VPC Peering və marşrutlaşdırma

1) Nə üçün Peering və nə zaman uyğun

• ortam və domen ayrılması (prod/stage/dev) ümumi şəxsi əlaqə ilə;
• paylaşılan şəbəkədə ümumi platformaların (loginq, KMS/Vault, artefaktlar) çıxarılması;
• private yolları (hub/endpoint vasitəsilə) idarə PaaS applications çıxış.

Daha yaxşı deyil, hub: 10-20-dən çox şəbəkə, tranzit marşrutlaşdırma ehtiyacı, mərkəzləşdirilmiş egress, buludlararası əlaqələr → Transit Gateway/Virtual WAN/Cloud Router istifadə edin.

2) Modellər və məhdudiyyətlər

2. 1 Pirinq növləri

Intra-region peering - regionda, minimum gecikmələr və xərclər.
Inter-region peering - regionlar arasında, adətən regionlararası trafik ödənilir.
Cross-project/account - müxtəlif hesablar/layihələr arasında pirinq (nümayəndəlik ilə).

2. 2 Tranzit və NAT

Klassik VPC/VNet Peering tranzitiv deyil: A, B və B, C şəbəkələri A, C deməkdir.
Tranzit üçün ara şəbəkə vasitəsilə NAT - anti-pattern (orijinal IP sındırır, mürəkkəb audit).
Tranzit üçün - hub-şina: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 Overlapping CIDR

• Ünvanların yenidən göndərilməsi (ən yaxşı seçim);
• NAT domenləri/Proxy VPC birtərəfli sxemlərlə (audit və log daxil olmaqla);
• Xüsusi PaaS üçün - L3-access olmadan PrivateLink/PSC.

3) Ünvan və marşrutların dizaynı

3. 1 CIDR planlaşdırılması

Vahid supernet (məsələn, '10. 0. 0. 0/8 ') → bölgü' region/env/vpc '.
Gələcək VPC/tenantlar (growth-buffers) üçün diapazonları ehtiyat edin.
IPv6 - əvvəlcədən plan: VPC-də '/56 ', alt şəbəkədə '/64'.

3. 2 Marşrutlaşdırma

Route tables: hər VPC/alt şəbəkə peer/hub açıq marşrutları.
Prioritetlər: daha spesifik prefiks qazanır; pirinq vasitəsilə catch-all çəkinin.
Blackhole-qorunması: ikiqat/köhnəlmiş marşrutları qeyd edin və təmizləyin.

3. 3 Domenlər və rollar

Spoke (applications) Hub (ümumi xidmətlər, egress, yoxlama).
Pir yalnız spoke, hub; spoke, spoke - hub vasitəsilə (seqmentasiya və nəzarət).

4) Topologiya nümunələri

4. 1 «Sadə» mesh (≤ 5 VPC)

Düz pin-tu-pin pirlər (A, B, A, C...). Üstünlüklər: minimum komponentlər; mənfi cəhətləri: O (N ²) əlaqələr və qaydalar.

4. 2 Hub-and-Spoke

Bütün spoke Hub VPC/VNet; hub - TGW/Virtual WAN/Cloud Router, NAT/egress, yoxlama. Ölçülü, sadəcə idarə.

4. 3 Çox region

Hər bir regionda lokal hub; hub arasında - inter-region peering və ya magistral (TGW-to-TGW/VWAN-to-VWAN).

5) Təhlükəsizlik və seqmentasiya

Host Stateful: SG/NSG - əsas maneə; NACL/alt şəbəkə ACL - kobud çit/deny-vərəqlər.
mesh/proxy L7 siyasəti (Istio/Envoy/NGINX) - mTLS/JWT/claims avtorizasiyası.
Egress-control: spoke internetə birbaşa - yalnız egress/PrivateLink vasitəsilə baxmamalıdır.
Flow Logs və hub yoxlama (GWLB, IDS/IPS) arasında VPC trafik üçün.

6) DNS и split-horizon

Hər bir xüsusi zona - lazımi VPC görünürlük (Private Hosted Zones/Private DNS/Zones).
PrivateLink/PSC vasitəsilə PaaS üçün - şəxsi IP endpoint qeydləri.
Conditional forwarding между on-prem ↔ cloud и region ↔ region.
Adı: 'svc. env. region. internal. corp '- PII olmadan; Feylover altında TTL (30-120s) qeyd.

7) Müşahidə və test

Metriklər: SG/NSG-də accepted/denied, bytes per peer, regionlar arasında RTT/jitter, top-talkers.
Logs: SIEM-də VPC Flow Logs/NSG Flow Logs, L7 L3 korelyasiyası üçün 'trace _ id' ilə izləmə.
Çatma testləri: müxtəlif alt şəbəkələrdən/AZ/regionlardan TCP/443/DB sintetik portlar; reachability analyzer.
Chaos şəbəkəsi: peer/hub arasında gecikmələr/itkilər; vaxt/retraut/idempotent yoxlama.

8) Performans və dəyəri

Inter-region demək olar ki, həmişə tarif; əvvəlcədən egress hesab edin (log/backup ilə bahalaşır).
MTU/PMTUD: Provayder daxilində standart MTU, lakin sərhədləri (VPN, FW, NAT-T) MSS-clamp nəzərə.
Ensiz yerlər olmadan üfüqi ölçmə yoxlaması (GWLB/scale sets); Hub üçün ECMP.
Cache/edge və SWR regionlararası trafiki azaldır.

