वीपीसी पीयरिंग और रूटिंग

1) सहकर्मी क्यों और यह कब उचित है

• सामान्य निजी कनेक्टिविटी के साथ वातावरण और डोमेन (prod/stage/dev) का पृथक्करण;
• साझा नेटवर्क में सामान्य प्लेटफॉर्म (लॉगिंग, केएमएस/वॉल्ट, कलाकृतियां) लाना;
• निजी रास्तों (हब/एंडपॉइंट के माध्यम से) के माध्यम से प्रबंधित PaaS तक पहुंच।

जब यह बेहतर नहीं है, लेकिन एक हब: 10-20 से अधिक नेटवर्क, ट्रांजिट रूटिंग, केंद्रीकृत एग्रेस, इंटर-क्लाउड संचार की आवश्यकता - ट्रांजिट गेटवे/वर्चुअल वान/क्लाउड राउटर का उपयोग करें।

2) मॉडल और बाधाएं

2. 1 प्रकार के सहकर्मी

इंट्रा-क्षेत्र सहकर्मी - क्षेत्र के भीतर, न्यूनतम देरी और लागत।

अंतर-क्षेत्र सहकर्मी - क्षेत्रों के बीच, अंतर-क्षेत्रीय यातायात आमतौर पर भुगतान किया जाता है।

क्रॉस-प्रोजेक्ट/खाता - विभिन्न खातों/परियोजनाओं (प्रतिनिधिमंडल के साथ)

2. 2 पारगमन और NAT

क्लासिक VPC/VNet Peering सकर्मक नहीं है: और नेटवर्क का मतलब नहीं है।

पारगमन के लिए मध्यवर्ती नेटवर्क के माध्यम से एनएटी - विरोधी पैटर्न (स्रोत आईपी, जटिल ऑडिट को तोड़ ता है)।

पारगमन के लिए - हब बस: AWS ट्रांजिट गेटवे (TGW), Azure वर्चुअल WAN/हब, GCP क्लाउड राउटर/HA VPN/Peering राउटर।

2. 3 ओवरलैपिंग CIDR

• पता रिप्ले (सर्वोत्तम विकल्प);
• एकतरफा योजनाओं के साथ एनएटी डोमेन/प्रॉक्सी वीपीसी (ऑडिटिंग और लॉगिंग को ध्यान में रखते हुए);
• L3 एक्सेस के बिना विशिष्ट PaaS - PriveLink/PSC के लिए।

3) पता और मार्ग डिजाइन

3. 1 CIDR योजना

एक एकल सुपरनेट (उदाहरण के लिए, '10। 0. 0. 0/8 ') →' क्षेत्र/env/vpc 'द्वारा विभाजित करें।

भविष्य के वीपीसी/ग्रोथ-बफर्स के लिए रिजर्व रेंज।

IPv6 - आगे की योजना: VPC पर '/56 ', सबनेट पर '/64'।

3. 2 रूटिंग

रूट टेबल: प्रत्येक वीपीसी/सबनेट पर सहकर्मी/हब पर स्पष्ट मार्ग।

प्राथमिकताएं: अधिक विशिष्ट उपसर्ग जीतता है; सहकर्मी के माध्यम से कैच-ऑल से बचें।

ब्लैकहोल सुरक्षा: मार्क और क्लीन डुप्लिकेट/अप्रचलित मार्ग।

3. 3 डोमेन और भूमिकाएँ

स्पोक (अनुप्रयोग) ↔ हब (सामान्य सेवाएं, एग्रेस, निरीक्षण)।

दावत केवल spoke↔hub; spoke↔spoke - हब (विभाजन और नियंत्रण) के माध्यम से।

4) टोपोलॉजी पैटर्न

4. 1 "सरल" जाल (≤5 VPC)

डायरेक्ट पिन-टू-पिन दावत (A↔B, A↔C...)। पेशेवरों: न्यूनतम घटक; विपक्ष: ओ (एन) लिंक और नियम।

4. 2 हब-एंड-स्पोक

सभी ने हब वीपीसी/वीएनईटी के साथ दावत दी; हब में - TGW/वर्चुअल WAN/क्लाउड राउटर, NAT/egress, निरीक्षण। स्केलेबल, प्रबंधन करने में आसान।

4. 3 बहु-क्षेत्र

प्रत्येक क्षेत्र में स्थानीय हब; हब - अंतर-क्षेत्र पीयरिंग या रीढ़ (TGW-to-TGW/VWAN-to-VWAN) के बीच।

5) सुरक्षा और विभाजन

मेजबान पर राज्यपूर्ण: एसजी/एनएसजी मुख्य बाधा है; एनएसीएल/सबनेटवर्क एसीएल - मोटे गार्ड/इनकार सूची।

