VPC Peering жана багыттоо

1) Эмне үчүн Peering жана качан ылайыктуу

• чөйрө жана домендерди бөлүштүрүү (prod/stage/dev) жалпы жеке байланыш менен;
• shared-тармакта жалпы аянтчаларды (логин, KMS/Vault, экспонаттар) чыгаруу;
• жеке жолдор менен башкарылуучу PaaS колдонмолордон жетүү (hub/endpoint's аркылуу).

жакшы эмес peering жана хаб болгондо: 10-20дан ашык тармактар, транзиттик багыттоо зарылдыгы, борборлоштурулган egress, булут аралык байланыштар → Transit Gateway/Virtual WAN/Cloud Router колдонуңуз.

2) Моделдер жана чектөөлөр

2. 1 Пиринг түрлөрү

Intra-аймак peering - региондун ичинде, минималдуу кечигүү жана наркы.
Inter-region peering - аймактардын ортосунда, адатта, аймактар ​ ​ аралык трафик төлөнөт.
Cross-project/account - ар кандай эсептердин/долбоорлордун ортосундагы пиринг (өткөрүп берүү менен).

2. 2 Транзит жана NAT

Классикалык VPC/VNet Peering транзитивдүү эмес: A, B жана B, C тармагы A, C дегенди билдирбейт.
транзит үчүн аралык тармак аркылуу NAT - анти-үлгү (баштапкы IP бузат, татаал аудит).
Транзит үчүн - хаб-шина: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 Overlapping CIDR

• Даректерди кайра жөнөтүү (эң жакшы вариант);
• NAT домендери/прокси VPC бир тараптуу схемалар менен (аудит жана логин эске алуу менен);
• атайын PaaS үчүн - PrivateLink/PSC L3-жетүү жок.

3) Адресация жана маршруттардын дизайны

3. 1 CIDR пландаштыруу

Бирдиктүү супернет (мисалы, '10. 0. 0. 0/8 ') → бөлүү' region/env/vpc '.
келечектеги VPC/тенанттар (growth-buffers) үчүн диапазондорду камдап.
IPv6 - алдын ала планы: '/56 'VPC боюнча, '/64' субсети боюнча.

3. 2 багыттоо

Route таблицалары: ар бир VPC/подсети peer/hub үчүн ачык маршруттар.
Артыкчылыктар: көбүрөөк конкреттүү префикс жеңет; пиринг аркылуу catch-all алыс.
Blackhole-коргоо: кайталап/эскирген жолдорду белгилөө жана тазалоо.

3. 3 домендер жана ролдору

Spoke (тиркемелер) Hub (жалпы кызматтар, egress, текшерүү).
тойлор гана spoke, hub; spoke, spoke - хаб аркылуу (сегменттөө жана контролдоо).

4) Топологиялардын үлгүлөрү

4. 1 "жөнөкөй" Mesh (≤ 5 VPC)

Түздөн-түз pin-tu-pin Пирс (A, B, A, C...). Артыкчылыктары: компоненттердин минималдуу; кемчиликтери: O (N ²) байланыштар жана эрежелер.

4. 2 Hub-and-Spoke

Бардык spoke Hub VPC/VNet менен тойлошот; хабында - TGW/Virtual WAN/Cloud Router, NAT/egress, текшерүү. масштабдуу, жөн гана башкаруу.

4. 3 Көп аймак

Ар бир региондогу жергиликтүү борборлор; хабдардын ортосунда - inter-region peering же магистраль (TGW-to-TGW/VWAN-to-VWAN).

5) Коопсуздук жана сегменттөө

Host боюнча Stateful: SG/NSG - негизги тоскоолдук; NACL/тармактык ACL - орой тосмо/дени-барактар.
L7 тор/прокси саясаты (Istio/Envoy/NGINX) - mTLS/JWT/claims боюнча авторизация.
Egress-Control: spoke интернетти түздөн-түз көрбөшү керек - egress-шлюз/PrivateLink аркылуу гана.
Flow Logs жана хаб текшерүү (GWLB, IDS/IPS) аралык VPC жол үчүн.

6) DNS и split-horizon

Ар бир жеке аймак - керектүү VPC боюнча көрүнүү (Private Hosted Zones/Private DNS/Zones).
PrivateLink/PSC аркылуу PaaS үчүн - жеке IP endpoint's жеке жазуулар.
Conditional forwarding между on-prem ↔ cloud и region ↔ region.
Аталышы: 'svc. env. region. internal. corp '- PII жок; Feylover астында TTL (30-120s) чечүү.

7) байкоо жана сыноо

Метрика: SG/NSG боюнча кабыл алынган/denied, bytes per peer, региондор арасында RTT/jitter, top-talkers.
Logs: VPC Flow Logs/NSG Flow Logs менен SIEM, trace 'trace _ id' менен L7 L3.
Жеткиликтүүлүк тесттер: синтетикалык TCP/443/DB-порттору ар кандай көмөкчордондордон/AZ/региондордон; reachability analyzer.
Chaos Network: peer/hub ортосундагы кечигүү/жоготуу; таймауттарды/ретрансляторлорду/демпотенттикти текшерүү.

8) аткаруу жана наркы

Inter-аймак дээрлик дайыма төлөмдөрдү; egress алдын ала (Логин/Backaps менен кымбаттайт).
MTU/PMTUD: камсыздоочу стандарттуу MTU ичинде, бирок чек (VPN, FW, NAT-T) MSS-clamp эске алуу.
Горизонталдуу масштабдуу текшерүү (GWLB/scale sets) тар жерлери жок; хаб үчүн ECMP.
Кэш/edge жана SWR аймактар ​ ​ аралык трафикти азайтат.

