng, bạn có thể chuyển Floating IP này sang VM2, dịch vụ vẫn hoạt động mà không đổi DNS hoặc cấu hình client.
Tách biệt giữa mạng private và public
Instance trong VPC thường chỉ có IP private.
Khi gán Floating IP, nó sẽ ánh xạ tới IP private của instance → giúp instance truy cập được từ Internet.
Quản lý linh hoạt
Có thể nhanh chóng bind/unbind IP mà không cần khởi động lại máy.
Hữu ích trong các trường hợp failover hoặc cân bằng tải thủ công.
🔹 Tác dụng của Floating IP trong VPC
Khả năng truy cập từ Internet
Cho phép client từ ngoài Internet truy cập trực tiếp vào instance trong VPC qua IP public.
High Availability (HA)
Nếu server chính gặp sự cố, có thể chuyển Floating IP sang server backup → dịch vụ không gián đoạn.
Dễ bảo trì & thay thế tài nguyên
Khi cần nâng cấp hoặc thay thế VM, chỉ cần di chuyển Floating IP, không phải thay đổi cấu hình ứng dụng/dns của client.
Tăng tính linh hoạt trong triển khai dịch vụ
Có thể dùng Floating IP để gán nhanh cho các dịch vụ mới, test môi trường hoặc phân tách traffic.
✅ Tổng kết:
Floating IP trong VPC cloud là một địa chỉ IP công cộng linh hoạt, cho phép ánh xạ tới tài nguyên trong VPC, có thể nhanh chóng di chuyển giữa các máy ảo/thiết bị để đảm bảo truy cập Internet, tính sẵn sàng cao và tính linh hoạt trong vận hành.
4.4.2 Floating IP
Trong dashbroad của Floating IP (FIP) khách hàng sẽ thấy được danh sách các IP đã mua và trạng thái của từng IP.
Để mua 1 FIP và sử dụng khách hàng thao tác như sau:
Bước 1: Chọn Allocate tại góc phải dashbroad.
Bước 2: Chọn băng thông.
Bước 3: Khách hàng chọn gói thuê bao, tức là thời gian sử dụng cho IP.
Bước 4: Xác nhận và thanh toán.
Sau khi thanh toán thành công, ở dashbroad sẽ thấy được IP vừa mua với các trạng thái như sau:
Địa chỉ IP: IP public đã mua.
Mapped Fixed IP Address: Địa chỉ IP privare map với IP public.
Băng thông: Băng thông internet tương ứng với IP, có thể thay đổi theo nhu cầu.
Trạng thái: Active (đã gán vào IP private). Down (chưa gán vào IP private).
4.4.1 Giới thiệu
🔹 Floating IP là gì?
Floating IP là một địa chỉ IP Public động, có thể gán và hủy gán cho một tài nguyên (VM, router, load balancer) trong VPC mà không cần thay đổi cấu hình mạng nội bộ.
Thường được dùng trong các nền tảng cloud như OpenStack, AWS (Elastic IP), GCP (Static External IP), Azure (Public IP).
Gọi là “floating” vì nó có thể “trôi” từ instance này sang instance khác một cách linh hoạt.
🔹 Đặc điểm chính
IP Public tĩnh đối với bên ngoài, nhưng có thể di chuyển giữa các máy
Ví dụ: bạn có một dịch vụ chạy trên VM1 với Floating IP 203.x.x.x. Nếu VM1 hỏng, bạn có thể chuyển Floating IP này sang VM2, dịch vụ vẫn hoạt động mà không đổi DNS hoặc cấu hình client.
Tách biệt giữa mạng private và public
Instance trong VPC thường chỉ có IP private.
Khi gán Floating IP, nó sẽ ánh xạ tới IP private của instance → giúp instance truy cập được từ Internet.
Quản lý linh hoạt
Có thể nhanh chóng bind/unbind IP mà không cần khởi động lại máy.
Hữu ích trong các trường hợp failover hoặc cân bằng tải thủ công.
🔹 Tác dụng của Floating IP trong VPC
Khả năng truy cập từ Internet
Cho phép client từ ngoài Internet truy cập trực tiếp vào instance trong VPC qua IP public.
High Availability (HA)
Nếu server chính gặp sự cố, có thể chuyển Floating IP sang server backup → dịch vụ không gián đoạn.
Dễ bảo trì & thay thế tài nguyên
Khi cần nâng cấp hoặc thay thế VM, chỉ cần di chuyển Floating IP, không phải thay đổi cấu hình ứng dụng/dns của client.
Tăng tính linh hoạt trong triển khai dịch vụ
Có thể dùng Floating IP để gán nhanh cho các dịch vụ mới, test môi trường hoặc phân tách traffic.
✅ Tổng kết:
Floating IP trong VPC cloud là một địa chỉ IP công cộng linh hoạt, cho phép ánh xạ tới tài nguyên trong VPC, có thể nhanh chóng di chuyển giữa các máy ảo/thiết bị để đảm bảo truy cập Internet, tính sẵn sàng cao và tính linh hoạt trong vận hành.
4.4.2 Floating IP
Trong dashbroad của Floating IP (FIP) khách hàng sẽ thấy được danh sách các IP đã mua và trạng thái của từng IP.
Để mua 1 FIP và sử dụng khách hàng thao tác như sau:
Bước 1: Chọn Allocate tại góc phải dashbroad.
Bước 2: Chọn băng thông.
Bước 3: Khách hàng chọn gói thuê bao, tức là thời gian sử dụng cho IP.
Bước 4: Xác nhận và thanh toán.
Sau khi thanh toán thành công, ở dashbroad sẽ thấy được IP vừa mua với các trạng thái như sau:
Địa chỉ IP: IP public đã mua.
Mapped Fixed IP Address: Địa chỉ IP privare map với IP public.
Băng thông: Băng thông internet tương ứng với IP, có thể thay đổi theo nhu cầu.
Trạng thái: Active (đã gán vào IP private). Down (chưa gán vào IP private).
4.4.1 Giới thiệu
🔹 Floating IP là gì?
Floating IP là một địa chỉ IP Public động, có thể gán và hủy gán cho một tài nguyên (VM, router, load balancer) trong VPC mà không cần thay đổi cấu hình mạng nội bộ.
Thường được dùng trong các nền tảng cloud như OpenStack, AWS (Elastic IP), GCP (Static External IP), Azure (Public IP).
Gọi là “floating” vì nó có thể “trôi” từ instance này sang instance khác một cách linh hoạt.
🔹 Đặc điểm chính
IP Public tĩnh đối với bên ngoài, nhưng có thể di chuyển giữa các máy
Ví dụ: bạn có một dịch vụ chạy trên VM1 với Floating IP 203.x.x.x. Nếu VM1 hỏng, bạn có thể chuyển Floating IP này sang VM2, dịch vụ vẫn hoạt động mà không đổi DNS hoặc cấu hình client.
Tách biệt giữa mạng private và public
Instance trong VPC thường chỉ có IP private.
Khi gán Floating IP, nó sẽ ánh xạ tới IP private của instance → giúp instance truy cập được từ Internet.
Quản lý linh hoạt
Có thể nhanh chóng bind/unbind IP mà không cần khởi động lại máy.
Hữu ích trong các trường hợp failover hoặc cân bằng tải thủ công.
🔹 Tác dụng của Floating IP trong VPC
Khả năng truy cập từ Internet
Cho phép client từ ngoài Internet truy cập trực tiếp vào instance trong VPC qua IP public.
High Availability (HA)
Nếu server chính gặp sự cố, có thể chuyển Floating IP sang server backup → dịch vụ không gián đoạn.
Dễ bảo trì & thay thế tài nguyên
Khi cần nâng cấp hoặc thay thế VM, chỉ cần di chuyển Floating IP, không phải thay đổi cấu hình ứng dụng/dns của client.
Tăng tính linh hoạt trong triển khai dịch vụ
Có thể dùng Floating IP để gán nhanh cho các dịch vụ mới, test môi trường hoặc phân tách traffic.
✅ Tổng kết:
Floating IP trong VPC cloud là một địa chỉ IP công cộng linh hoạt, cho phép ánh xạ tới tài nguyên trong VPC, có thể nhanh chóng di chuyển giữa các máy ảo/thiết bị để đảm bảo truy cập Internet, tính sẵn sàng cao và tính linh hoạt trong vận hành.
4.4.2 Floating IP
Trong dashbroad của Floating IP (FIP) khách hàng sẽ thấy được danh sách các IP đã mua và trạng thái của từng IP.
Để mua 1 FIP và sử dụng khách hàng thao tác như sau:
Bước 1: Chọn Allocate tại góc phải dashbroad.
Bước 2: Chọn băng thông.
Bước 3: Khách hàng chọn gói thuê bao, tức là thời gian sử dụng cho IP.
Bước 4: Xác nhận và thanh toán.
Sau khi thanh toán thành công, ở dashbroad sẽ thấy được IP vừa mua với các trạng thái như sau:
Địa chỉ IP: IP public đã mua.
Mapped Fixed IP Address: Địa chỉ IP privare map với IP public.
Băng thông: Băng thông internet tương ứng với IP, có thể thay đổi theo nhu cầu.
Trạng thái: Active (đã gán vào IP private). Down (chưa gán vào IP private).