Mesh/proxy (Istio/Envoy/NGINX) में L7 नीतियां - mTLS/JWT/दावों द्वारा प्राधिकरण।

Egress नियंत्रण: बोला इंटरनेट को सीधे "देखना" नहीं चाहिए - केवल egress गेटवे/PrivesLink के माध्यम से।

अंतर-वीपीसी यातायात के लिए प्रवाह लॉग और हब निरीक्षण (GWLB, IDS/IPS)।

6) डीएनएस - स्प्लिट-क्षितिज

प्रत्येक निजी क्षेत्र - वांछित वीपीसी (निजी होस्टेड जोन/निजी डीएनएस/जोन) पर दृश्यता।

PaaS के लिए PriveLink/PSC के माध्यम से - निजी IP समापन बिंदुओं पर निजी प्रविष्टियां।

सशर्त अग्रेषण - ऑन-प्रेम क्लाउड क्षेत्र क्षेत्र।

नामकरण: 'svc। env। क्षेत्र आंतरिक। कॉर्प '- पीआईआई के बिना; Feiler के तहत TTL (30-120) को ठीक करें।

7) अवलोकन और परीक्षण

मेट्रिक्स: एसजी/एनएसजी पर स्वीकार/इनकार, प्रति सहकर्मी बाइट्स, क्षेत्रों के बीच आरटीटी/जिटर, टॉप-टॉकर्स।

लॉग: SIEM में VPC फ्लो लॉग/NSG फ्लो लॉग, L7↔L3 सहसंबंध के लिए 'ट्रेस _ id' के साथ ट्रेस।

रीचेबिलिटी टेस्ट: TCP/443 सिंथेटिक्स/डीबी पोर्ट विभिन्न सबनेट/एजेड/क्षेत्रों से; Reachability विश्लेषक।

अराजकता नेटवर्क: सहकर्मी/हब के बीच देरी/नुकसान; टाइमआउट/रिट्रे/आइडेम्पोटेंसी जांच।

8) प्रदर्शन और लागत

अंतर-क्षेत्र लगभग हमेशा चार्ज किया जाता है अग्रिम में पढ़ें (लॉग/बैकअप के साथ अधिक महंगा)।

MTU/PMTUD: मानक MTU प्रदाता के भीतर है, लेकिन सीमाओं पर (VPN, FW, NAT-T), MSS-clamp पर विचार करते हैं।

बाधाओं के बिना निरीक्षण स्केल-अप (GWLB/स्केल सेट); हब के लिए ईसीएमपी।

कैश/एज और एसडब्ल्यूआर अंतर-क्षेत्रीय यातायात को कम करते हैं।

9) क्लाउड फीचर्स और उदाहरण

9. 1 AWS (VPC पीयरिंग/ट्रांजिट गेटवे)

वीपीसी पीयरिंग: पीयरिंग कनेक्शन बनाएं, सबनेट टेबल में मार्ग जोड़ें।

नियमित सहकर्मी के माध्यम से कोई पारगमन नहीं होता है। पारगमन और केंद्रीकृत मॉडल के लिए - ट्रांजिट गेटवे।

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering/वर्चुअल WAN)

VNet Peering (वैश्विक सहित): झंडे अग्रेषित यातायात की अनुमति देते हैं, हब योजनाओं के लिए रिमोट गेटवे का उपयोग करें।

हब और पारगमन के लिए - रूट टेबल और नीतियों के साथ आभासी वान/हब।

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 जीसीपी (वीपीसी पीयरिंग/क्लाउड राउटर)

पारगमन के बिना वीपीसी पीयरिंग; केंद्र के लिए - क्लाउड राउटर + एचए वीपीएन/पीयरिंग राउटर।

पदानुक्रमित FW для org-रेलिंग।

10) सहकर्मी-से-सहकर्मी नेटवर्क में कुबर्नेट्स

क्लस्टर इन स्पोक, कॉमन सर्विसेज (लॉगिंग/स्टोरेज/आर्टिफैक्ट्स) - हब में; निजी पतों तक पहुंच।

नेटवर्कपॉलिसी "इनकार-सभी" और हब/PriveLink पर स्पष्ट egress।

वीपीसी के बीच पॉड सीआईडीआर को "कैरी" न करें; नोड CIDR मार्ग और इंग्रेस/गेटवे का उपयोग करें।

11) ट्रेबलशूटिंग (धोखा पत्र)

1. CIDR ओवरलैप नहीं करते हैं? सुपरसेट/पुराने सबनेट्स की जाँच करें।

2. रूट टेबल: क्या दोनों तरह से कोई रास्ता है? क्या कोई और विशिष्ट मार्ग है जो यातायात को रोकता है?
3. एसजी/एनएसजी/एनएसीएल: स्टेटफुल-इन/आउट मैच? क्या सबनेट एसीएल रिवर्स ट्रैफिक को ब्लॉक करता है?
4. DNS: निजी रिकॉर्ड/अग्रदूतों को सही करें? दोनों नेटवर्क से 'खुदाई + लघु' जाँचें.
5. MTU/MSS/PMTUD: क्या विखंडन और मूक समय है?
6. प्रवाह लॉग की जाँच कर रहा है: क्या कोई SYN/SYN-ACK/ACK है? कौन गिरता है?

