السحابة الهجينة: on-prem + cloud
1) لماذا الهجين ومتى يتم تبريره
العوامل المحركة: المتطلبات التنظيمية (الإقامة في البيانات/PII)، والاستثمارات الحالية في المرحلة التمهيدية، والوقت المؤقت للأنظمة «المسجلة الملكية»، والتحكم في التكلفة، والوصول إلى الخدمات السحابية المدارة.
المفاضلات: تعقيد الشبكات والأمن، ازدواجية الكفاءات، تزامن البيانات والتشكيلات، المخاطر التشغيلية.
الشعار: محمول حيثما كان حرجا ؛ موطنه السحابي حيث يكون مربحًا.
2) النماذج الهجينة
امتداد على prem: سحابة كامتداد لمركز البيانات (خدمات دقيقة/تحليلات جديدة، جبهات).
السحابة أولاً مع المراسي المحلية: اللب في السحابة، على البريم - أنظمة المحاسبة/بوابات الدفع/تخزين PII.
انفجار السحابة: قمم حمل مرنة في السحابة (دفعة، قمم ترويجية)، حجم الأساس - محليًا.
DR to Cloud: Hot/Warm Cloud Reserve for on-prem (إدارة RTO/RPO).
Edge + Core: عقد PoP/edge أقرب إلى المستخدم، بيانات الجذر/ML موجودة في السحابة.
3) الشبكة والاتصال
3. 1 قنوات
من موقع إلى موقع VPN (IPsec/SSL) - ابدأ بسرعة، وقت انتقال أعلى، نفث.
الخطوط المباشرة (DC/ER/IC، MPLS) - اتفاقيات SLA يمكن التنبؤ بها، أقل من التأخير، أكثر تكلفة.
الرابط المزدوج + BGP - تحمل الخطأ والتحكم في التوجيه.
3. 2 العنونة والطرق
مخطط RFC1918 واحد بدون تقاطعات ؛ خطة CIDR لسنوات قادمة.
قباب NAT على الحدود فقط ؛ الشرق والغرب بدون NAT.
القطاع/VRF لعزل البيئات (dev/stage/prod) والمستأجرين ومقدمي الخدمات.
3. 3 سياسات الوقت والنظام الوطني للإحصاء
NTP مفرد (الساعة = مصير التشفير/التوقيعات).
Split-horizon DNS: internal zones (svc. المجموعة. محلي، corp.local)، خارجي - عام.
GSLB القائم على الصحة لحركة المرور القادمة.
4) الهوية والوصول
SSO Federation: OIDC/SAML, on-prem IdP ↔ cloud IdP; توفير SCIM.
الأدوار وفقا لمبدأ الامتياز الأقل ؛ حسابات كسر الزجاج مع وزارة الخارجية.
هوية الآلة: SPIFFE/SPIRE أو شبكة PKI لـ mTLS.
المكتب الإقليمي لآسيا والمحيط الهادئ «من طرف إلى طرف»: Git/CI/CD → cluster/mesh → brokers/DB → logs.
5) المنصة: Kubernetes + GitOps
5. 1 طبقة تنفيذ واحدة
مجموعات على prem وسحابة مع نفس الإصدارات/CRD.
GitOps (Argo CD/Flux): مخططات/تراكبات فردية، التحكم في الانجراف، تيارات ترويجية.
5. 2 شبكة خدمة
Istio/Linkerd: mTLS الافتراضي، التوازن الواعي بالمحلية، الفشل بين المجموعات.
سياسات L7 (JWT، الرؤوس، حدود الأسعار، إعادة التجربة/الدائرة/المهلة) - في رمز البيان.
5. 3 مثال (طوبولوجيا وشبكة K8s)
yaml anti-affinity and distribution by zones on-prem cluster spec:
topologySpreadConstraints:
- maxSkew: 1 topologyKey: topology. kubernetes. io/zone whenUnsatisfiable: DoNotSchedule labelSelector: { matchLabels: { app: api } }
Istio DestinationRule: local cluster priority, then trafficPolicy cloud:
outlierDetection: { consecutive5xx: 5, interval: 5s, baseEjectionTime: 30s }6) البيانات والتخزين
6. 1 قواعد
على prem master، نسخة طبق الأصل من القراءة السحابية (تحليلات/أدلة).
Cloud master + on-prem cache (زمن انتقال منخفض للتكامل المحلي).
وزع SQL/NoSQL (صرصور/كاساندرا) مع النصاب المحلي.
