PHÂN TÍCH KỸ THUẬT: BẢN CHẤT CỦA DEDICATED IP VÀ SHARED IP - ĐỪNG ĐỂ HỆ THỐNG CHẾT VÌ THIẾU KIẾN THỨ

Hôm nay rảnh rỗi ngồi fix xong mớ bug cho khách, lướt dạo vài vòng thấy nhiều anh em làm Dev với MMO vẫn còn lơ mơ về cái vụ địa chỉ IP. Nhiều ông cứ cắm đầu deploy web lên VPS mà không quan tâm cái IP mình đang xài là loại gì, đến lúc web sập, mail gửi khách hàng bay thẳng vào spam hay tài khoản ads bị khóa thì mới lên mạng than trời. Với tư cách là một thằng làm web và quản trị hệ thống cũng ngót nghét vài năm, nay tôi viết bài này để giải thích sâu hơn về mặt kỹ thuật cho anh em hiểu rõ bản chất vấn đề. Bài này hơi nặng về lý thuyết mạng (Network) và quản trị server (Sysadmin), anh em chịu khó đọc để sau này đỡ dính phốt.

BẢN CHẤT CỦA IP TRONG MÔ HÌNH OSI VÀ THỰC TẾ

Nói ngắn gọn cho dễ hiểu, khi anh em thuê Hosting hay VPS giá rẻ, mặc định đa số sẽ là Shared IP. Về mặt kỹ thuật, nó giống như cơ chế NAT (Network Address Translation) ở quy mô lớn hoặc Virtual Host trên Web Server. Một cái IP Public đó sẽ hứng traffic cho hàng trăm, hàng nghìn cái domain khác nhau. Web Server (Nginx/Apache) sẽ dựa vào cái "Host Header" trong gói tin HTTP request để biết đường trả về đúng dữ liệu của web anh em.

Ngược lại, IP Riêng (Dedicated IP) là anh em sở hữu độc quyền một Interface mạng. Không có chuyện chia sẻ băng thông hay reputation (độ uy tín) với bất kỳ ai khác. Tại sao sự khác biệt này lại quan trọng? Vì nó ảnh hưởng trực tiếp đến tầng Network và Application mà mắt thường không thấy được.

TẠI SAO DÂN KỸ THUẬT LẠI QUAN TRỌNG HÓA CÁI IP RIÊNG?

Không phải tự nhiên mà sinh ra cái khái niệm này. Tôi sẽ đi sâu vào 3 vấn đề kỹ thuật cốt lõi mà Shared IP thường xuyên gặp lỗi, cái này anh em làm hệ thống lớn phải cực kỳ lưu ý:

VẤN ĐỀ 1: CÂU CHUYỆN CỦA REVERSE DNS (rDNS) VÀ MAIL SERVER

Đây là lỗi kinh điển nhất. Khi anh em dựng một con Mail Server để gửi thông báo cho user, các bộ lọc mail của Google hay Microsoft cực kỳ soi cái gọi là PTR Record (Pointer Record).

• Nếu dùng Shared IP: Cái IP đó đang gánh cả đống domain rác. Khi server bên nhận check ngược (Reverse Lookup) từ IP ra domain, nó thấy IP này không khớp hoàn toàn với cái domain gửi mail của anh em, hoặc tệ hơn là cái IP đó đã bị một thằng khác cùng server làm bẩn (blacklist) do spam. Kết quả là điểm tín nhiệm (Trust Score) về 0, mail anh em viết tâm huyết sẽ nằm gọn trong thùng rác.
  
  
• Nếu dùng Dedicated IP: Anh em có toàn quyền yêu cầu nhà cung cấp set cái rDNS trỏ thẳng về hostname của mình. Sự đồng nhất giữa IP và Domain là chứng chỉ thép để mail vào Inbox.
  

VẤN ĐỀ 2: KIỂM SOÁT PORT VÀ TƯỜNG LỬA (FIREWALL)

Anh em nào làm game server hay chạy các micro-services sử dụng port lạ (không phải 80 hay 443) sẽ hiểu cái khổ của Shared IP.
Trên môi trường share, việc mở port (Port Forwarding) cực kỳ hạn chế vì sợ xung đột. Ví dụ anh em muốn chạy service ở port 25565 nhưng thằng bên cạnh nó chạy rồi thì anh em "tịt".
Với IP Riêng, anh em làm chủ hoàn toàn các cổng kết nối. Đặc biệt quan trọng là khi làm việc với đối tác cần Whitelist IP. Ví dụ anh em gọi API thanh toán ngân hàng, họ yêu cầu cung cấp IP Server để họ mở khóa tường lửa. Anh em không thể đưa cái Shared IP được, vì lỡ ngày mai nhà cung cấp đổi routing hoặc IP đó bị dính DDoS, ngân hàng chặn cái rụp là hệ thống anh em đứng hình toàn tập.

VẤN ĐỀ 3: HIỆU SUẤT SSL VÀ CÁC THIẾT BỊ CŨ (LEGACY DEVICES)

Nhiều anh em sẽ phản biện: "Giờ có SNI (Server Name Indication) rồi, cần gì IP riêng mới cài được SSL?". Đúng, nhưng chưa đủ.
SNI cho phép cài nhiều chứng chỉ SSL trên 1 IP, nhưng nó hoạt động ở tầng ứng dụng. Một số trình duyệt cổ lỗ sĩ, các thiết bị IoT đời cũ, hoặc các tool download dạng command line cũ kỹ không hỗ trợ SNI. Khi bọn này truy cập vào web dùng Shared IP, nó sẽ không biết lấy chứng chỉ nào và báo lỗi bảo mật ngay lập tức. Nếu khách hàng của anh em là doanh nghiệp dùng hệ thống cũ, IP Riêng là bắt buộc để quá trình SSL Handshake diễn ra mượt mà ở tầng Transport.

KẾT LUẬN: KHI NÀO CẦN VÀ KHI NÀO KHÔNG?

Nói đi cũng phải nói lại, không phải cứ đắp tiền mua IP riêng là web chạy nhanh hơn hay lên top Google ngay được. Về mặt SEO, Google giờ thông minh rồi, nó không phạt Shared IP trừ khi "hàng xóm" của anh em quá nát.

Anh em chỉ nên cân nhắc sử dụng IP Riêng trong các trường hợp kỹ thuật cụ thể này:

• Cần chạy Mail Server riêng, sống chết phải gửi được mail vào Inbox.
  
  
• Làm MMO, nuôi tài khoản cần dải IP sạch, tĩnh và không bị "trùng màu" với các tài khoản đã bị ban trước đó (cái này anh em reg acc eBay, Amazon chắc rành nhất).
  
  
• Web có lượng truy cập cực lớn, cần tách biệt luồng traffic để tránh bị vạ lây khi dải IP chung bị tấn công DDoS.
  
  
• Cần chạy các service đặc thù yêu cầu mở port riêng biệt.
  

Làm kỹ thuật là phải hiểu rõ công cụ mình dùng. Cái IP nó như số nhà, nhà chung cư cũng ở được, nhưng biệt thự riêng thì quyền kiểm soát cao hơn, đỡ bị thằng hàng xóm làm phiền. Tùy nhu cầu dự án mà anh em tính toán kiến trúc cho hợp lý, đừng để đến lúc sự cố xảy ra mới lo đi fix thì mệt mỏi lắm.

Anh em nào có thắc mắc về cấu hình rDNS hay check blacklist IP thì ném câu hỏi xuống dưới, rảnh tôi sẽ rep.