7. अंतर-क्षेत्र: सहकर्मी कोटा/सीमा/संगठन नीतियां/रूटिंग टैग।

12) एंटीपैटर्न

हब के बिना दर्जनों साथियों का एक "यादृच्छिक" जाल - कठिनाइयों का एक विस्फोट और एसीएल गुजरता है।

ओवरलैपिंग CIDR "किसी तरह NAT को अभिभूत करता है" - ऑडिट/एंड-टू-एंड पहचान ब्रेक।

प्रत्येक में सार्वजनिक अहंकार - अनियंत्रित सतह और लागत।

विभाजन-क्षितिज DNS - नाम लीक/टूटे हुए प्रस्तावों की कमी।

चौड़े मार्ग '0। 0. 0. 0/0 'सहकर्मी पर → अप्रत्याशित यातायात विषमता।

IaC और संशोधन के बिना कंसोल में मैनुअल संपादन।

13) आईगेमिंग/वित्त की विशिष्टताएं

पीसीआई सीडीई और भुगतान सर्किट - केवल निरीक्षण के साथ हब के माध्यम से; कोई बाईपास spoke↔spoke।

डेटा रेजिडेंसी: पीआईआई/लेनदेन लॉग - न्यायालयों के भीतर; परस्पर - समुच्चय/गुमनाम।

मल्टी-पीएसपी: PSP के लिए ViveLink/निजी चैनल, मिश्रधातु FQDN और mTLS/HMAC द्वारा केंद्रीकृत अहंकार प्रॉक्सी।

ऑडिट/वर्म: प्रवाह लॉग और मार्ग अपरिवर्तित भंडारण में परिवर्तन, मानकों के अनुसार प्रतिधारण।

एसएलओ अनुभाग: प्रति क्षेत्र/वीपीसी/किरायेदार; "रिसाव रिसाव" और अंतर-क्षेत्रीय आरटीटी के क्षरण के लिए अलर्ट।

14) प्रोड रेडीनेस चेकलिस्ट

• CIDR गैर-क्रॉसिंग योजना (IPv4/IPv6), विकास पूल आरक्षित।
• हब-एंड-स्पोक टोपोलॉजी; दावतें - केवल spoke↔hub; TGW/VWAN/क्लाउड राउटर के माध्यम से पारगमन।
• रूट टेबल: स्पष्ट रास्ते, सहकर्मी के माध्यम से कोई पकड़ नहीं, ब्लैकहोल नियंत्रण।
• एसजी/एनएसजी/एनएसीएल लागू; जाल में L7 नीतियां; केवल/PrivesLink हब के माध्यम से egress।
• निजी DNS/PHZ कॉन्फ़िगर किया गया; सशर्त-अग्रदूत - ऑन-प्रेम/क्लाउड/क्षेत्र।
• फ्लो लॉग सक्षम; सहकर्मी/क्षेत्र द्वारा डैशबोर्ड; रीचेबिलिटी सिंथेटिक्स और पीएमटीयूडी परीक्षण।
• IaC (Terraform/CLI) और नियमों/मार्गों/DNS के लिए पॉलिसी-as-Code (OPA/Conftest)।
• प्रलेखित रनबुक 'और (सहकर्मी जोड़ें, मार्गों को रोल आउट करें, अक्षम बोले गए)।
• व्यायाम: हब/दावत को अक्षम करना, नेटवर्क पथ के वास्तविक आरटीओ/आरपीओ को मापना।
• iGaming/Finance के लिए: PCI अलगाव, PSP, WORM ऑडिट, SLO/अलर्ट अधिकार क्षेत्र द्वारा।

15) टीएल; डीआर

सरल बिंदु-से-बिंदु निजी कनेक्टिविटी के लिए VPC/VNet Peering का उपयोग करें, लेकिन पारगमन के लिए इस पर भरोसा न करें - इसे एक हब (TGW/VWAN/क्लाउड राउटर) की आवश्यकता है। चौराहों के बिना CIDR की योजना बनाएं, मार्गों को स्पष्ट और विशिष्ट रखें, जाल, DNS - स्प्लिट-क्षितिज में स्टेटफुल SG/NSG और L7 नीतियों को लागू करें। प्रवाह लॉग, सिंथेटिक्स और PMTUD जांच सक्षम करें। आईगेमिंग/वित्त के लिए - पीसीआई अलगाव, पीएसपी के लिए निजी चैनल और अपरिवर्तनीय लेखा परीक्षा।