VPC Peering және бағыттау

1) Peering не үшін және ол қашан орынды

• орталар мен домендерді ортақ жеке байланыста бөлу (prod/stage/dev);
• shared-желіде ортақ платформаларды (логиндеу, KMS/Vault, артефактілер) шығару;
• бағдарламалардан басқарылатын PaaS жеке жолдарға (хабтар/endpoint 'тер арқылы) қатынау.

peering емес, хаб жақсы болған кезде: 10-20 желіден астам, транзиттік бағыттау қажеттілігі, орталықтандырылған egress, бұлт аралық байланыстар → Transit Gateway/Virtual WAN/Cloud Router пайдаланыңыз.

2) Модельдер мен шектеулер

2. 1 Пиринг түрлері

Intra-region peering - өңір ішінде, ең аз кідірістер мен құн.
Inter-region peering - аймақтар арасында, әдетте аймақаралық трафик төленеді.
Cross-project/account - әртүрлі аккаунттар/жобалар арасындағы пиринг (жіберу арқылы).

2. 2 Транзит және NAT

Классикалық VPC/VNet Peering транзитивті емес: A, B, C желісі A, C дегенді білдірмейді.
NAT транзит үшін аралық желі арқылы - анти-паттерн (бастапқы IP, күрделі аудитті бұзады).
Транзит үшін - хаб-шина: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 Overlapping CIDR

• Мекенжайларды қайта жіберу (ең жақсы нұсқа);
• NAT-домендер/бір жақты схемалары бар Proxy VPC (аудит пен логингті ескере отырып);
• Ерекше PaaS үшін - PrivateLink/PSC L3-қатынаусыз.

3) Мекенжай және маршруттар дизайны

3. 1 CIDR жоспарлау

Бірыңғай супернет (мысалы, '10. 0. 0. 0/8 ') → бойынша бөлеміз' region/env/vpc '.
Болашақ VPC/тенанттар (growth-buffers) үшін ауқымдарды сақтаңыз.
IPv6 - алдын ала жоспар: VPC-ге '/56 ', кіші желіге '/64'.

3. 2 Бағыттау

Route tables: әрбір VPC/кіші желілерде peer/hub.
Басымдықтар: неғұрлым ерекше префикс жеңеді; пиринг арқылы catch-all дегеннен аулақ болыңыз.
Blackhole-қорғау: қайталанатын/ескірген бағыттарды белгілеңіз және тазалаңыз.

3. 3 Домендер мен рөлдер

Spoke (қосымшалар) Hub (ортақ қызметтер, egress, инспекция).
Тек spoke, hub; spoke, spoke - хаб арқылы (сегменттеу және бақылау).

4) Топологиялардың паттерндері

4. 1 «Қарапайым» mesh (≤ 5 VPC)

Тікелей пин-ту-пин пирлар (A, B, A, C...). Артықшылықтары: компоненттердің минимумы; кемшіліктері: O (N ²) байланыстар мен ережелер.

4. 2 Hub-and-Spoke

Барлық spoke Hub VPC/VNet; хабта - TGW/Virtual WAN/Cloud Router, NAT/egress, инспекция. Масштабтау, жай ғана басқару.

4. 3 Көп өңір

Әрбір өңірдегі жергілікті хабтар; хабтар арасында - inter-region peering немесе магистраль (TGW-to-TGW/VWAN-to-VWAN).

5) Қауіпсіздік және сегменттеу

Хосттағы Stateful: SG/NSG - негізгі кедергі; NACL/кіші желілік ACL - өрескел қоршау/deny-парақтар.
L7 саясаты mesh/proxy (Istio/Envoy/NGINX) - mTLS/JWT/claims бойынша авторизациялау.
Egress-бақылау: spoke интернетті тікелей - egress-шлюз/PrivateLink арқылы ғана «көрмеуі» тиіс.
Flow Logs және өзара VPC трафигі үшін хаб инспекциясы (GWLB, IDS/IPS).

6) DNS и split-horizon

Әрбір жеке аймақ - қажетті VPC (Private Hosted Zones/Private DNS/Zones) көрінуі.
PrivateLink/PSC арқылы PaaS үшін - жеке IP endpoint 'терге жеке жазбалар.
Conditional forwarding между on-prem ↔ cloud и region ↔ region.
Атауы: 'svc. env. region. internal. corp '- PII-сыз; TTL (30-120с) фейловер астында бекітіңіз.

7) Бақылау және тестілеу

Өлшемдер: SG/NSG accepted/denied, bytes per peer, RTT/jitter өңірлер арасында, top-talkers.
Логи: SIEM-дегі VPC Flow Logs/NSG Flow Logs, кореляциялау үшін 'trace _ id' -мен трасса L7 L3.
Қол жеткізу тестілері: синтетика TCP/443/DB-әртүрлі кіші желілерден/AZ/аймақтардан порттар; reachability analyzer.
Chaos желісі: peer/hub арасындағы кідірістер/шығындар; таймауттарды/ретрайлерді/теңсіздікті тексеру.

8) Өнімділік және құн

Inter-region әрдайым дерлік тарифтеледі; egress алдын ала есептеңіз (логтар/бэкаптарда қымбаттайды).
MTU/PMTUD: провайдер шегінде стандартты MTU, бірақ шекараларда (VPN, FW, NAT-T) MSS-clamp ескеріңіз.
Тар орындарсыз инспекцияны көлденең масштабтау (GWLB/scale sets); Хабтар үшін ECMP.
Кэш/edge және SWR аймақаралық трафикті азайтады.

