Жеке endpoints жана ички тармактар

1) Эмне үчүн жеке тармак

• PaaS/DB/коомдук IP сактоочу жайларды изоляциялоо;
• шайкештикти жөнөкөйлөтүү (PCI DSS/GDPR);
• алдын ала кечигүү жана багыттоо.

2) Базалык модели: VPC/VNet жана Hub

Дарек мейкиндиги: бирдиктүү CIDR планы, кесилишсиз (мисалы, '10. 0. 0. 0/12 'чөйрөлөр жана борборлор боюнча кесип).
Сегментация: подсети 'ingress', 'app', 'data', 'ops', 'shared' өзүнчө каттамдар менен/ACL/SG.
Транзиттик хаб: борбордук VPC/VNet шлюзы менен (VPN/DirectConnect/ExpressRoute/Interconnect), VPC peering/Transit Gateway жана тармактык коопсуздук.
Dual-stack: алдын ала IPv6 пландаштыруу (NAT үнөмдөйт, даректердин масштабын жакшыртат).

3) Private endpoints: негиздери

• Трафик провайдердик тармактын ичинде жүрөт (интернет аркылуу эмес).
• Endpoint policy кайда барууга болот чектейт (префикстер/ARN/ресурстар).
• DNS жеке IP боюнча кайра аныкталат (кара § 6).

Типтүү максаттар: объект stores (S3/GCS/Blob), secret/KMS, кезек, шина окуялар, башкарылуучу DD, аналитикалык кызматтар, артефакт-реестрлер.

4) Кирүү жана баланстоо ичинде

L4/7 үчүн Internal Load Balancer (ILB) жеке көмөкчордондордон гана көрөбүз.

• 'Service' түрү 'LoadBalancer' менен internal-аннотациялар.
• жеке дареги боюнча Internal Ingress (Nginx/Contour/Gateway API) аркылуу кирүү.
• API Gateway (жеке): backends жеке интеграция; сыртка - талап кылынса, edge аркылуу гана.

Мисал: K8s Ingress ички катары

yaml apiVersion: networking. k8s. io/v1 kind: Ingress metadata:
name: api-internal annotations:
kubernetes. io/ingress. class: "nginx"
alb. ingress. kubernetes. io/scheme: internal # or provider equivalent spec:
rules:
- host: api. internal. corp http:
paths:
- path: /v1/
pathType: Prefix backend:
service:
name: api port: { number: 8080 }

5) Egress-контур: "демейки - deny"

• NAT Gateway (жаңыртуулар/репозиторийлер үчүн) + FQDN/IP боюнча egress allowlist;
• TLS текшерүү/прокси, эгерде саясатчылар көзөмөлдү талап кылат;
• Private endpoints PaaS/регистрлер ордуна NAT.
• SG/NACL: ачык уруксат per-кызматы, "чыгыш-батыш" - минималдуу.
• Egress Policy K8s (CNI/OPA Gatekeeper/Calico NetworkPolicy) - тышкы IP тыюу салуу, кластерлерге уруксаттар/endpoints.

6) DNS: split-horizon и private zones

ички аймактарды бөлүп ('.internal. corp ') жана коомдук.
Private DNS зоналары үчүн кызмат көрсөтүүчүнүн: коомдук аттары (мисалы, 'bucket. s3. region. amazonaws. com ') жеке A/AAAA жазууларына.
Forwarders/Conditional DNS между on-prem ↔ cloud.
Аттардын форматы: айлана-чөйрөнү/аймакты ('api. eu1. internal. corp '), PII качуу.

api. internal. corp. A  10. 20. 30. 40 s3. bucket. corp. A  10. 100. 0. 25 # via private endpoint

7) Тармак аралык байланыштар үлгүлөрү

Peering (VPC, VPC/VNet, VNet): жөнөкөй жана тез; транзит дайыма эле колдоого алынбайт → жылдыз үчүн Transit Gateway/Virtual WAN/Cloud Router колдонуу (hub-and-spoke).
On-prem ⇄ cloud: баштоо үчүн IPsec VPN, андан кийин BGP жана камдык менен атайын линия (DC/ER/IC) (эки провайдерлер, ар кандай кирүү пункттары).
Сегментация VRF/Route-домен: изоляция prod/stage/dev жана карта периметри.

8) Zero Trust жана ички аутентификация

mTLS-демейки (service mesh: Istio/Linkerd/Consul), машина ID: SPIFFE/SPIRE.
L7 саясаты: JWT/claims/scopes боюнча авторизациялоо, прокси деңгээлинде маршруттарды/ыкмаларды чектөө.
Secrets: HashiCorp Vault/КMS + External Secrets Operator; кыска жашоо Credenshell (STS).
Bastion/Privileged Access: жеке кирүү брокер/JIT сессиясы аркылуу гана (MFA, команда жазуу).

Мисал: Envoy чыпкасы mTLS + JWT-authz (үзүндү)

yaml transport_socket:
name: tls typed_config: {... spiffe://svc. api... }
http_filters:
- name: envoy. filters. http. jwt_authn typed_config:
providers:
oidc: { issuer: https://idp. corp, audiences: ["api"], remote_jwks: {...} }
rules: [{ match: { prefix: "/v1" }, requires: { provider_name: oidc } }]

9) Маалыматтар жана PaaS менчиктештирүү ичинде

Базалар/кластерлер: жеке даректер гана; bastion/JIT аркылуу админка.
Сактоо: private endpoint боюнча VPC кирүү; endpoint policy керектүү бакеттер/контейнерлер гана уруксат берет.
Кезектер/шиналар: жеке интерфейстер; өндүрүүчүлөр/консюмерлер - ошол эле VPC/peering.
Артефакттардын регистрлери: Жеке көмөкчордондордо CI/CD runners жеке кирүү.

