GH GambleHub

MSC Peering և միկրոօրգանիզացիա

1) Ինչո՞ ւ է Peering-ը և երբ այն տեղին է։

MSC/VNet Peering-ը միավորում է պրովայդերի մասնավոր ցանցերը մեկ հասցեային տարածության մեջ «dot-k-cot» մասնավոր (առանց ինտերնետի և առանց NAT-ի միջև)։ Տիպիկ քեյսները

միջավայրերի և ածխաջրածինների բաժանումը (108/stage/dev) ընդհանուր մասնավոր կապի մեջ։

ընդհանուր պլատֆորմների (տրամաբանություն, KFC/Vance, արտեֆակտներ) shared ցանցում։

հասանելիությունը կառավարվող PaaS-ին մասնավոր ճանապարհների միջոցով (հաբերի/endpoint 'a)։

Երբ ավելի լավ է ոչ թե peering/Virtum WAN/Cloud Router։

2) Մոդելներ և սահմանափակումներ

2. 1 Պիրինգի տեսակներ

Intra-region peering-ը տարածաշրջանի ներսում է, նվազագույն ուշացումները և արժեքը։

Inter-region peering-ը տարածաշրջանի միջև սովորաբար վճարվում է միջտարածաշրջանային վճարում։

Cross-project/account-ը պիրինգն է տարբեր հաշիվների/նախագծերի միջև (71-ից)։

2. 2 Տարանցիկ և NAT

Դասական SNC/VNet Peering-ը տրանզիտիվ չէ, A-B և B-C ցանցը չի նշանակում A-210 C։

NAT-ը միջանկյալ տրանզիտային ցանցի միջոցով anti-pattern (կոտրում է սկզբնական IP, բարդ աուդիտ)։

Տրանզիտի համար '108-շին' AWS Transit Gateway (TGW), Azure Virtum WAN/Hub, GCP Cloud Router/HA SDN/Peering Router։

2. 3 Overlapping CIDR

Պիրինգը չի աջակցում հատվող նախածանցները։ Եթե հատումները անխուսափելի են, օգտագործեք

Հասցեների պերպլան (լավագույն տարբերակը);

NAT-ենթախմբերը/Proxy MSC-ը միակողմանի սխեմաներով (հաշվի առնելով կոդավորումը և տրամաբանությունը);

Հատուկ PaaS-ի համար 'Privice Link/PSC առանց L3 հասանելիության։

3) Հասցեների և երթուղիների դիզայնը

3. 1 CIDR պլանավորումը

Մեկ սուպեր (օրինակ '10։ 0. 0. 0/8 ') - կիսում ենք «region/env/www.c»։

Պահեք միջակայքերը ապագա SDC/tenants (wwwth-buffers) տակ։

IPv6 - նախօրոք պլանը '«/56 »RTC, «/64» ենթահողերի վրա։

3. 2 Միկրոօրգանիզացիա

Roultables: յուրաքանչյուր SDC/ենթահող երթուղիներ peer/hub։

Գերակայություններ 'ավելի հատուկ նախածանց հաղթում է. խուսափեք catch-all- ից պիրինգի միջոցով։

Blackhole-պաշտպանություն 'կրկնօրինակող/հնացած երթուղիները մաքրեք և մաքրեք։

3. 3 Օրինակներ և դերեր

Spoke (ծրագրեր) www.Hub (ընդհանուր ծառայություններ, egress, ստուգում)։

Պիրները միայն spoke no hub; spoke no spoke - միջով (հատվածներ և վերահսկողություն)։

4) Տեղաբանության պաթերոնները

4. 1 «Պարզ» mesh (355 MSC)

Ուղղակի pin-tu-pin pira (A 35B, A 35C...)։ Պլյուսներ 'նվազագույն բաղադրիչներ; մինուսներ ՝ O (N 71) կապեր և կանոններ։

4. 2 Hub-and-Spoke

Բոլոր spoke pirates Hub DRC/VNet-ի հետ; Հաբում 'TGW/Virtum WAN/Cloud Router, NAT/egress, տեսուչ։ Մասլիրումո, պարզապես կառավարել։

4. 3 Մուլտֆիլմի շրջան

Տեղական հաբերը յուրաքանչյուր տարածաշրջանում։ Հաբերի միջև 'inter-region peering կամ մագիստրոսի (TGW-to-TGW/VWAN-to-VWAN)։

