हाइब्रिड क्लाउड: ऑन-प्रेम + क्लाउड

1) एक संकर क्यों और यह कब उचित है

ड्राइवर: नियामक आवश्यकताएं (डेटा रेजिडेंसी/पीआईआई), मौजूदा ऑन-प्रीम निवेश, "मालिकाना" प्रणालियों में विलंबता, लागत नियंत्रण, प्रबंधित क्लाउड सेवाओं तक पहुंच।

व्यापार-बंद: नेटवर्क और सुरक्षा की जटिलता, दक्षताओं का दोहराव, डेटा और कॉन्फ़िग का सिंक्रनाइज़ेशन, परिचालन जोखिम।

आदर्श वाक्य: पोर्टेबल जहां महत्वपूर क्लाउड-देशी जहां यह लाभदायक है।

2) हाइब्रिड मॉडल

ऑन-प्रेम एक्सटेंशन: डेटा सेंटर एक्सटेंशन (नए माइक्रोसर्विस/एनालिटिक्स, मोर्चों) के रूप में क्लाउड।

स्थानीय एंकरों के साथ क्लाउड-फर्स्ट: क्लाउड में कोर, ऑन-प्रीम - अकाउंटिंग सिस्टम/पेमेंट गेटवे/पीआईआई स्टोरेज।

क्लाउड-फटना: क्लाउड में लोचदार चोटियाँ (बैच, प्रोमो-चोटियाँ), बेस वॉल्यूम - स्थानीय रूप से।

डीआर टू क्लाउड: ऑन-प्रेम के लिए हॉट/वार्म क्लाउड रिजर्व (आरटीओ/आरपीओ प्रबंधित)।

एज + कोर: PoP/edge नोड्स उपयोगकर्ता के करीब हैं, रूट डेटा/ML क्लाउड में है।

3) नेटवर्क और कनेक्टिविटी

3. 1 चैनल

साइट-टू-साइट वीपीएन (आईपीसेक/एसएसएल) - जल्दी से शुरू करें, उच्च विलंबता, जिटर।

प्रत्यक्ष रेखाएं (डीसी/ईआर/आईसी, एमपीएलएस) - अनुमानित एसएलए, देरी से नीचे, अधिक महंगी।

डुअल-लिंक + बीजीपी - गलती सहिष्णुता और रूटिंग नियंत्रण।

3. 2 संबोधन और मार्ग

चौराहों के बिना एकल RFC1918 आरेख; आने वाले वर्षों के लिए CIDR की योजना है।

केवल सीमाओं पर NAT-गुंबद; NAT के बिना पूर्व-पश्चिम।

वातावरण के अलगाव के लिए खंड/वीआरएफ (देव/चरण/प्रोड), किरायेदार, प्रदाता।

3. 3 समय और डीएनएस नीतियां

एकल एनटीपी (घड़ी = क्रिप्टोग्राफी/हस्ताक्षर के लिए भाग्य)।

स्प्लिट-क्षितिज डीएनएस: आंतरिक क्षेत्र (एसवीसी)। क्लस्टर। स्थानीय, corp.local), बाहरी - सार्वजनिक।

इनबाउंड ट्रैफिक के लिए स्वास्थ्य आधारित जीएसएलबी।

4) पहचान और पहुंच

एसएसओ फेडरेशन: ओआईडीसी/एसएएमएल, ऑन-प्रेम आईडीपी ↔ क्लाउड आईडीपी; SCIM प्रावधान।

कम से कम विशेषाधिकार के सिद्धांत के अनुसार भूमिकाएँ; एमएफए के साथ ब्रेक-ग्लास खाते।

