Website được thiết kế tối ưu cho thành viên chính thức. Hãy Đăng nhập hoặc Đăng ký để truy cập đầy đủ nội dung và chức năng. Nội dung bạn cần không thấy trên website, có thể do bạn chưa đăng nhập. Nếu là thành viên của website, bạn cũng có thể yêu cầu trong nhóm Zalo "CNTT" các nội dung bạn quan tâm.

Bài 2. Phân tích kiến trúc hệ thống thực tế

ICT

1. Mục tiêu của kiến trúc hệ thống

Trước khi đi vào chi tiết kỹ thuật, cần xác định rõ các mục tiêu cốt lõi mà kiến trúc hệ thống phải đáp ứng. Với hệ thống được mô tả trong tài liệu này, các mục tiêu chính bao gồm:

  • Vận hành ổn định hàng trăm website và web application trên cùng một hạ tầng.

  • Tách biệt hoàn toàn Internethệ thống backend nội bộ.

  • Đảm bảo hiệu năng cao trong mạng LAN, không để traffic nội bộ vòng qua Internet.

  • Cho phép chuyển đổi backend nhanh khi máy chủ chính gặp sự cố.

  • Đơn giản hóa vận hành, tránh các giải pháp HA phức tạp, khó kiểm soát.

Từ các mục tiêu trên, kiến trúc được lựa chọn phải ưu tiên tính rõ ràng, khả năng kiểm soát và độ tin cậy dài hạn.

2. Tổng quan kiến trúc ba lớp

Hệ thống được thiết kế theo mô hình ba lớp rõ ràng:

  1. Lớp truy cập Internet (Edge)

  2. Lớp Reverse Proxy (Gateway)

  3. Lớp Backend nội bộ (Application & Data)

Mỗi lớp có vai trò riêng biệt, không chồng chéo trách nhiệm.

2.1. Lớp truy cập Internet (Modem/Router)

Lớp này đảm nhiệm:

  • Kết nối Internet từ nhà mạng.

  • NAT port 80 và 443 về Reverse Proxy.

Đặc điểm:

  • Không xử lý logic ứng dụng.

  • Không trực tiếp phục vụ website.

  • Cấu hình tối giản để giảm rủi ro.

3. Lớp Reverse Proxy – Trung tâm điều phối

Reverse Proxy là trái tim của toàn bộ hệ thống web.

3.1. Vai trò và trách nhiệm

Reverse Proxy đảm nhiệm các chức năng:

  • Tiếp nhận toàn bộ kết nối HTTP/HTTPS từ Internet.

  • Kết thúc HTTPS (SSL termination).

  • Phân phối request về đúng backend dựa trên domain, subdomain.

  • Ghi log truy cập tập trung.

  • Là điểm duy nhất được expose ra Internet.

Với IP:

  • 192.168.1.88

Reverse Proxy trở thành:

  • Điểm kiểm soát truy cập,

  • Lớp bảo vệ backend,

  • Và nơi triển khai các chính sách chung (HTTPS, header, timeout).

3.2. Phần cứng Reverse Proxy và ý nghĩa thiết kế

Reverse Proxy sử dụng phần cứng:

  • CPU: Intel Core i3-1215U

  • RAM: 8 GB

  • SSD: 128 GB NVMe

  • Network: 6 cổng LAN 2.5 Gbps

Thiết kế này phản ánh tư duy:

  • Reverse Proxy không cần CPU mạnh như backend.

  • Quan trọng nhất là:

    • Network throughput,

    • Độ ổn định,

    • Độ trễ thấp.

Việc sử dụng nhiều cổng LAN 2.5G cho phép:

  • Kết nối trực tiếp nhiều backend.

  • Giảm phụ thuộc vào switch trung gian.

  • Tối ưu băng thông nội bộ.

4. Lớp Backend nội bộ – QMS và AI

4.1. QMS Server – Máy chủ chính

QMS Server là nơi:

  • Chạy phần lớn website và web application.

