Website được thiết kế tối ưu cho thành viên chính thức. Hãy Đăng nhập hoặc Đăng ký để truy cập đầy đủ nội dung và chức năng. Nội dung bạn cần không thấy trên website, có thể do bạn chưa đăng nhập. Nếu là thành viên của website, bạn cũng có thể yêu cầu trong nhóm Zalo "CNTT" các nội dung bạn quan tâm.

Bài 3. Thiết kế IP, mạng nội bộ và nguyên tắc routing

ICT

1. Vai trò của thiết kế mạng trong hệ thống Reverse Proxy

Trong các hệ thống nhiều website và web application, thiết kế mạng không chỉ là vấn đề “kết nối được hay không”, mà trực tiếp ảnh hưởng đến:

  • Hiệu năng truy cập,

  • Độ ổn định dài hạn,

  • Khả năng cô lập sự cố,

  • Và mức độ an toàn của toàn bộ hệ thống.

Một thiết kế Reverse Proxy đúng không thể tách rời khỏi:

  • Quy hoạch IP rõ ràng,

  • Mạng nội bộ tách biệt,

  • Nguyên tắc routing đơn giản, dễ kiểm soát.

Nguyên tắc xuyên suốt của hệ thống trong tài liệu này là:

Internet chỉ nhìn thấy Reverse Proxy, backend chỉ nói chuyện với Reverse Proxy.

2. Quy hoạch IP tổng thể

2.1. Phân tách hai vùng mạng chính

Hệ thống sử dụng hai vùng mạng tách biệt về mặt logic:

  1. Mạng LAN phía Internet (Front-end network)

    • Dải IP: 192.168.1.0/24

    • Chức năng:

      • Kết nối modem/router

      • Nhận NAT từ Internet

  2. Mạng LAN nội bộ backend (Back-end network)

    • Dải IP: 10.10.10.0/24

    • Chức năng:

      • Kết nối Reverse Proxy với các máy chủ backend

      • Không expose ra Internet

Việc tách hai dải mạng giúp:

  • Giảm nguy cơ truy cập trái phép từ Internet,

  • Dễ áp dụng chính sách firewall và routing,

  • Tránh nhầm lẫn giữa traffic công cộng và traffic nội bộ.

2.2. Gán IP cụ thể cho từng thành phần

Reverse Proxy

  • IP front-end: 192.168.1.88

  • IP back-end: 10.10.10.1 (đề xuất dùng làm gateway nội bộ)

QMS Server

  • IP: 10.10.10.66

AI Server

  • IP: 10.10.10.88

Nguyên tắc gán IP:

  • IP backend là tĩnh, không dùng DHCP.

  • Dễ nhớ, dễ nhận diện vai trò.

  • Tránh trùng lặp khi mở rộng hệ thống.

3. Reverse Proxy như một router nội bộ

Trong kiến trúc này, Reverse Proxy không chỉ là web proxy mà còn đóng vai trò:

  • Router giữa hai vùng mạng,

  • Điểm kiểm soát luồng traffic vào/ra backend.

3.1. Chức năng routing cơ bản

Reverse Proxy đảm nhiệm:

  • Nhận traffic từ 192.168.1.0/24,

  • Route traffic đến 10.10.10.0/24,

  • Trả response ngược lại.

Backend không cần:

  • Route trực tiếp ra modem/router,

  • NAT port,

  • Expose IP public.

3.2. Default gateway của backend

Các máy chủ backend (QMS, AI) được cấu hình:

  • Default gateway: 10.10.10.1 (Reverse Proxy)

  • DNS: có thể dùng DNS nội bộ hoặc DNS công cộng (8.8.8.8, 1.1.1.1).

Điều này đảm bảo:

  • Backend có thể truy cập Internet khi cần (update, pull image, API ngoài).

  • Mọi traffic ra ngoài đều đi qua Reverse Proxy.

4. Nguyên tắc routing cốt lõi

4.1. Không để traffic nội bộ đi vòng qua Internet

Một lỗi thiết kế phổ biến là:

  • Website A gọi API website B,

  • Nhưng request đi ra Internet rồi quay lại proxy.

Trong thiết kế đúng:

  • Các website và web app nội bộ gọi nhau bằng IP private hoặc hostname nội bộ.

  • Traffic nội bộ chạy hoàn toàn trong LAN 2.5G.

Điều này giúp:

  • Giảm độ trễ,

  • Tăng độ ổn định,

  • Không phụ thuộc Internet.

4.2. Một chiều truy cập rõ ràng

Luồng truy cập được kiểm soát theo nguyên tắc:

  • Internet → Reverse Proxy → Backend (cho phép)

  • Backend → Reverse Proxy → Internet (cho phép có kiểm soát)

  • Internet → Backend (cấm)

Việc này:

  • Đơn giản hóa firewall,

  • Hạn chế tấn công trực tiếp backend,

  • Dễ audit và vận hành.

5. Thiết kế mạng vật lý và kết nối LAN

5.1. Kết nối trực tiếp backend vào Reverse Proxy

Thay vì:

  • Backend → Switch → Proxy,

Hệ thống sử dụng:

  • Backend → cổng LAN 2.5G trên Reverse Proxy.

Lợi ích:

  • Giảm độ trễ,

  • Giảm điểm lỗi trung gian,

  • Khai thác tối đa băng thông 2.5G.

5.2. Khi nào cần switch?

Switch chỉ cần thiết khi:

  • Số backend vượt quá số cổng LAN trên proxy.

  • Cần mở rộng mạng backend cho nhiều máy chủ.

Trong giai đoạn hiện tại:

  • Kết nối trực tiếp là phương án tối ưu.

6. Chuẩn bị cho failover QMS ↔ AI

Thiết kế IP và routing ngay từ đầu giúp việc failover trở nên đơn giản:

  • QMS và AI nằm cùng subnet 10.10.10.0/24.

  • Reverse Proxy biết rõ cả hai backend.

  • Khi QMS lỗi:

    • Chỉ cần chuyển upstream từ 10.10.10.66 sang 10.10.10.88.

Không cần:

  • Thay đổi DNS,

  • Thay đổi IP public,

  • Thay đổi cấu trúc mạng.

7. Các sai lầm thường gặp cần tránh

  1. Backend có IP public “cho tiện”

  2. NAT port trực tiếp vào backend

  3. Dùng chung một dải IP cho mọi thứ

  4. Routing phức tạp, nhiều gateway

  5. Không ghi chép sơ đồ mạng

Những sai lầm này khiến hệ thống:

  • Khó mở rộng,

  • Khó xử lý sự cố,

  • Và tiềm ẩn rủi ro bảo mật lớn.

8. Kết luận

Thiết kế IP và mạng nội bộ đúng ngay từ đầu giúp:

  • Reverse Proxy phát huy đúng vai trò trung tâm,

  • Backend an toàn và hiệu năng cao,

  • Hệ thống dễ vận hành và dự phòng.

Phần này là nền móng cho các bài triển khai kỹ thuật tiếp theo, nơi từng cấu hình cụ thể sẽ dựa trực tiếp trên các nguyên tắc đã được xác lập.

Xây dựng website bệnh viện



Bài nổi bật



#1 Xây dựng hệ thống backup web và web app bệnh viện
ICT
#2 Xây dựng website bệnh viện
ICT
#3 Cài đặt Web Server
ICT
#4 Cài đặt Web Server dự phòng
ICT
#5 Ipad mini 7 lỗi khi nâng cấp lên iPadOS 26
ICT
#6 8. Thiết lập SSH an toàn (port, key, user, sudo)
ICT