Peering i routing VPC

1) Dlaczego Peering i kiedy jest to właściwe

• oddzielenie środowisk i domen (prod/stage/dev) ze wspólną prywatną łącznością;
• tworzenie wspólnych platform (pozyskiwanie drewna, KMS/skarbiec, artefakty) w ramach wspólnej sieci;
• dostęp z aplikacji do zarządzanego systemu PaaS za pośrednictwem prywatnych ścieżek (poprzez centrale/punkty końcowe).

Kiedy lepiej nie do peeringu, ale hub: ponad 10-20 sieci, potrzeba tranzytu routingu, scentralizowany egress, komunikacja międzychmurowa → użyj Transit Gateway/Virtual WAN/Cloud Router.

2) Modele i ograniczenia

2. 1 Rodzaje peering

Peering wewnątrzregionalny - w obrębie regionu, minimalne opóźnienia i koszty.
Peering międzyregionalny - między regionami, ruch międzyregionalny jest zwykle płatny.
Cross-project/account - peering pomiędzy różnymi rachunkami/projektami (z delegacją).

2. 2 Tranzyt i NAT

Klasyczna sieć VPC/VNet Peering nie jest transmisyjna: sieć A, A, B i B, nie oznacza A i C.
NAT za pośrednictwem pośredniej sieci tranzytowej - anty-wzorzec (przerwy źródła IP, złożony audyt).
Do tranzytu - autobus centralny: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 Nakładanie się CIDR

• Adres Replan (najlepsza opcja);
• domeny NAT/proxy VPC z systemami jednostronnymi (z uwzględnieniem audytu i rejestrowania);
• Dla konkretnego systemu PaaS - z wyłączeniem dostępu do systemu L3.

3) Adresowanie i projektowanie trasy

3. 1 Planowanie CIDR

Pojedynczy supernet (na przykład, '10. 0. 0. 0/8 „) → podzielić przez” region/na/vpc'.
Zakresy rezerw dla przyszłych VPC/buforów wzrostowych.
IPv6 - plan w przyszłości: '/56 'w VPC, '/64' w podsieci.

3. 2 Routing

Tabele tras: wyraźne trasy na peer/hub na każdej sieci VPC/podsieci.
Priorytety: wygrywa bardziej szczegółowy prefiks; unikać catch-all poprzez peering.
Ochrona czarnej dziury: Znak i czyste duplikaty/przestarzałe trasy.

3. 3 Dziedziny i role

Głos zabrał (aplikacje) Hub (wspólne usługi, wyjście, inspekcja).
Uczty mówiły tylko na plaży; głos zabrał - przez piastę (segmentacja i kontrola).

4) Wzory topologii

4. 1 oczko proste (≤ 5 VPC)

Bezpośrednie biesiady pin-to-pin (A Plusy: minimalne składniki; cons: O (N ²) linki i zasady.

4. 2 Węzeł i głos

Wszystkie przemawiały uczty z Hub VPC/VNet; w centrum - TGW/Virtual WAN/Cloud Router, NAT/egress, inspekcja. Skalowalny, łatwy w zarządzaniu.

4. 3 Wielobranżowe

Lokalne węzły w każdym regionie; między węzłami - peering międzyregionalny lub kręgosłup (TGW-to-TGW/VWAN-to-VWAN).

5) Bezpieczeństwo i segmentacja

Statious na hosta: SG/NSG jest główną barierą; NACL/subnetwork ACL - gruba osłona/listy odmowy.
Polityka L7 w siatce/serwerze proxy (Istio/Envoy/NGINX) - autoryzacja przez mTLS/JWT/roszczenia.
Sterowanie Egress: mówił nie powinien „zobaczyć” Internet bezpośrednio - tylko przez bramę wyjścia/Link.
Dzienniki przepływu i inspekcja węzła (GWLB, IDS/IPS) dla ruchu między VPC.

6) DNS - podział na horyzonty

Każda strefa prywatna - widoczność na żądanych VPC (prywatne strefy hostingowe/prywatne DNS/strefy).
W przypadku systemu PaaS za pośrednictwem portalu KPiB - prywatne wpisy do prywatnych punktów końcowych IP.

Spedycja warunkowa мера, on-prem, „chmurka”, obwód

Nazwa: 'svc. Wi-fi region. wewnętrzne. corp "- bez PII; naprawić TTL (30-120s) pod feiler.

7) Obserwowalność i badania

Mierniki: akceptowane/odmawiane na SG/NSG, bajty na równi, RTT/jitter między regionami, najlepsi rozmówcy.
Dzienniki: Dzienniki przepływu VPC/Dzienniki przepływu NSG w SIEM, ślad za pomocą 'trace _ id' dla korelacji L7 i L3.
Testy osiągalności: TCP/443 porty syntetyczne/DB z różnych podsieci/AZ/regionów; analizator osiągalności.
Sieć chaosu: opóźnienia/straty między peer/hub; sprawdzenie czasu/retray/idempotencji.

8) Wydajność i koszt

Region międzyregionalny jest prawie zawsze opłacany; czytać egress z góry (droższe z dzienników/kopii zapasowych).
MTU/PMTUD: standardowy MTU znajduje się w obrębie dostawcy, ale na granicach (VPN, FW, NAT-T), należy rozważyć zacisk MSS.
skala kontroli (zestawy GWLB/skali) bez wąskich gardeł; ECMP dla piastów.
Cache/edge i SWR zmniejszyć ruch międzyregionalny.

