Ιδιωτικά καταληκτικά σημεία και ενδοδίκτυα

1) Γιατί ένα ιδιωτικό δίκτυο

• απομόνωση PaaS/DB/αποθήκες από δημόσια IP·
• Ευκολότερη συμμόρφωση (ΕΚΕ DSS/GDPR)
• προβλέψιμες καθυστερήσεις και δρομολόγηση.

2) Βασικό μοντέλο: VPC/VNet και κόμβοι

Χώρος διευθύνσεων: ένα ενιαίο σχέδιο CIDR, χωρίς διασταυρώσεις (για παράδειγμα, '10. 0. 0. 0/12 'κόβεται σε περιβάλλοντα και κόμβους).
Κατάτμηση: υποδίκτυα 'εισόδου', 'app', 'data', 'ops', 'shared' με μεμονωμένες διαδρομές/ACL/SG.
Κόμβος διαμετακόμισης: κεντρική VPC/VNet με πύλες (VPN/DirectConnect/ExpressRoute/Interconnect), inter-VPC peering/Transit Gateway και τείχη προστασίας δικτύου.
Διπλή στοίβα: προγραμματισμός IPv6 εκ των προτέρων (εξοικονομεί NAT, βελτιώνει την κλίμακα διευθύνσεων).

3) Ιδιωτικά καταληκτικά σημεία: αρχές

• Η κυκλοφορία γίνεται εντός του δικτύου του παρόχου (όχι μέσω του Διαδικτύου).
• Τελικά όρια πολιτικής όπου μπορείτε να πάτε (προθέματα/ARN/πόροι).
• Το DNS επαναπροσδιορίζεται σε ιδιωτικό IP (βλέπε § 6).

Τυπικοί στόχοι: καταστήματα αντικειμένων (S3/GCS/Blob), μυστικά/KMS, ουρές αναμονής, λεωφορεία εκδηλώσεων, βάσεις δεδομένων υπό διαχείριση, αναλυτικές υπηρεσίες, μητρώα τεχνουργημάτων.

4) Είσοδος και εξισορρόπηση εντός

Εσωτερικός ισολογισμός φορτίου (ILB) για L4/7, βλέπουμε μόνο από ιδιωτικά υποδίκτυα.

• 'Υπηρεσία' τύπου ' Balancer' με εσωτερικές σημειώσεις.
• Σύνδεση μέσω εσωτερικής εισόδου (Nginx/Contour/Gateway API) σε ιδιωτική διεύθυνση.
• Πύλη API (ιδιωτική): ιδιωτική ολοκλήρωση με υποστηρικτές· εκτός - μόνο μέσω της ακμής, εφόσον απαιτείται.

Παράδειγμα: K8s Είσοδος ως εσωτερικό

yaml apiVersion: networking. k8s. io/v1 kind: Ingress metadata:
name: api-internal annotations:
kubernetes. io/ingress. class: "nginx"
alb. ingress. kubernetes. io/scheme: internal # or provider equivalent spec:
rules:
- host: api. internal. corp http:
paths:
- path: /v1/
pathType: Prefix backend:
service:
name: api port: { number: 8080 }

5) Περίγραμμα εξόδου: «εξ ορισμού - άρνηση»

• Πύλη NAT (για επικαιροποιήσεις/αποθετήρια) + πρόβλεψη εξόδου μέσω FQDN/IP·
• επιθεώρηση/πληρεξούσιο του TLS, εάν οι πολιτικές απαιτούν έλεγχο·
• Ιδιωτικά καταληκτικά σημεία της PaaS/μητρώα αντί της NAT.
• SG/NACL: ρητή άδεια ανά υπηρεσία, «ανατολικά-δυτικά» - ελάχιστη.
• Πολιτικές εξόδου (CNI/OPA Gatekeeper/Calico NetworkPolicy) - εξωτερικές άδειες IP, συστάδα/τελικό σημείο.

6) DNS: διαχωριστικός ορίζοντας и ιδιωτικές ζώνες

Χωριστές εσωτερικές ζώνες ('.internal. corp ") και το κοινό.
Ιδιωτικές ζώνες DNS για υπηρεσίες παροχής υπηρεσιών: παράκαμψη των δημόσιων ονομάτων (για παράδειγμα, «κουβάς». s3. περιφέρεια. αμαζονάους. com ") στα ιδιωτικά αρχεία A/AAAA.
Forwarders/Conditional DNS между on-prem ↔ cloud.
Μορφότυπος ονομασίας: encapsulate environment/region ('api. Ε1. εσωτερικά. corp '), να αποφεύγεται η PII.

api. internal. corp. A  10. 20. 30. 40 s3. bucket. corp. A  10. 100. 0. 25 # via private endpoint

7) Πρότυπα διασύνδεσης

Peering (VPC↔VPC/VNet↔VNet): απλό και γρήγορο. Η διαμετακόμιση δεν υποστηρίζεται πάντοτε → χρήση πύλης διαμετακόμισης/εικονικής WAN/Cloud Router για κομβικά σημεία.
On-prem ⇄ cloud: IPsec VPN για να ξεκινήσει, στη συνέχεια μισθωμένη γραμμή (DC/ER/IC) με BGP και backup (δύο πάροχοι, διαφορετικά σημεία εισόδου).
VRF/Διαχωρισμός τομέα διαδρομής: απομόνωση της περιμέτρου prod/stage/dev και της κάρτας.