4.5 - Load Balancers
4.5.1 Giới thiệu
Giới thiệu dịch vụ Load Balance trong Portal Cloud Gdata
Trong môi trường hạ tầng số hiện đại, việc đảm bảo hệ thống hoạt động ổn
định, đáp ứng lưu lượng truy cập lớn và duy trì thời gian hoạt động liên tục
(uptime) là yếu tố tiên quyết. Dịch vụ Load Balance trong Portal Cloud Gdata
được thiết kế để phân phối lưu lượng truy cập một cách thông minh và tối ưu
đến các máy chủ backend, giúp doanh nghiệp vận hành hệ thống hiệu quả và
bền vững hơn.
Load Balance là gì?
Load Balance (cân bằng tải) là dịch vụ phân phối lưu lượng truy cập từ người
dùng đến nhiều máy chủ khác nhau nhằm:
Giảm tải cho từng server
Tăng hiệu năng và tốc độ phản hồi
Đảm bảo hệ thống luôn hoạt động, ngay cả khi một máy chủ gặp sự cố.
Trong Portal Cloud Gdata, Load Balance hoạt động ở tầng mạng và ứng
dụng, hỗ trợ nhiều thuật toán và phương thức điều phối phù hợp cho từng
nhu cầu triển khai.
Lợi ích nổi bật
✔ Tăng tính sẵn sàng (High Availability)
Nếu một server gặp lỗi, Load Balancer tự động chuyển hướng lưu lượng
sang các server còn lại, đảm bảo dịch vụ không bị gián đoạn.
✔ Tối ưu hiệu năng
Phân phối đều tải giúp hệ thống chạy mượt mà, tránh tình trạng quá tải tại
một điểm, nâng cao trải nghiệm người dùng.
✔ Dễ dàng mở rộng (Scalability)
Khi nhu cầu tăng cao, có thể bổ sung thêm server backend mà không cần
thay đổi cấu trúc ứng dụng.
✔ Bảo mật tốt hơn
Load Balancer hoạt động như một lớp trung gian, che giấu thông tin và địa chỉ
IP của backend, đồng thời hỗ trợ SSL/TLS để mã hóa dữ liệu.
Các tính năng chính trong Portal Cloud Gdata
Hỗ trợ nhiều thuật toán cân bằng tải
Round Robin
Round Robin là thuật toán phân phối lưu lượng theo vòng lặp tuần tự, lần
lượt chuyển yêu cầu đến từng máy chủ backend theo thứ tự.
Cách hoạt động
▪ Backend 1 → Backend 2 → Backend 3 → … rồi quay lại Backend 1
Không quan tâm server đang tải nặng hay nhẹ
Ưu điểm
▪ Đơn giản, dễ triển khai
▪ Hiệu quả khi các backend có cấu hình tương đương
Nhược điểm
▪ Không phù hợp khi backend có cấu hình khác nhau hoặc tải xử lý
không đều
▪ Có thể dẫn đến server yếu bị quá tải
Khi nên dùng
▪ Hệ thống nhiều server giống nhau (CPU/RAM tương đương)
▪ Lưu lượng đồng đều và không biến động mạnh
Least Connection
Least Connection phân phối yêu cầu đến server có ít kết nối đang hoạt động
nhất tại thời điểm đó.
Cách hoạt động
▪ Load balancer theo dõi số lượng connection mỗi server đang xử lý
▪ Requests mới được gửi đến backend có số connection ít hơn
Ưu điểm
▪ Rất hiệu quả cho hệ thống có tải không đồng đều
▪ Giúp cân bằng thật sự giữa các backend theo thực tế
Nhược điểm
▪ Cần LB theo dõi trạng thái backend liên tục
▪ Không phù hợp với giao thức không giữ kết nối (stateless) nếu
backend phản hồi rất nhanh
Khi nên dùng
▪ Ứng dụng có thời gian xử lý không ổn định
▪ Backend có cấu hình chênh nhau
Hệ thống nhiều loại request nhẹ – nặng xen kẽ
Source IP (IP Hash)
Thuật toán này sử dụng địa chỉ IP nguồn của người dùng để tính toán và
quyết định backend nào sẽ phục vụ.
Cách hoạt động
▪ Hàm băm (hash) trên IP nguồn tạo ra một giá trị
▪ Giá trị này được ánh xạ cố định đến một backend
▪ Một IP luôn vào cùng một backend (trừ khi backend đó bị lỗi)
Ưu điểm
▪ Duy trì session persistence (sticky session): người dùng giữ phiên làm
việc trên một server
▪ Dễ dự đoán
Nhược điểm
▪ Khi có quá nhiều người dùng trùng dải IP (NAT/Carrier CGNAT), tải có
thể dồn lên 1 backend
▪ Không tối ưu về việc phân phối tải theo hiệu năng
Khi nên dùng
▪ Ứng dụng cần session không chia sẻ giữa server (không sử dụng
Redis/Memcached session store)
▪ Cần “định tuyến người dùng cố định” theo IP
Source IP Port (5-tuple hash / L4 Hashing mở rộng)
Giống Source IP nhưng sử dụng cả IP + Port của client để tính toán, tạo ra
hàm băm chi tiết hơn.
Cách hoạt động
Hash dựa trên:
▪ Source IP
▪ Source Port
▪ Destination IP
▪ Destination Port
▪ Protocol
Sau khi băm, request được gán vào 1 backend.
Ưu điểm
▪ Phân phối tải đều hơn so với chỉ dùng IP
▪ Hạn chế hiện tượng dồn tải khi nhiều người dùng chung IP (NAT) vì
mỗi kết nối có port khác nhau
▪ Vẫn đảm bảo mức độ sticky nhất định (theo connection)
Nhược điểm
▪ Session persistence không ổn định bằng Source IP, vì port thay đổi
theo mỗi kết nối
▪ Không phù hợp nếu ứng dụng cần duy trì phiên lâu dài trên cùng
backend
Khi nên dùng
▪ Khi cần phân tải đồng đều trong môi trường nhiều người dùng dùng
chung một IP
▪ Dịch vụ TCP/UDP có nhiều kết nối nhỏ, ngắn (websocket, API, game
server…)
Giám sát sức khỏe máy chủ (Health Check)
Kiểm tra tình trạng backend theo chu kỳ và tự động loại bỏ server lỗi khỏi
vòng điều phối.
Quản lý backend linh hoạt
Thêm, xóa hoặc cập nhật backend nhanh chóng, không làm gián đoạn dịch
vụ.
Tích hợp chứng chỉ SSL/TLS
Cho phép triển khai HTTPS, offloading, passthrough hoặc termination.
Hỗ trợ cả Layer 4 & Layer 7
Phù hợp cho cả dịch vụ web, API, ứng dụng thời gian thực và các hệ thống
TCP/UDP.
Ứng dụng thực tế
Phân phối lưu lượng website có lượng truy cập lớn
Hệ thống API cần đảm bảo tốc độ phản hồi
Ứng dụng doanh nghiệp cần tính sẵn sàng cao
Triển khai microservices hoặc cụm máy chủ
Tối ưu chi phí vận hành bằng cách mở rộng linh hoạt
� Kết luận
Dịch vụ Load Balance trong Portal Cloud Gdata là một thành phần quan
trọng giúp doanh nghiệp xây dựng hệ thống ổn định, hiệu năng cao và dễ
dàng mở rộng. Với khả năng quản lý linh hoạt, cơ chế tự động thông minh và
tính bảo mật cao, đây là giải pháp không thể thiếu trong các kiến trúc cloud
hiện đại.
4.5.2 Load Balancers
Tạo Load Balancer với Portal Cloud Gdata theo các hướng dẫn chi tiết sau:
Truy cập Network > Load Balancers > Load Balancers > Thêm mới.
Trong trường thông tin điền các thông tin sau:
▪ Tên LB
▪ Mô tả cho LB
▪ Loại: Cấu hình cho LB (Hiện tại Gdata hỗ trợ 3 gói cấu hình từ thấp
đến cao, tùy thuộc vào nhu cầu của khách hàng)
▪ Chọn gói thuê bao sử dụng
▪ Kiểu kết nối: External, Internal
▪ Chọn network muốn sử dụng
Ví dụ:
Cấu hình nâng cao
▪ Listener
• Tên listener
• Mô tả cho listener
• Giao thức sử dụng
• Port sử dụng
• Cert: Áp dụng với khách hàng đã import cert trong SSL
Termination
• Pool: Default
▪ Thông tin Pool
• Tên Pool
• Mô tả cho Pool
▪ Danh sách member
• Địa chỉ IP: Là địa chỉ IP của server backend.
• Tên: Đặt tên gợi nhớ
• Port: Port mà backend sử dụng
• Có thể có 1 hoặc nhiều backend tùy theo khách hàng sử dụng.
▪ Cấu hình nâng cao
• Thuật toán: Chọn thuật toán sử dụng theo giới thiệu về các
thuật toán trong Load Balancer
• Sticky Sessions: Sticky Sessions (hay còn gọi là Session
Persistence) là cơ chế mà Load Balancer luôn điều hướng yêu
cầu của cùng một người dùng về đúng một backend server cố
định trong suốt thời gian phiên làm việc của họ. Khách hàng
tùy chọn mode phù hợp với nhu cầu.
▪ Cấu hình health Check
• Health Check là cơ chế mà Load Balancer hoặc hệ thống giám
sát dùng để kiểm tra trạng thái hoạt động của các backend
server nhằm xác định xem server có “khỏe” và đủ khả năng xử
lý request hay không.
