VPC النظير والتوجيه

1) لماذا النظر ومتى يكون مناسبًا

• وفصل البيئات والمجالات (prod/stage/dev) مع الربط الخاص المشترك ؛
• وإخراج منصات مشتركة (قطع الأشجار، KMS/Vault، القطع الأثرية) في شبكة مشتركة ؛
• الوصول من التطبيقات إلى PaaS المدارة عبر مسارات خاصة (عبر المحاور/نقاط النهاية).

عندما يكون من الأفضل عدم النظر، ولكن المحور: أكثر من 10-20 شبكة، فإن الحاجة إلى توجيه العبور، والخروج المركزي، والاتصالات بين السحابة → تستخدم بوابة العبور/WAN الافتراضية/Cloud Router.

2) النماذج والقيود

2. 1 أنواع النظير

التحديق داخل المنطقة - داخل المنطقة، الحد الأدنى من التأخير والتكلفة.
التحديق بين المناطق - بين المناطق، عادة ما يتم دفع رواتب حركة المرور الأقاليمية.
الحساب المشترك بين المشاريع - النظر بين مختلف الحسابات/المشاريع (مع التفويض).

2. 2 عبور و NAT

Classic VPC/VNet Peering ليست عابرة: شبكة A↔B B↔C لا تعني A↔C.
NAT عبر شبكة وسيطة للعبور - نمط مضاد (يكسر مصدر IP، مراجعة معقدة).
لحافلة النقل - المحور: AWS Transit Gateway (TGW)، Azure Virtual WAN/Hub، GCP Cloud Router/HA VPN/Peering Router.

2. 3 تداخل CIDR

• العنوان Replan (أفضل خيار) ؛
• مجالات NAT/Proxy VPC مع مخططات أحادية الجانب (مع مراعاة مراجعة الحسابات وقطع الأشجار) ؛
• للحصول على PaaS - PrivateLink/PSC بدون وصول L3.

3) العنونة وتصميم المسار

3. 1 تخطيط CIDR

شبكة خارقة واحدة (على سبيل المثال، '10. 0. 0. 0/8 ') → تقسم على' المنطقة/البيئة/vpc '.
نطاقات الاحتياطي لمؤشرات VPC/احتياطيات النمو في المستقبل.
IPv6 - خطط مسبقًا: «/56 »على VPC، «/64» على الشبكة الفرعية.

3. 2 التوجيه

جداول الطرق: طرق واضحة على نظير/مركز على كل VPC/شبكة فرعية.
الأولويات: تفوز البادئة الأكثر تحديدًا ؛ تجنب كل شيء من خلال التحديق.
حماية الثقب الأسود: علامة وطرق نظيفة مكررة/عفا عليها الزمن.

3. 3 المجالات والأدوار

Speak (applications) ↔ Hub (الخدمات المشتركة، الخروج، التفتيش).
الأعياد spoke↔hub فقط ؛ spoke↔spoke - من خلال المحور (التجزئة والتحكم).

4) أنماط الطوبولوجيا

4. 1 شبكة «بسيطة» (≤5 VPC)

أعياد الدبوس المباشر (A↔B، A↔C...). الإيجابيات: المكونات الدنيا ؛ السلبيات: روابط وقواعد O (N ²).

4. 2 محور وتحدث

تحدث الجميع مع Hub VPC/VNet ؛ في المحور - TGW/Virtual WAN/Cloud Router، NAT/ext، التفتيش. قابل للتطوير، سهل الإدارة.

4. 3 مناطق متعددة

المحاور المحلية في كل منطقة ؛ بين المراكز - التحديق بين المناطق أو العمود الفقري (TGW-to-TGW/VWAN-to-VWAN).

5) الأمن والتجزئة

الدولة في المضيف: SG/NSG هو الحاجز الرئيسي ؛ NACL/subnetwork ACL - قوائم حراسة/رفض خشنة.
L7 policies in mesh/proxy (Istio/Envoy/NGINX) - afformation by mTLS/JWT/claims.
التحكم بالخروج: يجب ألا «يرى» الإنترنت مباشرة - فقط من خلال بوابة الخروج/PrivateLink.
فحص سجلات التدفق والمركز (GWLB، IDS/IPS) لحركة المرور بين VPC.