8) Μηδενική εμπιστοσύνη και εσωτερική εξακρίβωση ταυτότητας

mTLS-εξ ορισμού (πλέγμα υπηρεσίας: Istio/Linkerd/Πρόξενος), ταυτότητα μηχανής: SPIFFE/SPIRE.
Πολιτικές L7: έγκριση από την JWT/απαιτήσεις/πεδία εφαρμογής, περιορισμός διαδρομών/μεθόδων σε επίπεδο πληρεξουσίου.
Μυστικά: HashiCorp Vault/КMS + Εξωτερικός χειριστής μυστικών. βραχύβια ευπιστία (STS).
Bastion/Privileged Access: πρόσβαση στο privatka μόνο μέσω συνεδρίας μεσίτη/JIT (MFA, εγγραφή εντολών).

Παράδειγμα: Φίλτρο απεσταλμένου mTLS + JWT-authz (θραύσμα)

yaml transport_socket:
name: tls typed_config: {... spiffe://svc. api... }
http_filters:
- name: envoy. filters. http. jwt_authn typed_config:
providers:
oidc: { issuer: https://idp. corp, audiences: ["api"], remote_jwks: {...} }
rules: [{ match: { prefix: "/v1" }, requires: { provider_name: oidc } }]

9) Δεδομένα και PaaS εντός του ιδιωτικού τομέα

Βάσεις δεδομένων/ομάδες: μόνο ιδιωτικές διευθύνσεις· πάνελ admin μέσω προμαχώνα/JIT.
Αποθετήρια: πρόσβαση από VPC μέσω ιδιωτικού τελικού σημείου. η πολιτική τελικού σημείου επιτρέπει μόνο τους επιθυμητούς κουβάδες/εμπορευματοκιβώτια.
Ουρές αναμονής/λεωφορεία: ιδιωτικές διεπαφές. παραγωγοί/καταναλωτές - στην ίδια VPC/ομοτίμους.
Μητρώα τεχνουργημάτων: ιδιωτική πρόσβαση από δρομείς CI/CD σε ιδιωτικά υποδίκτυα.

10) Παρατηρησιμότητα στα ιδιωτικά δίκτυα

OpenTelemetry Collector - ως πύλη τηλεμετρίας: εσωτερικοί εξαγωγείς σε αυτο-φιλοξενούμενους (Prometheus/Tempo/Loki/ClickHouse) ή να διαχειρίζονται backends μέσω ιδιωτικών τελικών σημείων.
Απαιτούνται αρχεία καταγραφής ροής/αρχεία καταγραφής NSG/NACL και αναλυτής προσβασιμότητας.
SLO-φέτες: 'site/region/vpc/subnet', ειδοποιήσεις εξόδου και απροσδόκητη «διεύθυνση Διαδικτύου».

11) Δοκιμές και εξακρίβωση

Πολιτική ως κώδικας (OPA/Gatekeeper) για τους κανόνες δικτύου/είσοδος/υπηρεσία.
Κανάριοι άξονες: πεδία δοκιμών σε ιδιωτικό DNS, συνθετικοί έλεγχοι από διαφορετικά υποδίκτυα/AZ/περιφέρειες.
Δίκτυο χάους: καθυστερήσεις/απώλειες σε inter-VPC/inter-AZ (netem/Toxiproxy), ελέγχους χρονοδιαγράμματος και πολιτικές επαναπροσδιορισμού.

12) Παραδείγματα διαμόρφωσης

12. 1 Terraform: ετικέτες και διαδρομές (ιδέα)

hcl resource "aws_route_table" "app" {
vpc_id = aws_vpc. core. id tags = { Name = "rt-app", env = var. env, zone = "private" }
}
Route on PrivateLink endpoint (interface endpoint is created separately)
resource "aws_vpc_endpoint_route_table_association" "s3" {
route_table_id = aws_route_table. app. id vpc_endpoint_id = aws_vpc_endpoint. s3. id
}

12. 2 K8s Πολιτική δικτύων: αρνηθείτε τα πάντα εκτός από αυτό που χρειάζεστε

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: allow-core }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ port: 5432, protocol: TCP }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 }  # private endpoints ports: [{ port: 443, protocol: TCP }]

12. 3 Nginx Inground (εσωτερικό σχήμα) + HSTS

yaml metadata:
annotations:
alb. ingress. kubernetes. io/scheme: internal nginx. ingress. kubernetes. io/hsts: "true"

13) Αντιπατερίδια

Κοινό «Διαδίκτυο διαχείρισης» από ιδιωτικά υποδίκτυα· έλλειψη ελέγχου εξόδου.
Διαιρεμένος εγκέφαλος DNS και τυχαίο εγχειρίδιο '/κλπ./ξενιστές '.
Παρεμβολή CIDR και «κούκλες φωλιάς NAT».
Δημόσια καταληκτικά σημεία για βάσεις δεδομένων/αποθήκες «για λόγους ευκολίας».
Δεν υπάρχουν αρχεία καταγραφής ροών/έλεγχοι κανόνων· «open» SG '0. 0. 0. 0/0`.
Μακρόβια στατικά κλειδιά πρόσβασης στον κωδικό/CI.