मशीन की पहचान: mTLS के लिए SPIFFE/SPIRE या मेष-PKI।

RBAC "एंड-टू-एंड": Git/CI/CD → cluster/mesh → brokers/DB → लॉग।

5) प्लेटफ़ॉर्म: Kubernetes + GitOps

5. 1 एकल निष्पादन परत

समान संस्करणों/सीआरडी के साथ क्लस्टर ऑन-प्रेम और क्लाउड।

GitOps (Argo CD/Flux): एकल चार्ट/ओवरले, बहाव नियंत्रण, प्रोमो धाराएँ।

5. 2 सेवा जाल

Istio/Linkerd: mTLS डिफ़ॉल्ट, स्थानीयता-जागरूक संतुलन, असफल इंटर-क्लस्टर।

L7 नीतियां (JWT, हेडर, दर सीमा, रीट्री/सर्किट/टाइमआउट) - प्रकट कोड में।

5. 3 उदाहरण (K8s टोपोलॉजी और जाल)

yaml anti-affinity and distribution by zones on-prem cluster spec:
topologySpreadConstraints:
- maxSkew: 1 topologyKey: topology. kubernetes. io/zone whenUnsatisfiable: DoNotSchedule labelSelector: { matchLabels: { app: api } }
Istio DestinationRule: local cluster priority, then trafficPolicy cloud:
outlierDetection: { consecutive5xx: 5, interval: 5s, baseEjectionTime: 30s }

6) डेटा और भंडारण

6. 1 आधार

ऑन-प्रेम मास्टर, क्लाउड रीड-प्रतिकृति (एनालिटिक्स/निर्देशिका)।

क्लाउड मास्टर + ऑन-प्रीम कैश (स्थानीय एकीकरण के लिए कम विलंबता)।

स्थानीय कोरम के साथ वितरित SQL/NoSQL (कॉकरोच/कैसंड्रा)।

छोरों के बीच सीडीसी/लॉग प्रतिकृति (डेबेजियम); हैंडलर की पहचान।

6. 2 वस्तु/फ़ाइल/ब्लॉक

S3-compatible प्रतिकृति/वर्शनिंग के साथ स्टर्स (ऑन-प्रेम MinIO + क्लाउड S3/GCS); ऑडिट के लिए WORM।

बैकअप: 3-2-1 (3 प्रतियां, 2 मीडिया, 1 - ऑफसाइट), नियमित वसूली सत्यापन।

6. 3 कैश और कतारें

Redis/KeyDB क्लस्टर प्रति साइट; वैश्विक कैश - केवल घटनाओं/टीटीएल के माध्यम से।

काफ्का/पल्सर: मिररमेकर 2/प्रतिकृति; कुंजी - उपभोक्ताओं की मृत्यु/पहचान।

7) सुरक्षा और अनुपालन (जीरो ट्रस्ट)

एमटीएलएस हर जगह (जाल), टीएलएस 1। परिधि पर 2 +; अनएन्क्रिप्टेड चैनलों को अक्षम करना।

रहस्य: HashiCorp वॉल्ट/ESO; अल्पकालिक टोकन; ऑटो-रोटेशन।

KMS/HSM: कुंजियाँ प्रति क्षेत्राधिकार/किरायेदार खंडित; निर्धारित क्रिप्टो घूर्णन।

विभाजन: व्यवस्थापक पहुंच के लिए नेटवर्कपॉलिसी, माइक्रो-सेगमेंटेशन (NSX/Calico), ZTNA।

लॉग: अपरिवर्तनीय (ऑब्जेक्ट लॉक), एंड-टू-एंड 'ट्रेस _ आईडी', पीआईआई/पैन मास्किंग.

