VPC Peering و مسیریابی
1) چرا Peering و زمانی که مناسب است
VPC/VNet Peering شبکه های خصوصی ارائه دهنده را به یک فضای آدرس نقطه به نقطه با ترافیک خصوصی (بدون اینترنت و بدون NAT بین همسالان) ترکیب می کند. موارد معمول:- جداسازی محیط ها و دامنه ها (prod/stage/dev) با اتصال خصوصی مشترک ؛
- بیرون آوردن سیستم عامل های مشترک (ورود به سیستم، KMS/Vault، مصنوعات) در یک شبکه مشترک ؛
- دسترسی از برنامه های کاربردی به PaaS مدیریت از طریق مسیرهای خصوصی (از طریق هاب/endpoints).
هنگامی که بهتر است به peering نیست، اما یک هاب: بیش از 10-20 شبکه، نیاز به مسیریابی حمل و نقل، خروج متمرکز، ارتباطات بین ابر → استفاده از دروازه حمل و نقل/مجازی WAN/ابر روتر.
2) مدل ها و محدودیت ها
2. 1 انواع سرچ
درون منطقه ای - در منطقه، حداقل تاخیر و هزینه.
بین منطقه ای - بین مناطق، ترافیک بین منطقه ای معمولا پرداخت می شود.
پروژه متقابل/حساب - بین حساب های مختلف/پروژه ها (با نمایندگی).
2. 2 حمل و نقل و NAT
کلاسیک VPC/VNet Peering گذرا نیست: شبکه A↔B و B↔C به معنای A↔C نیست.
NAT از طریق شبکه متوسط برای ترانزیت - ضد الگو (IP منبع را خراب می کند، ممیزی پیچیده).
برای حمل و نقل - اتوبوس هاب: دروازه حمل و نقل AWS (TGW)، Azure Virtual WAN/Hub، GCP Cloud Router/HA VPN/Peering Router.
2. 3 همپوشانی CIDR
Peering پیشوندهای متقاطع را پشتیبانی نمی کند. اگر عبور اجتناب ناپذیر است، اعمال می شود:- آدرس Replan (بهترین گزینه) ؛
- دامنه های NAT/پروکسی VPC با طرح های یک طرفه (با توجه به حسابرسی و ورود به سیستم) ؛
- برای PaaS خاص - PrivateLink/PSC بدون دسترسی L3.
3) آدرس و طراحی مسیر
3. 1 برنامه ریزی CIDR
یک سوپر نت تنها (به عنوان مثال، '10. 0. 0. 0/8 ') → تقسیم بر' منطقه/env/vpc '.
محدوده ذخیره برای VPC های آینده/رشد بافر.
IPv6 - برنامه پیش رو: «/56 »در VPC، «/64» در زیر شبکه.
3. 2 مسیریابی
جداول مسیر: مسیرهای صریح در peer/hub در هر VPC/subnet.
اولویت ها: پیشوند خاص تر برنده می شود ؛ اجتناب از گرفتن همه از طریق peering.
حفاظت از Blackhole: مسیرهای تکراری/منسوخ را علامت گذاری و تمیز کنید.
3. ۳ حوزهها و نقشها
صحبت کرد (برنامه های کاربردی) ↔ توپی (خدمات مشترک، خروج، بازرسی).
جشنها فقط spoke↔hub ؛ spoke↔spoke - از طریق هاب (تقسیم بندی و کنترل).
4) الگوهای توپولوژی
4. 1 مش «ساده» (≤5 VPC)
جشن های پین به پین مستقیم (A↔B، A↔C...). مزایا: حداقل اجزاء ؛ معایب: O (N ²) لینک ها و قوانین.
4. 2 هاب و صحبت کرد
همه جشن با هاب VPC/VNet صحبت کرد ؛ در هاب - TGW/مجازی WAN/ابر روتر، NAT/خروج، بازرسی. مقیاس پذیر، آسان برای مدیریت.
4. 3 چند منطقه ای
مراکز محلی در هر منطقه ؛ بین هاب ها - بین منطقه ای یا ستون فقرات (TGW به TGW/VWAN به VWAN).
5) امنیت و تقسیم بندی
Stateful در میزبان: SG/NSG مانع اصلی است ؛ NACL/زیرشبکه ACL - لیست درشت گارد/انکار.
