VPC 피어링 및 라우팅

1) 피어링과 언제 적절한 지

• 일반적인 개인 연결로 환경과 도메인 (prod/stage/dev) 을 분리합니다.
• 공유 네트워크에서 공통 플랫폼 (로깅, KMS/Vault, 아티팩트) 을 가져옵니다.
• 개인 경로 (허브/엔드 포인트를 통해) 를 통해 응용 프로그램에서 관리되는 PaaS로 액세스 할 수 있습니

들여다 보지 않는 것이 좋지만 허브: 10-20 개 이상의 네트워크, 대중 교통 라우팅, 중앙 집중식 탈출, 클라우드 간 통신의 필요성 → Transit Gateway/Virtual WAN/Cloud Router를 사용합니다.

2) 모델 및 제약

2. 피어링의 1 가지 유형

지역 내 피어링-지역 내, 최소한의 지연 및 비용.
지역 간 피어링-지역 간, 지역 간 트래픽은 일반적으로 지불됩니다.
크로스 프로젝트/계정-다른 계정/프로젝트 간의 피어링 (위임 포함).

2. 2 대중 교통 및 NAT

Classic VPC/VNet Peering은 전이적이지 않습니다. A-B 및 B 리듬 C 네트워크가 A를 의미하지는 않습니다.
전송을위한 중간 네트워크를 통한 NAT-패턴 방지 (소스 IP 중단, 복잡한 감사).
대중 교통-허브 버스: AWS 대중 교통 게이트웨이 (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 겹치는 CIDR

피어링은 교차 접두사를 지원하지 않습니다. 교차점을 피할 수없는 경우 다음을 적용하십시오

주소 Replan (최상의 옵션);

일방적 인 체계 (감사 및 로깅을 고려한) 를 갖춘 NAT 도메인/프록시 VPC;

특정 PaaS-L3 액세스가없는 PrivateLink/PSC.

3) 해결 및 경로 설계

3. 1 CIDR 계획

단일 슈퍼 넷 (예: '10. 0. 0. 0/8 ') →' region/env/vpc '로 나눕니다.
향후 VPC/성장 버퍼를위한 범위를 예약하십시오.
IPv6-미리 계획: VPC의 '/56 ', 서브넷의 '/64'.

3. 2 라우팅

경로 테이블: 각 VPC/서브넷의 피어/허브에 대한 명시 적 경로.
우선 순위: 보다 구체적인 접두사가 승리합니다. 피어링을 통한 포획을 피하십시오.
블랙홀 보호: 중복/폐기 경로를 마크하고 깨끗하게합니다.

3. 3 도메인과 역할

스포크 (응용 프로그램) 표시 허브 (공통 서비스, 탈출, 검사).
축제는 허브 만 사용했습니다. 허브 (세그먼트 및 제어) 를 통해 말했습니다.

4) 토폴로지 패턴

4. 1 "간단한" 메시 (자동 5 VPC)

직접 핀-투-핀 잔치 (A... B, A-C...). 장점: 최소 구성 요소; 단점: O (N ²) 링크 및 규칙.

4. 2 허브 앤 스포크

Hub VPC/VNet을 사용한 모든 축제; 허브에서 - TGW/Virtual WAN/Cloud Router, 겠습니다. 확장 가능하고 관리하기 쉽습니다.

4. 3 다중 지역

각 지역의 지역 허브; 허브-지역 간 피어링 또는 백본 (TGW-to-TGW/VWAN-to-VWAN).

5) 보안 및 세분화

호스트에 감사합니다: SG/NSG가 주요 장벽입니다. NACL/서브 네트워크 ACL-거친 가드/거부 목록.
메쉬/프록시 (Istio/Envoy/NGINX) 의 L7 정책-mSL/JWT/claims의 승인.
탈출 제어: 스포크는 출구/PrivateLink를 통해서만 인터넷을 직접 "참조" 해서는 안됩니다.
VPC 간 트래픽에 대한 흐름 로그 및 허브 검사 (GWLB, IDS/IPS).

6) 디스플레이 분할 수평선

각 개인 영역-원하는 VPC에 대한 가시성 (개인 호스팅 영역/개인 DNA/영역).
PrivateLink/PSC를 통한 PaaS-개인 IP 엔드 포인트에 대한 개인 항목.

조건부 전달

명명: 'svc. env. 지역. 내부. corp '- PII없이; 페일러 아래에서 TTL (30-120) 을 수정하십시오.

7) 관찰 및 테스트

지표: SG/NSG에서 허용/거부, 피어 당 바이트, 지역 간 RTT/지터, 톱 토커.
로그: SIEM의 VPC Flow Logs/NSG Flow Logs, L7 ² L3 상관 관계에 대해 'trace _ id' 로 추적됩니다.
실행 가능성 테스트: 상이한 서브넷/AZ/영역으로부터의 §/443 합성/DB 포트; 도달 가능성 분석기.
혼돈 네트워크: 피어/허브 간의 지연/손실; 타임 아웃/리트레이/idempotency 확인.

8) 성능 및 비용

지역 간 거의 항상 청구됩니다. 미리 출구를 읽으십시오 (로그/백업으로 더 비싸다).
MTU/PMTUD: 표준 MTU는 공급자 내에 있지만 경계 (VPN, FW, NAT-T) 에서는 MSS 클램프를 고려하십시오.
병목 현상없이 검사 스케일 업 (GWLB/스케일 세트); 허브를위한 ECMP.
캐시/에지 및 SWR은 지역 간 트래픽을 줄입니다.