6) DNS и الأفق المنقسم

كل منطقة خاصة - رؤية على VPCs المرغوبة (المناطق المستضيفة الخاصة/DNS/المناطق الخاصة).
لـ PaaS عبر PrivateLink/PSC - إدخالات خاصة إلى نقاط نهاية IP الخاصة.
الشحن المشروط между على البريم ↔ السحابة и المنطقة ↔ المنطقة.
التسمية: 'svc. environment. المنطقة. داخلي. corp '- بدون PII ؛ أصلح TTL (30-120) تحت feiler.

7) إمكانية الرصد والاختبار

المقاييس: مقبولة/مرفوضة على SG/NSG، بايت لكل نظير، RTT/jitter بين المناطق، كبار المتحدثين.
Logs: VPC Flow Logs/NSG Flow Logs in SIEM, trace with 'trace _ id' for L7↔L3 corrence.
اختبارات إمكانية الوصول: المواد التركيبية TCP/443/موانئ DB من شبكات فرعية/مناطق/مناطق مختلفة ؛ محلل إمكانية الوصول.
شبكة الفوضى: حالات التأخير/الخسارة بين الأقران/المحور ؛ مهلة/إعادة/فحص الخصوصية.

8) الأداء والتكلفة

أما فيما بين المناطق فيكاد يكون مشحونا دائما ؛ اقرأ الخروج مسبقًا (أغلى مع السجلات/النسخ الاحتياطية).
MTU/PMTUD: MTU القياسي داخل المزود، ولكن عند الحدود (VPN، FW، NAT-T)، ضع في اعتبارك مشبك MSS.
توسيع نطاق التفتيش (مجموعات GWLB/scale) بدون اختناقات ؛ ECMP للمحاور.
تقلل المخبأ/الحافة و SWR من حركة المرور بين المناطق.

9) ميزات السحابة وأمثلة

9. 1 AWS (VPC Peering/Transit Gateway)

VPC Peering: إنشاء اتصال نظير، إضافة طرق في جداول الشبكة الفرعية.
لا يوجد عبور من خلال النظر المنتظم. للعبور والنموذج المركزي - بوابة العبور.

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 أزور (VNet Peering/Virtual WAN)

VNet Peering (بما في ذلك العالمية): الأعلام السماح بحركة المرور الموجهة، استخدم البوابة البعيدة لمخططات المحور.
للمراكز والعبور - الشبكة الواسعة الافتراضية/المركز مع جداول وسياسات الطريق.

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering/Cloud Router)

VPC Peering without transit; للمركز - Cloud Router + HA VPN/Peering Router.
التسلسل الهرمي FW для org-guardrails.

10) Kubernetes في شبكات الند للند

المجموعة المتكلمة، الخدمات المشتركة (قطع الأشجار/التخزين/القطع الأثرية) - في المحور ؛ الوصول إلى العناوين الخاصة.
NetworkPolicy «إنكار كل شيء» والخروج الصريح على المحور/PrivateLink.
لا «تحمل» Pod CIDR بين VPCs ؛ طريق Node CIDR واستخدام Ingress/Gateway.

11) استكشاف المساحات (ورقة الغش)

1. ولا تتداخل هذه التقارير ؟ تحقق من السوبر سيت/الشبكات الفرعية القديمة.

2. طاولات المسار: هل هناك مسار في كلا الاتجاهين ؟ هل هناك طريق أكثر تحديدًا يعترض حركة المرور ؟

3. SG/NSG/NACL: مباراة داخلية/خارجية ؟ هل تمنع الشبكة الفرعية ACL حركة المرور العكسية ؟

4. DNS: السجلات الخاصة الصحيحة/وكلاء الخدمة ؟ تحقق من «حفر + اختصار» من كلتا الشبكتين.

5. MTU/MSS/PMTUD: هل هناك تجزئة ومواعيد صامتة ؟

6. التحقق من سجلات التدفق: هل يوجد SYN/SYN-ACK/ACK ؟ من يسقط ؟

7. فيما بين المناطق: حصص/حدود/سياسات تنظيمية/بطاقات توجيه.