9) Бұлттық ерекшеліктер мен мысалдар

9. 1 AWS (VPC Peering / Transit Gateway)

VPC Peering: peering connection жасаймыз, кіші кестелерге бағыттарды қосамыз.
Кәдімгі peering арқылы транзит жоқ. Транзит және орталықтандырылған модель үшін - Transit Gateway.

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering / Virtual WAN)

VNet Peering (жаһандық желектерді қоса алғанда): Allow forwarded traffic, Use remote gateway желектері.
Хабтар мен транзит үшін - Virtual WAN/Hub c Route Tables және Policies.

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering / Cloud Router)

VPC Peering транзитсіз; орталық үшін - Cloud Router + HA VPN/Peering Router.
Hierarchical FW для org-guardrails.

10) Пирингтік желілердегі Kubernetes

Spoke кластері, жалпы сервистер (логизация/сақтау орны/артефактілер) - hub; жеке мекенжайлар бойынша кіру.
NetworkPolicy «deny-all» және/PrivateLink хабына анық egress.
VPC арасында Pod CIDR «сүйретпеңіз»; Node CIDR бағыттап, Ingress/Gateway бағдарламасын пайдаланыңыз.

11) Трабшутинг (шпаргалка)

1. CIDR қиылыспады ма? Супержелілерді/ескі кіші желілерді тексеру.
2. Бағыт кестелері: екі жаққа да жол бар ма? Трафикті ұстап қалатын ерекше бағыт жоқ па?
3. SG/NSG/NACL: stateful-in/aut сәйкес келеді? Кіші желілік ACL кері трафикті бұғаттамайды ма?
4. DNS: дұрыс жеке жазбалар/forwarders? Екі желіден 'dig + short' дегенді тексеру.
5. MTU/MSS/PMTUD: үзінділер мен «үнсіз» таймауттар жоқ па?
6. flow logs тексеру: SYN/SYN-ACK/ACK бар ма? Кім лақтырып жатыр?
7. Inter-region: квоталар/пиринг лимиттері/ұйым саясаты/бағыттау тегтері.

12) Антипаттерндер

Хабсыз ондаған пирлерден «кездейсоқ» mesh → ACL қиындықтары мен рұқсатнамаларының жарылысы.
Overlapping CIDR «қандай да бір NAT» → аудит/толассыз сәйкестендіру бұзылады.
Ашық egress әрбір spoke → бақыланбайтын беті және құны.
Жоқ split-horizon DNS → ысымдардың ағуы/сынған бұрандалар.
Кең бағыттар '0. 0. 0. 0/0 'арқылы peer → күтпеген трафик ассиметриясы.
Консольдағы IaC-сыз және ревизиясыз қолмен түзетулер.

13) iGaming/Қаржы ерекшелігі

PCI CDE және төлем контурлары - инспекциясы бар хаб арқылы ғана; айналып өтуге болмайды.
Data residency: PII/транзакциялық логтар - юрисдикциялар ішінде; өңіраралық - агрегаттар/аноним.
Multi-PSP: PrivateLink/PSP жеке арналар, allowlist FQDN және mTLS/HMAC бойынша орталықтандырылған egress-прокси.
Аудит/WORM: flow-логтар және өзгермейтін қоймадағы бағыттарды өзгерту, нормалар бойынша ретеншн.
SLO тіліктері: per region/VPC/tenant; «egress ағуына» және аймақаралық RTT деградациясына арналған алерталар.

14) Prod-дайындық чек-парағы

• CIDR жоспары қиылысусыз (IPv4/IPv6), өсу пулдары сақталған.
• hub-and-spoke топологиясы; пирлар - тек spoke hub; TGW/VWAN/Cloud Router арқылы транзит.
• Route tables: анық жолдар, peer арқылы catch-all жоқ, blackhole бақылау.
• SG/NSG/NACL қолданылған; L7-саясаты mesh; egress хабы/PrivateLink арқылы ғана.
• Private DNS/PHZ теңшелген; conditional-forwarders между on-prem/cloud/regions.
• Flow Logs қосылған; peer/region бойынша дашбордтар; қол жетімділік синтетикасы және PMTUD-тестілер.
• Ережелер/бағыттар/DNS үшін IaC (Terraform/CLI) және Policy-as-Code (OPA/Conftest).
• runbook 'және құжатталған (peer қосу, бағыттарды жаю, spoke өшіру).
• Жаттығулар: хаб/пирді ажырату, нақты RTO/RPO желілік жолдарын өлшеу.
• iGaming/Қаржы үшін: PCI оқшаулау, PrivateLink PSP, WORM-аудит, SLO/юрисдикция бойынша алерта.

15) TL; DR

VPC/VNet Peering бағдарламасын «нүкте-нүктеге» қарапайым жеке байланыстыру үшін пайдаланыңыз, бірақ транзитке сүйенбеңіз - ол үшін хаб (TGW/VWAN/Cloud Router) қажет. CIDR-ді қиылысусыз жоспарлаңыз, маршруттарды анық және ерекше ұстаңыз, stateful SG/NSG және L7-саясатын mesh, DNS - split-horizon-да қолданыңыз. Ағындарды, синтетиканы және PMTUD тексерулерін қосыңыз. iGaming/қаржы үшін - PCI оқшаулау, PSP жеке арналар және өзгермейтін аудит.