Cloud Networking: เชื่อมต่อ AWS Azure GCP กับ On-Premise Network
องค์กรส่วนใหญ่ในปัจจุบันใช้ hybrid cloud คือมีทั้ง on-premise data center และ cloud (AWS, Azure, GCP) ร่วมกัน ความท้าทายคือการเชื่อมต่อทั้งสองให้ทำงานร่วมกันอย่างราบรื่น ปลอดภัย และมี performance ที่ดี applications บน cloud ต้องเข้าถึง database บน on-premise ได้ users ต้องเข้าถึง resources ทั้ง on-premise และ cloud ได้ด้วย credentials เดียวกัน
Cloud Networking ครอบคลุมตั้งแต่ Virtual Private Cloud (VPC), VPN connectivity, Direct Connect/ExpressRoute, DNS integration ไปจนถึง network security ในบทความนี้จะอธิบายวิธีเชื่อมต่อ on-premise network กับ cloud providers หลัก 3 ราย และ best practices สำหรับ hybrid networking
Cloud Networking พื้นฐาน
VPC / VNet
ทุก cloud provider มี virtual network ที่เป็น isolated network space: AWS เรียก VPC (Virtual Private Cloud), Azure เรียก VNet (Virtual Network), GCP เรียก VPC Network กำหนด IP address range (CIDR block) สร้าง subnets ในแต่ละ Availability Zone กำหนด route tables และ security groups/firewall rules
สิ่งสำคัญ: IP Address Planning
IP planning ต้องทำก่อนเริ่ม cloud networking on-premise network กับ cloud VPC ต้องใช้ IP ranges ที่ไม่ซ้อนกัน ถ้า on-premise ใช้ 10.0.0.0/16 cloud VPC ควรใช้ 10.1.0.0/16 หรือ 172.16.0.0/16 ถ้า IP ซ้อนกัน จะ route ไม่ได้ ต้อง NAT ซึ่งซับซ้อนมาก วางแผน IP addressing scheme ตั้งแต่ต้น รวม on-premise + ทุก cloud + อนาคต
วิธีเชื่อมต่อ On-Premise กับ Cloud
1. Site-to-Site VPN
VPN เชื่อมต่อ on-premise router/firewall กับ cloud VPN gateway ผ่าน internet encrypted ด้วย IPSec ราคาถูก (จ่ายแค่ค่า VPN gateway ใน cloud ประมาณ $35-100/เดือน + bandwidth) ตั้งค่าเร็ว (ชั่วโมง – วัน) bandwidth ขึ้นอยู่กับ internet speed latency ขึ้นอยู่กับ internet path (ไม่ guarantee)
| Cloud | Service Name | ราคา Gateway |
|---|---|---|
| AWS | AWS Site-to-Site VPN | ~$36/เดือน + data transfer |
| Azure | Azure VPN Gateway | ~$140/เดือน (VpnGw1) |
| GCP | Cloud VPN | ~$36/เดือน + data transfer |
2. Dedicated Connection
Dedicated connection เชื่อมต่อ on-premise กับ cloud ผ่าน private circuit (ไม่ผ่าน internet) bandwidth guarantee, latency ต่ำและคงที่, security สูง แต่ราคาแพงกว่า VPN มาก และใช้เวลา provision นานกว่า (สัปดาห์ – เดือน)
| Cloud | Service Name | Bandwidth | ราคาเริ่มต้น |
|---|---|---|---|
| AWS | AWS Direct Connect | 1-100 Gbps | ~$200/เดือน (1 Gbps port) + data |
| Azure | Azure ExpressRoute | 50 Mbps – 10 Gbps | ~$55/เดือน (50 Mbps) + circuit |
| GCP | Cloud Interconnect | 10-100 Gbps (Dedicated) | ~$1,700/เดือน (10 Gbps) |
3. Hybrid (VPN + Dedicated)
หลายองค์กรใช้ ทั้งสอง Dedicated connection เป็น primary path (bandwidth สูง, latency ต่ำ) VPN เป็น backup path (failover เมื่อ dedicated circuit มีปัญหา) SD-WAN อาจใช้จัดการ traffic routing ระหว่าง paths ได้
Multi-Cloud Networking
เชื่อมต่อระหว่าง Cloud Providers
