Абри гибридӣ: on-prem + абр

1) Чаро гибрид ва кай он асоснок аст

Ронандагон: талаботҳои танзимкунанда (резидентураи маълумот/PII), сармоягузориҳои мавҷуда, таъхир ба системаҳои "хусусӣ", назорати хароҷот, дастрасӣ ба хидматҳои абрии идорашаванда.
Фурӯшҳо: мураккабии шабакаҳо ва амният, такрори салоҳиятҳо, ҳамоҳангсозии маълумот ва конфигуратсияҳо, хатарҳои амалиётӣ.

Шиор: сайёр дар ҷое интиқодӣ; абр-ватанӣ, ки дар он фоидаовар аст.

2) Моделҳои гибридӣ

Васеъгардонии prem: абр ҳамчун тамдиди маркази додаҳо (microservices/analytics, fronts).
Аввалин абр бо лангарҳои маҳаллӣ: ядро ​ ​ дар абр, системаи баҳисобгирӣ/дарвозаҳои пардохт/нигоҳдории PII.
Буридани абр: қуллаҳои эластикии сарборӣ дар абр (партия, промо-қуллаҳо), ҳаҷми пойгоҳ - маҳаллӣ.
DR ба абр: Захираи абрии гарм/гарм барои prem (RTO/RPO идора карда мешавад).
Edge + Core: гиреҳҳои POP/канорӣ ба корбар наздиктаранд, маълумоти решавӣ/ML дар абр аст.

3) Шабака ва пайвастшавӣ

3. 1 канал

Сайт-ба-сайт VPN (IP-sec/SSL) - зуд оғоз кунед, ниҳонии баландтар, jitter.
Хатҳои мустақим (DC/ER/IC, MPLS) - SLA-ҳои пешгӯишаванда, дар зери таъхир, гаронтар.
Дугона-пайванд + BGP - таҳаммулпазирии хато ва назорати масир.

3. 2 Суроға ва хатсайрҳо

Диаграммаи ягонаи RFC1918 бе буриш; Нақшаи CIDR барои солҳои оянда.
NAT-гунбазҳо танҳо дар марзҳо; шарқ-ғарб бе NAT.
Сегмент/VRF барои ҷудо кардани муҳитҳо (dev/stage/prod), иҷорагирон, провайдерҳо.

3. 3 Сиёсати вақт ва DNS

NTP-и ягона (соат = тақдир барои криптография/имзоҳо).
DNS тақсимшудаи уфуқӣ: минтақаҳои дохилӣ (svc. кластер. маҳаллӣ, corp.local), берунӣ - оммавӣ.
GSLB-и тиббӣ барои трафики воридотӣ.

4) Шахсият ва дастрасӣ

Федератсияи SSO: OIDC/SAML, ID-P-и пешакӣ ↔ ID ID; Таъмини SCIM.
Нақшҳо аз рӯи принсипи камтарин имтиёз; ҳисобҳои шишагин бо ВКХ.
Шиносоии мошин: SPIFFE/SPIRE ё mesh-PKI барои mTLS.
RBAC "ба охир мерасад": Git/CI/CD → кластер/фикрию → брокерҳо/DB → гузоришҳо.

5) Платформа: Kubernetes + Git

5. 1 Қабати ягонаи иҷро

Кластерҳо оид ба прем ва абр бо ҳамон версияҳо/CRD.
Gitops (Argo CD/Flux): диаграммаҳои ягона/такрорӣ, назорати дрифт, ҷараёнҳои таблиғотӣ.

5. 2 Фикрҳои хидматӣ

Istio/Linkerd: пешфарз MTLS, мувозинати огоҳона дар маҳал, нокомии кластер.
Сиёсатҳои L7 (JWT, сарлавҳаҳо, маҳдудиятҳои нархҳо, retry/circuit/timeout) - дар рамзи намоён.

5. 3 Намуна (K8s топология ва фикрию)

yaml anti-affinity and distribution by zones on-prem cluster spec:
topologySpreadConstraints:
- maxSkew: 1 topologyKey: topology. kubernetes. io/zone whenUnsatisfiable: DoNotSchedule labelSelector: { matchLabels: { app: api } }
Istio DestinationRule: local cluster priority, then trafficPolicy cloud:
outlierDetection: { consecutive5xx: 5, interval: 5s, baseEjectionTime: 30s }

6) Маълумот ва нигаҳдорӣ

6. 1 пойгоҳ

Устои prem, read-replica абрӣ (таҳлил/феҳристҳо).
Устои абрӣ + кэши пешакӣ (таъхири кам барои ҳамгироии маҳаллӣ).
Тақсимоти SQL/No.SQL (Cockroach/Cassandra) бо кворумҳои маҳаллӣ.
Нусхабардории CDC/журнал (Debezium) дар байни ҳалқаҳо; idempotency коркардкунандагон.