9) 클라우드 기능 및 예

9. 1 AWS (VPC 피어링/대중 교통 게이트웨이)

VPC 피어링: 피어링 연결을 만들고 서브넷 테이블에 경로를 추가하십시오.
정기적 인 피어링을 통한 대중 교통은 없습니다. 대중 교통 및 중앙 집중식 모델-대중 교통 게이트웨이.

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 푸른 (VNet Peering/Virtual WAN)

VNet Peering (글로벌 포함): 플래그로 전달 된 트래픽을 허용하고 허브 구성표에 원격 게이트웨이를 사용하십시오.
허브 및 대중 교통 용-경로 테이블 및 정책이있는 가상 WAN/허브.

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC 피어링/클라우드 라우터)

운송이없는 VPC 피어링; 센터 용 - 클라우드 라우터 + HA VPN/피어링 라우터.

계층 적 FW

10) P2P 네트워크의 Kubernetes

클러스터, 공통 서비스 (로깅/스토리지/아티팩트) -허브; 개인 주소에 대한 액세스.
NetworkPolicy는 허브/PrivateLink에서 "모두 거부" 및 명시 적 출구입니다.
VPC 사이에 포드 CIDR을 "운반" 하지 마십시오. 노드 CIDR을 라우팅하고 Ingress/Gateway를 사용하십시오.

11) Trableshooting (치트 시트)

1. CIDR이 겹치지 않습니까? 슈퍼셋/오래된 서브넷을 확인하십시오.
2. 경로 테이블: 두 가지 경로가 있습니까? 트래픽을 차단하는보다 구체적인 경로가 있습니까?
3. SG/NSG/NACL: 스테이트 인/아웃 경기? 서브넷 ACL이 트래픽 역전을 차단합니까?
4. DNA: 올바른 개인 기록/방어자? 두 네트워크에서 'dig + short' 를 확인하십시오.
5. MTU/MSS/PMTUD: 조각화 및 조용한 타임 아웃이 있습니까?
6. 흐름 로그 확인: SYN/SYN-ACK/ACK가 있습니까? 누가 떨어지나요?
7. 지역 간: 피어링 할당량/제한/조직 정책/라우팅 태그.

12) 안티 패턴

허브가없는 수십 명의 동료들의 "무작위" 메쉬 → 폭발적인 어려움과 ACL 패스.
CIDR이 겹치면 "어떻게 나를 압도한다" → 감사/종단 간 식별 중단.
각 스포크의 공개 출구 → 통제되지 않은 표면과 비용.
수평선 수평선 → 이름이 부족하여 해상도가 누출/파손되었습니다.
넓은 노선 '0. 0. 0. 동료 → 예기치 않은 트래픽 비대칭보다 0/0 '.
IaC 및 개정없이 콘솔에서 수동 편집.

13) iGaming/Finance의 세부 사항

PCI CDE 및 결제 회로 - 검사가있는 허브를 통해서만; 바이 패스를하지 않았다.
데이터 레지던트: PII/트랜잭션 로그 - 관할 구역 내; 지역간-집계/익명.
Multi-PSP: PrivateLink/Private 채널에서 PSP로가는 채널, 허용리스트 FQDN에 의한 중앙 집중식 탈출 프록시 및 mSL/HMAC.
감사/세계: 변경되지 않은 스토리지의 흐름 로그 및 경로 변경, 표준에 따른 유지.
SLO 섹션: 지역 별/VPC/테넌트; "탈출 누출" 및 지역 간 RTT의 저하에 대한 경고.

14) Prod 준비 점검표

• CIDR 비 교차 계획 (IPv4/IPv6), 성장 풀 예약.
• 허브 앤 스포크 토폴로지; 잔치-말한 허브 만; TGW/VWAN/Cloud Router를 통한 환승.
• 경로 테이블: 명시 적 경로, 피어를 통한 포획 금지, 블랙홀 제어.
• SG/NSG/NACL 적용; 메쉬의 L7 정책; / PrivateLink 허브를 통해서만 빠져 나옵니다.
• 개인 DNA/PHZ 구성; 조건부 포워더
• 흐름 로그 활성화; 동료/지역별 대시 보드; 도달 성 합성 및 PMTUD 테스트.
• 규칙/경로/DNS에 대한 IaC (Terraform/CLI) 및 OPA/Conftest (Policy-as-Code).
• 문서화 된 런북 '및 (피어 추가, 경로 롤아웃, 스포크 비활성화).
• 운동: 허브/잔치를 비활성화하고 네트워크 경로의 실제 RTO/RPO를 측정합니다.
• iGaming/Finance: PCI 격리, PSP 간 PrivateLink, WORM 감사, SLO/관할권 별 경고.

15) TL; DR

간단한 지점 간 개인 연결에는 VPC/VNet Peering을 사용하지만 대중 교통에는 의존하지 마십시오. 허브 (TGW/VWAN/Cloud Router) 가 필요합니다. 교차로없이 CIDR을 계획하고, 경로를 명시 적이고 구체적으로 유지하고, 메쉬 SG/NSG 및 L7 정책을 메쉬, DNA-분할 수평선에 적용하십시오. 흐름 로그, 합성 및 PMTUD 검사 사용. iGaming/finance-PCI 격리, PSP로의 개인 채널 및 변경 불가능한 감사.