نقاط النهاية الخاصة والشبكات الداخلية

1) لماذا شبكة خاصة

• وعزل PAAS/DB/المخزونات عن الملكية الفكرية العامة ؛
• تسهيل الامتثال (PCI DSS/GDPR)
• تأخيرات ومسارات يمكن التنبؤ بها.

2) النموذج الأساسي: VPC/VNet والمحاور

مساحة العنوان: خطة CIDR واحدة، بدون تقاطعات (على سبيل المثال، '10. 0. 0. 0/12 'مقطوعة إلى بيئات ومراكز).
التجزئة: «دخول» الشبكات الفرعية، «تطبيق»، «بيانات»، «عمليات»، «مشاركة» مع مسارات فردية/ACL/SG.
مركز العبور: VPC/VNet المركزي مع بوابات (VPN/DirectConnect/ExpressRoute/Interconnect)، النظر بين VPC/بوابة العبور وجدران حماية الشبكة.
ثنائي المكدس: جدولة IPv6 مقدمًا (يحفظ NAT ويحسن مقياس العنوان).

3) نقاط النهاية الخاصة: المبادئ

• تنتقل حركة المرور داخل شبكة المزودين (وليس عبر الإنترنت).
• حدود سياسة نقطة النهاية حيث يمكنك الذهاب (البادئات/ARN/الموارد).
• وقد أعيد تعريف النظام إلى الملكية الفكرية الخاصة (انظر الفقرة 6).

الأهداف النموذجية: مخازن الكائنات (S3/GCS/Blob)، السرية/KMS، قوائم الانتظار، حافلات الأحداث، قواعد البيانات المدارة، الخدمات التحليلية، سجلات القطع الأثرية.

4) الدخول والموازنة في الداخل

موازن الحمل الداخلي (ILB) على سبيل L4/7، نرى فقط من الشبكات الفرعية الخاصة.

• «خدمة» من نوع «LoadBalancer» مع شروح داخلية.
• تسجيل الدخول عبر Internal Ingress (Nginx/Contour/Gateway API) في عنوان خاص.
• بوابة API (خاصة): التكامل الخاص مع الخلف ؛ في الخارج - فقط من خلال الحافة، إذا لزم الأمر.

مثال: K8s الدخول كداخلي

yaml apiVersion: networking. k8s. io/v1 kind: Ingress metadata:
name: api-internal annotations:
kubernetes. io/ingress. class: "nginx"
alb. ingress. kubernetes. io/scheme: internal # or provider equivalent spec:
rules:
- host: api. internal. corp http:
paths:
- path: /v1/
pathType: Prefix backend:
service:
name: api port: { number: 8080 }

5) محتوى الخروج: «الافتراضي - الرفض»

• بوابة NAT (للتحديثات/المستودعات) + allowist للخروج عبر FQDN/IP ؛
• فحص/وكيل TLS إذا كانت السياسات تتطلب السيطرة ؛
• نقاط النهاية الخاصة لـ PaaS/السجلات بدلاً من NAT.
• SG/NACL: أذونات صريحة لكل خدمة، «الشرق والغرب» - الحد الأدنى.
• سياسات الخروج K8s (CNI/OPA Gatekeeper/Calico NetworkPolicy) - حظر IP الخارجي، أذونات المجموعة/نقطة النهاية.

6) DNS: تقسيم الأفق и المناطق الخاصة

مناطق داخلية منفصلة ('.internal. والعامة.
مناطق DNS الخاصة لخدمات مقدمي الخدمات: تجاوز الأسماء العامة (على سبيل المثال، «دلو». S3. المنطقة. الأمازون. com') إلى سجلات A/AAAA الخاصة.
المفوضون/DNS المشروطة между على prem ↔ السحابة.
صيغة الاسم: تغليف البيئة/المنطقة ('api. eu1. داخلي. corp ')، تجنب PII.

api. internal. corp. A  10. 20. 30. 40 s3. bucket. corp. A  10. 100. 0. 25 # via private endpoint

7) أنماط الربط

النظر (VPC↔VPC/VNet↔VNet): بسيط وسريع ؛ لا يتم دعم العبور دائمًا → استخدام بوابة العبور/الشبكة الواسعة الافتراضية/الموجه السحابي للمحور والمتحدث.
سحابة ⇄ على البريم: IPsec VPN للبدء، ثم الخط المؤجر (DC/ER/IC) مع BGP والنسخ الاحتياطي (مزودان، نقاط دخول مختلفة).
VRF/Route-domain segmentation: islation of prod/stage/dev and card perimert.