6. 2 Объект/файл/блок

S3-compatible stors (on-prem Min-IO + абр S3/GCS) бо нусхабардорӣ/версия; WORM барои аудит.
Нусхабардорӣ: 3-2-1 (3 нусха, 2 медиа, 1 - берун аз макон), санҷиши мунтазами барқароршавӣ.

6. 3 Кэш ва навбатҳо

Кластери Redis/Key-DB дар як сайт; кэши глобалӣ - танҳо тавассути чорабиниҳо/TTL.
Кафка/Пулсар: Зеркало 2/репликатор; калид - deadup/idempotency истеъмолкунандагон.

7) Амният ва мувофиқат (Zero Trust)

MTLS дар ҳама ҷо (фикрию), TLS 1. 2 + дар периметри; хомӯш кардани каналҳои рамзнашуда.
Асрҳо: Hashi ​ ​ Corp Vault/ESO; нишонаҳои кӯтоҳмуддат; худкори гардиш.
KMS/HSM: калидҳо ба як қаламрав/иҷорагир тақсим карда шудаанд; гардиши крипто ба нақша гирифта шудааст.
Сегментатсия: Шабакаҳо, микро-сегментатсия (NSX/Calico), ZTNA барои дастрасии маъмурон.
Сабтҳо: тағйирнопазир (Қулфи объект), 'пайгирӣ _ ид', ниқоби PII/PAN.

8) Мушоҳида, SLO ва идоракунии ҳодисаҳо

Кушодани Telemetry SDK дар ҳама ҷо; Коллектор on-prem ва дар абр.
Интихоби думҳо: 100% ошибок и п99, тамғакоғазҳо 'site = onprem' cloud ',' минтақа ',' иҷорагир '.
Буҷаҳои SLO ва хатогиҳо аз рӯи иловаро (масир/иҷорагир/провайдер/сайт); ҳушдорҳо бо суръати сӯхтан.
Панелҳои ниҳоӣ: RED/USE, харитаҳои вобастагӣ, муқоисаи канарӣ (пеш аз/пас аз муҳоҷират).

9) CI/CD ва конфигуратсияҳо

Феҳристи ягонаи артефактҳо (кашидани кэш дар вақти тайёрӣ).
Ҷараёни Promo: dev → марҳила (on-prem) → canary (абр) → prod; ё баръакс - вобаста ба мақсад.

Санҷишҳо: Санҷишҳои шартномавӣ (Open

10) DR/BCP (нақшаи давомдор)

• каталогҳо/фурудгоҳҳо: RTO 5-15 дақиқа, RPO ≤ 5 дақиқа;
• пардохтҳо/ҳамёнҳо: RTO ≤ 5 дақиқа, RPO ≈ 0-1 дақиқа (кворум/синхронӣ дар дохили сайт).
• Runbook: гузариши GSLB/вазнҳо, баланд бардоштани интизорӣ дар кластер, парчамҳои хусусии "ҳолати сабук".
• Рӯзҳои бозӣ: ҳар семоҳа - қатъ кардани сайт/канал, санҷиши воқеии RTO/RPO.

11) Арзиш ва FIN

Egress байни prem ва абр хароҷоти асосии "пинҳон" аст; кэш ва пиёда то ҳадди аққал (SWR, канор).
Барчаспҳо: 'хидмат', 'env', 'сайт', 'иҷорагир', 'cost _ center'.
Қоидаи 80/20: мо 20% "ядрои интиқодӣ" -ро интиқол медиҳем/нигоҳ медорем, боқимонда - дар куҷо арзонтар аст.
Нишондиҳандаҳои пастсифат, истинодҳои гузоришҳои "гарм/хунук", пайгирии намунаҳои аз буҷа огоҳ.