• Chọn protocol và url để sử dụng.
Sau khi setup cấu hình cho Load Balancer xong, ấn Tạo Load Balancer.
Portal sẽ chuyển qua site thanh toán, thanh toán hoàn tất sẽ chuyển về giao diện
sau:
Sau khi khởi tạo thành công
Test kết nối với IP hoặc domain cấu hình:
Các chức năng sử dụng trong Load Balancer:
Listener
o Tại đây có thể thay đổi cấu hình, thêm listener. 
Monitoring
o Tại đây có thể theo dõi các thông số của Load Balancer đang sử dụng
Pool
o Tại đây có thể thay đổi cấu hình liên quan đến Pool 
Gói dịch vụ
o Tại đây có thể thay đổi các gói Load Balancer đang sử dụng
o Lưu ý: Nếu khách hàng dùng external Load Balancer, IP Public của Load
Balancer sẽ không được giữ sau khi thay đổi mà sẽ được cấp 1 IP Public
mới. Thời gian sử dụng gói sẽ được tính lại từ đầu gói thuê bao.
Xóa Load Balancer
Tại đây khách hàng có thể xóa Load Balancer nếu không còn nhu cầu sử
dụng.
4.5.3 SSL Termination
Load Balancer Certificates là gì?
Load Balancer Certificates là tính năng cho phép Load Balancer quản lý, gắn
kết và xử lý chứng chỉ SSL/TLS nhằm mã hóa dữ liệu giữa người dùng và
ứng dụng. Với tính năng này, Load Balancer sẽ đóng vai trò là điểm xử lý bảo
mật (HTTPS/TLS), giúp đảm bảo an toàn truyền tải dữ liệu và nâng cao hiệu
năng cho toàn hệ thống.
Nói đơn giản:
Load Balancer xử lý HTTPS thay cho backend
Lưu trữ và quản lý chứng chỉ SSL ngay tại LB
Đảm bảo kết nối người dùng → LB → backend an toàn và linh hoạt
Tại sao cần Load Balancer Certificates?
•Bảo mật thông tin: mã hóa toàn bộ dữ liệu trao đổi giữa khách hàng và dịch
vụ.
•Hiệu năng tốt hơn: backend không cần xử lý mã hóa/giải mã TLS → giảm tải
CPU.
•Dễ dàng quản lý chứng chỉ: không phải cài đặt thủ công lên từng backend
server.
•Cấu trúc hệ thống gọn hơn: LB làm điểm giao tiếp duy nhất cho HTTPS.
•Hỗ trợ nhiều domain: SSL cho nhiều website, subdomain chỉ trong một LB.
Các kiểu triển khai chứng chỉ trong Load Balancer
Load Balancer thường hỗ trợ 3 mô hình:
SSL Termination (Phổ biến nhất)
•LB nhận kết nối HTTPS → giải mã
•Backend nhận kết nối HTTP (không mã hóa)
Load Balancer Certificates là gì?
Load Balancer Certificates là tính năng cho phép Load Balancer quản lý, gắn
kết và xử lý chứng chỉ SSL/TLS nhằm mã hóa dữ liệu giữa người dùng và
ứng dụng. Với tính năng này, Load Balancer sẽ đóng vai trò là điểm xử lý bảo
mật (HTTPS/TLS), giúp đảm bảo an toàn truyền tải dữ liệu và nâng cao hiệu
năng cho toàn hệ thống.
Nói đơn giản:
Load Balancer xử lý HTTPS thay cho backend
Lưu trữ và quản lý chứng chỉ SSL ngay tại LB
Đảm bảo kết nối người dùng → LB → backend an toàn và linh hoạt
Tại sao cần Load Balancer Certificates?
•Bảo mật thông tin: mã hóa toàn bộ dữ liệu trao đổi giữa khách hàng và dịch
vụ.
•Hiệu năng tốt hơn: backend không cần xử lý mã hóa/giải mã TLS → giảm tải
CPU.
•Dễ dàng quản lý chứng chỉ: không phải cài đặt thủ công lên từng backend
server.
•Cấu trúc hệ thống gọn hơn: LB làm điểm giao tiếp duy nhất cho HTTPS.
•Hỗ trợ nhiều domain: SSL cho nhiều website, subdomain chỉ trong một LB.
Các kiểu triển khai chứng chỉ trong Load Balancer
Load Balancer thường hỗ trợ 3 mô hình:
SSL Termination (Phổ biến nhất)
•LB nhận kết nối HTTPS → giải mã
•Backend nhận kết nối HTTP (không mã hóa)
✔ Tối ưu hiệu năng
✔ Dễ cấu hình
✔ Thích hợp cho web, API
SSL Passthrough
•LB chỉ chuyển tiếp lưu lượng đã mã hóa trực tiếp đến backend
•Backend tự chịu trách nhiệm giải mã
✔ Bảo mật end-to-end
✔ LB không cần lưu private key
Backend phải xử lý nhiều → tiêu tốn CPU
LB không đọc được nội dung request để routing nâng cao
SSL Re-Encryption
•LB giải mã → kiểm tra/routing → mã hóa lại trước khi gửi đến backend
•Vừa tối ưu routing, vừa đảm bảo mã hóa đến backend
✔ Bảo mật tốt + routing linh hoạt
✔ Dùng trong hệ thống yêu cầu bảo mật cao (tài chính, y tế)
�
� Các tính năng liên quan đến Certificates trong Load Balancer
Upload & quản lý chứng chỉ
•Hỗ trợ SSL/TLS (PEM, CRT, KEY)
•Hỗ trợ chứng chỉ CA/Intermediate
•Giao diện trực quan để thêm, sửa, xoá chứng chỉ
Hỗ trợ nhiều chứng chỉ
•Một Load Balancer có thể dùng nhiều chứng chỉ cho nhiều domain (SNI –
Server Name Indication)
Tích hợp bảo mật nâng cao
•Chọn version TLS (1.2 / 1.3)
•Bật tắt cipher suites
•Bật HTTP/2, HTTP/3
Ứng dụng thực tế
Tính năng Load Balancer Certificates lý tưởng cho:
•Website dùng HTTPS
•Hệ thống API yêu cầu mã hóa
•Ứng dụng nhiều backend muốn offload TLS
•Môi trường nhiều domain/subdomain
•Hệ thống yêu cầu bảo mật cao và tối ưu hiệu năng
Kết luận
Load Balancer Certificates là một tính năng quan trọng trong Portal Cloud
Gdata, giúp quản lý và xử lý chứng chỉ SSL/TLS tập trung ngay tại Load
Balancer.
Tính năng này không chỉ đảm bảo an toàn dữ liệu, mà còn giúp tối ưu hiệu
năng, giảm tải cho backend, và đơn giản hóa quản trị hệ thống.
Hướng dẫn thêm mới certificate: – Tại giao diện Portal truy cập Network > Load Balancers > SSL Termination
– Chọn thêm mới
– Điền các thông tin cần thiết theo chú thích và ấn xác nhận để thêm cert vào Portal.
4.5.1 Giới thiệu
Giới thiệu dịch vụ Load Balance trong Portal Cloud Gdata
Trong môi trường hạ tầng số hiện đại, việc đảm bảo hệ thống hoạt động ổn
định, đáp ứng lưu lượng truy cập lớn và duy trì thời gian hoạt động liên tục
(uptime) là yếu tố tiên quyết. Dịch vụ Load Balance trong Portal Cloud Gdata
được thiết kế để phân phối lưu lượng truy cập một cách thông minh và tối ưu
đến các máy chủ backend, giúp doanh nghiệp vận hành hệ thống hiệu quả và
bền vững hơn.
Load Balance là gì?
Load Balance (cân bằng tải) là dịch vụ phân phối lưu lượng truy cập từ người
dùng đến nhiều máy chủ khác nhau nhằm:
Giảm tải cho từng server
Tăng hiệu năng và tốc độ phản hồi
Đảm bảo hệ thống luôn hoạt động, ngay cả khi một máy chủ gặp sự cố.
Trong Portal Cloud Gdata, Load Balance hoạt động ở tầng mạng và ứng
dụng, hỗ trợ nhiều thuật toán và phương thức điều phối phù hợp cho từng
nhu cầu triển khai.
Lợi ích nổi bật
✔ Tăng tính sẵn sàng (High Availability)
Nếu một server gặp lỗi, Load Balancer tự động chuyển hướng lưu lượng
sang các server còn lại, đảm bảo dịch vụ không bị gián đoạn.
✔ Tối ưu hiệu năng
Phân phối đều tải giúp hệ thống chạy mượt mà, tránh tình trạng quá tải tại
một điểm, nâng cao trải nghiệm người dùng.
✔ Dễ dàng mở rộng (Scalability)
Khi nhu cầu tăng cao, có thể bổ sung thêm server backend mà không cần
thay đổi cấu trúc ứng dụng.
✔ Bảo mật tốt hơn
Load Balancer hoạt động như một lớp trung gian, che giấu thông tin và địa chỉ
IP của backend, đồng thời hỗ trợ SSL/TLS để mã hóa dữ liệu.
Các tính năng chính trong Portal Cloud Gdata
Hỗ trợ nhiều thuật toán cân bằng tải
Round Robin
Round Robin là thuật toán phân phối lưu lượng theo vòng lặp tuần tự, lần
lượt chuyển yêu cầu đến từng máy chủ backend theo thứ tự.
