GH GambleHub

Private endpoints və daxili şəbəkələr

1) Niyə şəxsi şəbəkə

Məqsəd - hücum səthini və egress dəyərini minimuma endirmək, internetə çıxmadan xüsusi linklər vasitəsilə kritik xidmətləri birləşdirməkdir. Bu verir:
  • PaaS/DB/ictimai IP saxlama izolyasiya;
  • uyğunluğun sadələşdirilməsi (PCI DSS/GDPR);
  • proqnozlaşdırıla bilən gecikmələr və marşrutlaşdırma.

2) Əsas model: VPC/VNet və hub

Ünvan sahəsi: vahid CIDR planı, kəsişməsiz (məsələn, '10. 0. 0. 0/12 'çevrələr və hub kəsilir).
Seqmentasiya: alt şəbəkələr 'ingress', 'app', 'data', 'ops', 'shared' ayrı marşrutlarla/ACL/SG.
Tranzit hub: mərkəzi VPC/VNet (VPN/DirectConnect/ExpressRoute/Interconnect), ara VPC peering/Transit Gateway və şəbəkə faylları ilə.
Dual-stack: əvvəlcədən IPv6 planlaşdırılması (NAT-a qənaət edir, ünvanların miqyasını yaxşılaşdırır).

3) Private endpoints: prinsipləri

Private endpoint/PrivateLink/Private Service Connect - yalnız ünvan məkanınızdan mövcud olan idarə olunan xidmətə (obyekt anbarı, növbələr, DB, gizli anbar) xüsusi interfeys:
  • Trafik provayder şəbəkəsi daxilində gedir (internet vasitəsilə deyil).
  • Endpoint policy hara gedəcəyinizi məhdudlaşdırır (prefikslər/ARN/resurslar).
  • DNS xüsusi IP-lərə yenidən təyin olunur (bax § 6).

Tipik məqsədlər: obyekt storları (S3/GCS/Blob), secret/KMS, növbələr, hadisə şinləri, idarə olunan DB, analitik xidmətlər, artefakt registrləri.

4) Giriş və daxili balans

L4/7 üçün Internal Load Balancer (ILB), yalnız şəxsi şəbəkələrdən görürük.

Kubernetes:
  • internal-annotasiyalarla 'LoadBalancer' tipli 'Service'.
  • Fərdi ünvanda Internal Ingress (Nginx/Contour/Gateway API) vasitəsilə giriş.
  • API Gateway (private): arxa planlara xüsusi inteqrasiya; xaricə - yalnız edge vasitəsilə.

Nümunə: K8s Ingress daxili kimi

yaml apiVersion: networking. k8s. io/v1 kind: Ingress metadata:
name: api-internal annotations:
kubernetes. io/ingress. class: "nginx"
alb. ingress. kubernetes. io/scheme: internal # or provider equivalent spec:
rules:
- host: api. internal. corp http:
paths:
- path: /v1/
pathType: Prefix backend:
service:
name: api port: { number: 8080 }

5) Egress-kontur: «default - deny»

Şəxsi şəbəkələrdən birbaşa internet olmadan: hər şey yalnız:
  • NAT Gateway (yeniləmələr/anbarlar üçün) + FQDN/IP üzrə egress allowlist;
  • TLS yoxlama/proxy, əgər siyasətçilər nəzarət tələb;
  • NAT əvəzinə PaaS/registrlərə Private endpoints.
  • SG/NACL: açıq per-servis icazələri, «şərq-qərb» - minimum.
  • Egress Policy K8s (CNI/OPA Gatekeeper/Calico NetworkPolicy) - xarici IP-lərin, klaster icazələrinin/enpoyntların qadağan edilməsi.

6) DNS: split-horizon и private zones

Daxili zonaları ayırın ('.internal. corp ') və ictimai.
Private DNS zones provayder xidmətləri üçün: ictimai adları (məsələn, 'bucket. s3. region. amazonaws. com ') xüsusi A/AAAA qeydlərinə.
Forwarders/Conditional DNS между on-prem ↔ cloud.
Ad formatı: mühiti/bölgəni kapsula ('api. eu1. internal. corp '), PII çəkinin.

