GH GambleHub

VPC Peering și rutare

1) De ce Peering și când este potrivit

VPC/VNet Peering combină rețelele private ale furnizorului într-un singur spațiu de adrese punct-la-punct cu traficul privat (fără internet și fără NAT între colegi). Cazuri tipice:
  • separarea mediilor și domeniilor (prod/stage/dev) cu conectivitate privată comună;
  • aducerea platformelor comune (logare, KMS/Vault, artefacte) într-o rețea partajată;
  • acces de la aplicații la PaaS gestionate prin căi private (prin hub-uri/puncte finale).

Când este mai bine să nu te uiți, ci un hub: mai mult de 10-20 de rețele, nevoia de rutare de tranzit, ieșire centralizată, comunicații inter-cloud → utilizați Transit Gateway/Virtual WAN/Cloud Router.

2) Modele și constrângeri

2. 1 Tipuri de peering

Peering intra-regiune - în cadrul regiunii, întârzieri minime și costuri.
Inter-regiune peering - între regiuni, traficul interregional este de obicei plătit.
Cross-project/account - peering între diferite conturi/proiecte (cu delegare).

2. 2 Tranzit și NAT

VPC clasic/VNet Peering nu este tranzitiv: rețeaua A↔B și B↔C nu înseamnă A↔C.
NAT prin rețea intermediară pentru tranzit - anti-model (pauze IP sursă, audit complex).
Pentru tranzit - autobuz hub: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 CIDR suprapus

Peering nu acceptă prefixe de intersectare. Dacă trecerile sunt inevitabile, se aplică:
  • Adresa Replan (cea mai bună opțiune);
  • Domenii NAT/Proxy VPC cu scheme unilaterale (luând în considerare auditarea și exploatarea forestieră);
  • Pentru anumite PaaS - PrivateLink/PSC fără acces la L3.

3) Abordarea și proiectarea traseului

3. 1 Planificare CIDR

O singură supernetă (de exemplu, '10. 0. 0. 0/8 „) → împărţire la” regiune/env/vpc'.
Intervale de rezervă pentru viitoarele VPC-uri/tampoane de creștere.
IPv6 - planificați înainte: „/56 ”pe VPC, „/64” pe subrețea.

3. 2 Rutare

Tabele de traseu: rute explicite pe peer/hub pe fiecare VPC/subrețea.
Priorități: Cu cât câștigă prefixul mai specific; evita prinde-toate prin peering.
Protecție Blackhole: Marcați și curățați rutele duplicate/învechite.

3. 3 Domenii și roluri

Vorbit (aplicații) ↔ Hub (servicii comune, ieșire, inspecție).
Sărbători numai spoke↔hub; spoke↔spoke - prin butuc (segmentare și control).

4) Modele de topologie

4. 1 plasă „simplă” (≤5 VPC)

Sărbători directe pin-to-pin (A↔B, A↔C...). Pro: componente minime; contra: O (N ²) link-uri și reguli.

4. 2 Hub-și-vorbit

Toate sărbătorile au vorbit cu Hub VPC/VNet; în hub - TGW/Virtual WAN/Cloud Router, NAT/ieșire, inspecție. Scalabil, ușor de gestionat.

4. 3 Multi-regiune

Hub-uri locale în fiecare regiune; între hub-uri - inter-regiune peering sau coloană vertebrală (TGW-to-TGW/VWAN-to-VWAN).

5) Securitate și segmentare

Statful pe gazdă: SG/NSG este principala barieră; NACL/subrețea ACL - liste grosiere de gardă/negare.
Politicile L7 în mesh/proxy (Istio/Envoy/NGINX) - autorizare prin mTLS/JWT/revendicări.
Controlul ieșirii: vorbit nu ar trebui să „vezi” direct Internetul - numai prin gateway-ul de ieșire/PrivateLink.
Jurnale de flux și inspecție Hub (GWLB, IDS/IPS) pentru traficul inter-VPC.

6) DNS и split-orizont

Fiecare zonă privată - vizibilitate pe VPC-urile dorite (Private Hosted Zones/Private DNS/Zones).
Pentru PaaS prin PrivateLink/PSC - intrări private la punctele finale IP private.
Redirecționarea condiționată между on-prem ↔ cloud и regiune ↔ regiune.
Denumire: 'svc. env. regiune. intern. corp "- fără PII; fix TTL (30-120s) sub feiler.

7) Observabilitate și testare

Valori: acceptate/refuzate pe SG/NSG, octeți per peer, RTT/jitter între regiuni, top-talkers.
Jurnale: Jurnale de flux VPC/Jurnale de flux NSG în SIEM, urme cu 'trace _ id' pentru corelare L7↔L3.
Teste de accesibilitate: TCP/443 porturi sintetice/DB din diferite subrețele/AZ/regiuni; analizor de accesibilitate.
Rețeaua de haos: întârzieri/pierderi între peer/hub; timeout/retray/idempotency check.

8) Performanță și cost

Inter-regiune este aproape întotdeauna taxată; citiți ieșirea în avans (mai scumpe cu jurnale/copii de rezervă).
MTU/PMTUD: MTU standard este în cadrul furnizorului, dar la limitele (VPN, FW, NAT-T), ia în considerare MSS-clemă.
scară de inspecție (GWLB/seturi de scară) fără blocaje; ECMP pentru hub-uri.
Cache/edge și SWR reduc traficul inter-regional.

