التقنيات والبنية التحتية → السحابة الهجينة وقابلية التشغيل البيني

السحابة الهجينة وقابلية التشغيل البيني

1) ما هي السحابة الهجينة

• والامتثال لمتطلبات سيادة/توطين البيانات ؛
• وتيسير الهجرة وتحديث الخدمات المتراصة إلى الخدمات السحابية ؛
• والمرونة والقمم (السعة الثقيلة) دون الإفراط في شراء الحديد ؛
• التحكم في التكلفة: قاعدة ثابتة على prem + أحمال متغيرة في السحابة.

2) السيناريوهات النموذجية (للألعاب/التكنولوجيا المالية)

Paying core/wallet on-prem (زمن الوصول المنخفض للقنوات المصرفية، HSM)، الجبهات والأدلة - في السحابة.
التقارير والتحليلات: CDC من on-prem OLTP إلى DWH/varnish house مع SLO للنضارة.
KYC/AML: عمليات التكامل الخاصة على بريم، وتنسيق وتوسيع نطاق الشيكات في السحابة.
الترويج/الأحداث/البطولات: التوسع المرن للجزء العام دون تغيير النواة.
الهجرة «قطعة قطعة»: نمط خانق - لف واجهات برمجة التطبيقات القديمة ببوابة وجلب الوظائف تدريجياً إلى السحابة.

3) تأسيس الشبكة

3. النقل 1 والطوبولوجيا

IPsec VPN: بداية سريعة، زمن انتقال أعلى/فوق.
Direct Connect/ExpressRoute: عرض نطاق ترددي وكمون يمكن التنبؤ بهما.
Hub-and-Speak: on-prem как Hub; سحابة VPC/VNet - تحدث.
ثنائي المحور: محاور منفصلة في البريم والسحابة، متصلة بقناة مخصصة.

3. 2 مساحة العنوان والتوجيه

سياسة IPAM الموحدة، باستثناء الشبكات الفرعية المتداخلة.
أجهزة توجيه SD-WAN/Cloud للتوجيه الديناميكي وقابلية الرصد.
التحكم في الخروج: ثابت NAT-IP تحت قائمة السماح للمزودين الخارجيين (PSP/KYC).

3. 3 أمن المحيط

حماية WAF/الروبوت عند الحافة (حافة السحابة).
خدمة mTLS-to-service عبر شبكة/بوابة دخول.
التجزئة: مناطق منفصلة للحث/المرحلة، صناديق الرمل «الدافئة».

4) البيانات والاتساق

4. 1 فئات البيانات

الاتساق الصارم (المحفظة/التوازن، العمليات): التخزين والكتابة محليًا (على البريم)، الأحداث - إلى السحابة.
الاتساق النهائي (الأدلة والملامح والتصنيفات): التكرار/التخزين المؤقت ثنائي الاتجاه.
البيانات الحساسة (PAN/PII): التخزين على البريم، في السحابة - الرموز/الإسقاطات الخوارزمية.

4. 2 تقنيات التزامن

مركز السيطرة على الأمراض من OLTP → وسيط/دفق → سحابة DWH/varnish house ؛ SLA لكل تأخر (على سبيل المثال P95 ≤ 5 دقائق).
Outbox/Inbox لأحداث المجال (الخصوصية، التفريغ).
المخابئ والحافة: مخبأ قريب/TTL، يسخن قبل القمم.
CRDT/عدادات مجالس الصدارة/الإحصاءات (مع قراءة الأصول إلى الأصول).

5) المنصة ووقت التشغيل

Kubernetes-two: cluster on-prem and cluster in the cloud; GitOps (Argo/Flux) كآلية تسليم واحدة.
شبكة الخدمات (متعددة المجموعات): mTLS, retry/breaker, local-aware routing; تقييد المكالمات عبر البيئة.
بدون خادم/دفعة في السحابة: وظائف/دفعات مرنة للقمم والخلفيات.
كتالوج الخدمات: بيانات وصفية موحدة (المالك، SLO، التبعيات، التنسيب).

6) الهوية والوصول والأسرار

IAM Federation via Corporate IdP (OIDC/SAML)، رسم خرائط الأدوار في كلا الاتجاهين.
السياسة الأقل امتيازًا: أدوار منفصلة لأدوار المترجمين البينيين على prem/cloud +.
KMS/HSM: مفاتيح في prem HSM، KMS السحابية للتحف السحابية ؛ لا تخرج أبدًا المفاتيح الرئيسية.
الإدارة السرية: تزامن الأسرار من خلال السماسرة/المشغلين، مراجعة عمليات التناوب.