8) صفر الثقة والمصادقة الداخلية

mTLS-الافتراضي (شبكة الخدمة: Istio/Linkerd/Consul)، الهوية الآلية: SPIFFE/SPIRE.
L7 policies: information by JWT/claims/scopes, reduction of routes/methods at the proxy level.
الأسرار: مشغل HashiCorp Vault/КMS + الأسرار الخارجية ؛ (STS).
Bastion/Priveleged Access: access to the privatka only with a broker/JIT session (MFA, command recording).

مثال: تصفية المبعوث mTLS + JWT-authz (جزء)

yaml transport_socket:
name: tls typed_config: {... spiffe://svc. api... }
http_filters:
- name: envoy. filters. http. jwt_authn typed_config:
providers:
oidc: { issuer: https://idp. corp, audiences: ["api"], remote_jwks: {...} }
rules: [{ match: { prefix: "/v1" }, requires: { provider_name: oidc } }]

9) البيانات و PaaS داخل القطاع الخاص

قواعد البيانات/المجموعات: العناوين الخاصة فقط ؛ لوحة إدارية عبر معقل/JIT.
المستودعات: الوصول من VPC عبر نقطة النهاية الخاصة ؛ سياسة نقطة النهاية لا تسمح إلا بالدلاء/الحاويات المطلوبة.
طوابير الانتظار/الحافلات: واجهات خاصة ؛ المنتجين/المستهلكين - في نفس VPC/peing.
سجلات القطع الأثرية: الوصول الخاص من عدائي CI/CD على الشبكات الفرعية الخاصة.

10) إمكانية الرصد في الشبكات الخاصة

OpenTelemetry Collector - كبوابة للقياس عن بُعد: المصدرون الداخليون إلى المستضافة الذاتية (Prometheus/Tempo/Loki/ClickHouse) أو إلى النقاط الخلفية المدارة عبر نقاط النهاية الخاصة.
هناك حاجة إلى سجلات التدفق/سجلات NSG/NACL ومحلل إمكانية الوصول.
شرائح SLO: "موقع/منطقة/vpc/subnet'، تنبيهات للخروج و" اتجاه إنترنت "غير متوقع.

11) الاختبار والتحقق

السياسة كمدونة (OPA/Gatekeeper) لقواعد الشبكة/الدخول/الخدمة.
طرق الكناري: مجالات اختبار في DNS الخاصة، عمليات فحص اصطناعية من شبكات فرعية مختلفة/AZ/مناطق.
شبكة الفوضى: حالات التأخير/الخسارة في عمليات التحقق من المهلة وسياسات إعادة المحاولة فيما بين مركبات الكربون الهيدروكلورية فلورية/فيما بين مناطق أمريكا اللاتينية (Netem/Toxiproxy).

12) أمثلة التكوين

12. 1 Terraform: الملصقات والطرق (فكرة)

hcl resource "aws_route_table" "app" {
vpc_id = aws_vpc. core. id tags = { Name = "rt-app", env = var. env, zone = "private" }
}
Route on PrivateLink endpoint (interface endpoint is created separately)
resource "aws_vpc_endpoint_route_table_association" "s3" {
route_table_id = aws_route_table. app. id vpc_endpoint_id = aws_vpc_endpoint. s3. id
}

12. 2 K8s NetworkPolicy: أنكر كل شيء باستثناء ما تحتاجه

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: allow-core }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ port: 5432, protocol: TCP }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 }  # private endpoints ports: [{ port: 443, protocol: TCP }]