CDC/log replication (Debezium) بين الحلقات ؛ الفراغ من المتعاملين.
6. 2 كائن/ملف/كتلة
خزائن S3-compatible (على البريم MinIO + S3/GCS السحابية) مع تكرار/إصدار ؛ WORM للتدقيق.
النسخ الاحتياطية: 3-2-1 (3 نسخ، 2 وسائط، 1 - خارج الموقع)، التحقق المنتظم من الاسترداد.
6. 3 مخبأ وقوائم انتظار
مجموعة Redis/KeyDB لكل موقع ؛ ذاكرة التخزين المؤقت العالمية - فقط من خلال الأحداث/TTL.
كافكا/بولسار: MirrorMaker 2/replicator ؛ المفتاح - الوفاة/الخصوصية للمستهلكين.
7) الأمن والامتثال (الصندوق الاستئماني الصفري)
mTLS في كل مكان (شبكة)، TLS 1. 2 + على المحيط ؛ تعطيل القنوات غير المشفرة.
الأسرار: HashiCorp Vault/ESO ؛ والرموز القصيرة الأجل ؛ الدوران التلقائي.
KMS/HSM: مفاتيح مقسمة لكل ولاية قضائية/مستأجر ؛ دورات التشفير المجدولة.
التجزئة: NetworkPolicies، micro-segmentation (NSX/Calico)، ZTNA للوصول إلى الإدارة.
جذوع الأشجار: غير قابلة للتغيير (قفل الكائن)، «تتبع - معرف» من طرف إلى طرف، قناع PII/PAN.
8) قابلية الملاحظة و SLO وإدارة الحوادث
OpenTelemetry SDK في كل مكان ؛ جامع على بريم وفي السحابة.
أخذ العينات من الذيل: 100٪ ошибок и p99، موقع الملصقات = «السحابة» على الإنترنت، «المنطقة»، «المستأجر».
ميزانيات SLO والخطأ حسب الشرائح (المسار/المستأجر/المزود/الموقع) ؛ التنبيهات عن طريق معدل الحرق.
لوحات القيادة من البداية إلى النهاية: RED/USE، خرائط التبعية، مقارنات الكناري (قبل/بعد الهجرات).
9) CI/CD والأشكال
سجل واحد للقطع الأثرية (مخبأ السحب على البريم).
التيار الترويجي: التطوير → المسرح (على البريم) → الكناري (السحابة) → الحث ؛ أو العكس - حسب الهدف.
الشيكات: اختبارات العقد (OpenAPI/gRPC/CDC)، التحليل الثابت، ربط IaC، مسح الصور، بوابات SLO.
10) DR/BCP (خطة الاستمرارية)
RTO/RPO لكل خدمة. أمثلة:- الكتالوجات/الهبوط: RTO 5-15 دقيقة، RPO ≤ 5 دقائق ؛
- المدفوعات/المحافظ: RTO ≤ 5 دقائق، RPO ≈ 0-1 دقيقة (النصاب/المتزامن داخل الموقع).
- كتاب التشغيل: تبديل GSLB/الأوزان، رفع الاستعداد في مجموعة، أعلام الميزات «الوضع خفيف الوزن».
- GameDays: فصلية - فصل الموقع/القناة، التحقق من RTO/RPO الحقيقي.
11) التكلفة و FinOps
الخروج بين البريم والسحابة هو النفقات «المخفية» الرئيسية ؛ خبأ واستمر في المشي لمسافات طويلة إلى الحد الأدنى (SWR، الحافة).
وضع العلامات: «الخدمة»، «env»، «الموقع»، «المستأجر»، «التكلفة _ المركز».
القاعدة 80/20: نقوم بنقل/إبقاء 20٪ من «النواة الحرجة» محمولة، والباقي - حيث تكون أرخص.
مقاييس تقليل الحجم، إشارات إلى السجلات «الساخنة/الباردة»، تتبع العينات المدركة للميزانية.