Cách hoạt động
▪ Backend 1 → Backend 2 → Backend 3 → … rồi quay lại Backend 1
Không quan tâm server đang tải nặng hay nhẹ
Ưu điểm
▪ Đơn giản, dễ triển khai
▪ Hiệu quả khi các backend có cấu hình tương đương
Nhược điểm
▪ Không phù hợp khi backend có cấu hình khác nhau hoặc tải xử lý
không đều
▪ Có thể dẫn đến server yếu bị quá tải
Khi nên dùng
▪ Hệ thống nhiều server giống nhau (CPU/RAM tương đương)
▪ Lưu lượng đồng đều và không biến động mạnh
Least Connection
Least Connection phân phối yêu cầu đến server có ít kết nối đang hoạt động
nhất tại thời điểm đó.
Cách hoạt động
▪ Load balancer theo dõi số lượng connection mỗi server đang xử lý
▪ Requests mới được gửi đến backend có số connection ít hơn
Ưu điểm
▪ Rất hiệu quả cho hệ thống có tải không đồng đều
▪ Giúp cân bằng thật sự giữa các backend theo thực tế
Nhược điểm
▪ Cần LB theo dõi trạng thái backend liên tục
▪ Không phù hợp với giao thức không giữ kết nối (stateless) nếu
backend phản hồi rất nhanh
Khi nên dùng
▪ Ứng dụng có thời gian xử lý không ổn định
▪ Backend có cấu hình chênh nhau
Hệ thống nhiều loại request nhẹ – nặng xen kẽ
Source IP (IP Hash)
Thuật toán này sử dụng địa chỉ IP nguồn của người dùng để tính toán và
quyết định backend nào sẽ phục vụ.
Cách hoạt động
▪ Hàm băm (hash) trên IP nguồn tạo ra một giá trị
▪ Giá trị này được ánh xạ cố định đến một backend
▪ Một IP luôn vào cùng một backend (trừ khi backend đó bị lỗi)
Ưu điểm
▪ Duy trì session persistence (sticky session): người dùng giữ phiên làm
việc trên một server
▪ Dễ dự đoán
Nhược điểm
▪ Khi có quá nhiều người dùng trùng dải IP (NAT/Carrier CGNAT), tải có
thể dồn lên 1 backend
▪ Không tối ưu về việc phân phối tải theo hiệu năng
Khi nên dùng
▪ Ứng dụng cần session không chia sẻ giữa server (không sử dụng
Redis/Memcached session store)
▪ Cần “định tuyến người dùng cố định” theo IP
Source IP Port (5-tuple hash / L4 Hashing mở rộng)
Giống Source IP nhưng sử dụng cả IP + Port của client để tính toán, tạo ra
hàm băm chi tiết hơn.
Cách hoạt động
Hash dựa trên:
▪ Source IP
▪ Source Port
▪ Destination IP
▪ Destination Port
▪ Protocol
Sau khi băm, request được gán vào 1 backend.
Ưu điểm
▪ Phân phối tải đều hơn so với chỉ dùng IP
▪ Hạn chế hiện tượng dồn tải khi nhiều người dùng chung IP (NAT) vì
mỗi kết nối có port khác nhau
▪ Vẫn đảm bảo mức độ sticky nhất định (theo connection)
Nhược điểm
▪ Session persistence không ổn định bằng Source IP, vì port thay đổi
theo mỗi kết nối
▪ Không phù hợp nếu ứng dụng cần duy trì phiên lâu dài trên cùng
backend
Khi nên dùng
▪ Khi cần phân tải đồng đều trong môi trường nhiều người dùng dùng
chung một IP
▪ Dịch vụ TCP/UDP có nhiều kết nối nhỏ, ngắn (websocket, API, game
server…)
Giám sát sức khỏe máy chủ (Health Check)
Kiểm tra tình trạng backend theo chu kỳ và tự động loại bỏ server lỗi khỏi
vòng điều phối.
Quản lý backend linh hoạt
Thêm, xóa hoặc cập nhật backend nhanh chóng, không làm gián đoạn dịch
vụ.
Tích hợp chứng chỉ SSL/TLS
Cho phép triển khai HTTPS, offloading, passthrough hoặc termination.
Hỗ trợ cả Layer 4 & Layer 7
Phù hợp cho cả dịch vụ web, API, ứng dụng thời gian thực và các hệ thống
TCP/UDP.
Ứng dụng thực tế
Phân phối lưu lượng website có lượng truy cập lớn
Hệ thống API cần đảm bảo tốc độ phản hồi
Ứng dụng doanh nghiệp cần tính sẵn sàng cao
Triển khai microservices hoặc cụm máy chủ
Tối ưu chi phí vận hành bằng cách mở rộng linh hoạt
� Kết luận
Dịch vụ Load Balance trong Portal Cloud Gdata là một thành phần quan
trọng giúp doanh nghiệp xây dựng hệ thống ổn định, hiệu năng cao và dễ
dàng mở rộng. Với khả năng quản lý linh hoạt, cơ chế tự động thông minh và
tính bảo mật cao, đây là giải pháp không thể thiếu trong các kiến trúc cloud
hiện đại.
4.5.2 Load Balancers
Tạo Load Balancer với Portal Cloud Gdata theo các hướng dẫn chi tiết sau:
Truy cập Network > Load Balancers > Load Balancers > Thêm mới.
Trong trường thông tin điền các thông tin sau:
▪ Tên LB
▪ Mô tả cho LB
▪ Loại: Cấu hình cho LB (Hiện tại Gdata hỗ trợ 3 gói cấu hình từ thấp
đến cao, tùy thuộc vào nhu cầu của khách hàng)
▪ Chọn gói thuê bao sử dụng
▪ Kiểu kết nối: External, Internal
▪ Chọn network muốn sử dụng
Ví dụ:
Cấu hình nâng cao
▪ Listener
• Tên listener
• Mô tả cho listener
• Giao thức sử dụng
• Port sử dụng
• Cert: Áp dụng với khách hàng đã import cert trong SSL
Termination
• Pool: Default
▪ Thông tin Pool
• Tên Pool
• Mô tả cho Pool
▪ Danh sách member
• Địa chỉ IP: Là địa chỉ IP của server backend.
• Tên: Đặt tên gợi nhớ
• Port: Port mà backend sử dụng
• Có thể có 1 hoặc nhiều backend tùy theo khách hàng sử dụng.
▪ Cấu hình nâng cao
• Thuật toán: Chọn thuật toán sử dụng theo giới thiệu về các
thuật toán trong Load Balancer
• Sticky Sessions: Sticky Sessions (hay còn gọi là Session
Persistence) là cơ chế mà Load Balancer luôn điều hướng yêu
cầu của cùng một người dùng về đúng một backend server cố
định trong suốt thời gian phiên làm việc của họ. Khách hàng
tùy chọn mode phù hợp với nhu cầu.
▪ Cấu hình health Check
• Health Check là cơ chế mà Load Balancer hoặc hệ thống giám
sát dùng để kiểm tra trạng thái hoạt động của các backend
server nhằm xác định xem server có “khỏe” và đủ khả năng xử
lý request hay không.
• Chọn protocol và url để sử dụng.
Sau khi setup cấu hình cho Load Balancer xong, ấn Tạo Load Balancer.
Portal sẽ chuyển qua site thanh toán, thanh toán hoàn tất sẽ chuyển về giao diện
sau:
Sau khi khởi tạo thành công
Test kết nối với IP hoặc domain cấu hình:
Các chức năng sử dụng trong Load Balancer:
Listener
o Tại đây có thể thay đổi cấu hình, thêm listener.
Monitoring
o Tại đây có thể theo dõi các thông số của Load Balancer đang sử dụng
Pool
o Tại đây có thể thay đổi cấu hình liên quan đến Pool
Gói dịch vụ
o Tại đây có thể thay đổi các gói Load Balancer đang sử dụng
o Lưu ý: Nếu khách hàng dùng external Load Balancer, IP Public của Load
Balancer sẽ không được giữ sau khi thay đổi mà sẽ được cấp 1 IP Public
mới. Thời gian sử dụng gói sẽ được tính lại từ đầu gói thuê bao.
Xóa Load Balancer
Tại đây khách hàng có thể xóa Load Balancer nếu không còn nhu cầu sử
dụng.
4.5.3 SSL Termination
Load Balancer Certificates là gì?
Load Balancer Certificates là tính năng cho phép Load Balancer quản lý, gắn
kết và xử lý chứng chỉ SSL/TLS nhằm mã hóa dữ liệu giữa người dùng và
ứng dụng. Với tính năng này, Load Balancer sẽ đóng vai trò là điểm xử lý bảo
mật (HTTPS/TLS), giúp đảm bảo an toàn truyền tải dữ liệu và nâng cao hiệu
năng cho toàn hệ thống.
Nói đơn giản:
Load Balancer xử lý HTTPS thay cho backend
Lưu trữ và quản lý chứng chỉ SSL ngay tại LB
Đảm bảo kết nối người dùng → LB → backend an toàn và linh hoạt
Tại sao cần Load Balancer Certificates?
•Bảo mật thông tin: mã hóa toàn bộ dữ liệu trao đổi giữa khách hàng và dịch
vụ.
•Hiệu năng tốt hơn: backend không cần xử lý mã hóa/giải mã TLS → giảm tải
CPU.