سیاست های L7 در مش/پروکسی (Istio/Envoy/NGINX) - مجوز توسط mTLS/JWT/ادعا می کند.
کنترل خروج: صحبت کرد نباید «دیدن» اینترنت به طور مستقیم - تنها از طریق دروازه خروج/PrivateLink.
گزارش های جریان و بازرسی هاب (GWLB، IDS/IPS) برای ترافیک بین VPC.
6) DNS и تقسیم افق
هر منطقه خصوصی - دید در VPC های مورد نظر (مناطق خصوصی میزبان/DNS خصوصی/مناطق).
برای PaaS از طریق PrivateLink/PSC - ورودی های خصوصی به نقاط انتهایی IP خصوصی.
حمل و نقل مشروط on-prem ابر منطقه.
نام گذاری: SVC ENV. منطقه. داخلی است. corp '- بدون PII ؛ TTL (30-120 ثانیه) را تحت فیلر ثابت کنید.
7) قابلیت مشاهده و آزمایش
معیارها: پذیرفته شده/رد شده در SG/NSG، بایت در هر همکار، RTT/jitter بین مناطق، سخنرانان بالا.
سیاهههای مربوط: VPC Flow Logs/NSG Flow Logs در SIEM، ردیابی با 'trace _ id' برای همبستگی L7↔L3.
تست های دستیابی: TCP/443 پورت های مصنوعی/DB از زیر شبکه های مختلف/AZ/مناطق ؛ تجزیه و تحلیل قابلیت دسترسی.
هرج و مرج شبکه: تاخیر/تلفات بین همکار/هاب ؛ اتمام وقت/retray/بررسی idempotency.
8) عملکرد و هزینه
بین منطقه تقریبا همیشه شارژ می شود ؛ خواندن خروج در پیشبرد (گران تر با سیاهههای مربوط/پشتیبان گیری).
MTU/PMTUD: MTU استاندارد در داخل ارائه دهنده است، اما در مرزها (VPN، FW، NAT-T)، MSS-clamp را در نظر بگیرید.
بازرسی مقیاس بالا (GWLB/مقیاس مجموعه) بدون تنگناها ؛ ECMP برای هاب ها
کش/لبه و SWR ترافیک بین منطقه ای را کاهش می دهد.
9) ویژگی های ابر و نمونه ها
9. 1 AWS (VPC Peering/دروازه حمل و نقل)
VPC Peering: ایجاد اتصال peering، اضافه کردن مسیرها در جداول زیر شبکه.
هیچ حمل و نقل از طریق peering به طور منظم وجود دارد. برای ترانزیت و مدل متمرکز - دروازه ترانزیت.
hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id = aws_vpc. a. id peer_vpc_id = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept = false tags = { Name = "a-b", env = var. env }
}
resource "aws_route" "a_to_b" {
route_table_id = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}9. 2 لاجوردی (VNet Peering/Virtual WAN)
VNet Peering (از جمله جهانی): پرچم ها اجازه می دهد ترافیک ارسال شده، از دروازه راه دور برای طرح های هاب استفاده کنید.
برای هاب ها و حمل و نقل - Virtual WAN/Hub با جداول مسیر و سیاست ها.
bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic9. 3 GCP (VPC Peering/Cloud Router)
VPC بدون حمل و نقل ؛ برای مرکز - Cloud Router + HA VPN/Peering روتر.
FW سلسله مراتبی для گارد محافظ.
10) Kubernetes در شبکه های نظیر به نظیر
خوشه در صحبت کرد, خدمات مشترک (ورود به سیستم/ذخیره سازی/مصنوعات) - در هاب; دسترسی به آدرس های خصوصی
NetworkPolicy «انکار همه» و خروج صریح در هاب/PrivateLink.
آیا «حمل» غلاف CIDR بین VPC ها ؛ مسیر گره CIDR و استفاده از Ingress/Gateway.