12. 3 دخول Nginx (مخطط داخلي) + HSTS

yaml metadata:
annotations:
alb. ingress. kubernetes. io/scheme: internal nginx. ingress. kubernetes. io/hsts: "true"

13) أنتيباترن

«الإدارة - الإنترنت» المشتركة بين الشبكات الفرعية الخاصة ؛ عدم وجود سيطرة على الخروج.
نظام DNS منقسم الدماغ ودليل عشوائي «/إلخ/مضيفون ».
يتقاطع CIDRs و «دمى تعشيش NAT».
نقاط النهاية العامة لقواعد البيانات/التخزين «من أجل الراحة».
لا توجد سجلات تدفق/مراجعة قواعد ؛ «افتح» SG '0. 0. 0. 0/0`.
مفاتيح وصول ثابتة طويلة العمر في الرمز/CI.

14) التكلفة والأداء

غالبًا ما تكون نقاط النهاية الخاصة أرخص من خروج NAT الدائم وأكثر أمانًا.
جدولة مجموعات NAT/az-local لعرض النطاق الترددي لتجنب خلق عنق الزجاجة.
تقلل المخبأ/الحافة و SWR من حركة المرور عبر المناطق.
اختيار البروتوكولات: HTTP/2/gRPC داخل →، هناك عدد أقل من الاتصالات و TLS.

15) تفاصيل iGaming/Finance

PCI DSS: دائرة بطاقات (CDE) في شبكة منفصلة/VRF، بدون إنترنت ؛ الوصول إلى سجلات المتجر/PSP فقط عن طريق نقاط النهاية الخاصة ؛ عمليات التدقيق الثابتة (WORM/Object Lock).
KMS/Vault: مفاتيح مقسمة لكل منطقة/علامة تجارية ؛ عمليات التوقيع (HSM) متاحة فقط من CDE عبر mTLS.
PSP/KYC: إذا كان هناك اتصال/أسواق خاصة - الاستخدام ؛ خلاف ذلك، اخرج من خلال وكيل موثوق به مع HMAC/mTLS وصريح allowist.
تعدد الإيجارات: العلامات والسياسات حسب «المستأجر »/« العلامة التجارية» ؛ منفصلة أسماء DNS الخاصة وطبقات SG.

16) قائمة التحقق من الاستعداد

• خطة اللجنة دون تقاطعات ؛ ثنائي المكدس جاهز (IPv6).
• Hub-and-Speak, Transit, peering; على السحابة ⇄ - BGP، أزواج ارتباط احتياطية.
• جميع PaaS/storages/DB - عبر نقاط النهاية الخاصة + سياسات نقطة النهاية.
• داخلي LB/Ingress ؛ المحيط العام - على الحافة/WAF فقط.
• تم تكوين DNS الأفق المنقسم والمناطق الخاصة والشحن المشروط.
• الخروج هو «الإنكار» افتراضيًا ؛ يتم تقييد NAT/الوكلاء وتسجيلهم.
• شبكة mTLS + SPIFFE ؛ JWT-authz on L7; قبو/ESO، أسرار قصيرة.
• NetworkPolicy/SG/NACL - «الحد الأدنى الضروري»، سجلات التدفق وتحليل إمكانية الوصول.
• جامع OTEL بالداخل ؛ تنبيهات للخروج، SLO حسب «الموقع/المنطقة/vpc».
• PCI/التدقيق: سجلات WORM، KMS/HSM، عزل CDE، دفتر الدخول.

17) TL ؛ د

إنشاء شبكة محورية مع خطة CIDR واضحة، واستخدام نقاط النهاية الخاصة لكل PaaS/التخزين/قاعدة البيانات، وحركة المرور إلى الخارج فقط من خلال نقاط الخروج المدارة. الداخل - LB/Ingress الداخلي، mTLS + SPIFFE، spilizon horizon DNS، NetworkPolicy/SG الصارم والقياس عن بعد عبر OTel. بالنسبة إلى iGaming/Finance، أضف تجزئة PCI و KMS/Vault والتدقيق غير القابل للتغيير ؛ إنتاج PSP/KYC من خلال قنوات خاصة أو وكيل محكوم بإحكام.