9) Булут өзгөчөлүктөрү жана мисалдар

9. 1 AWS (VPC Peering / Transit Gateway)

VPC Peering: peering connection түзүү, көмөкчордондордо маршруттарды кошуу.
кадимки peering аркылуу эч кандай транзит. транзиттик жана борборлоштурулган модели үчүн - Transit Gateway.

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering / Virtual WAN)

VNet Peering (анын ичинде глобалдык): Allow forwarded traffic желектери, hub схемалар үчүн Use remote gateway.
Hub жана транзит үчүн - Virtual WAN/Hub менен Route Tables жана Policies.

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering / Cloud Router)

VPC Peering транзит жок; борбору үчүн - Cloud Router + HA VPN/Peering Router.
Hierarchical FW для org-guardrails.

10) Пиринг тармактарында Kubernetes

spoke кластер, жалпы кызматтар (Логин/сактоо/экспонаттар) - hub; жеке даректерге кирүү.
NetworkPolicy "deny-all" жана ачык egress боюнча хаб/PrivateLink.
VPC ортосунда "сүйрөп" Pod CIDR жок; Node CIDR багыттоо жана Ingress/Gateway колдонуу.

11) Трабшутинг (шпаргалка)

1. CIDR кесилишпейт? Суперсеттерди/эски көмөкчордондорду текшерүү.
2. Маршруттук таблицалар: эки тарапка тең жол барбы? Трафикти кармап турган конкреттүү маршрут жокпу?
3. SG/NSG/NACL: stateful-in/out туура келет? ACL арткы трафикти бөгөттөбөйбү?
4. DNS: туура жеке жазуулар/forwarders? Эки тармактан 'dig + short' текшерүү.
5. MTU/MSS/PMTUD: фрагментация жана "унчукпай" таймауттар жокпу?
6. Текшерүү flow logs: SYN/SYN-ACK/ACK бар? Ким чачат?
7. Inter-аймак: квоталар/пиринг лимиттери/уюштуруу саясаты/багыттоо теги.

12) Антипаттерндер

"Кокустук" түйүнү жок тойлордун ондогон mesh → ACL кыйынчылыктар жана кечигүү жарылуу.
Overlapping CIDR "кандайдыр бир жол менен NAT" → сынган аудит/аркылуу аныктоо.
Коомдук egress ар бир spoke → көзөмөлсүз бети жана наркы.
Жок split-horizon DNS → аты-жөнү агып/ур.
кенен жолдор '0. 0. 0. 0/0 'аркылуу peer → күтүлбөгөн асимметрия жол.
Консолдо IaC жана текшерүү жок кол менен оңдоо.

13) iGaming/каржы өзгөчөлүктөрү

PCI CDE жана төлөм контурлары - текшерүү менен хаб аркылуу гана; жок spoke, spoke айланып.
Data residency: PII/транзакциялык логдор - юрисдикциялардын ичинде; аймактар аралык - агрегаттар/анонимдүү.
Multi-PSP: PrivateLink/PSP жеке каналдар, allowlist FQDN жана mTLS/HMAC боюнча борборлоштурулган egress прокси.
Аудит/WORM: flow-логи жана өзгөрүлбөс сактагычтагы маршруттарды өзгөртүү, нормалар боюнча кайра иштетүү.
SLO тилкелери: per аймак/VPC/tenant; "egress агып" жана региондор аралык RTT деградациясы үчүн алерталар.

14) Prod-даярдык чек тизмеси

• CIDR планы кесилишсиз (IPv4/IPv6), өсүү бассейндери сакталган.
• Топология hub-and-spoke; тойлор - жөн гана spoke, hub; TGW/VWAN/Cloud Router аркылуу транзит.
• Route таблицалары: ачык жолдор, эч кандай catch-all peer аркылуу, blackhole көзөмөлдөө.
• SG/NSG/NACL колдонулат; L7-сетка саясаты; egress гана хаб/PrivateLink аркылуу.
• жеке DNS/PHZ орнотулган; conditional-forwarders между on-prem/cloud/regions.
• Flow Logs киргизилген; дашборддор peer/region боюнча; синтетикалык жетүү жана PMTUD тесттер.
• IaC (Terraform/CLI) жана Policy-as-Code (OPA/Conftest) эрежелер/каттамдар/DNS үчүн.
• Runbook 'жана документтештирилген (peer кошуу, жолдорду жайып, spoke өчүрүү).
• Машыгуулар: хаб/пирди өчүрүү, чыныгы RTO/RPO тармактык жолдорун өлчөө.
• iGaming/Каржы үчүн: PCI изоляция, PSP үчүн PrivateLink, WORM аудит, SLO/юрисдикция боюнча алерт.

15) TL; DR

жөнөкөй жеке байланыш үчүн VPC/VNet Peering колдонуу "чекитке-чекитке", бирок транзит үчүн ага таянбагыла - бул хаб керек (TGW/VWAN/Cloud Router). CIDRди эч кандай кесилишсиз пландаштырыңыз, каттамдарды ачык жана конкреттүү кармаңыз, stateful SG/NSG жана L7 саясатын торго, DNS - split-horizon. агымы, синтетика жана PMTUD текшерүү кирет. iGaming/Finance үчүн - PCI изоляциясы, PSP үчүн жеке каналдар жана өзгөрүлбөгөн аудит.