GH GambleHub

VPC Peering and Routing

1) Γιατί η ομαδοποίηση και πότε ενδείκνυται

Η VPC/VNet Peering συνδυάζει τα ιδιωτικά δίκτυα του παρόχου σε έναν ενιαίο χώρο διευθύνσεων από σημείο σε σημείο με την ιδιωτική κυκλοφορία (χωρίς διαδίκτυο και χωρίς NAT μεταξύ ομοτίμων). Τυπικές περιπτώσεις:
  • διαχωρισμός περιβάλλοντος και τομέων (prod/stage/dev) με κοινή ιδιωτική συνδεσιμότητα·
  • δημιουργία κοινών πλατφορμών (υλοτομία, KMS/θησαυροφυλάκιο, τεχνουργήματα) σε κοινό δίκτυο·
  • πρόσβαση από εφαρμογές στη διαχείριση PaaS μέσω ιδιωτικών διαδρομών (μέσω κόμβων/τελικών σημείων).

Όταν είναι καλύτερο να μην είναι κανείς ομότιμος, αλλά ένας κόμβος: περισσότερα από 10-20 δίκτυα, η ανάγκη για δρομολόγηση διαμετακόμισης, κεντρική έξοδος, επικοινωνίες μεταξύ νέφους → χρησιμοποιούν την πύλη διαμετακόμισης/εικονική WAN/Cloud Router.

2) Υποδείγματα και περιορισμοί

2. 1 Τύποι ομοτίμων

Ενδοπεριφερειακή συνεργασία - εντός της περιοχής, ελάχιστες καθυστερήσεις και κόστος.
Διαπεριφερειακή συνεργασία - μεταξύ περιφερειών, συνήθως καταβάλλεται διαπεριφερειακή κυκλοφορία.
Cross-project/account - ανταλλαγή μεταξύ διαφορετικών λογαριασμών/έργων (με εξουσιοδότηση).

2. 2 Διαμετακόμιση και ΝΑΤ

Το Classic VPC/VNet Peering δεν είναι μεταβατικό: το δίκτυο A↔B και B↔C δεν σημαίνει A↔C.
NAT μέσω ενδιάμεσου δικτύου διαμετακόμισης - αντι-μοτίβο (σπάει την πηγή IP, πολύπλοκος έλεγχος).
Για τη διαμετακόμιση - λεωφορείο κόμβου: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 Επικαλυπτόμενο CIDR

Το peering δεν υποστηρίζει παρεμβολές προθεμάτων. Εάν οι διασταυρώσεις είναι αναπόφευκτες, ισχύει:
  • Διεύθυνση Replan (βέλτιστη επιλογή)·
  • NAT domains/Proxy VPC με μονόπλευρα συστήματα (λαμβάνοντας υπόψη τον έλεγχο και την υλοτομία)·
  • Για συγκεκριμένα PaaS - PrivanLink/PSC χωρίς πρόσβαση L3.

3) Διευθύνσεις και σχεδιασμός διαδρομής

3. 1 Προγραμματισμός CIDR

Ένα μόνο υπερκείμενο δίχτυ (για παράδειγμα, '10. 0. 0. 0/8 ') → διαιρείται με «περιφέρεια/env/vpc».
Εύρος αποθεματικών για μελλοντικά VPC/ρυθμιστικά αποθέματα ανάπτυξης.
IPv6 - Σχέδιο: '/56 'για το VPC, '/64' για το υποκατάστημα.

3. 2 Δρομολόγηση

Πίνακες διαδρομών: σαφείς διαδρομές σε ομότιμους/κόμβους σε κάθε VPC/υποσύνολο.
Προτεραιότητες: Κερδίζει το πιο συγκεκριμένο πρόθεμα. να αποφεύγεται η αλίευση όλων μέσω ομοτίμων.
Προστασία μαύρης τρύπας: Μαρκάρισμα και καθαρές διπλές/παρωχημένες διαδρομές.

3. 3 Τομείς και ρόλοι

Spoke (εφαρμογές) ↔ Hub (κοινές υπηρεσίες, έξοδος, επιθεώρηση).
Γιορτές μόνο spoke↔hub? - μέσω του κόμβου (διαχωρισμός και έλεγχος).

4) Πρότυπα τοπολογίας

4. 1 «Απλό» πλέγμα (≤5 VPC)

Απευθείας γιορτές pin-to-pin (A↔B, A↔C...). Επαγγελματικά προσόντα: ελάχιστα κατασκευαστικά στοιχεία· cons: O (N 2) συνδέσεις και κανόνες.

4. 2 Hub-and-Spoke

Όλοι μίλησαν γιορτές με Hub VPC/VNet? στον κόμβο - TGW/Virtual WAN/Cloud Router, NAT/έξοδος, επιθεώρηση. Κλιμακωτή, εύκολη στη διαχείριση.

4. 3 Πολυπεριφέρεια

Τοπικοί κόμβοι σε κάθε περιοχή. μεταξύ κόμβων - διαπεριφερειακή ομαδοποίηση ή ραχοκοκαλιά (TGW-to-TGW/VWAN-to-VWAN).