•Dễ dàng quản lý chứng chỉ: không phải cài đặt thủ công lên từng backend
server.
•Cấu trúc hệ thống gọn hơn: LB làm điểm giao tiếp duy nhất cho HTTPS.
•Hỗ trợ nhiều domain: SSL cho nhiều website, subdomain chỉ trong một LB.
Các kiểu triển khai chứng chỉ trong Load Balancer
Load Balancer thường hỗ trợ 3 mô hình:
SSL Termination (Phổ biến nhất)
•LB nhận kết nối HTTPS → giải mã
•Backend nhận kết nối HTTP (không mã hóa)
Load Balancer Certificates là gì?
Load Balancer Certificates là tính năng cho phép Load Balancer quản lý, gắn
kết và xử lý chứng chỉ SSL/TLS nhằm mã hóa dữ liệu giữa người dùng và
ứng dụng. Với tính năng này, Load Balancer sẽ đóng vai trò là điểm xử lý bảo
mật (HTTPS/TLS), giúp đảm bảo an toàn truyền tải dữ liệu và nâng cao hiệu
năng cho toàn hệ thống.
Nói đơn giản:
Load Balancer xử lý HTTPS thay cho backend
Lưu trữ và quản lý chứng chỉ SSL ngay tại LB
Đảm bảo kết nối người dùng → LB → backend an toàn và linh hoạt
Tại sao cần Load Balancer Certificates?
•Bảo mật thông tin: mã hóa toàn bộ dữ liệu trao đổi giữa khách hàng và dịch
vụ.
•Hiệu năng tốt hơn: backend không cần xử lý mã hóa/giải mã TLS → giảm tải
CPU.
•Dễ dàng quản lý chứng chỉ: không phải cài đặt thủ công lên từng backend
server.
•Cấu trúc hệ thống gọn hơn: LB làm điểm giao tiếp duy nhất cho HTTPS.
•Hỗ trợ nhiều domain: SSL cho nhiều website, subdomain chỉ trong một LB.
Các kiểu triển khai chứng chỉ trong Load Balancer
Load Balancer thường hỗ trợ 3 mô hình:
SSL Termination (Phổ biến nhất)
•LB nhận kết nối HTTPS → giải mã
•Backend nhận kết nối HTTP (không mã hóa)
✔ Tối ưu hiệu năng
✔ Dễ cấu hình
✔ Thích hợp cho web, API
SSL Passthrough
•LB chỉ chuyển tiếp lưu lượng đã mã hóa trực tiếp đến backend
•Backend tự chịu trách nhiệm giải mã
✔ Bảo mật end-to-end
✔ LB không cần lưu private key
Backend phải xử lý nhiều → tiêu tốn CPU
LB không đọc được nội dung request để routing nâng cao
SSL Re-Encryption
•LB giải mã → kiểm tra/routing → mã hóa lại trước khi gửi đến backend
•Vừa tối ưu routing, vừa đảm bảo mã hóa đến backend
✔ Bảo mật tốt + routing linh hoạt
✔ Dùng trong hệ thống yêu cầu bảo mật cao (tài chính, y tế)
�
� Các tính năng liên quan đến Certificates trong Load Balancer
Upload & quản lý chứng chỉ
•Hỗ trợ SSL/TLS (PEM, CRT, KEY)
•Hỗ trợ chứng chỉ CA/Intermediate
•Giao diện trực quan để thêm, sửa, xoá chứng chỉ
Hỗ trợ nhiều chứng chỉ
•Một Load Balancer có thể dùng nhiều chứng chỉ cho nhiều domain (SNI –
Server Name Indication)
Tích hợp bảo mật nâng cao
•Chọn version TLS (1.2 / 1.3)
•Bật tắt cipher suites
•Bật HTTP/2, HTTP/3
Ứng dụng thực tế
Tính năng Load Balancer Certificates lý tưởng cho:
•Website dùng HTTPS
•Hệ thống API yêu cầu mã hóa
•Ứng dụng nhiều backend muốn offload TLS
•Môi trường nhiều domain/subdomain
•Hệ thống yêu cầu bảo mật cao và tối ưu hiệu năng
Kết luận
Load Balancer Certificates là một tính năng quan trọng trong Portal Cloud
Gdata, giúp quản lý và xử lý chứng chỉ SSL/TLS tập trung ngay tại Load
Balancer.
Tính năng này không chỉ đảm bảo an toàn dữ liệu, mà còn giúp tối ưu hiệu
năng, giảm tải cho backend, và đơn giản hóa quản trị hệ thống.
Hướng dẫn thêm mới certificate: – Tại giao diện Portal truy cập Network > Load Balancers > SSL Termination
– Chọn thêm mới
– Điền các thông tin cần thiết theo chú thích và ấn xác nhận để thêm cert vào Portal.
4.6 - VPN
4.6.1 Giới thiệu
Giới thiệu dịch vụ VPN Site-to-Site trên Portal Cloud GDATA
Trong bối cảnh doanh nghiệp vận hành hệ thống phân tán, nhiều chi nhánh
hoặc tích hợp hạ tầng giữa On-Premises và Cloud, nhu cầu kết nối mạng an
toàn – ổn định – bảo mật là vô cùng quan trọng.
Dịch vụ VPN Site-to-Site trên Portal Cloud GDATA được thiết kế để giúp
doanh nghiệp kết nối các mạng nội bộ tại nhiều địa điểm khác nhau thông
qua đường truyền Internet nhưng vẫn đảm bảo mã hóa và bảo mật tuyệt đối.
Nói cách khác:
VPN Site-to-Site = Kết nối mạng LAN tại trụ sở doanh nghiệp ↔ Mạng
Cloud GDATA, như một mạng nội bộ duy nhất.
VPN Site-to-Site là gì?
VPN Site-to-Site (Virtual Private Network) là kết nối VPN giữa 2 mạng (site)
theo mô hình mạng–tới–mạng, không phải kết nối từng người dùng.
Kết nối này dùng giao thức bảo mật như IPsec, cho phép truyền dữ liệu giữa
hai hệ thống thông qua Internet nhưng hoạt động như một đường truyền
riêng ảo.
Ví dụ:
• Chi nhánh doanh nghiệp ↔ Trung tâm dữ liệu
• On-premises ↔ Hạ tầng Cloud GDATA
• VPC Cloud ↔ VPC Cloud khác
________________________________________
Lợi ích nổi bật của dịch vụ VPN Site-to-Site trên GDATA
✔ Kết nối an toàn – mã hóa toàn bộ dữ liệu
Sử dụng IPsec/IKEv2 giúp bảo vệ dữ liệu khỏi nghe lén, giả mạo hoặc tấn
công trung gian.
✔ Kết nối ổn định giữa Cloud và On-Premises
Doanh nghiệp có thể triển khai hệ thống hybrid cloud hoặc multi-site mà
không cần leased-line đắt đỏ.
✔ Tích hợp dễ dàng
Chỉ cần vài bước cấu hình từ Portal Cloud GDATA để kết nối đến thiết bị VPN
gateway của doanh nghiệp (Fortigate, Mikrotik, Cisco, Sophos…).
✔ Khả năng mở rộng linh hoạt
Kết nối nhiều chi nhánh vào cùng một VPC hoặc kết nối nhiều VPC với nhau.
✔ Bảo mật cao – quản lý tập trung
Toàn bộ cấu hình, khóa mã hóa, thông số kết nối được quản lý trực tiếp trên
portal.
________________________________________
Các tính năng chính
Hỗ trợ giao thức IPsec (IKEv1/IKEv2)
Chuẩn bảo mật được sử dụng rộng rãi trong doanh nghiệp.
Quản lý VPN Gateway trực quan trên Portal
• Tạo VPN Gateway
• Nhập key
• Cấu hình peer
• Thiết lập routing
Tự động tạo route giữa hai mạng
Giúp các máy chủ ở hai site có thể giao tiếp qua địa chỉ IP private.
Giám sát trạng thái kết nối (Monitoring)
Hiển thị trạng thái VPN tunnel (UP/DOWN), lưu lượng truyền tải.
Hỗ trợ nhiều mô hình triển khai
• On-Premises ↔ Cloud GDATA
• Cloud GDATA ↔ Cloud Provider khác (AWS, Azure, GCP)
• VPC ↔ VPC trong cùng hệ thống GDATA
________________________________________
Ứng dụng thực tế
✔ Doanh nghiệp nhiều chi nhánh
Kết nối mạng nội bộ các văn phòng vào Cloud GDATA như một LAN duy
nhất.
✔ Hybrid Cloud
Tích hợp hệ thống on-premises với cloud để chạy song song hoặc mở rộng
tài nguyên.
✔ Bảo mật truyền dữ liệu
Các ứng dụng nội bộ như ERP, CRM, File Server, Database trao đổi dữ liệu
an toàn.
✔ Liên kết hệ thống giữa các đối tác
Thiết lập kết nối bảo mật giữa hai đơn vị phục vụ trao đổi dữ liệu B2B.
________________________________________
Kết luận
VPN Site-to-Site trên Portal Cloud GDATA là giải pháp mạnh mẽ giúp doanh
nghiệp xây dựng hạ tầng hybrid hoặc multi-branch một cách bảo mật, ổn định
và linh hoạt.
Dịch vụ giúp đơn giản hóa triển khai, giảm chi phí đường truyền chuyên dụng
và đảm bảo dữ liệu luôn được bảo vệ bằng những chuẩn mã hóa mạnh nhất.
