🎯 Mục tiêu bài viết
- Hiểu Egress-Only Internet Gateway là gì
- So sánh nó với Internet Gateway (IGW)
- Cách thiết lập Egress-Only IGW trong VPC
- Những use-case thường gặp trong đề thi
- Câu hỏi ôn tập thực chiến chuẩn SOA-C02
🧠 1. Egress-Only Internet Gateway là gì?
Egress-Only Internet Gateway (EOIGW) là cổng ra Internet dành riêng cho IPv6, cho phép các instance trong subnet IPv6 gửi lưu lượng ra ngoài, nhưng không nhận kết nối từ ngoài vào.
Nói cách khác:
- Chỉ cho phép traffic outbound
- Không cho phép inbound traffic từ internet đến instance
🛠 2. Khi nào dùng Egress-Only Internet Gateway?
| Use-case | Mô tả |
|---|---|
| Bảo mật subnet IPv6 | Instance có thể truy cập internet (update OS, tải package…) nhưng không bị mở inbound |
| Thay thế NAT Gateway (cho IPv6) | NAT Gateway chỉ hỗ trợ IPv4 |
| Tối ưu chi phí outbound IPv6 |
⚙️ 3. So sánh: Internet Gateway vs NAT Gateway vs EOIGW
| Đặc điểm | Internet Gateway | NAT Gateway | EOIGW |
|---|---|---|---|
| Hỗ trợ IP | IPv4 & IPv6 | IPv4 | IPv6 Only |
| Outbound internet | ✅ | ✅ | ✅ |
| Inbound internet | ✅ (nếu mở port) | ❌ | ❌ |
| Subnet dùng | Public subnet | Private IPv4 subnet | Private IPv6 subnet |
| Use-case | Web Server | App không cần inbound | App cần outbound IPv6 only |
🛠️ 4. Cách tạo và cấu hình Egress-Only Internet Gateway
✅ Bước 1: Tạo VPC hỗ trợ IPv6
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--amazon-provided-ipv6-cidr-block
✅ Bước 2: Tạo Egress-Only Internet Gateway
aws ec2 create-egress-only-internet-gateway \
--vpc-id vpc-xxxxxx
✅ Bước 3: Cập nhật Route Table cho subnet dùng IPv6
aws ec2 create-route \
--route-table-id rtb-xxxxxx \
--destination-ipv6-cidr-block ::/0 \
--egress-only-internet-gateway-id eigw-xxxxxx
🔐 5. Security Group và NACL vẫn áp dụng bình thường
- EOIGW không cho phép inbound từ internet → bạn không cần mở port inbound
- Tuy nhiên, bạn vẫn cần Security Group cho outbound nếu muốn instance đi ra ngoài.
📘 6. Câu hỏi thường gặp trong đề thi SOA-C02
❓ Câu 1: Bạn có một instance EC2 chỉ cần gửi request ra internet bằng IPv6, nhưng không muốn nhận kết nối từ bên ngoài. Bạn nên cấu hình gì?
A. Internet Gateway
B. NAT Gateway
C. Egress-Only Internet Gateway
D. Public IP
✅ Đáp án đúng: C
❓ Câu 2: Bạn cấu hình EOIGW nhưng EC2 không thể kết nối internet. Nguyên nhân có thể là gì?
A. Thiếu route IPv6 đến EOIGW
B. Không gắn Elastic IP
C. Subnet không hỗ trợ IPv6
D. Tất cả các lý do trên
✅ Đáp án đúng: D
💡 Mẹo ghi nhớ
| Thành phần | Dành cho |
|---|---|
| IGW | Public IPv4/IPv6 |
| NAT GW | Private IPv4 |
| EOIGW | Private IPv6 |
🖼️ Sơ đồ minh họa
EC2 trong private subnet IPv6 ➡️ Route ::/0 ➡️ EOIGW ➡️ Internet (chỉ outbound)
📌 Tổng kết
| Nội dung | Ghi nhớ |
|---|---|
| EOIGW | Chỉ outbound IPv6 |
| Không cho inbound | Bảo mật subnet IPv6 |
| Không dùng cho IPv4 | NAT Gateway mới dùng cho IPv4 |
| Route ::/0 | Phải có để đi ra internet |
| Không cần Elastic IP | IPv6 tự động gán từ VPC |
7 Views