GH GambleHub

VPC Peering და მარშრუტი

1) რატომ არის Peering და როდის არის ის შესაფერისი

VPC/VNet Peering აერთიანებს პროვაიდერის კერძო ქსელებს ერთ მისამართის სივრცეში „წერტილი-წერტილი“ პირადი ტრაფიკით (ინტერნეტის გარეშე და Prings შორის NAT- ის გარეშე). ტიპიური შემთხვევები:
  • მედიისა და დომენების განცალკევება (stage/stage/dev) საერთო პირადი მიმღების საშუალებით;
  • Shared ქსელში ზოგადი პლატფორმების (ლოჯისტიკა, KMS/Vault, არტეფაქტები) წარმოება;
  • PaaS- ის მიერ კონტროლირებადი პირადი მარშრუტების აპლიკაციებიდან წვდომა (ჰაბების/endpoint- ის მეშვეობით).

როდესაც უკეთესია არა peering, არამედ კერა: 10-20-ზე მეტი ქსელი, სატრანზიტო მარშრუტიზაციის საჭიროება, ცენტრალიზებული egress, ცალმხრივი კავშირები, გამოიყენეთ Transit Gateway/ვირტუალური WAN/Cloud Router.

2) მოდელები და შეზღუდვები

2. 1 Piring სახეობები

Intra-region peering - რეგიონის შიგნით, მინიმალური შეფერხებები და ღირებულება.
Inter-region peering - რეგიონებს შორის, ჩვეულებრივ, იხდის რეგიონალურ ტრაფიკს.
Cross-project/account - მეკობრე სხვადასხვა ანგარიშს/პროექტს შორის (დელეგაციით).

2. 2 ტრანზიტი და NAT

კლასიკური VPC/VNet Peering არ არის გარდამტეხი: A - B და B - C ქსელი არ ნიშნავს A - C.
NAT შუალედური სატრანზიტო ქსელის საშუალებით არის ანტი-ნიმუში (არღვევს წყაროს IP, რთული აუდიტი).
ტრანზიტისთვის - კერამიკული საბურავი: AWS Transit Gateway (TGW), Azure ვირტუალური WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 Overlapping CIDR

პირინგი არ უჭერს მხარს კვეთს პრეფიქსებს. თუ კვეთა გარდაუვალია, გამოიყენეთ:
  • მისამართების გადახდა (საუკეთესო ვარიანტი);
  • NAT დომენები/Proxy VPC ცალმხრივი სქემებით (აუდიტის და ლოჯისტიკის გათვალისწინებით);
  • სპეციფიკური PaaS - PrivateLink/PSC L3 წვდომის გარეშე.

3) მისამართისა და მარშრუტების დიზაინი

3. 1 CIDR დაგეგმვა

ერთი სუპერნეტი (მაგალითად, '10. 0. 0. 0/8 ') - იყოფა' region/env/vpc '.
დაიცავით დიაპაზონი მომავალი VPC/ტენანტებისთვის.
IPv6 - გეგმა წინასწარ: '/56 'VPC, '/64' ქვესახეობისთვის.

3. 2 მარშრუტიზაცია

Route tables: თითოეულ VPC/ქვესახეობებში, აშკარა მარშრუტები peer/hub- ზე.
პრიორიტეტები: უფრო სპეციფიკური პრეფიქსი იმარჯვებს; თავიდან აიცილეთ catch-all პირისპირ.
Blackhole დაცვა: დუბლიკატი/მოძველებული მარშრუტები ჩაყარეთ და გაასუფთავეთ.

3. 3 დომენები და როლები

Spoke (პროგრამები) - Hub (ზოგადი სერვისები, შემოწმება).
დღესასწაულები მხოლოდ spoke - hub; spoke - spoke - კერის მეშვეობით (სეგმენტი და კონტროლი).

4) ტოპოლოგიის ნიმუშები

4. 1 „მარტივი“ mesh (5 VPC)

პირდაპირი pin-tu-pin pira (A-B, A-C...). დადებითი: მინიმალური კომპონენტები; უარყოფითი: O (N ²) კავშირები და წესები.

4. 2 Hub-and-Spoke

ყველა სპოკი ირეცხება Hub VPC/VNet- ით; კერა - TGW/ვირტუალური WAN/Cloud Router, NAT/egress, შემოწმება. მასშტაბური, უბრალოდ მართვა.

4. 3 მულტფილმის რეგიონი

ადგილობრივი კერა თითოეულ რეგიონში; ჰაბებს შორის - inter-region peering ან მაგისტრალი (TGW-TGW/VWAN-to-VWAN).