8) अवलोकन, एसएलओ और घटना प्रबंधन

OpenTelemetry SDK हर जगह; कलेक्टर ऑन-प्रेम और बादल में।

टेल-सैंपलिंग: 100% ошибок и p99, लेबल 'साइट = onprem' cloud ',' क्षेत्र ',' किरायेदार '।

स्लाइस (रूट/किरायेदार/प्रदाता/साइट) द्वारा एसएलओ और त्रुटि बजट; बर्न-रेट द्वारा अलर्ट।

एंड-टू-एंड डैशबोर्ड: RED/USE, निर्भरता मानचित्र, कैनरी तुलना (प्रवास से पहले/बाद में)।

9) सीआई/सीडी और कॉन्फ़िग

कलाकृतियों की एक एकल रजिस्ट्री (पुल-थ्रू कैश ऑन-प्रेम)।

प्रोमो स्ट्रीम: देव → स्टेज (ऑन-प्रेम) → कैनरी (क्लाउड) → प्रोड; या इसके विपरीत - लक्ष्य के आधार पर।

जाँच: अनुबंध परीक्षण (OpenAPI/gRPC/CDC), स्थिर विश्लेषण, IaC लिंकिंग, छवि स्कैन, SLO गेट्स।

10) डीआर/बीसीपी (निरंतरता योजना)

• कैटलॉग/लैंडिंग: आरटीओ 5-15 मिनट, आरपीओ ≤ 5 मिनट;
• भुगतान/पर्स: आरटीओ ≤ 5 मिनट, आरपीओ ≈ 0-1 मिनट (साइट के भीतर कोरम/तुल्यकालिक)।
• रनबुक: जीएसएलबी/वेट को स्विच करना, क्लस्टर में स्टैंडबाय बढ़ाना, फीचर-फ्लैग "लाइटवेट मोड"।
• गेमडेज़: त्रैमासिक - साइट/चैनल का डिस्कनेक्शन, वास्तविक आरटीओ/आरपीओ का सत्यापन।

11) लागत और फिनोप्स

ऑन-प्रेम और क्लाउड के बीच एग्रेस मुख्य "छिपा हुआ" खर्च है; कैश और न्यूनतम (SWR, किनारे) तक लंबी पैदल यात्रा करते रहें।

टैगिंग: 'सेवा', 'एनवी', 'साइट', 'किरायेदार', 'कॉस्ट _ सेंटर'।

नियम 80/20: हम "महत्वपूर्ण कोर" के पोर्टेबल 20% को स्थानांतरित/रखते हैं, बाकी - जहां यह सस्ता है।

डाउनसैम्पलिंग मेट्रिक्स, लॉग "हॉट/कोल्ड", बजट-अवेयर सैंपलिंग ट्रेसिंग के संदर्भ।

12) कार्यभार के प्लेसमेंट पैटर्न

13) कॉन्फ़िग के उदाहरण

13. 1 IPsec S2S (विचार)

onprem ↔ cloud: IKEv2, AES-GCM, PFS group 14, rekey ≤ 1h, DPD 15s, SLA monitoring jitter/packet-loss

13. 2 टेराफॉर्म (टैग/लेबल स्निपेट)

hcl resource "kubernetes_namespace" "payments" {
metadata {
name = "payments"
labels = {
"site"    = var. site    # onprem    cloud
"tenant"   = var. tenant
"cost_center" = var. cc
}
}
}

13. 3 तिजोरी + ईएसओ (ऑन-प्रेम से क्लाउड क्लस्टर तक गुप्त)

yaml apiVersion: external-secrets. io/v1beta1 kind: ExternalSecret spec:
refreshInterval: 1h secretStoreRef: { kind: ClusterSecretStore, name: vault-store }
target: { name: psp-hmac, creationPolicy: Owner }
data:
- secretKey: hmac remoteRef: { key: kv/data/payments, property: HMAC_SECRET }

14) एंटीपैटर्न

इंटरसेक्टिंग CIDR → NAT अराजकता; पहले पता योजना, फिर चैनल।

मजबूत स्थिरता - विलंबता और विभाजन-मस्तिष्क के साथ एक "साझा" वैश्विक कैश।

बिना पहचान के रिट्रेज़ - डबल राइट-ऑफ/ऑर्डर।

एमटीएलएस/जीरो ट्रस्ट के अंदर "नग्न" वीपीएन - समझौता होने पर पार्श्व आंदोलन।

डीआर अभ्यासों की कमी: योजनाएं वास्तविकता में काम नहीं करती हैं।

समान चार्ट की असंभवता के संस्करणों के बीच विसंगति।

'ट्रेस _ आईडी' और मास्किंग के बिना मुक्त प्रारूप में लॉग असंभव हैं.

