GH GambleHub

הצצה וניתוב של VPC

1) מדוע להציץ ומתי הולם

VPC/VNet Peering משלבת את הרשתות הפרטיות של הספק לתוך מרחב כתובת נקודה לנקודה אחת עם תעבורה פרטית (לא אינטרנט ולא NAT בין עמיתים). מקרים טיפוסיים:
  • הפרדת סביבות ותחומים (prod/stage/dev) עם קישוריות פרטית משותפת;
  • הבאת פלטפורמות נפוצות (כריתת עצים, KMS/Vault, חפצים) ברשת משותפת;
  • גישה מיישומים לניהול PaaS באמצעות מסלולים פרטיים (דרך hubs/endpoints).

כאשר עדיף לא להציץ, אלא רכזת: יותר מ-10-20 רשתות, הצורך בניתוב מעבר, יציאה מרכזית, תקשורת בין עננים, משתמשים ב-Transit Gateway/Virtual WAN/Cloud Router.

2) מודלים ואילוצים

2. 1 סוגי הצצה

תוך-אזור מציץ - בתוך האזור, עיכובים מינימליים ועלות.
בין האזורים, התנועה בין-אזורית בדרך כלל בתשלום.
חוצה פרוייקט/חשבון - מציץ בין חשבונות/פרויקטים שונים (עם משלחת).

2. 2 טרנזיט ו ־ NAT

VPC/VNet Peering אינו טרנזיטיבי: רשת A↔B B↔C אינה מתכוונת A↔C.
NAT באמצעות רשת ביניים למעבר - אנטי-תבנית (שובר מקור IP, ביקורת מורכבות).
עבור Transit - hub bus: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 סיידר חופף

הצצה אינה תומכת בקידומות מצטלבות. אם המעברים בלתי נמנעים, חול:
  • כתובת Repan (האפשרות הטובה ביותר);
  • NAT Domains/Proxy VPC עם תרשימים חד צדדיים (לוקחים בחשבון ביקורת ורישום);
  • עבור PaaS ספציפי - Link/PSC ללא גישה L3.

3) פנייה ותכנון תוואי

3. 1 תכנון CIDR

רשת-על אחת (לדוגמה, 10. 0. 0. 0/8 ') לחלק ב' אזור/env/vpc '.
טווחי שמורה עבור VPCs עתידיים/חוצצי צמיחה.
IPv6 - תוכנית קדימה: '/56 'על VPC, '/64' על תת-רשת.

3. 2 ניתוב

טבלאות מסלול: מסלולים מפורשים על עמיתים/מוקד על כל VPC/תת רשת.
סדרי עדיפויות: הקידומת הספציפית יותר מנצחת; הימנע מלכידת כל דרך הצצה.
הגנת חור שחור: סימן ושכפול נקי/נתיבים מיושנים.

3. 3 תחומים ותפקידים

דיברה (יישומים) ↔ Hub (שירותים נפוצים, יציאה, בדיקה).
סעודות רק spoke↔hub; spoke↔spoke - דרך הרכזת (קטגוריה ושליטה).

4) תבניות טופולוגיה

4. 1 Simple "mesh (סימון 5 VPC)

סעודות פין-טו-פין ישירות (A↔B, A↔C...). מקצוענים: מרכיבים מינימליים; חסרונות: O (N) קישורים וכללים.

4. 2 Hub-and-Talk

כולם דיברו על סעודות עם Hub VPC/VNet; במרכז - TGW/Virtual WAN/Cloud Router, NAT/Egress, בדיקה. סקלר, קל לניהול.

4. 3 אזור מרובה

בתי מרקחת מקומיים בכל אזור; בין חבטות - בין-אזור מציץ או עמוד שדרה (TGW-to-TGW/VWAN-to-VWAN).