7) CI/CD وإدارة التغيير

مستودع واحد أحادي المواصفات/أحادي مع بارامترات حسب البيئة.
ترويج القطع الأثرية: dev → stage-cloud → prod-on-prem/prod-cloud (matrix).
الكناري/الأزرق الأخضر لكل وسط على حدة ؛ مقارنة SLI.
اختبارات العقد بين البريم والسحابة (واجهة برمجة التطبيقات والأحداث).
Infra-as-Code: Terraform/Crossplane لكلا الحلقتين، policy-as-code (OPA).

8) إمكانية الرصد و SLO

9) استراتيجيات DR (للنموذج الهجين)

إجراء تدريبات DR بانتظام: قطع اتصال القناة/العقدة، والتحقق من دفاتر الرانات.

10) السلامة والامتثال

تجزئة الشبكة، والتجزئة الدقيقة بين الشرق والغرب، ومراقبة الرباط الصليبي الأمامي بين البيئة.
تقليل PII إلى السحابة: الترميز، إخفاء السجل.
سجلات غير قابلة للتغيير (WORM) على البريم وفي التدقيق السحابي من طرف إلى طرف للإجراءات.
التنظيم: التخزين في البلد، وتصدير البيانات على القوائم البيضاء، وإمكانية إثبات تنفيذ جيش تحرير السودان/جيش تحرير السودان.

11) FinOps والنموذج الاقتصادي

الطاقة الأساسية - على البريم (يمكن التنبؤ بها/رخيصة)، القمم - السحابة (متغير/أكثر تكلفة).
المقاييس: $/RPS يوم الأربعاء، $/GB exet، $/min CDC تأخير.
حمامات السباحة الدافئة في السحابة لتصل إلى ذروة النوافذ (البطولات/المباريات).
تجنب «الدردشة» بين البيئات: تجميع الأحداث، وإجراء التوقعات المحلية.

12) أنماط التكامل

12. 1 Strangler-Fig (لف حول متراصة)

[Client] → [API Gateway] →│→ [Cloud microservice v2]
└→ [On-prem legacy v1]

توجيه المسار/الإصدار والقياس عن بعد و A/B للحصول على scumbag آمن.

12. 2 Outbox/Inbox (الخصوصية)

BEGIN TX apply(domain_command)
insert outbox(event_id, aggregate_id, payload, hash)
COMMIT
// Репликатор читает outbox (on-prem), публикует в шину (cloud).
// Приемник в облаке дедуплицирует inbox по event_id/hash.

12. 3 كتابات محلية أولاً

كتابة الأوامر النقدية محليًا (على البريم)، إلى السحابة - الحدث/الإسقاط.
قراءة الصفحات المخصصة - من أقرب مخبأ/إسقاط.

13) قائمة التنفيذ المرجعية

1. تصنيف البيانات (صارم/نهائي/حساس)، خريطة التدفق بين الوسائط.
2. خطة مختارة للنقل (VPN/Direct) و IPAM، دون تداخل.
3. Mesh/mTLS، Egress control، ثابت NAT-IP لمقدمي الخدمة.
4. CDC و outbox/inbox مع التفريغ، SLO على النضارة والتأخر بين env.
5. خط أنابيب GitOps/CI لكلا الوسائط، الكناري لكل env، اختبارات العقد.
6. كتالوج خدمة موحد، مالكون، SLO، تبعيات.
7. إمكانية الملاحظة: من خلال المسارات، والمواد التركيبية على prem↔cloud، والتنبيهات على القنوات.
8. تدريبات DR وكتب الفاتورة، بروفات منتظمة للتبديل.
9. FinOps: ميزانيات الخروج/القناة، $/RPS وتقارير $/GB بحلول يوم الأربعاء.
10. السياسات الأمنية، عمليات التدقيق، ترميز PII، سجلات WORM.

14) الأنماط المضادة

مكالمات المسار الساخن المتزامنة بين الوسائط (المحفظة/الكتابة) → ذيول P99 والهشاشة.
الشبكات الفرعية المتداخلة والطرق الرمادية → جحيم تصحيح.
تكرار كل شيء دون تصفية حسابات الخروج → والتأخير.
أسرار في متغيرات البيئة، «تتحرك» عبر دلاء غير آمنة.
قاعدة بيانات «رئيسية» واحدة لإحدى حلقات → SPOF عبر الشبكة.
عدم وجود تدريبات DR هو «خطة على الورق».

15) خلاصة القول

1. الشبكات والأمن (قنوات يمكن التنبؤ بها، نظام الرصد والتقييم، التجزئة)،

2. البيانات والاتساق (CDC/outbox، السجلات المحلية، المخابئ)،

3. العمليات (GitOps، قابلية الرصد، DR-drills، FinOps).

مع مثل هذا الأساس، ستحصل على تطور محكوم، وستصمد أمام الذروة وتمتثل للمتطلبات التنظيمية - دون هجرات مفاجئة وحوادث ليلية.