4.6.2 VPN Gateway
Hướng dẫn tạo VPN site to site chi tiết
Tại Portal truy cập Network > VPN > Tạo VPN
Lưu ý: mỗi tài khoản chỉ tạo được 01 VPN
Tạo VPN gateway
Điền tên của VPN
Chọn Dải mạng Public tùy ý.
Chọn gói thuê bao mà khách hàng muốn sử dụng.
Xác nhận > Thanh toán
Sau khi quá trình tạo hoàn tất
Truy cập vào VPN > Cập nhật config
Chọn thêm config
Gateway IP: Public IP thiết bị đầu xa.
Left subnet: CIDR của các lớp mạng local trên GDATA Cloud muốn quảng bá vào
tunnel VPN (Mỗi CIDR tương ứng 1 bản ghi).
Right Subnet: CIDR của các lớp mạng local đầu xa. (Mỗi CIDR tương ứng 1 bản
ghi)
Preshare Key*: Mã bí mật của kênh VPN.
IKE version, IKE, ESP*: Version và các phương thức mã hóa của kênh VPN
Hiện tại, VPN trên cloud hỗ trợ chuẩn ikev2 và các phương thức mã hóa thông
dụng.
*: Bắt buộc phải matching 100% trên đầu Cloud và Thiết bị đầu xa.
Sau khi khai báo xong, bấm Xác nhận và đợi hệ thống cập nhật config. Sau khi cập
nhật thành công ta sẽ thu được:
Lưu ý:
Mỗi tài khoản chỉ có thể khởi tạo 01 VPN instance
Có thể sử dụng nhiều VPN Connection trên 01 VPN instance
5.1 - Server
5.1.1 Giới thiệu
Giới thiệu về Gdata Cloud Server VPC
Gdata Cloud Server VPC là giải pháp hạ tầng điện toán đám mây hiện đại, cho phép doanh nghiệp triển khai hệ thống máy chủ ảo trên môi trường đám mây riêng ảo (Virtual Private Cloud). Đây là lựa chọn tối ưu giúp đảm bảo tính linh hoạt, bảo mật và hiệu quả chi phí trong quá trình vận hành.
Kiến trúc linh hoạt, mở rộng theo nhu cầu
Tạo và quản lý nhiều máy chủ ảo (VM) trong không gian mạng riêng.
Dễ dàng nâng cấp CPU, RAM, dung lượng lưu trữ theo yêu cầu sử dụng thực tế.
Tích hợp cân bằng tải (Load Balancer).
Bảo mật cao và kiểm soát toàn diện
Môi trường VPC tách biệt đảm bảo dữ liệu của bạn không bị chia sẻ với hệ thống khác.
Hỗ trợ Firewall, VPN, Security Groups, kiểm soát truy cập đến từng máy chủ.
Kết nối riêng an toàn với hệ thống On-Premise thông qua VPN site to site.
Hiệu năng ổn định, sẵn sàng cao
Hạ tầng được xây dựng trên các trung tâm dữ liệu đạt chuẩn quốc tế.
Đảm bảo 99.9% uptime SLA, đáp ứng nhu cầu chạy ứng dụng quan trọng.
Tích hợp hệ thống giám sát, cảnh báo và sao lưu dữ liệu tự động.
Tối ưu chi phí và dễ dàng quản lý
Trả phí trước giúp tiết kiệm, tối ưu chi phí.
Quản lý tập trung qua Portal Cloud, hỗ trợ tự động hóa triển khai.
Linh hoạt trong việc phân chia tài nguyên cho từng dự án hoặc bộ phận.
👉 Cloud Server VPC – Giải pháp hạ tầng đám mây riêng an toàn, linh hoạt và tiết kiệm cho doanh nghiệp hiện đại.
5.1.2 Dashbroad quản lý máy chủ (Server)
Hiển thị thông tin các máy chủ đã tạo và các thông tin cơ bản của máy chủ đã có.
5.1.3 Tạo Server
Bước 1: Trong dashbroad quản lý máy chủ ấn tạo Server
Bước 2: Chọn hệ điều hành cần cài đặt.
Bước 3: Chọn cách tính phí
Bước 4: Chọn cấu hình máy chủ
Tài nguyên CPU, RAM: Chọn gói cấu hình phù hợp với nhu cầu.
Loại ổ cứng: SSD; IOPS tùy theo nhu cầu sử dụng (Min 3000 IOPS). Đối với từng loại hệ điều hành thì yêu cầu Min của ổ cứng khác nhau.
Dung lượng ổ cứng: chọn dung lượng của ổ cứng muốn tạo. Lưu ý: dung lượng ổ cứng chỉ có thể tăng, không giảm được.
Khu vực: tùy theo nhu cầu của khách hàng.
Bước 5: Option không xóa volume root khi xóa server
Nếu quý khách muốn giữ lại snapshot khi xóa server. Vui lòng lựa chọn: Không xóa volume root khi xóa server.
Bước 6: Interface
Chọn network private mà khách hàng muốn tạo.
Hướng dẫn tạo network private >> Link đến hướng dẫn tạo network.
Bước 7: Security Group
Chọn các security group muốn áp dụng cho server.
Hướng dẫn tạo Secutiry Group >> Link đến hướng dẫn tạo security group.
Bước 8: Thông tin đăng nhập
Đối với server Linux:
Chọn SSH Key đã tạo.
Hướng dẫn tạo SSH Key >> Link đến hướng dẫn tạo SSH Key.
Mật khẩu có thể để trống và hệ thống tự động tạo sau đó gửi về email. Nếu khách tự đặt mật khẩu cần tuân thủ quy tắc đặt mật khẩu của Gdata: Cho phép chỉ các ký tự chữ cái (chữ hoa, chữ thường), số và các ký tự đặc biệt: + – ! # $ % ^ & * ( ). Không cho phép có ký tự @. Độ dài từ 1 đến 32 ký tự.
Đối với server Windows:
Đặt mật khẩu theo quy tắc đặt mật khẩu của Gdata: Cho phép chỉ các ký tự chữ cái (chữ hoa, chữ thường), số và các ký tự đặc biệt: + – ! # $ % ^ & * ( ). Không cho phép có ký tự @. Độ dài từ 1 đến 32 ký tự.
Nếu không nhập mật khẩu, mật khẩu của tài khoản quản trị sẽ được gửi vào email cho bạn sau khi quá trình khởi tạo hoàn tất.
Bước 9: Số lượng server cần tạo
Tùy theo nhu cầu của khách hàng để chọn số lượng server tạo đồng thời với cấu hình giống nhau. Mặc định là 01.
Bước 10: Thông tin server
Điền tên máy chủ (Server)
Bước 11: Xác nhận và thanh toán
Sau khi hoàn tất các bước trên sẽ có tổng hợp thông tin đơn hàng phía bên phải, số tiền cần thanh toán. Ấn xác nhận và chuyển sang bước thanh toán.
Ấn thanh toán và quá trình tạo sau khi máy chủ tạo xong sẽ có email gửi về email khách hàng thông báo máy chủ tạo thành công và thông tin truy cập.
Kiểm tra máy chủ trên portal.
5.1.4 Quản lý máy chủ
Trong dashbroad của server, ấn vào 1 server và sẽ truy cập được thông tin chi tiết của server.
5.1.4.1 Thông tin
Trong dashbroad thông tin sẽ có các thông tin cơ bản của server: IP, OS, FIP, …
4.1.4.2 Thao tác
Tại đây khách hàng có thể tắt, bật, tạm dừng, khởi động lại, đặt mật khẩu, pre-config máy ảo, khôi phục cài đặt gốc.
Với các tính năng Gdata có mô tả chi tiết các thao tác, khách hàng vui lòng đọc kỹ trước khi thao tác.
Lưu ý đối với tính năng khôi phục cài đặt gốc:
Nếu chọn mặc định server sẽ được cài lại mới tinh, IP private, dữ liệu trong server sẽ bị xóa.
Nếu chọn sử dụng image mới khi khôi phục server sẽ cài lại hệ điều hành theo nhu cầu của khách hàng. ( Chỉ hỗ trợ Linux sang Linux, Windows sang Windows, không hỗ trợ từ Linux sang Windows hoặc ngược lại).
5.1.4.3 Theo dõi
Tại đây khách hàng có thể theo dõi hiệu năng của server với các thông tin CPU, RAM, Disk, Network.
5.1.4.4 Đổi cấu hình
Đổi cấu hình (tăng/ giảm) theo nhu cầu của khách hàng.
Khi chọn được cấu hình ấn xác nhận và thanh toán.
Server sẽ được khởi động lại và update cấu hình mới khi thanh toán thành công.
5.1.4.5 Ổ cứng
Tại đây khách hàng có thể nhìn thấy các volume đang gắn vào server.
Có thể tạo snapshot cho volume, tăng dung lượng, gỡ volume khỏi server, đổi tên volume, xóa volume.
5.1.4.6 Snapshot Volume
Tại đây khách hàng có thể ngay lập tức tạo 1 bản snapshot cho volume đang sử dụng để backup.
Snapshot Volume là bản sao lưu dữ liệu của một volume (ổ đĩa ảo) tại thời điểm cụ thể. Chỉ lưu lại dữ liệu trong volume đó, không bao gồm toàn bộ hệ điều hành hoặc cấu hình server. Thường dùng để bảo vệ dữ liệu quan trọng (database, file storage, log…).
