# Public Virtual IP Address cho vMarketplace

## I. Mục đích

Virtual IP được sử dụng chủ yếu để:

**1. Đảm bảo High Availability (HA)**

* Khi server chính gặp sự cố, VIP tự động chuyển sang server dự phòng
* Dịch vụ vẫn hoạt động liên tục, người dùng không bị gián đoạn

**2. Load Balancing**

* Phân phối traffic đến nhiều server backend
* Tối ưu hiệu suất và tránh quá tải

**3. Đơn giản hóa quản lý**

* Người dùng chỉ cần truy cập một IP duy nhất
* Admin có thể thay đổi server backend mà không ảnh hưởng đến client

## II. Mục tiêu tài liệu

Tài liệu này nhằm hướng dẫn khách hàng:

· Hiểu và sử dụng tính năng Virtual IP Address(es) trên vMarketplace.

· Sử dụng pfSense như một Internet Gateway.

## III. Các bước thực hiện:

**1.Standalone Mode (Single Firewall)**

Đặc điểm Standalone Mode:

**Ưu điểm:**

* Cấu hình đơn giản, dễ triển khai
* Chi phí thấp (chỉ cần 1 firewall VM)
* Phù hợp cho môi trường dev/test hoặc ứng dụng nhỏ

**Nhược điểm:**

* Không có failover - nếu firewall VM die thì mất kết nối
* Single Point of Failure (SPOF)
* Downtime khi bảo trì hoặc restart firewall

**Luồng traffic:** Internet → VIP (157.20.200.185) → Firewall VM (NAT + Filter) → Server 1 (192.168.2.7), Server 2 (192.168.2.5)

**Bước 1: Tiến hành khởi tạo Virtual IP Address trên portal GreenNode**

Truy cập vào [vServer Portal - Create-virtual-ip-address](https://hcm-3.console.vngcloud.vn/vserver/network/virtual-ip-address), chọn Virtual IP Address type là Public Market Place sau đó điền các thông tin theo yêu cầu

<figure><img src="/files/uqfOQiMZKBonFpDUtFHW" alt=""><figcaption></figcaption></figure>

**Bước 2: Tiến hành allow address pair cho VIP với External IP Marketplace**

Sau khi tạo xong VIP dạng public marketplace khách hàng tiến hành thực hiện allow address pair bằng cách chọn Add Address Pair Interface để hiển thị pop-up và chọn External IP Marketplace của pfSense

<figure><img src="/files/z9YmekbxAxEXWa7KRvNE" alt=""><figcaption></figcaption></figure>

Kiểm tra đã allow address thành công hay chưa

\*Lưu ý: Lưu VIP lại để cấu hình VIP bên trong pfSense ở các bước sau

<figure><img src="/files/l6yOO4A3OwXxA6UAld97" alt=""><figcaption></figcaption></figure>

**Bước 3: Tiến hành khởi tạo VIP trong pfsense**

Truy cập vào pfSense vào Firewall -> Virtual IPs sau đó nhấn vào nút Add

Tại giao diện cấu hình Virtual IP tiến hành điền các thông tin theo yêu cầu

\*Tại mục Address(es) khách hàng cần điền địa chỉ của VIP đã khởi tạo trên portal GreenNode tại Bước 2

<figure><img src="/files/VezL76I35keBcMhpSnYx" alt=""><figcaption></figcaption></figure>

Kiểm tra VIP trong pfSense

<figure><img src="/files/RmD7dkUwathtvJfcRqXb" alt=""><figcaption></figcaption></figure>

**Bước 4: Tạo rule NAT cho IP/Subnet ra internet theo IP chỉ định**

1. Chuyển Mode Manual Outbound NAT

<figure><img src="/files/Y6vI6swW060eXTIRBmcU" alt=""><figcaption></figcaption></figure>

2. Tạo rule NAT

<figure><img src="/files/KB6CXbUf0StRd8yiQsuh" alt=""><figcaption></figcaption></figure>

3. Cấu hình rule NAT

Tạo rule theo yêu cầu:

Server 1 (192.168.2.7), Server 2 (192.168.2.5) đứng sau pfSense: Rule đi internet với Virtual IP Address 157.20.200.185

<figure><img src="/files/q3O2WGdKrm2eTzBuXfsO" alt=""><figcaption></figcaption></figure>

4. **Tạo Route table**

Chọn VPC ID là VPC đang chứa firewall pfSense và servers nội bộ

Thêm route rule với Destination: 0.0.0.0/0 (internet), Targer: 192.168.2.4 (IP internal interface của pfSense)

<figure><img src="/files/FzYvCQUakHDyp30s8N9M" alt=""><figcaption></figcaption></figure>

**Bước 5: Kiểm tra**

Truy cập vào 2 server (192.168.2.7, 192.168.2.5) và sử dụng curl ifconfig.me để kiểm tra kết quả

<figure><img src="/files/jHLec87TkF5sPCdSSpez" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/ITxbmzDic3yd3GQxUHVy" alt=""><figcaption></figcaption></figure>

Lúc này server (192.168.2.7, 192.168.2.5) đã ra được internet với Virtual IP Address, traffic cũng đi qua pfSense, ngoài ra có thể vào webGUI của pfSense bằng Virtual IP address này.

