Hibrid bulud: on-prem + cloud

1) Hibrid nə üçün və nə vaxt haqlıdır

Sürücülər: tənzimləyicilərin tələbləri (data residency/PII), mövcud on-prem investisiyaları, «öz» sistemlərinə latency, dəyər nəzarəti, idarə olunan bulud xidmətlərinə giriş.
Kompromislər: şəbəkə və təhlükəsizlik mürəkkəbliyi, kompetensiyaların təkrarlanması, verilənlərin və konfiqurasiyaların sinxronlaşdırılması, əməliyyat riskləri.

Motto: kritik yerdə portable; cloud-native sərfəli olduğu yerlərdə.

2) Hibrid modelləri

On-prem extension: məlumat mərkəzinin genişləndirilməsi kimi bulud (yeni mikroservislər/analitika, cəbhələr).
Cloud-first lokal lövbərlər ilə: buludda nüvə, on-prem - mühasibat sistemləri/ödəniş şlüzləri/PII-saxlama.
Cloud-bursting: elastik yükləmə zirvələri bulud (batch, promo-zirvələri), əsas həcmi - yerli.
DR to Cloud: on-prem üçün buludda isti/isti ehtiyat (RTO/RPO idarə olunur).
Edge + Core: PoP/edge qovşaqları istifadəçiyə daha yaxındır, kök məlumatları/ML - buludda.

3) Şəbəkə və əlaqə

3. 1 Kanallar

Site-to-Site VPN (IPsec/SSL) - tez başlamaq, daha yüksək gecikmə, jitter.
Düz xətlər (DC/ER/IC, MPLS) - proqnozlaşdırıla bilən SLA, aşağı gecikmə, daha bahalı.
Dual-link + BGP - uğursuzluq və marşrutlaşdırma nəzarəti.

3. 2 Ünvan və marşrutlar

Kəsişmədən vahid RFC1918 sxemi; CIDR planı illərlə davam edir.
NAT-domes yalnız sərhədlərdə; NAT olmadan şərq-qərb.
Seqment/VRF üçün izolyasiya mühit (dev/stage/prod), tenant, provayder.

3. 3 Zaman Siyasəti və DNS

Vahid NTP (saat = kriptoqrafiya/imzalar üçün tale).
Split-horizon DNS: daxili zonalar (svc. cluster. local, corp.local), xarici - ictimai.
Gələn trafik üçün Health-based GSLB.

4) Kimlik və giriş

SSO Federasiyası: OIDC/SAML, on-prem IdP bulud IdP; SCIM provizinq.
least privilege prinsipi üzrə rollar; MFA ilə break-glass hesablar.
Maşın kimliyi: mTLS üçün SPIFFE/SPIRE və ya mesh-PKI.
RBAC «keçid»: Git/CI/CD → klaster/mesh → broker/DB → log.

5) Platforma: Kubernetes + GitOps

5. 1 Vahid icra təbəqəsi

Eyni/CRD versiyaları ilə on-prem və cloud klasterləri.
GitOps (Argo CD/Flux): vahid charts/overlay, drift-control, promo-streams.

5. 2 Xidmət qarışığı

Istio/Linkerd: mTLS default, locality-aware balans, failover arasında klaster.
L7 siyasəti (JWT, headers, rate limits, retry/circuit/timeout) - manifestlər kodunda.

5. 3 Nümunə (K8s topologiya & mesh)

yaml anti-affinity and distribution by zones on-prem cluster spec:
topologySpreadConstraints:
- maxSkew: 1 topologyKey: topology. kubernetes. io/zone whenUnsatisfiable: DoNotSchedule labelSelector: { matchLabels: { app: api } }
Istio DestinationRule: local cluster priority, then trafficPolicy cloud:
outlierDetection: { consecutive5xx: 5, interval: 5s, baseEjectionTime: 30s }

6) Data və saxlama

6. 1 Bazalar

On-prem master, cloud read-replica (analitika/kataloqlar).
Cloud master + on-prem cache (yerli inteqrasiya üçün aşağı gecikmə).
Yerli kvorumlarla distributed SQL/NoSQL (Cockroach/Cassandra).
konturlar arasında CDC/log-replikasiya (Debezium); prosessorların idempotentliyi.