5) Ασφάλεια και κατάτμηση

Stateful on host: SG/NSG είναι το κύριο εμπόδιο. NACL/subnetwork ACL - χονδροειδείς λίστες φύλαξης/άρνησης.
L7 πολιτικές στα μάτια/πληρεξούσιο (Istio/Απεσταλμένος/NGINX) - έγκριση από mTLS/JWT/αξιώσεις.
Έλεγχος εξόδου: η ομιλία δεν πρέπει να «βλέπει» απευθείας το Διαδίκτυο - μόνο μέσω της πύλης εξόδου/PrivanLink.
Καταγραφές ροής και επιθεώρηση κόμβων (GWLB, IDS/IPS) για κυκλοφορία μεταξύ VPC.

6) DNS и διαχωριστικός ορίζοντας

Κάθε ιδιωτική ζώνη - ορατότητα στα επιθυμητά VPC (Ιδιωτικές φιλοξενούμενες ζώνες/Ιδιωτικές DNS/Ζώνες).
Για την PaaS μέσω PrivanLink/PSC - ιδιωτικές εγγραφές σε ιδιωτικά καταληκτικά σημεία IP.
Υπό όρους προώθηση между on-prem ↔ cloud и περιοχή ↔ περιοχή.
Όνομα: 'svc. env. περιφέρεια. εσωτερικά. corp '- χωρίς PII· καθορίζουν το TTL (30-120s) κάτω από το φτερό.

7) Παρατηρησιμότητα και δοκιμές

Metrics: αποδεκτή/απόρριψη σε SG/NSG, bytes ανά ομότιμο, RTT/jitter μεταξύ των περιφερειών, top-talkers.
Αρχεία καταγραφής ροής VPC/αρχεία καταγραφής ροής NSG σε SIEM, ίχνος με 'trace _ id' για L7↔L3 συσχέτιση.
Δοκιμές προσβασιμότητας: TCP/443 θύρες συνθετικών/DB από διαφορετικά υποδίκτυα/AZ/περιοχές. αναλυτής προσβασιμότητας.
Δίκτυο χάους: καθυστερήσεις/απώλειες μεταξύ ομοτίμων/κόμβων. timeout/retray/idempotency check.

8) Επιδόσεις και κόστος

Η διαπεριφερειακή επιβάρυνση σχεδόν πάντα χρεώνεται. ανάγνωση εξόδου εκ των προτέρων (ακριβότερο με κούτσουρα/αντίγραφα ασφαλείας).
MTU/PMTUD: το πρότυπο MTU είναι εντός του παρόχου, αλλά στα όρια (VPN, FW, NAT-T), εξετάστε τον σφιγκτήρα MSS.
Κλίμακα επιθεώρησης (σύνολα GWLB/κλίμακας) χωρίς σημεία συμφόρησης. ECMP για κόμβους.
Η κρύπτη/άκρη και τα συρματόσχοινα μειώνουν τη διαπεριφερειακή κυκλοφορία.

9) Χαρακτηριστικά και παραδείγματα του νέφους

9. 1 AWS (VPC Peering/Transit Gateway)

VPC Peering: δημιουργία σύνδεσης ομοτίμων, προσθήκη διαδρομών σε πίνακες υποδίκτυων.
Δεν υπάρχει διαμετακόμιση μέσω τακτικής ομοτιμίας. Για τη διαμετακόμιση και το κεντρικό μοντέλο - Πύλη διαμετακόμισης.

Θραύσματα terraform (ιδέα): 
hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering/Virtual WAN)

VNet Peering (συμπεριλαμβανομένης της παγκόσμιας): σημαίες Επιτρέψτε την προώθηση της κυκλοφορίας, Χρησιμοποιήστε απομακρυσμένη πύλη για συστήματα κόμβων.
Για κόμβους και διαμετακόμιση - Εικονική WAN/Κόμβος με πίνακες και πολιτικές διαδρομής.

Ιδέα CLI: 
bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering/Cloud Router)

VPC Peering χωρίς διαμετακόμιση· για το κέντρο - Cloud Router + HA VPN/Peering Router.
Ιεραρχικά FW-org-guardrails.

10) Kubernetes σε δίκτυα ομοτίμων

Δέσμη οινοπνευματωδών, κοινές υπηρεσίες (υλοτομία/αποθήκευση/τεχνουργήματα) - στον κόμβο. πρόσβαση σε ιδιωτικές διευθύνσεις.
NetworkPolicy «renge-all» και ρητή έξοδος από τον κόμβο/PrivanLink.
Να μη «φέρουν» CIDR Pod μεταξύ VPC. διαδρομή του κόμβου CIDR και χρήση εισόδου/πύλης.

11) Διαδρομή (φύλλο εξαπάτησης)

1. Τα CIDR δεν επικαλύπτονται Ελέγξτε τα supersets/παλιά υποδίκτυα.