5) უსაფრთხოება და სეგმენტი

მასპინძელზე Stateful: SG/NSG - მთავარი ბარიერი; NACL/ქვესახეობა ACL - უხეში ღობე/დენის ფურცლები.
L7 პოლიტიკოსები mesh/proxy (Istio/Envoy/NGINX) - საავტორო უფლებები mTLS/JWT/claims.
Egress კონტროლი: სპოკი არ უნდა „ნახოს“ ინტერნეტი პირდაპირ - მხოლოდ egress კარიბჭის/PrivateLink- ის საშუალებით.
Flow Logs და შემოწმება კერაში (GWLB, IDS/IPS) შედარებით VPC ტრაფიკისთვის.

6) DNS и split-horizon

თითოეული მიმღები ზონა - ხილვადობა სასურველ VPC- ზე (პირადი Hosted Zones/პირადი DNS/Zones).
PaaS- ისთვის PrivateLink/PSC- ის საშუალებით - პირადი ჩანაწერები კერძო IP endpoint's.
Conditional forwarding между on-prem ↔ cloud и region ↔ region.
სახელწოდება: 'svc. env. region. internal. corp '- PII- ს გარეშე; ჩაწერეთ TTL (30-120s) ფეილოვერის ქვეშ.

7) დაკვირვება და ტესტირება

მეტრიკა: accepted/denied SG/NSG, bytes per peer, RTT/jitter რეგიონებს შორის, ტოპ-talkers.
Logs: VPC Flow Logs/NSG Flow Logs in SIEM, Trace _ id კვალი L7-L3 კორელაციისთვის.
მიღწევის ტესტები: სინთეზური TCP/443/DB პორტები სხვადასხვა ქვესახეობიდან/AZ/რეგიონებიდან; reachability analyzer.
Chaos ქსელი: შეფერხებები/ზარალი peer/hub- ს შორის; Taimauts/retrais/idempotence ტესტირება.

8) პროდუქტიულობა და ღირებულება

Inter-region თითქმის ყოველთვის ტარიფდება; წინასწარ ჩათვალეთ egress (ის ფასდება ლოგებით/ბეკაპებით).
MTU/PMTUD: პროვაიდერის ფარგლებში, სტანდარტული MTU, მაგრამ საზღვრებზე (VPN, FW, NAT-T) გაითვალისწინეთ MSS კლამპი.
შემოწმების ჰორიზონტალური სკალირება (GWLB/scale sets) ვიწრო ადგილების გარეშე; ECMP ჰაბებისთვის.
ქეში/edge და SWR ამცირებენ რეგიონალურ ტრაფიკს.

9) ღრუბლის თვისებები და მაგალითები

9. 1 AWS (VPC Peering / Transit Gateway)

VPC Peering: ჩვენ ვქმნით კონფიგურაციას, ვამატებთ მარშრუტებს ქვესახეების ცხრილებში.
ჩვეულებრივი პერინგის საშუალებით ტრანზიტი არ არის. ტრანზიტისა და ცენტრალიზებული მოდელისთვის - Transit Gateway.

Terraform ფრაგმენტები (იდეა): 
hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering / Virtual WAN)

VNet Peering (მათ შორის გლობალური): Allow forwarded traffic დროშები, Use remote gateway თერმული სქემებისთვის.
ჰაბებისთვის და ტრანზიტისთვის - ვირტუალური WAN/Hub ერთად Route Tables და Policies.

CLI იდეა: 
bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering / Cloud Router)

VPC Peering ტრანზიტის გარეშე; ცენტრისთვის - Cloud Router + HA VPN/Peering Router.
Hierarchical FW для org-guardrails.

10) Kubernetes piring ქსელებში

Spoke მტევანი, ზოგადი სერვისები (ლოგიკა/საცავი/არტეფაქტები) - ჰუბში; პირადი მისამართების წვდომა.
NetworkPolicy „deny-all“ და აშკარა egress თითო კერა/PrivateLink.
არ „გადაიტანოთ“ Pod CIDR VPC- ს შორის; Rode Node CIDR და გამოიყენეთ Ingress/Gateway.