6. 2 Obyekt/fayl/blok

replikasiya/versiya ilə S3-uyğun stores (on-prem MinIO + cloud S3/GCS); Audit üçün WORM.
Backup: 3-2-1 (3 nüsxə, 2 media, 1 - offsite), müntəzəm bərpa yoxlama.

6. 3 Cache və növbələr

Redis/KeyDB klaster per-site; qlobal cache - yalnız hadisələr/TTL vasitəsilə.
Kafka/Pulsar: MirrorMaker 2/replicator; açar - konsumerlərin dedup/idempotentliyi.

7) Təhlükəsizlik və uyğunluq (Zero Trust)

mTLS hər yerdə (mesh), TLS 1. 2 + perimetrdə; şifrəsiz kanalların qadağan edilməsi.
Sirləri: HashiCorp Vault/ESO; qısa ömürlü tokenlər; avtomatik rotasiya.
KMS/HSM: açarları bölünmüş per yurisdiksiya/tenant; kriptovalyutası cədvəl üzrə.
Segmentasiya: NetworkPolicies, micro-segmentation (NSX/Calico), ZTNA admin-access üçün.
Jurnallar: dəyişməz (Object Lock), keçici 'trace _ id', PII/PAN maskalanması.

8) Müşahidə, SLO və hadisələrin idarə edilməsi

OpenTelemetry SDK hər yerdə; Collector on-prem və buludda.
Tail-sampling: 100% ошибок и p99, labels `site=onprem|cloud`, `region`, `tenant`.
SLO və Error Budgets (marşrut/tenant/provayder/sayt); burn-rate üzrə alertlər.
Keçidli daşbordlar: RED/USE, asılılıq xəritələri, kanarya müqayisələri (miqrasiyadan əvvəl/sonra).

9) CI/CD və konfiqlər

Artefaktların vahid qeydiyyatı (on-prem-də pull-through cache).
Promo axını: dev → stage (on-prem) → canary (cloud) → prod; və ya əksinə - məqsədindən asılı olaraq.
Yoxlamalar: müqavilə testləri (OpenAPI/gRPC/CDC), statik analiz, IaC lintinq, görüntü skan, SLO geytaları.

10) DR/BCP (davamlılıq planı)

• kataloqlar/lendinqlər: RTO 5-15 dəq, RPO ≤ 5 dəq;
• ödənişlər/cüzdanlar: RTO ≤ 5 dəq, RPO ≈ 0-1 dəq (sahə daxilində kvorum/sinxron).
• Runbook: GSLB/weights keçid, klasterdə standby qaldırılması, feature-flags «yüngül rejimi».
• GameDays: rüblük - saytın/kanalın bağlanması, real RTO/RPO-ların yoxlanılması.

11) Qiymət və FinOps

On-prem və bulud arasında egress - əsas «gizli» istehlak; gəzintiləri minimuma endirin (SWR, edge).
Etiketləmə: 'service', 'env', 'site', 'tenant', 'cost _ center'.
Qayda 80/20: «Kritik nüvənin» 20% -ni daşıyırıq/saxlayırıq, qalan hissəsi daha ucuz olan yerdədir.
Downsampling metrik, «isti/soyuq» log retansiyaları, büdcə-aware sampling trace.