10) Жеке тармактардагы байкоо

OpenTelemetry Collector - телеметрия шлюз катары: ички экспортерлор өз-hosted (Prometheus/Tempo/Loki/ClickHouse) же башкарылуучу backends боюнча private endpoints.
Flow logs/NSG/NACL logs жана reachability analyzer - милдеттүү.
SLO-тилкелери: 'site/region/vpc/subnet', агып чыгуу жана күтүлбөгөн "интернет багыты" үчүн алерттерди.

11) Тестирлөө жана текшерүү

Policy as Code (OPA/Gatekeeper) үчүн тармак эрежелери/Ingress/кызматы.
Canary жолдору: жеке DNS сыноо домендери, ар кандай көмөкчордондордон synthetic текшерүүлөр/AZ/аймактар.
Chaos Network: VPC/AZ (netem/Toxiproxy) ортосундагы кечигүү/жоготуу, убакыт текшерүү жана retry-саясат.

12) Конфигурация мисалдары

12. 1 Терраформ: белгилер жана маршруттар (идея)

hcl resource "aws_route_table" "app" {
vpc_id = aws_vpc. core. id tags = { Name = "rt-app", env = var. env, zone = "private" }
}
Route on PrivateLink endpoint (interface endpoint is created separately)
resource "aws_vpc_endpoint_route_table_association" "s3" {
route_table_id = aws_route_table. app. id vpc_endpoint_id = aws_vpc_endpoint. s3. id
}

12. 2 K8s NetworkPolicy: каалаган башка бардык тыюу салуу

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: allow-core }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ port: 5432, protocol: TCP }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 }  # private endpoints ports: [{ port: 443, protocol: TCP }]

12. 3 Nginx Ingress (internal scheme) + HSTS

yaml metadata:
annotations:
alb. ingress. kubernetes. io/scheme: internal nginx. ingress. kubernetes. io/hsts: "true"

13) Антипаттерндер

Жеке көмөкчордондордон жалпы "management-internet"; egress-контролдоо жоктугу.
Split-Brein DNS жана туш келди кол '/etc/hosts '.
CIDR жана "NAT-matryoshki" кесилишет.
DD/сактоо үчүн коомдук endpoint's "ыңгайлуулук үчүн".
Агымдардын логдору/аудит эрежелери жок; "ачык" SG '0. 0. 0. 0/0`.
/ CI кодундагы узак мөөнөттүү статикалык кирүү ачкычтары.

14) Наркы жана аткаруу

Private endpoints көп учурда туруктуу NAT egress арзан жана коопсуз.
bottleneck түзүү үчүн эмес, өткөрүү жөндөмдүүлүгү үчүн NAT кластерлерин/az-local пландаштыруу.
Кэш/edge жана SWR кросс-аймактык трафикти азайтат.
протоколдорду тандоо: HTTP/2/gRPC ичинде → аз байланыштар жана TLS-overhead.

15) iGaming/каржы өзгөчөлүктөрү

PCI DSS: карта контур (CDE) өзүнчө тармак/VRF, эч кандай интернет; Store/PSP логдорго кирүү жеке endpoints аркылуу гана; өзгөрүлбөс аудиттер (WORM/Object Lock).
KMS/Vault: ачкычтар сегменттелген per аймак/бренд; Кол коюу операциялары (HSM) mTLS боюнча гана CDEден жеткиликтүү.
PSP/KYC: private connectivity/базарлар бар болсо - колдонуу; болбосо - egress HMAC/mTLS жана ачык allowlist менен ишенимдүү прокси аркылуу.
Multi-тенанттык: теги жана саясат 'tenant '/' brand'; жеке жеке DNS аттары жана SG катмарлары.

16) Prod-даярдык чек тизмеси

• CIDR планы кесилишсиз; dual-stack даяр (IPv6).
• Hub-and-Spoke, Transit, peering; on-prem ⇄ cloud - BGP, резервдик линк жуптары.
• Бардык PaaS/сактоо/DD - private endpoints + endpoint policies аркылуу.
• Internal LB/Ingress; коомдук периметри - edge/WAF боюнча гана.
• Split-horizon DNS, private zones жана conditional-forwarding орнотулган.
• Egress демейки "deny"; NAT/прокси чектелген жана жазылган.
• Mesh mTLS + SPIFFE; L7 боюнча JWT-authz; Vault/ESO, кыска сырлар.
• NetworkPolicy/SG/NACL - "минималдуу зарыл", flow-logs жана reachability-талдоо.
• OTEL Collector ичинде; egress, SLO 'site/region/vpc'.
• PCI/аудит: WORM журналдар, KMS/HSM, CDE изоляция, runbook кирүү.

17) TL; DR

Так CIDR планы менен hub-and-spoke схемасы боюнча тармак куруп, ар бир PaaS/сактоо/DD үчүн private enpoints колдонуңуз, ал эми сырткы трафик - башкарылуучу egress-пункттар аркылуу гана. Ичинде - internal LB/Ingress, mTLS + SPIFFE, split-horizon DNS, катуу NetworkPolicy/SG жана OTEL аркылуу телеметрия. iGaming/Finance үчүн PCI сегментациясын, KMS/Vault жана өзгөрүлбөгөн аудитти кошуу; PSP/KYC жеке каналдар аркылуу же катуу көзөмөлдөнгөн прокси.