12) أنتيباترن

شبكة «عشوائية» من عشرات الأقران بدون مركز → انفجار الصعوبات وتمرير الرباط الصليبي الأمامي.
تداخل CIDR «يطغى بطريقة ما على NAT» → فواصل مراجعة/تحديد الهوية من البداية إلى النهاية.
يتحدث الخروج العام في كل منها → سطح وتكلفة غير منضبطة.
عدم وجود DNS منقسم الأفق → تسريبات الاسم/قرارات مكسورة.
الطرق الواسعة 0. 0. 0. 0/0 'فوق النظير → عدم تناسق حركة المرور غير المتوقع.
تعديلات يدوية في وحدة التحكم بدون IaC ومراجعة.

13) تفاصيل iGaming/Finance

PCI CDE ودوائر الدفع - فقط من خلال المحور مع التفتيش ؛ لا يوجد spoke↔spoke تجاوز.
الإقامة في مجال البيانات: سجل المعاملات/مؤشر الأداء الموحد - داخل الولايات القضائية ؛ بين الأقاليم - المجاميع/المجهولة الهوية.
Multi-PSP: PrivateLink/قنوات خاصة إلى PSP، وكيل خروج مركزي بواسطة FQDN و mTLS/HMAC.
التدقيق/الدودة: سجلات التدفق وتغيرات المسار في التخزين الثابت، والاحتفاظ بها وفقا للمعايير.
أقسام المكتب: لكل منطقة/مركز حماية/مستأجر ؛ تنبيهات إلى «تسرب الخروج» وتدهور معاهدات التجارة الإقليمية الأقاليمية.

14) قائمة التحقق من الاستعداد

• خطة CIDR غير العابرة (IPv4/IPv6)، مجمعات النمو محجوزة.
• طوبولوجيا المحور والكلام ؛ الأعياد - spoke↔hub فقط ؛ عبر TGW/VWAN/Cloud Router.
• طاولات المسار: مسارات صريحة، لا الالتقاط للجميع عبر التحكم في الثقب الأسود.
• طبق SG/NSG/NACL ؛ L7 السياسات في الشبكة ؛ يخرج فقط من خلال مركز PrivateLink.
• Private DNS/PHZ confirmed; المتقدمون المشروطون между على prem/cloud/regions.
• تمكين سجلات التدفق ؛ ولوحات المتابعة حسب الأقران/الأقاليم ؛ المواد الاصطناعية القابلة للوصول واختبارات PMTUD.
• IaC (Terraform/CLI) و Policy-as-Code (OPA/Conftest) للقواعد/الطرق/DNS.
• كتاب التشغيل الموثق 'و (أضف نظير، وطرح الطرق، وتحدث التعطيل).
• التمارين: تعطيل المحور/العيد، وقياس RTO/RPO الفعلي لمسارات الشبكة.
• للألعاب/التمويل: عزل PCI، PrivateLink إلى PSP، تدقيق WORM، SLO/التنبيهات حسب الولاية القضائية.

15) TL ؛ د

استخدم VPC/VNet Peering للاتصال الخاص البسيط من نقطة إلى نقطة، ولكن لا تعتمد عليه في النقل - فهو يحتاج إلى مركز (TGW/VWAN/Cloud Router). خطط CIDR بدون تقاطعات، وإبقاء الطرق صريحة ومحددة، وتطبيق سياسات SG/NSG و L7 في الشبكة، DNS - الأفق المنقسم. تمكين سجلات التدفق والمواد التركيبية وفحوصات PMTUD. بالنسبة إلى iGaming/finance - عزل PCI، والقنوات الخاصة إلى PSP والتدقيق غير القابل للتغيير.