Sau khi xác nhận, thanh toán, snapshot sẽ được tạo ngay lập tức.
Khách hàng có thể tạo volume khác từ bản snapshot này để dự phòng, lấy data,…
5.1.4.7 Snapshot Server
Tại đây khách hàng có thể tạo snapshot server.
Snapshot Server là bản sao lưu (backup) toàn bộ trạng thái của máy chủ (server) tại một thời điểm. Bao gồm: hệ điều hành, ứng dụng, cấu hình, dữ liệu ổ đĩa… Có thể giúp khôi phục cả server về trạng thái trước khi xảy ra sự cố.
Tạo Server Snapshot:
Sau khi tạo thành công, khách hàng có thể nhìn thấy bản snapshot server và có thể thao tác tạo server mới với bản snapshot này, khôi phục server lại tại thời điểm tạo snapshot, xóa bản snapshot nếu không cần nữa.
Lưu ý: Mỗi server chỉ tạo được 01 bản Snapshot Server. Tạo snapshot Server là miễn phí.
5.1.4.8 Network Interface
Trong dashbroad sẽ hiển thị 2 thông tin chính: Floating IP và Network interface
5.1.4.8.1 Floating IP
Khách hàng có thể gắn 1 hay nhiều IP public vào server để sử dụng.
Gắn thêm 1 IP public thao tác như sau.
Chọn Floating IP mà khách hàng đã mua, chọn interface của server, chọn đúng IP private của server.
Kết quả thu được.
5.1.4.8.2 Network interface
Trong option này có thể thao tác gắn thêm interface, có thể là interface cùng network private đang dùng hoặc network private khác của khách hàng.
Khách hàng có thể thay đổi số lượng IP private trong server, gỡ, gỡ và xóa interface đang dùng.
Đối với option thay đổi số lượng IP khách hàng chọn số IP muốn cấp cho server. Hệ thống sẽ cấp các IP mới theo dạng DHCP.
Để server có thể sử dụng các IP vừa được cấp mới. Khách hàng phải thao tác bằng tay cấu hình static IP trong server.
Ví dụ:
Đối với OS Linux cần bổ sung file config sau ngoài cấu hình network:
/etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
Nội dung file:
network: {config: disabled}
5.1.4.9. Log hệ thống
Tại đây khách hàng có thể thấy log quá trình boot lên của server.
Trường hợp có lỗi khi boot, khởi động lại server, vui lòng gửi log này cho IT Gdata khi IT nhờ cung cấp log lúc boot.
5.1.4.10 Lịch sử thao tác
Lịch sử thao tác của user với server qua portal.
5.1.4.11 Security Group
Tại đây khách hàng có thể update Security Group áp dụng cho server.
5.1.4.12 Xóa Server
Tại đây khách hàng có thể thao tác xóa server nếu không còn nhu cầu sử dụng.
Có 2 lựa chọn cho thao tác xóa server:
Xóa các volume được đánh dấu xóa cùng với server.
Xóa toàn bộ volume và snapshot.
Vui lòng cân nhắc trước khi lựa chọn.
Khi ấn Xóa server sẽ có 1 popup hiển thị yêu cầu nhập key bằng tay để xác nhận thao tác xóa. Khách hàng nhập key và xác nhận lại 1 lần nữa, sau đó hệ thống sẽ thực hiện thao tác xóa.
5.1.4.11 Security Group
Tại đây khách hàng có thể update Security Group áp dụng cho server.
5.1.4.12 Xóa Server
Tại đây khách hàng có thể thao tác xóa server nếu không còn nhu cầu sử dụng.
Có 2 lựa chọn cho thao tác xóa server:
Xóa các volume được đánh dấu xóa cùng với server.
Xóa toàn bộ volume và snapshot.
Vui lòng cân nhắc trước khi lựa chọn.
Khi ấn Xóa server sẽ có 1 popup hiển thị yêu cầu nhập key bằng tay để xác nhận thao tác xóa. Khách hàng nhập key và xác nhận lại 1 lần nữa, sau đó hệ thống sẽ thực hiện thao tác xóa.
6.2 - Hướng dẫn sử dụng, tính năng
Dashbroad
Tại đây khách hàng có thể thấy được danh sách các volume đang có, volume đang gắn vào server, volume đang không sử dụng.
Các option có thể thao tác:
Tạo Snapshot
Tăng dung lượng volume
Gỡ volume khỏi server
Đổi tên volume
Đổi IOPS volume
Xóa volume
Dashbroad
Tại đây khách hàng có thể thấy được danh sách các volume đang có, volume đang gắn vào server, volume đang không sử dụng.
Các option có thể thao tác:
Tạo Snapshot
Tăng dung lượng volume
Gỡ volume khỏi server
Đổi tên volume
Đổi IOPS volume
Xóa volume
7.2 - Hướng dẫn sử dụng, tính năng
Dashbroad
Tại đây khách hàng có thể thấy được các bản snapshot của server, volume, thời gian snapshot.
Từ 1 bản snapshot khách hàng có thể tạo thành 1 volume mới và tiến hành gắn vào server đang sử dụng hoặc tạo server mới tùy theo nhu cầu thực tế của khách hàng.
Xóa volume khi không sử dụng đến bản snapshot đó nữa.
8.2 - Hướng dẫn sử dụng
Dashbroad
Khách hàng có nhu cầu ấn tạo lịch sao lưu.
Sau khi ấn xác nhận Lịch sao lưu sẽ được tạo và có thể kiểm tra tính khả dụng sau thời gian chạy tiếp theo của lịch sao lưu.
Lưu ý:
Mỗi khách hàng chỉ tạo được 01 bản sao lưu tự động với 01 server.
Hệ thống chỉ giữ lại bản sao lưu gần nhất (1 bản).
9.2 - Hướng dẫn sử dụng
Dashbroad
Khách hàng ấn tạo SSH Key
Nhập tên SSH Key.
Public key: Nếu khách hàng đã có sẵn cặp SSH Key thì pates nội dung SSH Key Public vào ô trống. Nếu chưa có, khách hàng ấn Tạo, hệ thống sẽ tự động tạo 01 cặp Public Key và Private Key và gửi về email của khách hàng.
Có thể xóa khi không còn sử dụng.Dashbroad
Khách hàng ấn tạo SSH Key
Nhập tên SSH Key.
Public key: Nếu khách hàng đã có sẵn cặp SSH Key thì pates nội dung SSH Key Public vào ô trống. Nếu chưa có, khách hàng ấn Tạo, hệ thống sẽ tự động tạo 01 cặp Public Key và Private Key và gửi về email của khách hàng.
Có thể xóa khi không còn sử dụng.
10.2 - Hướng dẫn sử dụng
Dashbroad
Tạo ticket
Tên Ticket: Sẽ là tiêu đề, mục đích gửi ticket
Mô tả: Nội dung chi tiết. Khi mô tả lỗi khách hàng vui lòng cung cấp đầy đủ thông tin lỗi đang gặp phải, khi có càng đầy đủ thông tin cần hỗ trợ đội ngũ kỹ thuật sẽ hỗ trợ khách hàng được nhanh hơn.
File đính kèm: Khách hàng có thể đính kèm các file hình ảnh, video,… để minh họa hoặc gửi log kèm theo.
Khi ticket đã được xử lý, khách hàng có thể đóng ticket, đánh giá hỗ trợ.
Dashbroad
Tạo ticket
Tên Ticket: Sẽ là tiêu đề, mục đích gửi ticket
Mô tả: Nội dung chi tiết. Khi mô tả lỗi khách hàng vui lòng cung cấp đầy đủ thông tin lỗi đang gặp phải, khi có càng đầy đủ thông tin cần hỗ trợ đội ngũ kỹ thuật sẽ hỗ trợ khách hàng được nhanh hơn.
File đính kèm: Khách hàng có thể đính kèm các file hình ảnh, video,… để minh họa hoặc gửi log kèm theo.
Khi ticket đã được xử lý, khách hàng có thể đóng ticket, đánh giá hỗ trợ.
11.2 - Tài khoản
Dashbroad
Khi thêm tài khoản khách hàng sẽ cần điền các thông tin:
Email: Email của nhân viên, người được ủy quyền vào dự án. (email này là email chưa đăng ký dịch vụ tại Gdata)
Quyền: Cấp quyền cho user tương ứng.
Sau khi user nhận được email và đường link đăng ký, đăng ký tài khoản con sau đó đăng nhập vào portal.
Tài khoản con sẽ nhìn thấy các thông tin, server mà admin đã gán quyền.Dashbroad
Khi thêm tài khoản khách hàng sẽ cần điền các thông tin:
Email: Email của nhân viên, người được ủy quyền vào dự án. (email này là email chưa đăng ký dịch vụ tại Gdata)
Quyền: Cấp quyền cho user tương ứng.
Sau khi user nhận được email và đường link đăng ký, đăng ký tài khoản con sau đó đăng nhập vào portal.
Tài khoản con sẽ nhìn thấy các thông tin, server mà admin đã gán quyền.
12.2 - Hướng dẫn sử dụng
Dasbroad
Tại đây khách hàng có thể nhìn thấy các thông tin: Số dư, dư nợ, số tiền cần nạp thêm của tài khoản.
Nạp tiền: Chọn hoặc điền số tiền muốn nạp và ấn nạp.