5) Անվտանգություն և սեգմենացիա

Stateful-ում 'SG/NSG-ը հիմնական խոչընդոտն է։ NACL/ACL-ը կոպիտ ցանկապատն է/deny-թերթերը։

L7 քաղաքականությունը mesh/proxy-ում (Istio/Envoy/NGINX) - mTFC/JWT/claims։

Egress-վերահսկողությունը 'spoke չպետք է «տեսնի» ինտերնետը ուղղակիորեն' միայն egress-ի միջոցով/Privice Link։

Flow Logs-ը և հաբի ստուգումը (GWLB, IDS/IPS )-ի միջև։

6) DNS и split-horizon

Յուրաքանչյուր պրիմատային գոտի ճիշտ SNC (Private Hosted Zones/Private III/Zones) է։

PaaS-ի համար Privice Link/PSC-ի միջոցով մասնավոր գրառումներ են մասնավոր IP endpoint-ի վրա։

Conditional forwarding между on-prem ↔ cloud и region ↔ region.

Անունը '"svc. env. region. internal. 4p '- առանց PII; Արձանագրեք TTL (30-120s) ֆեյլերի տակ։

7) Դիտողությունն ու փորձարկումը

Մետրիկները ՝ accepted/denied SG/NSG, bytes per peer, RTT/jitter տարածաշրջանի, top-talkers միջև։

Logs: SDC Flow Logs/NSG Flow Logs-ը SIEM-ում, «trace _ id» -ի ուղին L7 35L3 կորստի համար։

Ձեռքբերման թեստերը 'TCP/443/DB-2019 տարբեր հաշվարկներից/AZ/տարածաշրջաններից; reachability analyzer.

Chaos-ցանցը 'peer/hub-ի միջև ուշացումներ/կորուստներ; timauts/retrav/idempotenty ստուգում։

8) Արտադրողականությունը և արժեքը

Inter-region-ը գրեթե միշտ սակագնում է; համարեք egress նախօրոք (գնահատում է լոգարաններում/bakas)։

MTU/PMTUD 'պրովայդերի սահմաններում ստանդարտ MTU, բայց սահմաններում (SDN, FW, NAT-T) հաշվի առեք SDS-clamp-ը։

Մրցույթի հորիզոնական մեծացումը (GWLB/scale sets) առանց նեղ վայրերի։ ECTS-ը հաբերի համար։

Քաշ/edge և SWR-ը նվազեցնում են միջտարածաշրջանային ֆորումը։

9) Ամպային հատկություններ և օրինակներ

9. 1 AWS (VPC Peering / Transit Gateway)

MSC Peering: Մենք ստեղծում ենք peering connect, ավելացնում ենք երթուղիները գյուղերում։

Սովորական peering-ի միջոցով տրանզիտ չկա։ Տարանցման և կենտրոնացված մոդելի համար Transit Gateway-ն է։

Terraform-բեկորները (գաղափարը)

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering / Virtual WAN)

VNet Peering (ներառյալ գլոբալ) 'Allow forwarded trafic, Use remote gateway-ի դրոշները համակարգչի սխեմաների համար։

Հաբերի և տարանցման համար Virtum WAN/Hub-ը Roult Tables-ի և Policies-ի հետ։

CLI գաղափարը

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering / Cloud Router)

MSC Peering առանց տարանցման; Կենտրոնի համար Cloud Router + HA MSN/Peering Router-ն է։

Hierarchical FW для org-guardrails.

10) Kubernetes-ը պիրինային ցանցերում

Կլաստերը սպոկում, ընդհանուր ծառայությունները (տրամաբանություն/պահեստ/արտեֆակտներ) - hub; մասնավոր հասցեների հասանելիությունը։

NetworkPolicy «deny-all» և ակնհայտ egress 2019/Privice Link-ում։

Մի «քաշեք» Pod CIDR-ը CSC-ի միջև։ ուղարկեք Node CIDR-ը և օգտագործեք Ingress/Gateway-ը։

11) Trablshuting (լրտես)

1. CIDR-ը չի հատվում։ Ստուգել սուպերմարկետները/հին ենթաօրենսդրությունները։

2. Երթուղիների աղյուսակները 'կա՞ արդյոք երկու ուղղություններով ճանապարհ։ Արդյո՞ ք ավելի կոնկրետ տեղեկություններ չկան, որոնք ընդհատում են այն։

