Compute Engine - IaaS- Đưa toàn bộ hệ thống server của doanh nghiệp lên google cloud
Thứ Sáu, 12 tháng 7, 2019
Như tiêu đề thấy đưa toàn bộ hệ thống server lên Cloud, thoạt đầu nghĩ ah là lên cloud ah kakak. Vấn đề này khả thi... Nếu bạn có tiền bạn mua server vật lý thì dùng nội bộ, còn muốn cloud cũng phải cần có tiền đấy cụ giáo ạ. Cấu hình thì tùy yêu cầu mỗi doanh nghiệp lựa chọn, hàng ngon đều có cả.
OK vậy nói về vấn đề này là như thế nào, tôi sẽ phân vùng Server farm sẽ nằm trên google cloud, còn lại client chỉ cần setup hạ tầng bên dưới phục vụ cho end user... nói ngắn gọn là vậy.
Ở mô hình này sẽ tạo IKEV2 VPN từ google cloud và dùng router bên enterprise connect về, có thể route trực tiếp google cloud về thẳng router của bạn, ok mọi việc bắt đầu thôi.
Do chưa mượn được con router cisco , cố gắng cấu hình trên cisco ảo nhưng vẫn ko connect được VPN và một số vấn đề, dù debug các kiểu nhưng vẫn lỗi chập chờn bên quyết định thay bằng pfsense, hy vọng bài sau sẽ dùng router cisco.
OK vậy giờ tổng quan như sau :
Cloud google :
Tạo server trên google cloud, và phân định IP range server farm sẽ là 10.128.0.0/20 và disable toàn bộ External IP, có nghĩa là vùng server của bạn chỉ là local trên cloud, không liên quan gì bên ngoài.
Tiếp theo tạo một Cloud VPN Tunnel, vpn này bạn cấu hình route sao cho nó nhận dạng vùng IP Server farm của bạn là ok.
Và route cho nó nhận tất cả các lớp mạng nội bộ, để 0.0.0.0/0 để nhận diện tất cả, tùy theo policy route phù hợp
Như vậy là phần trên Google cloud tạm thời ổn, những thứ cần nhớ là ikev2 vpn shared key và IP thế là ok rồi.
Khi bạn nhập IP WAN bạn vào thì chỉ có mỗi IP WAN đó mới có thể nhìn thấy IP Google cloud, bạn ném nó cho 1 ai đó bên ngoài cũng chẳng nhìn thấy, tracert, ping đến nó đâu, coi như security basic đầu tiên hehe.
Như đã nói nói ở trên, router cisco ảo mình config nó bị lỗi, ko connect thành công, nên trong khi chờ đợi mượn của bạn bè con router về test thì dùng con Pfsense để chiến, vậy mà nó connect nhanh thật là nhanh, đau đầu.
Enterprise router pfsense:
Vùng mạng lan dành cho BOH, khối văn phòng, ở đây sẽ không chia VLAN, chỉ asign 1 range IP, nếu có nhu cầu thì chia ra, khá là dễ.
Cấu hình VPN Tunnels, cổng giao tiếp với google cloud
Cấu hình access tunnel với key shared
Tiếp theo thêm entry
Cuối cùng check status đã connnect chưa
Quay lại kiểm tra trên GOogle cloud nếu connect sẽ show tình trạng connect
Ta thử ping test về Domain controller, nếu ok xem như đã hoàn thành.
OK vậy là connect thành công.
Giờ đứng trên wks join domain, ping ...
OK, cuối cùng cũng hoàn thiện :) tùy vào nhu cầu sử dụng , mục đích mà cấu hình phù hợp.
Nhãn: Reference, Router - Firewall