Nhập mã khuyến mãi: Nếu khách hàng có mã khuyến mãi do Gdata cung cấp có thể điền mã và Áp dụng.
Danh sách hóa đơn: Hiển thị tất cả các hóa đơn sử dụng dịch vụ với portal.
Với mỗi hóa đơn khách hàng có thể ấn xem hoặc tải file hóa đơn về.
Lưu ý: Hóa đơn này chỉ có tác dụng trên portal và hệ thống của Gdata. Khách hàng có nhu cầu xuất hóa đơn vui lòng liên hệ tổng đài của Gdata để được hỗ trợ.
Lịch sử nạp tiền: Lịch sử nạp tiền của tài khoản.
13.1 - Giới thiệu
Dashbroad
Tại đây khách hàng có thể xem lại lịch sử thao tác của tài khoản.
15.2 - Simple Storage
16.2.1 Tạo Bucket
Khách hàng có thể tạo bucket đơn giản qua các bước sau:
Bước 1: Tại giao diện dashbroad ấn Tạo Bucket
Nhập tên bucket.
Quota size: Chọn dung lượng của bucket
Chọn gói thuê bao sử dụng.
Sau khi điền và chọn các thông tin ấn Xác nhận > Thanh Toán.
Hoàn thành.
Ấn vào bucket vừa tạo để xem các thông tin chi tiết.
16.2.2 Danh sách file (File list)
Chức năng Danh sách file hiển thị toàn bộ các đối tượng (object) được lưu trữ trong bucket.
Tại đây, người dùng có thể:
- Xem tên, dung lượng, thời gian tải lên và loại file.
- Thực hiện các thao tác cơ bản: tải lên (upload), tải xuống (download), xóa (delete), đổi tên hoặc di chuyển file.
- Dễ dàng tìm kiếm và lọc dữ liệu theo tên hoặc định dạng file.
👉 Đây là giao diện chính để quản lý dữ liệu trong S3 bucket.
16.2.3 Thông tin
Cung cấp các thông tin về bucket:
Quota hiện tại của bucket, % sử dụng, số lượng object hiện đang có.
Thay đổi quota: Khách hàng có thể tăng quota lên khi có nhu cầu.
Xóa bucket: Khách hàng có thể xóa bucket khi không còn nhu cầu sử dụng.
16.2.4 Access Control
Chức năng Access Control cho phép người dùng quản lý quyền truy cập tới bucket hoặc file, bao gồm:
- Phân quyền đọc/ghi/xóa cho từng người dùng hoặc nhóm.
- Cấu hình quyền công khai (public) hoặc riêng tư (private).
Thiết lập quyền truy cập tạm thời thông qua Access Key/Secret Key.
👉 Đảm bảo dữ liệu được truy cập đúng người, đúng mục đích và an toàn tuyệt đối.
14.2.5 Versioning
Versioning là tính năng giúp lưu trữ nhiều phiên bản (version) của cùng một file trong bucket.
Khi bật Versioning, mỗi lần tải lên file trùng tên, hệ thống sẽ tạo một bản ghi mới thay vì ghi đè.
Cho phép khôi phục lại phiên bản cũ khi cần.
👉 Giúp bảo vệ dữ liệu khỏi việc ghi đè hoặc xóa nhầm, rất hữu ích trong các hệ thống cần audit hoặc rollback dữ liệu.
16.2.6 Bucket Policy
Bucket Policy là nơi thiết lập chính sách truy cập ở cấp độ bucket, dưới dạng các quy tắc JSON.
- Cho phép định nghĩa ai được phép truy cập, từ đâu và với quyền hạn nào.
- Hỗ trợ cấu hình linh hoạt cho các trường hợp: chia sẻ dữ liệu công khai, giới hạn IP, hoặc truy cập theo tài khoản IAM.
👉 Là công cụ mạnh mẽ giúp tùy chỉnh quyền truy cập chi tiết và bảo mật cho toàn bộ bucket.
16.2.7 Cấu hình CORS
Cấu hình CORS cho phép xác định các domain bên ngoài có quyền truy cập đến dữ liệu trong bucket thông qua giao thức web.
- Dành cho các ứng dụng web cần tải file trực tiếp từ S3 (VD: website, frontend app, CDN).
- Có thể chỉ định phương thức được phép (GET, PUT, DELETE…) và danh sách domain an toàn.
👉 Đảm bảo khả năng tích hợp linh hoạt giữa ứng dụng web và dịch vụ lưu trữ S3, mà vẫn đảm bảo bảo mật truy cập.
14.2.8 Static Web Hosting
Static Web Hosting cho phép người dùng triển khai website tĩnh trực tiếp trên bucket S3.
- Chỉ cần tải lên các file HTML, CSS, JS, hình ảnh…
- Hệ thống cung cấp URL truy cập công khai, giúp website hoạt động mà không cần máy chủ riêng.
👉 Là giải pháp đơn giản và tiết kiệm để chạy website tĩnh, trang landing page, hoặc tài liệu hướng dẫn trực tuyến.
16.2.9 Lifecycle Config
Lifecycle Config cho phép người dùng tự động quản lý vòng đời dữ liệu trong bucket.
- Đặt chính sách tự động xóa, chuyển vùng lưu trữ (storage class) sau một khoảng thời gian nhất định.
Giúp giảm chi phí lưu trữ cho các dữ liệu cũ hoặc ít sử dụng.
👉 Hỗ trợ tối ưu chi phí và tự động hóa quản lý dữ liệu theo thời gian.
16.2.10 Thống kê sử dụng
Giúp khách hàng có thể kiểm tra được chi tiết các hành động trong bucket.
15.3 - Access Key
16.3.1 Giới thiệu
Access Key là gì?
Access Key là cặp khóa bảo mật dùng để xác thực và cho phép người dùng hoặc ứng dụng truy cập vào dịch vụ S3 thông qua API hoặc công cụ dòng lệnh (CLI).
Mỗi Access Key bao gồm hai thành phần:
- Access Key ID: Khóa định danh người dùng (giống như tên tài khoản).
- Secret Access Key: Khóa bí mật dùng để xác thực và mã hóa yêu cầu (giống như mật khẩu).
Cặp khóa này hoạt động tương tự như tài khoản đăng nhập kỹ thuật, cho phép ứng dụng hoặc phần mềm bên thứ ba tương tác trực tiếp với dữ liệu trong S3 mà không cần thông qua giao diện Portal.
Chức năng chính của Access Key
- Xác thực kết nối: Giúp hệ thống xác nhận người dùng hoặc ứng dụng có quyền truy cập vào bucket hoặc object.
- Tích hợp ứng dụng: Dùng để kết nối S3 với các phần mềm khác như backup tools, CDN, AI/ML pipelines, hay API nội bộ.
- Tự động hóa thao tác: Cho phép chạy script hoặc công cụ CLI (như aws-cli, s3cmd, rclone, v.v.) để tải lên, tải xuống, sao lưu hoặc đồng bộ dữ liệu.
- Phân quyền chi tiết: Kết hợp với IAM và Bucket Policy để kiểm soát phạm vi truy cập của từng Access Key.
Cơ chế hoạt động
- Khi người dùng tạo một Access Key trong Portal Cloud, hệ thống sẽ sinh ra một Access Key ID và Secret Access Key duy nhất.
- Khi ứng dụng gửi yêu cầu đến S3 (upload, download, list…), nó phải ký (sign) yêu cầu bằng Secret Key.
- Máy chủ S3 xác minh chữ ký này để đảm bảo rằng yêu cầu hợp lệ và người gửi có quyền truy cập.
👉 Cơ chế này đảm bảo bảo mật cao, xác thực chính xác và ngăn chặn truy cập trái phép.
Lưu ý bảo mật khi sử dụng Access Key
⚠️ Không chia sẻ hoặc công khai Secret Access Key.
⚠️ Không lưu trữ khóa trong mã nguồn hoặc file cấu hình công khai (GitHub, GitLab…).
⚠️ Thu hồi (Revoke/Delete) Access Key khi không còn sử dụng.
⚠️ Tạo khóa riêng cho từng ứng dụng hoặc người dùng, tránh dùng chung để dễ kiểm soát quyền và nhật ký truy cập.
Lợi ích của việc sử dụng Access Key
✅ Kết nối linh hoạt với hệ thống, công cụ hoặc ứng dụng tự động.
✅ Tăng tính bảo mật nhờ cơ chế xác thực mã hóa thay vì dùng mật khẩu.
✅ Hỗ trợ tích hợp đa nền tảng (CLI, SDK, API, ứng dụng bên thứ ba).
✅ Kiểm soát chi tiết quyền truy cập và theo dõi lịch sử thao tác của từng khóa
👉 Access Key trong Portal Cloud Gdata S3 là chìa khóa giúp người dùng tích hợp, tự động hóa và bảo mật truy cập dữ liệu đám mây, đảm bảo tính linh hoạt và an toàn tuyệt đối trong mọi quy trình vận hành.
14.3.2 Hướng dẫn sử dụng
Dashbroad
Mặc định mỗi khách hàng sẽ được tạo 1 cặp access key. Nếu khách hàng muốn có thể xóa cặp access key đang có và tạo 1 cặp access key mới.
Hiện tại hệ thống chỉ hỗ trợ mỗi khách hàng có 1 cặp Access Key/ Secret Key.
Tính năng subuser chưa enable.
