Bài này chúng ta và cafedev sẽ tìm hiểu về VPC FlowLog là gì? trong AWS, trước khi chúng ta bắt đầu sử dụng AWS một cách dễ dàng hơn.

1. VPC FlowLog là gì?

  • VPC FlowLog là một tính năng của aws nắm bắt thông tin về lưu lượng IP đi đến hoặc từ các giao diện mạng trong VPC.
  • Dữ liệu Amazon FlowLog có thể được lưu trữ bằng cách sử dụng nhóm Amazon CloudWatchLogs hoặc Amazon S3.
  • Sau khi đã tạo FlowLog, bạn có thể xem và truy xuất dữ liệu từ Amazon CloudWatch Logs.
  • Tóm lại, chúng ta có thể nói rằng VPC FlowLog là một cách lưu trữ lưu lượng truy cập trong VPC.
  • FlowLogs phục vụ một số mục đích:
    • Khắc phục sự cố “tại sao lưu lượng truy cập cụ thể không đến được phiên bản”.
    • VPC FlowLog cũng có thể được sử dụng như một công cụ bảo mật để giám sát lưu lượng truy cập đến phiên bản của bạn.

2. Hạn chế của VPC FlowLog:

  • Bạn không thể bật nhật ký VPC với VPC của bạn trừ khi nó đã được duyệt với VPC trong cùng một tài khoản.
  • Trong khi tạo một flowlog, bạn không thể gắn thẻ cho một flowlog.
  • Khi bạn đã tạo xong flowlog, bạn không thể thay đổi cấu hình của nó. Ví dụ: nếu bạn liên kết vai trò IAM với nhật ký thì bạn không thể thay đổi vai trò IAM. Trong những trường hợp như vậy, bạn cần xóa nhật ký lưu lượng và tạo nhật ký lưu lượng mới với cấu hình mong muốn.

3. Các cấp độ VPC FlowLog

VPC FlowLogs có thể được tạo ở ba cấp độ:

  • VPC
  • Mạng con(Subnet)
  • Mức giao diện mạng(Network Interface Level)

4. Cách tạo VPC FlowLog

  • Đăng nhập vào Bảng điều khiển quản lý AWS.
  • Di chuyển đến dịch vụ VPC và chúng ta có thể thấy từ màn hình bên dưới rằng VPC với tên cafedevvpc đã được tạo.
  • Nhấp vào VPC tùy chỉnh và sau đó nhấp vào menu thả xuống. Nhấp vào tạo FlowLog.
  • Điền vào các chi tiết sau để tạo FlowLog.

Ở đây,

Bộ lọc(Filter): Nó xác định loại lưu lượng được ghi lại. Có ba loại bộ lọc: Tất cả, Chấp nhận và Từ chối(All, Accept and Reject). ‘Tất cả’ được sử dụng để ghi lại cả lưu lượng được chấp nhận và bị từ chối. ‘Chấp nhận’ chỉ được sử dụng để ghi lưu lượng truy cập được chấp nhận trong khi ‘Từ chối’ chỉ ghi lại lưu lượng truy cập bị từ chối.

Đích(Destination): Đích xác định nơi bạn muốn gửi lưu lượng truy cập của mình. Có hai loại đích: Gửi tới Nhật ký CloudWatch và Gửi tới nhóm S3. Tôi chọn “Gửi tới Nhật ký CloudWatch” làm điểm đến.

Nhóm nhật ký điểm đến(Destination log group): Nó xác định tên của điểm đến. Cho đến nay, chúng ta vẫn chưa tạo Nhật ký CloudWatch. Đầu tiên, chúng ya tạo CloudWatch Log và sau đó thêm tên của Nhật ký vào nhóm Nhật ký này.

  • Nhấp vào CloudWatch.
  • Nhấp vào Nhật ký(Logs) xuất hiện ở phía bên trái của bảng điều khiển.
  • Nhấp vào nút ” Hãy bắt đầu(Let’s get started)”.
  • Bấm vào nút Tạo nhóm nhật ký(Create log group).
  • Nhập Tên Nhóm Nhật ký.
  • Cuối cùng, nhật ký CloudWatch được tạo. Nhập tên nhật ký trong bảng điều khiển FlowLog.

Từ màn hình trên, chúng ta nhận thấy rằng “Không có vai trò IAM nào được chọn(No IAM role selected)”. Để chọn vai trò IAM, trước tiên chúng ta cần tạo một vai trò IAM. Nhấp vào Thiết lập quyền(Set Up Permissions) .

  • Để tạo một vai trò IAM, hãy nhập tên vai trò và sau đó nhấp vào nút Cho phép(Allow).
  • Sau khi tạo vai trò IAM, hãy nhập vai trò IAM trong bảng điều khiển FlowLog.
  • Màn hình dưới đây cho thấy rằng lưu lượng hs đã được tạo.

Cài ứng dụng cafedev để dễ dàng cập nhật tin và học lập trình mọi lúc mọi nơi tại đây.

Tài liệu từ cafedev:

-->

Nếu bạn thấy hay và hữu ích, bạn có thể tham gia các kênh sau của cafedev để nhận được nhiều hơn nữa:

Chào thân ái và quyết thắng!

Đăng ký kênh youtube để ủng hộ Cafedev nha các bạn, Thanks you!