9) Cechy i przykłady chmury

9. 1 AWS (VPC Peering/Transit Gateway)

Peering VPC: tworzenie połączenia peeringowego, dodawanie tras w tabelach podsieci.
Nie ma tranzytu przez regularne peering. Do tranzytu i scentralizowanego modelu - Transit Gateway.

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering/Wirtualny WAN)

VNet Peering (w tym globalne): flagi Zezwalaj na ruch przesyłany, Użyj zdalnej bramy dla programów piasty.
Dla węzłów i tranzytu - wirtualna sieć WAN/Hub z tabelami i zasadami trasy.

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering/Cloud Router)

VPC Peering bez tranzytu; dla centrum - Cloud Router + HA VPN/Peering Router.
Hierarchiczne poręcze FW длра.

10) Kubernety w sieciach peer-to-peer

Klaster w rozmowach, wspólne usługi (rejestrowanie/przechowywanie/artefakty) - w węźle; dostęp do adresów prywatnych.
Polityka „zaprzeczać-all” i wyraźne wyjście na piastę/Link.
Nie należy „przenosić” CIDR Pod pomiędzy VPC; trasa węzła CIDR i używać Ingress/Gateway.

11) Trableshooting (oszukać arkusz)

1. CIDR nie pokrywają się? Sprawdź supersety/stare podsieci.
2. Tabele trasy: Czy jest ścieżka w obie strony? Czy istnieje bardziej konkretna trasa, która przechwytuje ruch?
3. SG/NSG/NACL: stateful-in/out match? Czy podsieci ACL blokują odwrotny ruch?
4. DNS: poprawne prywatne zapisy/spedytorzy? Sprawdź 'dig + short' z obu sieci.
5. MTU/MSS/PMTUD: czy istnieje rozdrobnienie i ciche czasy?
6. Sprawdzanie dzienników przepływu: czy istnieje SYN/SYN-ACK/ACK? Kto spada?
7. Międzyregionalne: kwoty peeringowe/limity/polityka organizacji/znaczniki routingu.

12) Antypattery

„Przypadkowa” oczko dziesiątki rówieśników bez piasty → wybuch trudności i ACL przechodzi.
Nakładanie się CIDR „jakoś przytłaczające NAT” → audit/end-to-end breaks identification.
Publiczne wyjście w każdym mówił → niekontrolowana powierzchnia i koszt.
Brak split-horizon DNS → wycieki nazw/uszkodzone rozdzielczości.
Szerokie trasy '0. 0. 0. 0/0 'nad peer → nieoczekiwana asymetria ruchu.
Ręczne edycje w konsoli bez IaC i wersji.

13) Szczegóły dotyczące iGaming/Finance

PCI CDE i obwody płatnicze - tylko przez piastę z inspekcją; żadna obwodnica nie przemówiła.
Miejsce zamieszkania: PII/dzienniki transakcji - w obrębie jurysdykcji; międzyregionalnie - agregaty/anonimowe.
Multi-PSP: • Link/prywatne kanały do PSP, scentralizowany proxy egress przez permlist FQDN i mTLS/HMAC.
Audyt/WORM: dzienniki przepływu i zmiany trasy w niezmienionym magazynie, zatrzymywanie zgodnie z normami.
sekcje SLO: na region/VPC/najemca; wpisy do „wycieku wycieku” i degradacji międzyregionalnych RTT.

14) Lista kontrolna gotowości Prod

• CIDR non-crossing plan (IPv4/IPv6), puli wzrostu zastrzeżone.
• Topologia piasty i mowy; biesiady - tylko przemawiał i piastował; tranzyt przez TGW/VWAN/Cloud Router.
• Tabele tras: wyraźne ścieżki, brak catch-all przez rówieśników, kontrola czarnej dziury.
• Zastosowano SG/NSG/NACL; Polityka L7 w zakresie oczek sieci; wyjąć tylko przez węzeł/Link.
• Skonfigurowany prywatny DNS/PHZ; kondycjonalne-spedytorzy мерд, on-prem/cloud/regions.
• Włączone dzienniki przepływu; deski rozdzielcze według równości/regionu; syntetyki osiągalności i testy PMTUD.
• IaC (Terraform/CLI) i Policy-as-Code (OPA/Conftest) dla zasad/tras/DNS.
• Udokumentowane runbook'i (dodać peer, roll out tras, disable spoken).
• Ćwiczenia: wyłączenie centrum/uczty, pomiar rzeczywistego RTO/RPO ścieżek sieciowych.
• W przypadku iGaming/Finance: odizolowanie PCI, • Link do PSP, audyt WORM, SLO/wpisy według jurysdykcji.

15) TL; DR

Użyj VPC/VNet Peering dla prostej prywatnej łączności punkt-punkt, ale nie polegaj na nim do tranzytu - potrzebuje piasty (TGW/VWAN/Cloud Router). Planować CIDR bez skrzyżowań, utrzymywać trasy jawne i specyficzne, stosować statyczne zasady SG/NSG i L7 w oczkach, DNS - podział na horyzonty. Włącz rejestry przepływu, syntetyki i sprawdzanie PMTUD. iGaming/finance - izolacja PCI, prywatne kanały do PSP i niezmienny audyt.