ถ้าองค์กรใช้ หลาย clouds (เช่น AWS + Azure) ต้องเชื่อมต่อระหว่าง clouds ด้วย วิธีง่ายสุด: VPN ระหว่าง VPC gateways วิธีดีกว่า: ใช้ transit solutions เช่น Megaport, Equinix Fabric ที่เชื่อมหลาย clouds ผ่าน private network วิธีใหม่: ใช้ multi-cloud networking platforms เช่น Aviatrix, Alkira
Cloud Network Security
Security Groups / NSGs
Security Groups (AWS), Network Security Groups (Azure), Firewall Rules (GCP) เป็น virtual firewall สำหรับ cloud resources กำหนด inbound/outbound rules ต่อ instance/subnet default deny all inbound, allow all outbound กำหนด rules ให้ restrictive ที่สุด (least privilege) เปิดเฉพาะ ports ที่จำเป็น
Cloud Firewall
สำหรับ advanced security ใช้ cloud-native firewall services AWS Network Firewall, Azure Firewall, GCP Cloud Firewall Plus มี stateful inspection, IDS/IPS, URL filtering เหมาะสำหรับ inspection traffic ระหว่าง VPCs หรือ traffic เข้า-ออก internet
DNS Integration
Hybrid DNS
DNS เป็นปัญหาที่พบบ่อยใน hybrid cloud on-premise resources ต้อง resolve cloud DNS names (เช่น database.cloud.internal) cloud resources ต้อง resolve on-premise DNS names (เช่น erp.company.local) วิธีแก้: ตั้ง DNS forwarding ให้ on-premise DNS server forward queries สำหรับ cloud zones ไปยัง cloud DNS resolver และ cloud DNS forward queries สำหรับ on-premise zones ไปยัง on-premise DNS server
ตารางเปรียบเทียบ Cloud Networking Services
| Feature | AWS | Azure | GCP |
|---|---|---|---|
| Virtual Network | VPC | VNet | VPC Network |
| VPN | Site-to-Site VPN | VPN Gateway | Cloud VPN |
| Dedicated Circuit | Direct Connect | ExpressRoute | Cloud Interconnect |
| Load Balancer | ALB/NLB/GLB | Azure Load Balancer | Cloud Load Balancing |
| DNS | Route 53 | Azure DNS | Cloud DNS |
| CDN | CloudFront | Azure CDN / Front Door | Cloud CDN |
| Firewall | Network Firewall | Azure Firewall | Cloud Firewall |
| Transit | Transit Gateway | Virtual WAN | Network Connectivity Center |
Best Practices สำหรับ Cloud Networking
วางแผน IP ก่อน
สร้าง IP address management (IPAM) plan ที่ครอบคลุม on-premise + ทุก cloud + อนาคต 5 ปี ใช้ /16 per cloud region ให้ room สำหรับ growth อย่าใช้ RFC1918 ranges ที่ซ้อนกัน
ใช้ Hub-and-Spoke Topology
สำหรับองค์กรที่มี หลาย VPCs ใช้ hub-and-spoke topology (AWS Transit Gateway, Azure Virtual WAN) hub VPC เป็นจุดเชื่อมต่อกลาง มี firewall, shared services spoke VPCs เชื่อมต่อกับ hub ผ่าน peering ลดจำนวน connections ที่ต้องจัดการ
ทิ้งท้าย: Cloud Networking ต้องวางแผน
Cloud Networking ซับซ้อนกว่า on-premise networking เพราะต้องจัดการ virtual networks, cross-cloud connectivity, security, DNS integration ทั้งหมดพร้อมกัน วางแผน IP addressing ก่อน เริ่มจาก VPN สำหรับ connectivity ขยับไป dedicated connection เมื่อ bandwidth ต้องการเพิ่ม ใช้ hub-and-spoke topology สำหรับ multi-VPC
อ่านเพิ่มเติมเกี่ยวกับ SD-WAN และ VPN ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