5) אבטחה וקטע

סטטיסטי במארח: SG/NSG הוא המחסום הראשי; NACL/תת-רשת ACL - שומר גס/מכחיש רשימות.
מדיניות L7 ב-mesh/proxy (איסטיו/שליח/NGINX) - אישור על ידי mTLS/JWT/טוען.
Egress control: לא צריך ”לראות” את האינטרנט ישירות - רק דרך שער היציאה/TrivitLink.
Logs Flow and Hub Inspection (GWLB, IDS/IPS) עבור תנועה בין-VPC.

6) אופק מפוצל DNS

כל אזור פרטי - ראות על ה-VPCs הרצוי (אזורי אירוח פרטיים/אזורי DNS/Private).
עבור PaaS דרך TreativerLink/PSC - כניסות פרטיות לנקודות קצה IP פרטיות.
מותנה בהעברת אזור ↔ ענן ↔.
שמות: 'svc. Env. אזור. פנימית. קורפ - בלי מח "ש; תקן TL (30-120S) תחת המעיים.

7) יכולת תצפית ובדיקה

Metrics: מקובל/נדחה על SG/NSG, betes per peer, RTT/jitter בין אזורים, top-talkers.
יומנים: VPC Flow Logs/NSG Flow Logs in SIEM, עקבות עם 'trace _ id' עבור קורלציה L7↔L3.
מבחני יכולת: TCP/443 יציאות סינתטיות/DB מתת רשת/AZ/אזורים שונים; מנתח יכולת.
רשת כאוס: עיכובים/הפסדים בין עמיתים/מרכז; פסק זמן/מגש/בדיקת אידמפוטנטיות.

8) ביצועים ועלות

האזור הפנימי כמעט תמיד טעון; קרא egress מראש (יקר יותר עם בולי עץ/גיבויים).
MTU/PMTUD: ה-MTU הסטנדרטי נמצא בתוך הספק, אך בגבולות (VPN, FW, NAT-T), שקול ל-MSS-clamp.
סדרות סולם-עד (GWLB/scale) ללא צווארי בקבוק; ECMP עבור מטבעות.
מטמון/קצה ו SWR להפחית תנועה בין-אזורית.

9) מאפיינים ודוגמאות של ענן

9. 1 AWS (VPC Peering/Transit Gateway)

VPC מציץ: ליצור חיבור מציץ, להוסיף מסלולים בשולחנות תת-רשת.
אין מעבר דרך הצצה רגילה. עבור מעבר ומודל מרכזי - שער מעבר.

קטעי טרה-פורם (רעיון): 
hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering/Virtual WAN)

VNet Peering (כולל את הגלובלי): דגלים מאפשרים תנועה מעוברת, משתמשים בשער מרוחק לתוכניות מרכזיות.
עבור מטבעות ותעבורה - WAN/Hub וירטואלי עם שולחנות מסלול ומדיניות.

רעיון של CLI: 
bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering/Cloud Router)

VPC Peering ללא מעבר; עבור נתב המרכז - נתב ענן + HA VPN/Peering Router.
FW היררכית היא מעקה בטיחות.

10) קוברנטס ברשתות עמיתים

אשכול בדיבור, שירותים נפוצים (רישום/אחסון/חפצים) - במרכז; גישה לכתובות פרטיות.
מדיניות Networks ”מכחיש-כל” ויציאה מפורשת על מרכז/Treatwork Link.
אל ”לשאת” Pod CIDR בין VPCs; לנתב את Node CIDR ולהשתמש Ingress/Gateway.

11) Trablashooting (גיליון רמאות)

1. סי-די-אר לא חופפים? בדוק כתוביות-על/רשתות-משנה ישנות.
2. טבלאות מסלול: האם יש נתיב לשני הכיוונים? האם יש נתיב ספציפי יותר כי יירוט תנועה?
3. SG/NSG/NACL: משחק סטטוטורי-in/out? האם תת הרשת ACL לחסום תנועה הפוכה?
4. רישומים פרטיים נכונים? בדוק ”לחפור + קצר” משתי הרשתות.
5. MTU/MSS/PMTUD: האם יש פיצול ופסקי זמן שקטים?
6. בדיקת יומני זרימה: האם יש SYN/SYN-ACK/ACK? מי טיפות?
7. בין האזורים: מציץ במכסות/גבולות/מדיניות ארגון/תגי ניתוב.