2. Πίνακες διαδρομών: Υπάρχει διαδρομή αμφίδρομη Υπάρχει μια πιο συγκεκριμένη διαδρομή που αναχαιτίζει την κυκλοφορία

3. SG/NSG/NACL: stateful-in/out match? Το υπο-δίχτυ ACL μπλοκάρει την αντίστροφη κυκλοφορία

4. DNS: ορθά ιδιωτικά αρχεία/φορείς προώθησης Ελέγξτε το 'dig + short' και από τα δύο δίκτυα.

5. MTU/MSS/PMTUD: υπάρχει κατακερματισμός και σιωπηλά χρονικά περιθώρια

6. Αρχεία καταγραφής ροής ελέγχου: υπάρχει SYN/SYN-ACK/ACK Ποιος πέφτει

7. Διαπεριφερειακές ποσοστώσεις/όρια/πολιτικές οργάνωσης/ετικέτες δρομολόγησης.

12) Αντιπατερίδια

Ένα «τυχαίο» πλέγμα δεκάδων συνομηλίκων χωρίς κόμβο → έκρηξη δυσκολιών και περάσματα ACL.
Αλληλεπικάλυψη CIDR «κατά κάποιο τρόπο κατακλύζει NAT» → διαλείμματα ελέγχου/τελικής ταυτοποίησης.
Η δημόσια έξοδος σε κάθε μία μιλούσε → ανεξέλεγκτη επιφάνεια και κόστος.
Έλλειψη διαιρεμένου ορίζοντα DNS → διαρροές ονόματος/σπασμένες αναλύσεις.
Ευρείες διαδρομές "0. 0. 0. 0/0 'πάνω από ομότιμους → απροσδόκητη κυκλοφοριακή ασυμμετρία.
Χειροκίνητες επεξεργασίες στην κονσόλα χωρίς IaC και αναθεώρηση.

13) Ιδιαιτερότητες του iGaming/Finance

ΕΚΕ CDE και κυκλώματα πληρωμών - μόνο μέσω του κόμβου με επιθεώρηση· καμία παράκαμψη spoke↔spoke.
Κατοικία δεδομένων: PII/αρχεία καταγραφής συναλλαγών - εντός της δικαιοδοσίας· διαπεριφερειακά - συγκεντρωτικά/ανώνυμα.
Πολυ-PSP: PrivacLink/ιδιωτικά κανάλια προς PSP, κεντρικός διαμεσολαβητής εξόδου από τα FQDN και mTLS/HMAC.
Έλεγχος/WORM: καταγραφές ροής και αλλαγές διαδρομής στην αμετάβλητη αποθήκευση, διατήρηση σύμφωνα με τα πρότυπα.
τμήματα SLO: ανά περιφέρεια/VPC/ενοικιαστή· ειδοποιήσεις για «διαρροή εξόδου» και υποβάθμιση διαπεριφερειακών RTT.

14) Κατάλογος ελέγχου ετοιμότητας Prod

  • Σχέδιο μη διέλευσης CIDR (IPv4/IPv6), δεσμευμένες ομάδες ανάπτυξης.
  • Hub-and-spoke τοπολογία? γιορτές - μόνο spoke↔hub, διαμετακόμιση μέσω TGW/VWAN/Cloud Router.
  • Πίνακες διαδρομών: σαφείς διαδρομές, χωρίς catch-all μέσω ομοτίμων, έλεγχος μαύρης τρύπας.
  • SG/NSG/NACL· πολιτικές L7 με πλέγματα· έξοδος μόνο μέσω του κόμβου/PrivanLink.
  • Ιδιωτική διάταξη DNS/PHZ; φορείς προώθησης υπό όρους между on-prem/cloud/regions.
  • Ενεργοποιημένα αρχεία καταγραφής ροής. ταμπλό ανά ομότιμο/περιφέρεια· συνθετικά προσβασιμότητας και δοκιμές PMTUD.
  • IaC (Terraform/CLI) και Policy-as-Code (OPA/Conftest) για κανόνες/διαδρομές/DNS.
  • Τεκμηριωμένο runbook 'και (προσθέστε ομότιμους, διαδρομές roll out, απενεργοποιήστε την ομιλία).
  • Ασκήσεις: απενεργοποίηση του κόμβου/γιορτή, μέτρηση του πραγματικού RTO/RPO των διαδρομών δικτύου.
  • Για το iGaming/Finance: απομόνωση PCI, PrivanLink προς PSP, έλεγχος WORM, SLO/καταχωρίσεις ανά δικαιοδοσία.

15) TL· DR

Χρησιμοποιήστε το VPC/VNet Peering για απλή ιδιωτική συνδεσιμότητα από σημείο σε σημείο, αλλά μην βασίζεστε σε αυτό για διαμετακόμιση - χρειάζεται έναν κόμβο (TGW/VWAN/Cloud Router). Σχέδιο CIDR χωρίς διασταυρώσεις, διατήρηση διαδρομών σαφών και ειδικών, εφαρμογή κρατικών πολιτικών SG/NSG και L7 σε πλέγματα, DNS - διαχωριστικός ορίζοντας. Ενεργοποίηση αρχείων καταγραφής ροής, συνθετικών και ελέγχων PMTUD. Για iGaming/finance - απομόνωση PCI, ιδιωτικά κανάλια σε PSP και αμετάβλητος έλεγχος.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Telegram
@Gamble_GC
Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.