  • Phục vụ người dùng cuối và người dùng nội bộ.

Đặc điểm:

  • IP private: 10.10.10.66

  • Không NAT port trực tiếp ra Internet.

  • Chỉ nhận request từ Reverse Proxy.

Việc đặt QMS trong mạng riêng giúp:

  • Giảm bề mặt tấn công,

  • Dễ kiểm soát truy cập,

  • Tăng độ an toàn cho dữ liệu.

4.2. AI Server – Máy chủ dự phòng và xử lý đặc thù

AI Server có IP:

  • 10.10.10.88

Vai trò:

  • Dự phòng cho QMS khi xảy ra sự cố.

  • Chạy mô hình AI khi cần, không thường xuyên.

Điểm quan trọng:

  • AI Server không luôn hoạt động như backend chính.

  • Nhưng luôn sẵn sàng tiếp quản khi QMS gặp lỗi.

Kiến trúc cho phép:

  • Chuyển backend bằng thay đổi cấu hình Reverse Proxy.

  • Không cần thay đổi DNS, không cần can thiệp client.

5. Luồng truy cập chi tiết

Luồng truy cập tiêu chuẩn như sau:

  1. Client gửi request HTTPS đến domain.

  2. DNS trỏ domain về IP Internet của modem/router.

  3. Modem/router NAT port 443 về 192.168.1.88.

  4. Reverse Proxy:

    • Nhận request,

    • Giải mã SSL,

    • Xác định backend dựa trên domain.

  5. Request được chuyển qua LAN nội bộ 2.5G đến:

    • 10.10.10.66 (QMS), hoặc

    • 10.10.10.88 (AI khi dự phòng).

  6. Backend xử lý và trả response về Reverse Proxy.

  7. Reverse Proxy trả response cho client.

Client không nhận biết sự tồn tại của các backend phía sau.

6. Khả năng mở rộng kiến trúc

Kiến trúc này cho phép mở rộng theo nhiều hướng:

  • Thêm backend mới

    • Chỉ cần cắm LAN vào Reverse Proxy,

    • Gán IP private,

    • Thêm cấu hình proxy.

  • Thêm website hoặc web app

    • Không ảnh hưởng hệ thống hiện tại.

    • Không cần thay đổi cấu trúc mạng.

  • Kết nối backend bên ngoài Internet

    • Reverse Proxy có thể proxy đến IP public hoặc VPN.

Tất cả đều được kiểm soát tại một điểm duy nhất.

7. Đánh giá kiến trúc: vì sao phù hợp với môi trường vận hành thực tế

Kiến trúc này phù hợp vì:

  • Không phức tạp hóa bằng HA tự động khi chưa cần.

  • Dễ hiểu, dễ vận hành, dễ đào tạo.

  • Phù hợp môi trường bệnh viện và đơn vị nhà nước.

  • Khai thác tốt phần cứng backend mạnh, proxy gọn nhẹ.

Đây là kiến trúc thực dụng, ưu tiên:

  • Ổn định hơn tối ưu cực đoan,

  • Kiểm soát hơn tự động hóa phức tạp.

Tóm lại

Kiến trúc hệ thống được phân tích trong bài này là nền tảng cho toàn bộ các phần triển khai kỹ thuật phía sau. Việc hiểu rõ:

  • Vai trò của từng lớp,

  • Luồng truy cập,

  • Và lý do thiết kế,

sẽ giúp việc cài đặt, cấu hình và vận hành Reverse Proxy trong các bài tiếp theo trở nên mạch lạc, nhất quán và an toàn.

Xây dựng website bệnh viện



Bài nổi bật



#1 Xây dựng hệ thống backup web và web app bệnh viện
ICT
#2 Xây dựng website bệnh viện
ICT
#3 Cài đặt Web Server
ICT
#4 Cài đặt Web Server dự phòng
ICT
#5 Ipad mini 7 lỗi khi nâng cấp lên iPadOS 26
ICT
#6 8. Thiết lập SSH an toàn (port, key, user, sudo)
ICT