15) आईगेमिंग/वित्त की विशिष्टताएं

डेटा रेजिडेंसी: पीआईआई/भुगतान की घटनाएं - ऑन-प्रेम/क्षेत्रीय सर्किट; क्लाउड - समुच्चय/गुमनाम करने के लिए।

PSP/KYC: बहु-प्रदाता; क्लाउड से स्थानीय गेटवे तक स्मार्ट-रूटिंग, बैकअप से फॉलबैक; deduplication के साथ एक दलाल के माध्यम से वेबहुक।

"मनी पाथ्स": कुल से ऊपर व्यक्तिगत एसएलओ; HMAC/mTLS, 'Retry-After', 'Idempotency-Key' की आवश्यकता है।

ऑडिट: WORM स्टोरेज (ऑब्जेक्ट लॉक), अपरिवर्तनीय लेनदेन लॉग, महत्वपूर्ण घटनाओं के लिए दो-तरफ़ारिकॉर्डिंग (ऑन-प्रेम + क्लाउड)।

न्यायालय: केएमएस/वॉल्ट प्रति देश/ब्रांड कुंजी विभाजन; परिधि पर भू-ब्लॉक।

16) प्रोड रेडीनेस चेकलिस्ट

• पता योजना, डीएनएस, एनटीपी - एक; S2S लिंक + फॉरवर्ड संरक्षित लिंक (बीजीपी)।
• एकल पहचान (SSO/OIDC/SAML), MFA, कम से कम विशेषाधिकार; सेवाओं के लिए SPIFFE/SPIRE।
• K8s सभी साइटों में, GitOps, एक ही ऑपरेटर/CRD; सेवा जाल с mTLS и इलाके-जागरूक LB।
• डेटा: सीडीसी, स्थिरता परीक्षण, आरपीओ/आरटीओ नीतियां, 3-2-1 बैकअप और नियमित बहाल ड्राइव।
• सुरक्षा: तिजोरी/ईएसओ, रोटेशन, नेटवर्कपॉलिसी, जेडटीएनए; लॉग अपरिवर्तनीय हैं।
• अवलोकन: ओटीएल, पूंछ-नमूना, एसएलओ/साइट/क्षेत्र/किरायेदार द्वारा बजट; कैनरी डैशबोर्ड।
• सीआई/सीडी: अनुबंध परीक्षण, आईएसी लिंटिंग, छवि स्कैन; एसएलओ द्वारा रिलीज-गेट्स।
• डीआर-रनबुक, गेमडेज़, वास्तविक आरटीओ/आरपीओ को मापा गया; कटओवर/रोल-बैक बटन।
• FinOps: सीमा, टैग और रिपोर्ट, मेट्रिक्स/लॉग/ट्रेल्स प्रतिधारण नीति।
• आईगेमिंग विशिष्टताएं: डेटा रेजिडेंसी, मल्टी-पीएसपी, वर्म ऑडिट, भुगतान के लिए व्यक्तिगत एसएलओ।

17) टीएल; डीआर

हाइब्रिड = आम निष्पादन मंच (K8s + GitOps + mesh + Otel + Vault) दो दुनिया पर: ऑन-प्रेम और क्लाउड। योजना नेटवर्क और पहचान, सीडीसी/पहचान के माध्यम से डेटा पोर्टेबल बनाएं, ज़ीरो ट्रस्ट में सुरक्षा को अलग करें, एसएलओ/त्रुटि बजट विश्वसनीयता को मापें, और ट्रेन।