Qeyd nümunəsi: 

api. internal. corp. A  10. 20. 30. 40 s3. bucket. corp. A  10. 100. 0. 25 # via private endpoint

7) Şəbəkələrarası əlaqə nümunələri

Peering (VPC, VPC/VNet, VNet): sadə və sürətli; tranzit həmişə dəstəklənmir → Ulduz üçün Transit Gateway/Virtual WAN/Cloud Router istifadə edin (hub-and-spoke).
On-prem ⇄ cloud: Başlanğıc üçün IPsec VPN, sonra BGP və ehtiyat (iki provayder, fərqli giriş nöqtələri) ilə xüsusi xətt (DC/ER/IC).
VRF/Route-domain seqmentasiyası: izolyasiya prod/stage/dev və kart perimetri.

8) Zero Trust və daxili autentifikasiya

mTLS-default (service mesh: Istio/Linkerd/Consul), maşın kimliyi: SPIFFE/SPIRE.
L7 Siyasəti: JWT/claims/scopes avtorizasiyası, proxy səviyyəsində marşrutların/metodların məhdudlaşdırılması.
Secrets: HashiCorp Vault/КMS + External Secrets Operator; qısa ömürlü kredenşel (STS).
Bastion/Privileged Access: yalnız broker/JIT sessiyası (MFA, komanda yazısı) vasitəsilə xüsusi giriş.

Nümunə: Envoy filter mTLS + JWT-authz (fraqment)

yaml transport_socket:
name: tls typed_config: {... spiffe://svc. api... }
http_filters:
- name: envoy. filters. http. jwt_authn typed_config:
providers:
oidc: { issuer: https://idp. corp, audiences: ["api"], remote_jwks: {...} }
rules: [{ match: { prefix: "/v1" }, requires: { provider_name: oidc } }]

9) Data və PaaS daxili xüsusi

Baza/klasterlər: yalnız şəxsi ünvanlar; bastion/JIT vasitəsilə adminka.
Saxlama: VPC-dən private endpoint; endpoint policy yalnız lazımi baket/konteynerlərə icazə verir.
Növbələr/şinlər: xüsusi interfeyslər; prodüserlər/konsumerlər - eyni VPC/peering.
Artefaktların qeydləri: şəxsi şəbəkələrdə CI/CD runners-dən şəxsi giriş.

10) Şəxsi şəbəkələrdə müşahidə

OpenTelemetry Collector - telemetriya şlyuz kimi: öz-hosted daxili ixracatçılar (Prometheus/Tempo/Loki/ClickHouse) və ya private endpoints idarə backends.
Flow logs/NSG/NACL logs və reachability analyzer - tələb olunur.
SLO dilimləri: 'site/region/vpc/subnet', egress sızması və gözlənilməz «internet istiqaməti».

11) Test və yoxlama

Şəbəkə qaydaları/Ingress/Service üçün Policy as Code (OPA/Gatekeeper).
Canary marşrutları: private DNS-də test domenləri, müxtəlif alt şəbəkələrdən/AZ/regionlardan synthetic yoxlamalar.
Chaos-şəbəkə: VPC/AZ (netem/Toxiproxy) arasında gecikmələr/itkilər, taymaut yoxlamaları və retry-siyasətçi.