9) Caracteristici și exemple de cloud

9. 1 AWS (VPC Peering/Gateway de tranzit)

VPC Peering: creați conexiune peering, adăugați rute în tabele subrețea.
Nu există tranzit prin peering regulat. Pentru tranzit și model centralizat - Transit Gateway.

Fragmente de terraformă (idee): 
hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering/Virtual WAN)

VNet Peering (inclusiv global): steaguri Permite traficul transmis, Utilizați gateway-ul de la distanță pentru schemele hub.
Pentru hub-uri și tranzit - Virtual WAN/Hub cu mese de traseu și politici.

Ideea CLI: 
bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering/Cloud Router)

VPC Peering fără tranzit; pentru centru - Cloud Router + HA VPN/Peering Router.
FW ierarhic для org-guardrails.

10) Kubernetes în rețele peer-to-peer

Cluster in speaked, servicii comune (logare/stocare/artefacte) - in hub; acces la adrese private.
NetworkPolicy „neagă-toate” și ieșirea explicită pe hub/PrivateLink.
Nu „transporta” CIDR Pod între VPC-uri; traseul Node CIDR și utilizați Ingress/Gateway.

11) Trabucuri (foaie de înșelăciune)

1. CIDR-urile nu se suprapun? Verificați superseturi/subrețele vechi.
2. Mese de traseu: Există o cale în ambele sensuri? Există o rută mai specifică care interceptează traficul?
3. SG/NSG/NACL: meci stateful-in/out? Are subrețeaua ACL blochează traficul invers?
4. DNS: înregistrări private corecte/expeditori? Verificați „dig + short” din ambele rețele.
5. MTU/MSS/PMTUD: există fragmentare și temporizări silențioase?
6. Verificarea jurnalelor de flux: există un SYN/SYN-ACK/ACK? Cine scade?
7. Inter-regiune: peering cote/limite/politici de organizare/etichete de rutare.

12) Antipattern

O plasă „aleatoare” de zeci de colegi fără un hub → o explozie de dificultăți și ACL trece.
Suprapunerea CIDR „copleșesc cumva NAT” → audit/end-to-end pauze de identificare.
Ieșirea publică în fiecare vorbea → suprafață necontrolată și costuri.
Lipsa split-orizontului DNS → scurgeri de nume/rezoluții rupte.
Rute largi '0. 0. 0. 0/0 'peste egal → asimetrie neașteptată a traficului.
Editări manuale în consolă fără IaC și revizuire.

13) Specificul iGaming/Finanțe

PCI CDE și circuite de plată - numai prin butuc cu inspecție; fără spoke↔spoke de by-pass.
Rezidență de date: PII/jurnale de tranzacții - în jurisdicții; interregional - agregate/anonime.
Multi-PSP: PrivateLink/canale private la PSP, proxy de ieșire centralizată de allowlist FQDN și mTLS/HMAC.
Audit/WORM: jurnalele de debit și modificările de traseu în depozitarea neschimbată, păstrarea în conformitate cu standardele.
Secțiuni SLO: per regiune/VPC/chiriaș; alerte privind „scurgerile de ieşire” şi degradarea TTR interregionale.

14) Lista de verificare Prod Readiness

  • Planul non-crossing CIDR (IPv4/IPv6), bazine de creștere rezervate.
  • Topologie hub-and-speaked; sărbători - numai spoke↔hub; tranzit prin TGW/VWAN/Cloud Router.
  • Tabele de traseu: căi explicite, nici o captură-toate prin peer, control blackhole.
  • SG/NSG/NACL aplicat; politicile L7 în plasă; ieșire numai prin hub-ul/PrivateLink.
  • DNS privat/PHZ configurat; expeditori condiționali между on-prem/nor/regiuni.
  • Flow Busteni activat; tablouri de bord de la egal la egal/regiune; reachability sintetice și teste PMTUD.
  • IaC (Terraform/CLI) și Policy-as-Code (OPA/Conftest) pentru reguli/rute/DNS.
  • Runbook documentat 'și (adăugați peer, rulați trasee, dezactivați vorbit).
  • Exerciții: dezactivarea butucului/sărbătorii, măsurarea actualului RTO/RPO al căilor de rețea.
  • Pentru iGaming/Finance: izolarea PCI, PrivateLink la PSP, audit WORM, SLO/alerte de jurisdicție.

15) TL; DR

Utilizați VPC/VNet Peering pentru conectivitate privată simplă punct-la-punct, dar nu vă bazați pe ea pentru tranzit - are nevoie de un hub (TGW/VWAN/Cloud Router). Planificați CIDR fără intersecții, păstrați rutele explicite și specifice, aplicați politici statale SG/NSG și L7 în plasă, DNS - split-horizon. Activați jurnalele de flux, sintetice și verificări PMTUD. Pentru iGaming/finanțe - izolarea PCI, canale private la PSP și audit de neschimbat.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Telegram
@Gamble_GC
Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.