Hướng dẫn: https://blog.zoph.me/cloud/Update53/#
Bước 1: Tạo 1 Role có quyền truy cập vào Route53. Sau đó gắn vào IAM user. Ở đây ta tạo Role với quyền AmazonRoute53FullAccess Hoặc có thể gán trực tiếp IAM Role vào trong EC2
Bước 2: Tạo 1 file JSON với format mà Route53 đã cung cấp. Ở đây ta tạo file có tên update-route53-A.json
https://docs.aws.amazon.com/cli/latest/reference/route53/change-resource-record-sets.html
Trong bài này có 2 cách để cấp quyền:
aws configure để gán IAM user với quyền mà ta cho phépaws configure thay vào đó ta sẽ gán trực tiếp quyền cho EC2Sau khi tạo Nat Instance thì để các EC2 trong private subnet đi được internet thì ta cần update lại route table của private subnet. Ta cần phải add 1 record 0.0.0.0/0 đến con Nat Instnace
1. Tạo NatInstance, đồng thời cũng là Bastion
Chúng ta có thể sử dụng NAT Gateway thay cho NAT Instance. Nhưng để tiết kiệm chi phí thì ta sẽ tạo NAT Instance. Việc tạo Nat Instance giúp các EC2 trong private subnet có thể đi ra ngoài internet. Để các EC2 trong private subnet đi được internet thì Nat Instance phải nằm trong Public Subnet
Route Table được dùng để liên kết đến các subnet. RTB sẽ định tuyến hướng đi cho Subnet
Subnet được hiểu là 1 sub network (mạng con ảo). Sau khi tạo 1 VPC, ta có thể thêm một hoặc nhiều subnet (mạng con) trong mỗi Availability Zone. Khi ta tạo 1 subnet, ta cần chỉ định khối CIDR cho subnet đó. Mỗi subnet phải nằm hoàn toàn trong 1 Availability Zone và không thể kéo dài tới các zone khác. Các Availability Zone là các vị trí riêng biệt được thiết kế để cách ly để tránh bị ảnh hưởng khi các zone khác gặp vấn đề.
Có thể tạo 1 hoặc nhiều subnet trên một VPC. Tuy nhiên ta sẽ bị giới hạn số VPC trên AWS
Security Group là một tường lửa ảo (Virtual Firewall) để điều khiển truy cập giữa các EC Instance. Khi khởi tạo 1 instance, ta cần chỉ ra 1 hoặc nhiều security group. Và sau khi tạo 1 instance ta có thể thay đổi Security Group đó.
Amazon Virtual Private Cloud (Amazon VPC) cho phép chúng ta cung cấp một phần AWS Cloud bị cô lập một cách hợp lý, nơi ta có thể khởi chạy các tài nguyên AWS trong một mạng ảo do ta xác định. Ta có toàn quyền kiểm soát môi trường mạng ảo của mình, bao gồm lựa chọn phạm vi địa chỉ IP, tạo các mạng con và cấu hình các bảng định tuyến và cổng kết nối mạng. Ta có thể sử dụng cả IPv4 và IPv6 trong VPC để truy cập an toàn và dễ dàng vào tài nguyên và ứng dụng.
Hãy tạo hệ thống aws như sau:
t2.micro làm NAT instance/vừa làm bastion. Sử dụng IP public động nhưng tự cập nhập IP tới record route53 mỗi khi stop/start. Tức dùng domain để connect tới bastion mà không sử dụng IP.