Технология жана инфраструктура → Гибриддик булут жана чөйрөнүн өз ара аракеттенүүсү

Гибриддик булут жана чөйрөнүн өз ара аракеттенүүсү

1) гибриддик булут деген эмне

• маалыматтардын эгемендүүлүгүнө/локализациясына карата талаптарды сактоо;
• монолиттин булут кызматтарына жылмакай миграциясы жана модернизациясы;
• ийкемдүүлүк жана чокулары (burstable capacity) темир кайра сатып алуу жок;
• cost-control: туруктуу база on-prem + өзгөрмө булут жүктөмүн.

2) типтүү жагдайлар (iGaming/fintech үчүн)

Төлөм өзөгү/капчык on-prem (банктык каналдарга, HSMге төмөн жашыруун), фронттор жана каталогдор - булутта.
Отчеттуулук жана аналитика: CDC on-prem OLTP булут DWH/лак үйгө SLO менен сергектик үчүн.
KYC/AML: жеке on-prem интеграциясы, оркестр жана булуттагы текшерүүлөрдү масштабдоо.
Промо/иш-чаралар/турнирлер: өзөгүн өзгөртүүсүз коомдук бөлүгүн ийкемдүү масштабдоо.
Миграция: strangler-pattern - эски API шлюз менен ороп, акырындык менен булуттагы функцияларды алып чыгабыз.

3) Тармак пайдубалы

3. 1 Транспорт жана топология

IPsec VPN: тез баштоо, жогорку жашыруун/кошумча чыгымдар.
Түз каналдар (Direct Connect/ExpressRoute): алдын ала тилке жана кечигүү.
Hub-and-Spoke: on-prem как Hub; булут VPC/VNet - Spoke.
Dual-hub: өзүнчө hub's on-prem жана булут, бөлүнгөн канал менен байланышкан.

3. 2 Дарек мейкиндиги жана багыттоо

Бирдиктүү IPAM саясаты, кичи тармактардын жабылышын жокко чыгарат.
динамикалык багыттоо жана байкоо үчүн SD-WAN/Cloud routers.
Egress-Control: Тышкы провайдерлердин тизмеси (PSP/KYC) боюнча белгиленген NAT-IP.

3. 3 коопсуздук периметри

WAF/бот коргоо четинде (cloud edge).
mesh/ingress-gateway аркылуу кызмат mTLS.
Сегментация: prod/stage үчүн өзүнчө зоналар, "жылуу" кумдуктар.

4) Маалыматтар жана шайкештик

4. 1 маалымат класстары

Катуу ырааттуулук (капчык/баланс, операциялар): жергиликтүү сактоо жана жазуу (on-prem), окуялар - булут.
Акыркы ырааттуулук (каталогдор, профилдер, рейтингдер): эки тараптуу репликация/кэширование.
Сезгич маалыматтар (PAN/PII): on-prem боюнча сактоо, булутта - токендер/алгоритмдик проекциялар.

4. 2 Синхрондоштуруу ыкмалары

CDC ALTP → брокер/агым → булут DWH/лак үйү; SLA (мисалы, P95 ≤ 5 мин).
Домендик окуялар үчүн Outbox/Inbox.
Кэш жана edge: near-cache/TTL, чокуларынын алдында жылытуу.
Лидборд/статистика үчүн CRDT/эсептегичтер (актив-актив окууда).

5) Платформа жана ижаралар

Kubernetes Double: on-prem кластери жана булуттагы кластер; GitOps (Argo/Flux) бирдиктүү жеткирүү механизми катары.
Service Mesh (multi-cluster): mTLS, retry/breaker, locality-aware routing; кросс-орто чакырыктарды чектейбиз.
Булуттагы Serverless/Batch: ийкемдүү функциялар/чокулар жана фон үчүн батчи.
Кызматтардын каталогу: бирдиктүү метадеректер (ээси, SLO, көз карандылык, жайгаштыруу).

6) Идентификация, жеткиликтүүлүк, сырлар

юридикалык IdP (OIDC/SAML) аркылуу IAM Киргизия, эки тарапта ролу.
Майда артыкчылыктар саясаты: on-prem/булут үчүн жеке ролдор + орто ролдор-котормочулар.
KMS/HSM: on-prem HSM ачкычтары, булут KMS - булут экспонаттары үчүн; эч качан мастер-ачкычтарды "чыгарбайбыз".
Secret-management: брокерлер/операторлор аркылуу сырларды синхрондоштуруу, айлануу аудити.