12) أنماط تنسيب أعباء العمل
13) أمثلة على التكوينات
13. 1 IPsec S2S (فكرة)
onprem ↔ cloud: IKEv2, AES-GCM, PFS group 14, rekey ≤ 1h, DPD 15s, SLA monitoring jitter/packet-loss13. 2 Terraform (علامة/مقتطف بطاقة)
hcl resource "kubernetes_namespace" "payments" {
metadata {
name = "payments"
labels = {
"site" = var. site # onprem cloud
"tenant" = var. tenant
"cost_center" = var. cc
}
}
}13. 3 قبو + ESO (سر من على بريم إلى مجموعة سحابية)
yaml apiVersion: external-secrets. io/v1beta1 kind: ExternalSecret spec:
refreshInterval: 1h secretStoreRef: { kind: ClusterSecretStore, name: vault-store }
target: { name: psp-hmac, creationPolicy: Owner }
data:
- secretKey: hmac remoteRef: { key: kv/data/payments, property: HMAC_SECRET }14) أنتيباترن
'1' الفوضى المتقاطعة بين اللجنة الدولية للحد من الكوارث → التلوث النووي ؛ أولاً خطة العنوان، ثم القنوات.
ذاكرة تخزين مؤقت عالمية «مشتركة» مع اتساق قوي → الكمون وانقسام الدماغ.
عمليات إعادة التدوير دون خصوصية → عمليات الشطب/الطلبات المزدوجة.
VPN «عارية» بدون mTLS/Zero Trust بالداخل - حركة جانبية عند اختراقها.
عدم وجود تمارين DR: الخطط لا تعمل في الواقع.
والتباين بين نسخ K8s/CRD/operators → استحالة وضع خرائط موحدة.
السجلات بتنسيق مجاني بدون «تتبع _ معرف» والإخفاء مستحيل.
15) تفاصيل iGaming/Finance
الإقامة في مجال البيانات: الرقم القياسي لأسعار الاستهلاك/أحداث الدفع - الدائرة الفرعية/الإقليمية ؛ إلى السحابة - مجمعات/مجهولة الهوية.
PSP/KYC: موردون متعددون ؛ التوجيه الذكي من السحابة إلى البوابات المحلية، الاحتياطي إلى النسخ الاحتياطي ؛ من خلال وسيط مع تفريغ.
«مسارات المال»: فرادى المنظمات غير الحكومية فوق المجموع ؛ مطلوب HMAC/mTLS، «Retry-After»، «Idempotency-Key».
التدقيق: تخزين WORM (Object Lock)، وسجلات المعاملات غير القابلة للتغيير، والتسجيل ثنائي الاتجاه (على prem + cloud) للأحداث الحرجة.
الولايات القضائية: تجزئة مفاتيح KMS/Vault لكل بلد/علامة تجارية ؛ كتل جغرافية على المحيط.
16) قائمة التحقق من الاستعداد
- خطة العنوان، DNS، NTP - واحد ؛ روابط S2S + روابط محمية أمامية (BGP).
- هوية واحدة (SSO/OIDC/SAML)، MFA، أقل امتياز ؛ SPIFFE/SPIRE للخدمات.
- K8s في جميع المواقع، GitOps، نفس المشغلين/CRD ؛ شبكة خدمة с mTLS и LB مدركة للمنطقة المحلية.
- البيانات: CDC، اختبارات الاتساق، سياسات RPO/RTO، 3-2-1 احتياطية ومحركات الاستعادة المنتظمة.
- الأمن: Vault/ESO، التناوب، NetworkPolicies، ZTNA ؛ جذوع الأشجار غير قابلة للتغيير.
- قابلية الملاحظة: OTEL، أخذ عينات الذيل، SLO/الميزانيات حسب الموقع/المنطقة/المستأجر ؛ لوحات القيادة الكناري.
- CI/CD: اختبارات العقد، وصلة IaC، ومسح الصور ؛ بوابات الإفراج من قبل SLO.
- دفتر DR-runbook، GameDays، قياس RTO/RPO الفعلي ؛ أزرار القطع/الدحرجة.
- FinOps: حدود الخروج، والعلامات والتقارير، وسياسة الاحتفاظ بالمقاييس/السجلات/المسارات.
- تفاصيل iGaming: الإقامة في البيانات، multi-PSP، تدقيق WORM، SLOs الفردية للمدفوعات.
17) TL ؛ د
Hybrid = منصة تنفيذ مشتركة (K8s + GitOps + mesh + OTel + Vault) على عالمين: على prem و cloud. خطط للشبكة والهوية، وجعل البيانات محمولة عبر CDC/idempotency، وتمييز الأمان عبر Zero Trust، وقياس موثوقية ميزانيات SLO/الخطأ، وتدريب DR. بالنسبة للألعاب، احتفظ بالبيانات والمدفوعات في الولاية القضائية، واستخدم التوجيه الذكي متعدد PSP، والتدقيق غير قابل للتغيير.