12) Konfiqurasiya nümunələri

12. 1 Terraform: nişanlar və marşrutlar (fikir)

hcl resource "aws_route_table" "app" {
vpc_id = aws_vpc. core. id tags = { Name = "rt-app", env = var. env, zone = "private" }
}
Route on PrivateLink endpoint (interface endpoint is created separately)
resource "aws_vpc_endpoint_route_table_association" "s3" {
route_table_id = aws_route_table. app. id vpc_endpoint_id = aws_vpc_endpoint. s3. id
}

12. 2 K8s NetworkPolicy: istədiyiniz istisna olmaqla, hər şeyi qadağan edin

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: allow-core }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ port: 5432, protocol: TCP }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 }  # private endpoints ports: [{ port: 443, protocol: TCP }]

12. 3 Nginx Ingress (internal scheme) + HSTS

yaml metadata:
annotations:
alb. ingress. kubernetes. io/scheme: internal nginx. ingress. kubernetes. io/hsts: "true"

13) Antipattern

Şəxsi şəbəkələrdən ümumi «management-internet»; egress nəzarət yoxdur.
Split Breen DNS və təsadüfi əl '/etc/hosts '.
CIDR və «NAT matryoshki» kəsişir.
DB/saxlama üçün ictimai endpoint 'lər «rahatlıq naminə».
Akış/audit qaydalarının olmaması; «açıq» SG '0. 0. 0. 0/0`.
/ CI kodunda uzun ömürlü statik giriş açarları.

14) Qiymət və performans

Private endpoints tez-tez daimi NAT egress daha ucuz və daha təhlükəsiz.
bottleneck yaratmamaq üçün/az-local NAT klasterlərini planlaşdırın.
Cache/edge və SWR cross-regional trafiki azaldır.
Protokolların seçimi: → daha az əlaqə və TLS-overhead daxilində HTTP/2/gRPC.

15) iGaming/Maliyyə Xüsusiyyətləri

PCI DSS: ayrıca şəbəkədə kart konturu (CDE )/VRF, İnternet yoxdur; store/PSP loqlarına yalnız private endpoints vasitəsilə giriş; dəyişməz auditlər (WORM/Object Lock).
KMS/Vault: açarları bölünmüş per region/marka; imza əməliyyatları (HSM) mTLS yalnız CDE mövcuddur.
PSP/KYC: private connectivity/market varsa - istifadə edin; əks halda - HMAC/mTLS və açıq allowlist ilə etibarlı proxy vasitəsilə egress.
Multi-tenant: etiketlər və siyasətlər 'tenant '/' brand'; Fərdi DNS adları və SG qatları.

16) Prod hazırlıq yoxlama siyahısı

  • CIDR heç bir kəsişmə planı; dual-stack hazır (IPv6).
  • Hub-and-Spoke, Transit, peering; on-prem ⇄ cloud - BGP, ehtiyat link cütləri.
  • Bütün PaaS/saxlama/DB - private endpoints + endpoint policies vasitəsilə.
  • Internal LB/Ingress; ictimai perimetr - yalnız edge/WAF.
  • Split-horizon DNS, private zones və conditional-forwarding özelleştirilmiş.
  • Egress default «deny»; NAT/proxy məhdud və jurnallaşdırılır.
  • Mesh mTLS + SPIFFE; L7 JWT-authz; Vault/ESO, qısa sirləri.
  • NetworkPolicy/SG/NACL - «minimal zəruri», flow-logs və reachability-analizi.
  • OTEL Collector daxili; site/region/vpc 'üzrə SLO, egress sızması üçün alertlər.
  • PCI/audit: WORM jurnalları, KMS/HSM, CDE izolyasiya, runbook giriş.

17) TL; DR

Dəqiq CIDR planı ilə hub-and-spoke sxemi ilə şəbəkə qurun, hər bir PaaS/depolama/DB-yə private enpoints istifadə edin və xaricə trafik yalnız idarə olunan egress nöqtələri vasitəsilə. Daxili - internal LB/Ingress, mTLS + SPIFFE, split-horizon DNS, ciddi NetworkPolicy/SG və OTel vasitəsilə telemetriya. iGaming/Finance üçün PCI seqmentasiyası, KMS/Vault və dəyişməz audit əlavə edin; PSP/KYC xüsusi kanallar və ya ciddi nəzarət proxy vasitəsilə çıxış.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.