9) Bulud xüsusiyyətləri və nümunələri

9. 1 AWS (VPC Peering / Transit Gateway)

VPC Peering: peering connection yaradın, alt şəbəkə cədvəllərinə marşrutlar əlavə edin.
normal peering vasitəsilə heç bir tranzit. Tranzit və mərkəzləşdirilmiş model üçün - Transit Gateway.

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering / Virtual WAN)

VNet Peering (qlobal daxil olmaqla): Allow forwarded traffic bayraqları, hub sxemləri üçün Use remote gateway.
Hub və tranzit üçün - Virtual WAN/Hub c Route Tables və Policies.

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering / Cloud Router)

VPC Peering tranzit olmadan; mərkəz üçün - Cloud Router + HA VPN/Peering Router.
Hierarchical FW для org-guardrails.

10) Pirinq şəbəkələrində Kubernetes

Spoke-də klaster, ümumi xidmətlər (log/saxlama/artefaktlar) - hub-da; şəxsi ünvanlara daxil olmaq.
NetworkPolicy «deny-all» və/PrivateLink hub açıq egress.
VPC arasında Pod CIDR «sürükləməyin»; Node CIDR marşrutu və Ingress/Gateway istifadə edin.

11) Trablshuting (şparqalka)

1. CIDR üst-üstə düşmür? Superset/köhnə alt şəbəkələri yoxlayın.
2. Marşrutlar cədvəlləri: hər iki istiqamətdə yol varmı? Trafikin qarşısını alan daha spesifik marşrut yoxdur?
3. SG/NSG/NACL: stateful-in/out uyğun? ACL alt şəbəkəsi əks trafiki bloklamırmı?
4. DNS: düzgün xüsusi qeydlər/forwarders? Hər iki şəbəkədən 'dig + short' yoxlayın.
5. MTU/MSS/PMTUD: parçalanma və «səssiz» vaxtlar varmı?
6. Flow logs yoxlama: SYN/SYN-ACK/ACK varmı? Kim tökür?
7. Inter-region: kvotalar/pirinq limitləri/təşkilat siyasəti/marşrut etiketləri.

12) Antipattern

«Təsadüfi» mesh onlarca pir olmadan hub → partlayış çətinliklər və ACL keçidləri.
Overlapping CIDR «NAT ilə bir şəkildə sıxışdırmaq» → audit/keçid identifikasiyası pozulur.
Hər spoke ictimai egress → nəzarətsiz səth və dəyəri.
No split-horizon DNS → ad sızması/qırıq rezolves.
Geniş marşrutlar '0. 0. 0. 0/0 'vasitəsilə peer → trafikin gözlənilməz asimmetriyası.
IaC və yoxlama olmadan konsol əl düzəlişləri.

13) iGaming/Maliyyə Xüsusiyyətləri

PCI CDE və ödəniş konturları - yalnız yoxlama ilə hub vasitəsilə; heç bir spoke, spoke.
Data residency: PII/əməliyyat qeydləri - yurisdiksiyalar daxilində; regionlararası - aqreqatlar/anonim.
Multi-PSP: PrivateLink/PSP özəl kanalları, allowlist FQDN və mTLS/HMAC mərkəzləşdirilmiş egress proxy.
Audit/WORM: flow-loqlar və dəyişməz anbarda marşrutların dəyişdirilməsi, normalara görə retenshn.
SLO kəsiklər: per region/VPC/tenant; «egress sızması» və regionlararası RTT deqradasiyası üçün alertlər.

14) Prod hazırlıq yoxlama siyahısı

• CIDR planı kəsişmədən (IPv4/IPv6), böyümə hovuzları ayrılmışdır.
• Hub-and-spoke topologiyası; ziyafətlər - yalnız spoke, hub; TGW/VWAN/Cloud Router vasitəsilə tranzit.
• Route tables: aydın yolları, peer vasitəsilə heç bir catch-all, blackhole nəzarət.
• SG/NSG/NACL tətbiq; mesh L7-siyasət; egress yalnız hub/PrivateLink vasitəsilə.
• Private DNS/PHZ xüsusi; conditional-forwarders между on-prem/cloud/regions.
• Flow Logs daxildir; peer/region üzrə daşbordlar; əlçatanlıq sintetikası və PMTUD testləri.
• Qaydalar/marşrutlar/DNS üçün IaC (Terraform/CLI) və Policy-as-Code (OPA/Conftest).
• Runbook 'və sənədləşdirilmiş (peer əlavə, spoke off marşrutları).
• Təlimlər: hub/pir söndürülməsi, faktiki RTO/RPO şəbəkə yollarının ölçülməsi.
• iGaming/Finance üçün: PCI izolyasiyası, PSP-yə PrivateLink, WORM auditi, SLO/yurisdiksiyalar üzrə alert.

15) TL; DR

VPC/VNet Peering-dən «nöqtədən nöqtəyə» sadə şəxsi əlaqə üçün istifadə edin, lakin tranzit üçün ona güvənməyin - bunun üçün bir hub (TGW/VWAN/Cloud Router) lazımdır. CIDR-ni kəsişmədən planlaşdırın, marşrutları aydın və spesifik saxlayın, stateful SG/NSG və L7 siyasətlərini mesh, DNS - split-horizon-da tətbiq edin. Flow-log, sintetik və PMTUD yoxlamalarını daxil edin. iGaming/Finance üçün - PCI izolyasiyası, PSP-yə xüsusi kanallar və dəyişməz audit.