<figure><img src="/files/vD4EToIXffm8fzIw39wl" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/DlPrOLVqJLKNnWOkiTcn" alt=""><figcaption></figcaption></figure>

**2.High Availability (HA) Mode (2+ Firewall VM)**

**a. Đặc điểm:**

* VIP được chia sẻ giữa **2 hoặc nhiều firewall**
* Có cơ chế failover tự động

**b. Khi nào dùng:**

* Production environment
* Dịch vụ mission-critical (không được phép downtime)
* Yêu cầu SLA cao (99.9% uptime trở lên)

**Ưu điểm:**

* Firewall chính die → VIP tự động chuyển sang Firewall backup
* Zero downtime hoặc downtime tối thiểu (vài giây)

**Cấu hình phổ biến:**

* **Active-Passive**: 1 server chính xử lý, 1 server dự phòng chờ sẵn
* **Active-Active**: Cả 2 servers cùng xử lý (kết hợp load balancing)

Hiện tại Virtual IP Address cho vMarketplace đang hỗ trợ cấu hình **Active-Passive**

**Luồng traffic:** Internet → VIP (157.20.200.185) → Firewall VM 1 (NAT + Filter), Firewall VM 2 (NAT + Filter) → Server 1 (192.168.2.7), Server 2 (192.168.2.5)

**Các bước thực hiện:**

**Bước 1: Chuẩn bị Virtual IP Address và 2 Firewall pfSense, thực hiện pair và add Virtual IP Address, thêm rule để server nội bộ ra internet như Bước 1, Bước 2, Bước 3, Bước 4 ở hướng dẫn mode standalone**

Lưu ý: Virtual IP Address phải Add Address pair với cả 2 external interface của 2 firewall pfSense

<figure><img src="/files/r1TVAuDAOMQH9FMO5sEI" alt=""><figcaption></figcaption></figure>

**Bước 2: Trên portal vServer, vào Firewall VM detail và Add thêm 1 internal interface vào cả 2 firewall pfSense để làm interface HA**

<figure><img src="/files/KXEFfiQLwGRGb8FP24uW" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/liiWjXfHeF7JlxTg5CW2" alt=""><figcaption></figcaption></figure>

**Bước 3: Config chân interface HA cho 2 firewall pfsense**

Vào webGUI pfsense, assignment interface vừa add từ vServer portal, và config như sau

IPv4 Address là IP của interface HA, lấy từ portal vServer

<figure><img src="/files/aP9GRjtDTD7bIHF5Fe5y" alt=""><figcaption></figcaption></figure>

Thực hiện tương tự với firewall pfsense còn lại.

**Bước 4: Thêm rule cho interface HA để allow synchronize configuration giữa 2 firewall pfSense**

Trên webGUI pfSense, vào Firewall -> Rules -> SYNC (hoặc tên interface HA) -> Add

<figure><img src="/files/60tBwRRs3sP3vXDxTnLd" alt=""><figcaption></figcaption></figure>

Tiến hành config rule như sau

<figure><img src="/files/8ONWyKzsKjbNv4AVn4mt" alt=""><figcaption></figcaption></figure>

Thực hiện tương tự với backup firewall còn lại.

**Bước 5: Config HA (chỉ trên Master firewall)**

Trên webGUI pfSense, vào System -> High Availability

Config như hình bên dưới:

Lưu ý:

* pfsync Synchronize Peer IP, Synchronize Config to IP: nhập địa chỉ IP interface HA của backup pfSense.
* Remote System Username, Remote System Password: nhập username/password của backup pfSense (bắt buộc là account admin)
* Select options to sync: chọn các option mà khách hàng muốn synchronize qua backup pfSense

<figure><img src="/files/0UnoQvQduEdYLLaOyItQ" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/qkvTHTNrG30y1QpKOTsy" alt=""><figcaption></figcaption></figure>

**Bước 6: Kiểm tra**

Trên webGUI pfSense, vào Status -> CARP (failover)

* Trên Master firewall pfSense

<figure><img src="/files/IYXR9e24SmosHmSgQNsC" alt=""><figcaption></figcaption></figure>

* Trên Backup firewall pfSense

<figure><img src="/files/25XHZoJA9Py7YRj0MJxb" alt=""><figcaption></figcaption></figure>

Việc cấu hình CARP Virtual IP trong pfSense HA nhằm mục đích tạo ra một địa chỉ IP ảo có thể được chia sẻ giữa các thiết bị trong cụm HA.\
Khi một thiết bị hoặc tường lửa chính (Master) gặp sự cố, CARP cho phép địa chỉ IP ảo tự động chuyển từ thiết bị gặp sự cố sang thiết bị dự phòng (Backup).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.vngcloud.vn/vng-cloud-document/vn/vserver/compute-hcm03-1a/network/virtual-ip/public-virtual-ip-address-cho-vmarketplace.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.