12) Workload yerləşdirmə nümunələri

13) Konfiqurasiya nümunələri

13. 1 IPsec S2S (ideya)

onprem ↔ cloud: IKEv2, AES-GCM, PFS group 14, rekey ≤ 1h, DPD 15s, SLA monitoring jitter/packet-loss

13. 2 Terraform (etiket/etiket parçası)

hcl resource "kubernetes_namespace" "payments" {
metadata {
name = "payments"
labels = {
"site"    = var. site    # onprem    cloud
"tenant"   = var. tenant
"cost_center" = var. cc
}
}
}

13. 3 Vault + ESO (bulud klasterinə on-prem sirri)

yaml apiVersion: external-secrets. io/v1beta1 kind: ExternalSecret spec:
refreshInterval: 1h secretStoreRef: { kind: ClusterSecretStore, name: vault-store }
target: { name: psp-hmac, creationPolicy: Owner }
data:
- secretKey: hmac remoteRef: { key: kv/data/payments, property: HMAC_SECRET }

14) Antipattern

CIDR → NAT-xaos kəsişən; əvvəlcə ünvan planı, sonra kanallar.
Güclü sabitlik ilə bir «ümumi» qlobal cache → gecikmə və split-brain.
İdempotentlik olmadan retrajlar → ikiqat debet/sifarişlər.
mTLS/Zero Trust olmadan «çılpaq» VPN - kompromasiya zamanı lateral hərəkət.
DR təlimlərinin olmaması: planlar reallıqda işləmir.
K8s/CRD/operator versiyalarının uyğunsuzluğu → vahid çartların mümkünsüzlüyü.
'trace _ id' və maskalanmadan pulsuz format log - forensika mümkün deyil.

15) iGaming/Maliyyə Xüsusiyyətləri

Data residency: PII/ödəniş hadisələri - on-prem/regional konturda; buluda - aqreqatlar/anonim.
PSP/KYC: multi-provayderlər; buluddan yerli şlüzlərə smart-routing, ehtiyat fallback; Deduplu broker vasitəsilə webhucks.
«Pul yolları»: ümumi yuxarıda ayrı SLO; HMAC/mTLS, 'Retry-After', 'Idempotency-Key' tələb olunur.
Audit: WORM-saxlama (Object Lock), dəyişməz əməliyyat jurnalları, kritik hadisələr üçün ikitərəfli qeyd (on-prem + cloud).
Yurisdiksiyalar: KMS/Vault per açar seqmentasiyası ölkə/marka; perimetrdə geo-bloklar.

16) Prod hazırlıq yoxlama siyahısı

• Ünvan planı, DNS, NTP - vahid; S2S kanalları + ehtiyat ilə birbaşa xətlər (BGP).
• Vahid kimlik (SSO/OIDC/SAML), MFA, least privilege; SPIFFE/SPIRE xidmətlər üçün.
• Bütün saytlarda K8s, GitOps, eyni operatorlar/CRD; service mesh с mTLS и locality-aware LB.
• Data: CDC, tutarlılıq testləri, RPO/RTO siyasətləri, 3-2-1 yedək və müntəzəm restore drids.
• Təhlükəsizlik: Vault/ESO, rotasiya, NetworkPolicies, ZTNA; jurnallar dəyişməz.
• Müşahidə: OTel, tail-sampling, SLO/site/region/tenant üzrə büdcələr; kanar daşbordları.
• CI/CD: müqavilə testləri, IaC linting, görüntü skan; SLO-da release-geytlər.
• DR-runbooks, GameDays, ölçülmüş faktiki RTO/RPO; cutover/roll-back düymələri.
• FinOps: egress limitləri, etiketlər və hesabatlar, metrik/log/treys retenshn siyasəti.
• iGaming spesifikasiyası: data residency, multi-PSP, WORM auditi, ödənişlər üçün ayrı SLO.

17) TL; DR

Hibrid = iki dünyada ümumi icra platforması (K8s + GitOps + mesh + OTel + Vault): on-prem və cloud. Şəbəkəni və kimliyi planlaşdırın, CDC/idempotentlik vasitəsilə ötürülən məlumatları edin, Zero Trust ilə təhlükəsizliyi ayırın, SLO/Error Budgets etibarlılığını ölçün və müntəzəm olaraq DR. iGaming üçün məlumatları və ödənişləri yurisdiksiyada saxlayın, multi-PSP smart-routing və dəyişməz audit