3. SG/NSG/NACL: stateful-in/aut համապատասխանում են։ Արդյո՞ ք ACL-ի հաշիվը չի արգելափակում հակառակը։

4. ԲԿԿԱ ՝ ճիշտ մասնավոր գրառումներ/forwarders։ Ստուգել «www.g + shom» երկու ցանցերից։

5. MTU/MSS/PMTUD: Արդյո՞ ք բեկորներ չկան և «լուռ» թայմաուտներ։

6. Ստուգում flow logs: Արդյո՞ ք MSN/MSN-ACK/ACK-ն կա։ Ո՞ վ է տառապում։

7. Inter-region: Quots/limits Piring/կազմակերպության քաղաքականության/tegi։

12) Անտիպատերնի

«Պատահական» mesh-ից տասնյակ պիրսներից առանց հաբերի բացատրվում է ACL-ի բարդությունների և բացթողումների պայթյունը։

Overlapping CIDR-ը «ինչ-որ կերպ վերապրելով NAT 'om» -ը կոտրվում է աուդիտի/միջոցով։

Հանրային egress յուրաքանչյուր spoke-ում թույլատրվում է անվերահսկելի մակերես և արժեք։

Split-horizon III-ի բացակայությունը բացատրում է անունների արտահոսքերը/բիթային ռեզոլները։

Լայն երթուղիներ '0։ 0. 0. 0/0 'peer-ի միջոցով անսպասելի ասիմետրիա է։

Ձեռքի ուղղությունները վահանակում առանց IaC և ռուսական։

13) iGaming/ֆինանսական առանձնահատկությունները

PCI CDE-ն և հիբրիդային ուրվագծերը միայն ստուգման միջոցով։ ոչ մի spoke www.spoke շրջանցման մեջ։

Euresidency: PII/գործարքային լոգներ 'միգրացիայի ներսում։ միջտարածաշրջանային միավորներ/անոնիմա։

Multi-PSA: Privice Link/մասնավոր ալիքները PSA-ի համար, կենտրոնացված egress-ը allowlist FQDN և mTSA/HMAC-ի վրա։

Աուդիտ/WORM: flow-Logs-ը և երթուղիների փոփոխությունը անփոփոխ պահեստում, rentenshn-ով։

SLO կտրվածքներ ՝ per region/MSC/tenae; ալերտները «egress արտահոսքի» վրա և միջտարածաշրջանային RTT-ի քայքայումը։

14) Չեկ-թուղթ պատրաստակամության համար

  • CIDR պլանը առանց հատումների (IPv4/IPv6), տարհանվել է աճի փամփուշտները։
  • Hub-and-spoke կարգախոսը; պիրները միայն spoke no hub; TGW/VWAN/Cloud Router-ի միջոցով։
  • Roultables: ակնհայտ ճանապարհներ, չկա catch-all peer, blackhole վերահսկողություն։
  • SG/NSG/NACL օգտագործվում են; L7 քաղաքականությունը mesh-ում; egress-ը միայն Microsoft/Privice Link-ի միջոցով։
  • Private III/PHZ-ը տրամադրված է; conditional-forwarders между on-prem/cloud/regions.
  • Flow Logs-ը ներառում է; dashbords ըստ peer/region; ձեռքբերման սինթեզիկան և PMTUD թեստերը։
  • IaC (Terraform/CLI) և Policy-as-Code (OPA/Wintest) կանոնների/երթուղիների համար։
  • Փաստաթղթավորված է runbook "և (ավելացնել peer, փակցնել երթուղիները, անջատել spoke)։
  • Ուսուցումներ ՝ հաբա/պիրա անջատումը, RTO/RPO ցանցային ուղիների չափումը։
  • iGaming/ֆինանսավորման համար 'PCI, Privice Link PSA, WORM-աուդիտ, SLO/ալտերտեր։

15) TL; DR

Օգտագործեք SYC/VNet Peering-ը պարզ սովորական կապի համար «dot-k-կետ», բայց մի ապավինեք նրան տարանցման համար, դրա համար անհրաժեշտ է շարժիչ (TGW/VWAN/Cloud Router)։ Պլանավորեք CIDR-ը առանց հատումների, պահեք երթուղիները ակնհայտ և հատուկ, օգտագործեք stateful SG/NSG և L7-քաղաքականությունը mesh, SNA-split-horizon։ Միացրեք flow-logs, սինթեզիկա և PMTUD ստուգումներ։ IGaming/ֆինանսավորման համար PCI-ի մեկուսացումն է, PSA-ի մասնավոր ալիքները և անփոփոխ աուդիտը։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։