14) Κόστος και απόδοση

Τα ιδιωτικά τελικά σημεία είναι συχνά φθηνότερα από τη μόνιμη έξοδο ΝΑΤ και ασφαλέστερα.
Προγραμματισμός συστάδων NAT/az-local για εύρος ζώνης ώστε να αποφεύγεται η δημιουργία σημείων συμφόρησης.
Η λεκάνη απορροής/άκρη και τα συρματόσχοινα μειώνουν τη διαπεριφερειακή κυκλοφορία.
Επιλογή πρωτοκόλλων: HTTP/2/gRPC εντός της → υπάρχουν λιγότερες συνδέσεις και TLS από πάνω.

15) Ιδιαιτερότητες του iGaming/Finance

ΕΚΕ DSS: κύκλωμα καρτών (CDE) σε ξεχωριστό δίκτυο/VRF, χωρίς διαδίκτυο· πρόσβαση στα αρχεία καταγραφής αποθήκευσης/PSP μόνο με ιδιωτικά τελικά σημεία· αμετάβλητοι έλεγχοι (WORM/Object Lock).
KMS/Θησαυροφυλάκιο: κλειδιά ανά περιφέρεια/εμπορικό σήμα Οι πράξεις υπογραφής (HSM) είναι διαθέσιμες μόνο από το CDE μέσω mTLS.
PSP/KYC: εάν υπάρχει ιδιωτική συνδεσιμότητα/αγορές - χρήση· διαφορετικά, έξοδος μέσω αξιόπιστου διαμεσολαβητή με HMAC/mTLS και ρητή λίστα δικαιωμάτων εκπομπής.
Πολυπλοκότητα: ετικέτες και πολιτικές από τον «ενοικιαστή »/« εμπορικό σήμα»· ξεχωριστές ιδιωτικές ονομασίες DNS και στρώματα SG.

16) Κατάλογος ελέγχου ετοιμότητας Prod

• σχέδιο CIDR χωρίς διασταυρώσεις· έτοιμη διπλή στοίβα (IPv6).
• Hub-and-Spoke, διαμετακόμιση, ομότιμη? on-prem ⇄ cloud - BGP, εφεδρικά ζεύγη ζεύξεων.
• Όλες οι PaaS/αποθήκες/DB - μέσω ιδιωτικών τελικών σημείων + πολιτικών τελικού σημείου.
• Εσωτερική είσοδος LB/ δημόσια περίμετρο - μόνο στην ακμή/WAF.
• Το split-horizon DNS, οι ιδιωτικές ζώνες και η υπό όρους προώθηση διαμορφώνονται.
• Η έξοδος είναι εξ ορισμού «άρνηση». Τα NAT/πληρεξούσια είναι περιορισμένα και καταχωρίζονται.
• mTLS ματιών + SPIFFE· JWT-authz στο L7; Θησαυροφυλάκιο/ΥΕΔΕ, σύντομα μυστικά.
• NetworkPolicy/SG/NACL - «ελάχιστα απαραίτητα» αρχεία καταγραφής ροής και ανάλυση προσβασιμότητας.
• OTEL συλλέκτης στο εσωτερικό; ειδοποιήσεις εξόδου, SLO με «site/region/vpc».
• ΕΚΕ/έλεγχος: ημερολόγια WORM, KMS/HSM, απομόνωση CDE, εγχειρίδιο πρόσβασης.

17) TL, DR

Κατασκευή δικτύου κόμβων με σαφές σχέδιο CIDR, χρήση ιδιωτικών τελικών σημείων σε κάθε βάση δεδομένων PaaS/αποθήκευσης/αποθήκευσης, και κυκλοφορία προς τα έξω μόνο μέσω σημείων εξόδου υπό διαχείριση. Εσωτερικό - εσωτερικό LB/Ingress, mTLS + SPIFFE, split-horizon DNS, αυστηρή NetworkPolicy/SG και τηλεμετρία μέσω OTEL. Για το iGaming/Finance, προσθέστε τον κατακερματισμό PCI, το KMS/Vault και τον αμετάβλητο έλεγχο. Έξοδος PSP/KYC μέσω ιδιωτικών καναλιών ή αυστηρά ελεγχόμενου πληρεξούσιου.