7) CI/CD жана өзгөрүүлөрдү башкаруу

Шаршемби күнү параметрлөө менен бирдиктүү моно-спек/моно-репозиторий.
Экспонаттарды жарнамалоо: dev → stage-cloud → prod-on-prem/prod-cloud (матрица).
Canary/Blue-Green ар бир чөйрө үчүн өзүнчө; SLI салыштыруу.
on-prem жана булут ортосундагы Contract-тесттер (API жана окуялар).
Infra-as-Code: Эки контур үчүн Terraform/Crossplane, policy-as-code (OPA).

8) Байкоо жана SLO

9) DR стратегиялары (гибрид модели үчүн)

Үзгүлтүксүз DR Drill жүргүзүү: канал/түйүн өчүрүү, Ranbook текшерүү.

10) Коопсуздук жана комплаенс

Тармактарды сегментациялоо, чыгыш-батыш микросегментациясы, орто ACLди көзөмөлдөө.
Булутта PII минималдаштыруу: токендештирүү, блогдорду жашыруу.
Өзгөрүлбөс логдор (WORM) on-prem жана булутта, иш-аракеттерди текшерүү аркылуу.
Жөнгө салуучу: өлкөдө сактоо, ак тизме боюнча маалыматтарды экспорттоо, SLO/SLA аткаруу далилдөө.

11) FinOps жана экономикалык модели

Негизги кубаттуулугу - on-prem (алдын ала/арзан), чокулары - булут (өзгөрүлмө/кымбат).
Метрика: Шаршемби күнү $/RPS, $/GB egress, $/мин CDC кечигүү.
Эң жогорку терезелер үчүн булуттагы Warm-pools (турнирлер/матчтар).
Айлана-чөйрөнүн ортосундагы "чаттан" качыңыз: окуяларды бириктириңиз, жергиликтүү проекцияларды жасаңыз.

12) Интеграция үлгүлөрү

12. 1 Strangler-Fig (монолиттин айланасында капталган)

[Client] → [API Gateway] →│→ [Cloud microservice v2]
└→ [On-prem legacy v1]

Жолдор/версиялар боюнча багыттоо, телеметрия жана A/B коопсуз тентек үчүн.

12. 2 Outbox/Inbox (ыктымалдуулук)

BEGIN TX apply(domain_command)
insert outbox(event_id, aggregate_id, payload, hash)
COMMIT
// Репликатор читает outbox (on-prem), публикует в шину (cloud).
// Приемник в облаке дедуплицирует inbox по event_id/hash.

12. 3 Local-first writes

Критикалык командаларды жергиликтүү жаздыруу (on-prem), булутта - окуя/проекция.
Колдонуучу барактарды окуу - жакын кэш/проекция.

13) Киргизүү чек-тизмеси

1. Маалыматтарды классификациялоо (катуу/акыркы/сезгич), чөйрөлөрдүн ортосундагы агымдардын картасы.
2. Тандалган транспорт (VPN/Direct) жана IPAM планы, эч кандай бөгөт коюу.
3. Mesh/mTLS, Egress-Control, провайдерлерге белгиленген NAT-IP.
4. CDC жана outbox/inbox, SLO freshness жана inter-env lag.
5. GitOps/CI-конвейер эки чөйрөдө, canary per-env, contract-tests.
6. Кызматтардын бирдиктүү каталогу, ээлери, SLO, көз карандылык.
7. Байкоо: аркылуу соода, синтетика on-prem, cloud, каналдарга алерт.
8. DR-drill жана Ranbook, үзгүлтүксүз Repaints.
9. FinOps: egress/каналдардын бюджеттери, шаршемби күндөрү $/RPS жана $/GB отчеттору.
10. Коопсуздук саясаты, аудиттер, PII токенизациясы, WORM-логи.

14) Анти-үлгүлөрү

Айлана-чөйрөнүн ортосундагы "ысык жол" боюнча синхрондуу чалуулар (wallet/write) → P99 куйруктары жана морт.
Субсети жана "боз" жолдор → өчүрүү тозок.
Бардык репликация жок чыпкалоо → egress-эсеп жана лагдар.
Айлана-чөйрөнүн өзгөрмөлүү сырлары, кооптуу бакеттер аркылуу "көчүп".
Бирдиктүү "мастер" DD бир контур → SPOF тармак аркылуу.
DR-drill жоктугу - "кагаз бетиндеги план".

15) Жыйынтык

1. Тармактар жана коопсуздук (алдын ала каналдар, mTLS, сегменттөө),

2. Маалыматтар жана ырааттуулук (CDC/outbox, жергиликтүү жазуулар, кэштер),

3. процесстер (GitOps, байкоо, DR-Drill, FinOps).

Бул негиз менен сиз башкарылуучу эволюцияны аласыз, чокуларга туруштук бересиз жана жөнгө салуучу органдардын талаптарын аткарасыз - шок жана түнкү инциденттерсиз.