12) תרופות אנטי ־ פטריות

רשת ”אקראית” של עשרות בני-אדם ללא רכזת, = = פיצוץ של קשיים וחילופי-אש.
חופף CIDR ”איכשהו להכריע NAT” = ביקורת ביקורת/סוף-עד-סוף הפסקות זיהוי.
יציאת הציבור בכל אחד מהם דיברה על שטח לא מבוקר ועלות.
חוסר פיצול אופק DNS = דליפות שם/החלטות שבורות.
נתיבים רחבים '0. 0. 0. 0/0 מעל peer pubc אסימטריה תנועה בלתי צפויה.
עריכה ידנית בקונסולה ללא IC ושינויים.

13) פרטים של iGaming/Finance

PCI CDE ומעגלי תשלום - רק דרך המוקד עם ביקורת; אין spoke↔spoke מעקפים.
תושבות נתונים: יומני PII/עסקה - בתחום השיפוט; בין לבין - צירוף/אנונימי.
Multi-PSP: Link/Private Structures to PSP, פרוקסי Egress מרוכזים על ידי Allowlist FQDN ו-MTLS/HMAC.
ביקורת/תולעת: רישומי זרימה ושינויי מסלול באחסון בלתי משתנה, שימור על פי סטנדרטים.
קטעי SLO: לכל אזור/VPC/דייר; התראות על ”דליפת יציאה” והשפלה של טילי RTT בין-אזוריים.

14) רשימת מוכנות תומכת

[ ] CIDR ללא מעבר (IPv4/IPv6), בריכות גידול שמורות.
[ ] טופולוגיה Hub-ו-דיבר; סעודות - רק spoke↔hub; מעבר דרך TGW/VWAN/נתב ענן.
[ ] שולחנות כביש: נתיבים מפורשים, אין מלכוד כל באמצעות עמית, בקרת חור שחור.
[ ] SG/NSG/NACL; מדיניות L7 ברשת; יציאה רק דרך מרכז הקישור/חיבה.
[ ] Private DNS/PHZ; מעבירים מותנים לאזורים אחרים.
[ ] רישומי זרימה מופעלים; לוחות מחוונים על ידי עמיתים/אזור; סינתטיקה של כושר-משיכה ומבחני PMTUD.

IAC (Terraform/CLI) ו-Policy-as-Code (OPA/Confest) לחוקים/מסלולים/DNS.

[ ] תיעד ריצות "ו (להוסיף עמיתים, לגלגל מסלולים, לנטרל דיברו).
[ תרגילים ]: ביטול מרכז/סעודה, מדידת RTO/RPO בפועל של נתיבי רשת.
[ ] עבור iGaming/Finance: בידוד PCI, קישור מתמשך ל PSP, ביקורת תולעת, SLO/התראות על ידי תחום שיפוט.

15) TL; DR

השתמש ב-VPC/VNet Peering לצורך קישוריות פרטית פשוטה של נקודה לנקודה, אך אל תסתמך עליו לצורך מעבר - הוא זקוק לרכזת (TGW/VWAN/Cloud Router). תוכנית CIDR ללא צמתים, שמירה על מסלולים מפורשים וספציפיים, יישום מדיניות stateful SG/NSG ו-L7 במו "פ, DNS - אופק מפוצל. אפשר רישומי זרימה, סינתטיים, ובדיקות PMTUD. עבור iGaming/finance - בידוד PCI, ערוצים פרטיים PSP וביקורת בלתי ניתנת לשינוי.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

Telegram
@Gamble_GC
התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.