11) Trableshooting (ورق تقلب)
1. CIDR ها همپوشانی ندارند ؟ ابرشبکهها/زیرشبکههای قدیمی را بررسی کنید.
2. جدول مسیر: آیا هر دو مسیر وجود دارد ؟ آیا مسیر خاصی وجود دارد که ترافیک را متوقف کند ؟
3. SG/NSG/NACL: دولت در داخل/خارج بازی ؟ آیا ACL ترافیک معکوس را مسدود می کند ؟
4. DNS: سوابق خصوصی/حمل و نقل خصوصی ؟ «dig + short» را از هر دو شبکه بررسی کنید.
5. MTU/MSS/PMTUD: آیا تقسیم بندی و زمان خاموش وجود دارد ؟
6. بررسی سیاهههای مربوط به جریان: آیا SYN/SYN-ACK/ACK وجود دارد ؟ کی افت میکنه ؟
7. بین منطقه: peering سهمیه/محدودیت/سیاست های سازمان/برچسب های مسیریابی.
12) ضد گلوله
مش «تصادفی» از ده ها تن از همسالان بدون هاب → انفجار مشکلات و ACL عبور می کند.
همپوشانی CIDR «به نوعی غلبه بر NAT» → شکاف شناسایی حسابرسی/پایان به پایان.
خروج عمومی در هر سخن گفت → سطح کنترل نشده و هزینه.
عدم وجود DNS split-horizon → نشت نام/قطعنامه های شکسته.
مسیرهای گسترده "0. 0. 0. 0/0 بیش از همکار → عدم تقارن ترافیک غیر منتظره.
ویرایش دستی در کنسول بدون IaC و تجدید نظر.
13) ویژگی های iGaming/امور مالی
PCI CDE و مدارهای پرداخت - فقط از طریق مرکز با بازرسی ؛ بدون spoke↔spoke دور زدن.
اقامت داده ها: سیاهههای مربوط به PII/معامله - در حوزه های قضایی ؛ بین منطقه ای - aggregates/anonymous.
چند PSP: PrivateLink/کانال های خصوصی به PSP، پروکسی خروجی متمرکز توسط allowlist FQDN و mTLS/HMAC.
حسابرسی/WORM: سیاهههای مربوط به جریان و تغییرات مسیر در ذخیره سازی بدون تغییر، نگهداری با توجه به استانداردها.
بخش SLO: در هر منطقه/VPC/مستاجر ؛ هشدار برای «خروج از نشت» و تخریب RTT های بین منطقه ای.
14) تولید لیست آمادگی
- طرح عدم عبور CIDR (IPv4/IPv6)، استخرهای رشد محفوظ است.
- توپولوژی توپی و صحبت کرد ؛ جشن ها - فقط spoke↔hub ؛ حمل و نقل از طریق TGW/VWAN/روتر ابر.
- جداول مسیر: مسیرهای صریح، بدون گرفتن همه از طریق همکار، کنترل سیاه چاله.
- SG/NSG/NACL اعمال می شود ؛ سیاست های L7 در مش ؛ خروج تنها از طریق هاب/PrivateLink.
- DNS خصوصی/PHZ پیکربندی شده ؛ conditional-forwarders между on-prem/cloud/regions.
- سیاهههای مربوط جریان فعال ؛ داشبورد توسط همکار/منطقه ؛ synthetics دسترسی و تست PMTUD.
- IaC (Terraform/CLI) و سیاست به عنوان کد (OPA/Conftest) برای قوانین/مسیرها/DNS.
- مستند runbook 'و (اضافه کردن همکار، رول کردن مسیرهای، غیر فعال کردن صحبت کرد).
- تمرینات: غیرفعال کردن هاب/جشن، اندازه گیری RTO/RPO واقعی مسیرهای شبکه.
- برای iGaming/Finance: جداسازی PCI، PrivateLink به PSP، حسابرسی WORM، SLO/هشدار توسط صلاحیت.
15) TL ؛ دکتر متخصص
از VPC/VNet Peering برای اتصال ساده نقطه به نقطه خصوصی استفاده کنید، اما برای حمل و نقل به آن تکیه نکنید - به یک هاب (TGW/VWAN/Cloud Router) نیاز دارد. برنامه CIDR بدون تقاطع، نگه داشتن مسیرهای صریح و خاص، اعمال سیاست های SG/NSG و L7 در مش، DNS - تقسیم افق. فعال کردن سیاهههای مربوط به جریان، synthetics، و چک PMTUD. برای iGaming/finance - جداسازی PCI، کانال های خصوصی به PSP و ممیزی غیر قابل تغییر.