11) Trablschuting (spargall)

1. CIDR არ კვეთს? შეამოწმეთ სუპერ სერიები/ძველი ქვესადგურები.
2. მარშრუტების ცხრილი: არსებობს გზა ორივე მიმართულებით? არსებობს უფრო სპეციფიკური მარშრუტი, რომელიც ტრეფიკს აკონტროლებს?
3. SG/NSG/NACL: stateful-in/aut შეესაბამება? დაბლოკავს თუ არა ქვესახეობა ACL საპირისპირო ტრაფიკს?
4. DNS: რეგულარული პირადი ჩანაწერები/forwarders? ორივე ქსელიდან შეამოწმეთ 'dig + მოკლე'.
5. MTU/MSS/PMTUD: არსებობს ფრაგმენტაცია და „ჩუმად“ ტაიმაუტები?
6. Flow logs- ის შემოწმება: არსებობს SYN/SYN-ACK/ACK? ვინ იფეთქებს?
7. Inter-region: კვოტები/პირინგის/ორგანიზაციის პოლიტიკის/მარშრუტიზაციის ჭდეები.

12) ანტიპატერები

ათობით ბორცვის „შემთხვევითი“ მესა კერა გარეშე - ACL- ის სირთულეებისა და გადასასვლელების აფეთქება.
Overlapping CIDR „როგორღაც გადარჩა NAT 'om“ - ის აუდიტი/სრული იდენტიფიკაცია იშლება.
თითოეულ სპოკში საზოგადოებრივი egress არის უკონტროლო ზედაპირი და ღირებულება.
Split-horizon DNS- ის არარსებობა - სახელების გაჟონვა/ბრძოლა.
ფართო მარშრუტები '0. 0. 0. 0/0 'მეშვეობით peer - მოულოდნელი ტრაფიკის ასიმეტრია.
სახელმძღვანელო რედაქტირება კონსოლში IaC და აუდიტის გარეშე.

13) iGaming/ფინანსების სპეციფიკა

PCI CDE და გადახდის კონტურები - მხოლოდ კერა შემოწმებით; გვერდის ავლით spoke.
მონაცემთა აღდგენა: PII/გარიგების ლოგოები - იურისდიქციებში; რეგიონალურ - აგრეგატები/ანონიმი.
Multi-PSP: PrivateLink/PSP პირადი არხები, ცენტრალიზებული egress მარიონეტული allowlist FQDN და mTLS/HMAC.
აუდიტი/WORM: flow-logs და მარშრუტების შეცვლა უცვლელი საცავში, სტანდარტების შესაბამისად.
SLO ჭრილობები: per region/VPC/tenant; ალერტები „გაჟონვისთვის“ და ინტერრეგიონალური RTT- ის დეგრადაციისთვის.

14) მზადყოფნის ჩეკის სია

  • CIDR გეგმა კვეთა გარეშე (IPv4/IPv6), დაცულია ზრდის აუზები.
  • ტოპოლოგია hub-and-spoke; დღესასწაულები - მხოლოდ spoke hub; ტრანზიტი TGW/VWAN/Cloud Router- ით.
  • გზები: აშკარა ბილიკები, არ არის catch-all მეშვეობით peer, blackhole კონტროლი.
  • SG/NSG/NACL გამოიყენება; L7 პოლიტიკა მესში; egress მხოლოდ კერა/PrivateLink მეშვეობით.
  • პირადი DNS/PHZ მორგებულია; conditional-forwarders между on-prem/cloud/regions.
  • Flow Logs შედის; დაშბორდები peer/region; მიღწევის სინთეზური და PMTUD ტესტები.
  • IaC (Terraform/CLI) და Policy-as-Code (OPA/Conftest) წესებისთვის/მარშრუტებისთვის/DNS.
  • დოკუმენტირებულია runbook 'და (დაამატეთ peer, გადაიტანეთ მარშრუტები, გამორთეთ სპოკი).
  • სავარჯიშოები: კერა/სუფრის გამორთვა, ფაქტობრივი RTO/RPO ქსელის ბილიკების გაზომვა.
  • iGaming/ფინანსებისთვის: PCI იზოლაცია, PrivateLink ko PSP, WORM აუდიტი, SLO/ალერტები იურისდიქციებში.

15) TL; DR

გამოიყენეთ VPC/VNet Peering მარტივი სათადარიგო კავშირისთვის „წერტილი-წერტილი“, მაგრამ ნუ დაეყრდნობით მას ტრანზიტისთვის - ამას სჭირდება კერა (TGW/VWAN/Cloud Router). დაგეგმეთ CIDR კვეთა გარეშე, შეინარჩუნეთ მარშრუტები მკაფიო და სპეციფიკური, გამოიყენეთ stateful SG/NSG და L7 პოლიტიკა mesh, DNS - split-horizon. ჩართეთ flow logs, სინთეზური და PMTUD ტესტები. IGaming/ფინანსებისთვის - PCI იზოლაცია, PSP- ის პირადი არხები და უცვლელი აუდიტი.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

Telegram
@Gamble_GC
ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.