12) Шакли ҷойгиркунии сарбории корӣ

13) Намунаҳои конфигуратсияҳо

13. 1 IP/sec S2S (идея)

onprem ↔ cloud: IKEv2, AES-GCM, PFS group 14, rekey ≤ 1h, DPD 15s, SLA monitoring jitter/packet-loss

13. 2 Terraform (порчаи барчасп/нишона)

hcl resource "kubernetes_namespace" "payments" {
metadata {
name = "payments"
labels = {
"site"    = var. site    # onprem    cloud
"tenant"   = var. tenant
"cost_center" = var. cc
}
}
}

13. 3 Vault + ESO (махфӣ аз кластери абрӣ)

yaml apiVersion: external-secrets. io/v1beta1 kind: ExternalSecret spec:
refreshInterval: 1h secretStoreRef: { kind: ClusterSecretStore, name: vault-store }
target: { name: psp-hmac, creationPolicy: Owner }
data:
- secretKey: hmac remoteRef: { key: kv/data/payments, property: HMAC_SECRET }

14) Антипаттернҳо

Гузариши CIDR → NAT бетартибӣ; аввал нақшаи суроға, баъд каналҳо.
Як кэши глобалии "муштарак" бо пайдарҳамии қавӣ → ниҳонӣ ва тақсимшавӣ-майна.
Бозхонди бидуни идмотентӣ → аз ҳисоб/фармоишҳои дукарата.
VPN-и "бараҳна" бидуни m: TLS/Zero Trust дар дохили - ҳаракати паҳлуӣ ҳангоми осеб.
Набудани машқҳои DR: нақшаҳо дар асл кор намекунанд.
Тафовут байни версияҳои K8s/CRD/operators → имконнопазирии диаграммаҳои ягона.
Сабтҳо дар формати ройгон бидуни 'trace _ id' ва ниқоб имконнопазиранд.

15) Хусусиятҳои IGaming/Finance

Резидентураи маълумот: чорабиниҳои PII/пардохт - ноҳиявӣ/минтақавӣ; ба абр - агрегатҳо/беном.
PSP/KYC: бисёр провайдерҳо; масири интеллектуалӣ аз абр ба дарвозаҳои маҳаллӣ, бозгашт ба нусхабардорӣ; webhooks тавассути брокер бо deduplication.
"Роҳҳои пулӣ": SLO-ҳои инфиродӣ аз шумораи умумӣ; HMAC/MTLS, 'Retry-After', 'Idempotency-Key' талаб карда мешавад.
Аудит: нигоҳдории WORM (Object Lock), гузоришҳои муомилоти тағйирнопазир, сабти дуҷониба (on-prem + абр) барои рӯйдодҳои муҳим.
Қаламравҳо: KMS/Vault сегментатсияи калидӣ дар як кишвар/бренд; гео-блокҳо дар периметр.

16) Рӯйхати санҷиши омодагии Prod

• Нақшаи суроғаҳо, DNS, NTP - як; S2S пайвандҳо + пайвандҳои муҳофизатшаванда (BGP).
• Шахсияти ягона (SSO/OIDC/SAML), ВКХ, имтиёзи камтарин; SPIFFE/SPIRE барои хизматрасонӣ.
• K8s дар ҳама сайтҳо, Gitops, ҳамон операторҳо/CRD; хидмати фикрию s mTLS i LB-и огоҳ аз маҳал.
• Маълумот: CDC, санҷишҳои пайдарҳамӣ, сиёсати RPO/RTO, нусхабардории 3-2-1 ва дискҳои барқароркунии мунтазам.
• Амният: Vault/ESO, гардиш, сиёсати шабака, ZTNA; гузоришҳо тағйирнопазиранд.
• Мушоҳидаҳо: OT bel, интихоби думҳо, SLO/буҷетҳо аз рӯи сайт/минтақа/иҷорагир; панели канарӣ.
• CI/CD: санҷишҳои шартномавӣ, линтинги Ia дарвозаҳои озод аз ҷониби SLO.
• DR-runbook, Рӯзҳои Game, андозагирии RTO/RPO; тугмаҳои буридан/бозгашт.
• Фикрҳо: маҳдудиятҳои egress, барчаспҳо ва ҳисоботҳо, сиёсати нигоҳдории ченакҳо/гузоришҳо/роҳҳо.
• Хусусиятҳои бозӣ: резидентураи маълумот, PSP, аудити WORM, SLO-ҳои инфиродӣ барои пардохт.

17) TL; ДР

Hybrid = платформаи иҷрои маъмулӣ (K8s + GIT + фикрию + OT + el + Vault) дар ду олам: on-prem ва абр. Шабака ва шахсиятро ба нақша гиред, маълумотро тавассути CDC/idempotency портативӣ кунед, амниятро дар байни Zero Trust фарқ кунед, эътимоднокии буҷаҳои SLO/хатогиҳоро чен кунед ва DR-ро омӯзед. Барои IGaming, маълумот ва пардохтҳоро дар қаламрави қаламрав нигоҳ доред, масири бисёрсоҳаи PSP P ва аудити тағйирнопазирро истифода баред.