Нуқтаҳои хусусӣ ва интранетҳо

1) Чаро шабакаи хусусӣ

• ҷудокунии IP/DB/анборҳо аз IP-и ҷамъиятӣ;
• Мутобиқати осонтар (PCI DSS/GDPR)
• таъхири пешбинишаванда ва масир.

2) Модели асосӣ: VPC/VN et ва марказҳо

Фазои суроғаҳо: нақшаи ягонаи CIDR, бидуни чорроҳа (масалан, '10. 0. 0. 0/12 'ба муҳитҳо ва марказҳо бурида мешавад).
Сегментатсия: зершабақаҳои 'ingress', 'app', 'data', 'ops', 'муштарак' бо хатсайрҳои инфиродӣ/ACL/SG.
Маркази транзитӣ: марказии VPC/VN-et бо дарвозаҳо (VPN/Direct-Connect/Express-Route/Interconnect), интерфейси VPC/Transit Gateway ва деворҳои шабакавӣ.
Дугона: банақшагирии IP pv6 пешакӣ (NAT-ро сарфа мекунад, миқёси суроғаҳоро беҳтар мекунад).

3) Нуқтаҳои ниҳоӣ: принсипҳо

• Трафик ба дохили шабакаи провайдер мегузарад (на тавассути Интернет).
• Маҳдудияти сиёсати ниҳоӣ дар ҷое ки шумо рафта метавонед (префиксҳо/ARN/захираҳо).
• DNS ба IP-и хусусӣ муайян карда шудааст (ниг. § 6).

Ҳадафҳои маъмулӣ: мағозаҳои объектҳо (S3/GCS/Blob), махфӣ/KMS, навбатҳо, автобусҳои ҳодиса, пойгоҳи додаҳои идорашаванда, хадамоти таҳлилӣ, регистрҳои артефактӣ.

4) Дохилшавӣ ва мувозинат дар дохили

Тавозуни дохилии сарборӣ (ILB) барои L4/7, мо танҳо аз зершабақаҳои хусусӣ мебинем.

• 'Service' of навъи 'Load' Balancer 'бо эзоҳҳои дохилӣ.
• Воридшавӣ тавассути Ingress Ingress (Nginx/Contour/Gateway API) дар суроғаи хусусӣ.
• API Gateway (хусусӣ): ҳамгироии хусусӣ бо пуштибонӣ; берун - танҳо тавассути канор, агар лозим бошад.

Мисол: K8s Ingress ҳамчун дохилӣ

yaml apiVersion: networking. k8s. io/v1 kind: Ingress metadata:
name: api-internal annotations:
kubernetes. io/ingress. class: "nginx"
alb. ingress. kubernetes. io/scheme: internal # or provider equivalent spec:
rules:
- host: api. internal. corp http:
paths:
- path: /v1/
pathType: Prefix backend:
service:
name: api port: { number: 8080 }

5) Контури Egress: "пешфарз - инкор кунед"

• NAT Gateway (барои навсозиҳо/анборҳо) + рӯйхати allowlist тавассути FQDN/IP;
• Санҷиши TLS/прокси, агар сиёсатҳо назоратро талаб кунанд;
• Нуқтаҳои хусусӣ ба ҷои NAT.
• SG/NACL: иҷозатномаҳои возеҳ барои як хидмат, "шарқу ғарб" - ҳадди аққал.
• K8s Egress Polics (CNI/OPA Gatekeeper/Calico Network .Policy) - монеаҳои берунии IP, кластер/нуқтаи ниҳоӣ.

6) DNS: тақсимоти уфуқи минтақаҳои хусусӣ

Минтақаҳои ҷудогонаи дохилӣ ('.internal. corp ') ва оммавӣ.
Минтақаҳои хусусии DNS барои хизматрасониҳои провайдер: номҳои ҷамъиятиро лағв кунед (масалан, 'сатил. с3. вилоят. амазонавҳо. com ') ба сабтҳои хусусии A/AAAA.
Форвардҳо/DNS шартӣ mejdu on-prem ↔ абр.
Формати ном: муҳит/минтақаро капсула кунед ('api. eu1. дохилӣ. corp '), аз PII канорагирӣ кунед.

api. internal. corp. A  10. 20. 30. 40 s3. bucket. corp. A  10. 100. 0. 25 # via private endpoint

7) Намунаҳои пайвастшавӣ

Peering (VPC↔VPC/VNet↔VNet): оддӣ ва зуд; транзит на ҳамеша дастгирӣ карда мешавад → истифодаи Transit Gateway/Виртуалии WAN/Роутери абрӣ барои ҳаб ва гуфтугӯ.
Дар prem ⇄ абр: IP-sec VPN барои оғоз, пас хати иҷора (DC/ER/IC) бо BGP ва нусхабардорӣ (ду провайдер, нуқтаҳои гуногуни вуруд).
Тақсимоти VRF/Route-domain: ҷудокунии прод/марҳила/дев ва периметри корт.

8) Боварӣ ба сифр ва аутентификатсияи дохилӣ

MTLS-пешфарз (фикрию хидматӣ: Istio/Linkerd/Consul), шахсияти мошин: SPIFFE/SPIRE.
Сиёсати L7: иҷозат аз ҷониби JWT/даъвоҳо/миқёс, маҳдуд кардани хатсайрҳо/усулҳо дар сатҳи прокси.
Асрҳо: Оператори асрори берунаи Hashi-Corp Vault/KMS +; маълумоти кӯтоҳмуддат (STS).
Бастион/Дастрасии имтиёзнок: дастрасӣ ба приватка танҳо тавассути брокер/ҷаласаи JIT (ВКХ, сабти фармон).

Мисол: Филтри фиристодаи M TLS + JWT-authz (порча)

yaml transport_socket:
name: tls typed_config: {... spiffe://svc. api... }
http_filters:
- name: envoy. filters. http. jwt_authn typed_config:
providers:
oidc: { issuer: https://idp. corp, audiences: ["api"], remote_jwks: {...} }
rules: [{ match: { prefix: "/v1" }, requires: { provider_name: oidc } }]

9) Маълумот ва PAA дар дохили хусусӣ

Пойгоҳи додаҳо/кластерҳо: танҳо суроғаҳои хусусӣ; панели маъмурӣ тавассути bastion/JIT.
Репозиторияҳо: дастрасӣ аз VPC тавассути нуқтаи ниҳоӣ; сиёсати ниҳоӣ танҳо сатил/контейнерҳои дилхоҳро имкон медиҳад.
Навбатҳо/автобусҳо: интерфейсҳои хусусӣ; истеҳсолкунандагон/истеъмолкунандагон - дар ҳамон VPC/peering.
Сабти Artifact: дастрасии хусусӣ аз давандагони CI/CD дар зершабақаҳои хусусӣ.

10) Мушоҳида дар шабакаҳои хусусӣ

Коллективи Open-Telemetry - ҳамчун дарвозаи телеметрӣ: содиркунандагони дохилӣ ба худмаблағгузор (Prometheus/Tempo/Loki/Click

Гузоришҳои ҷараён/гузоришҳои NSG/NACL ва таҳлилгари дастрасӣ талаб карда мешаванд.
SLO-иловаро: 'сайт/минтақа/vpc/subnet', ҳушдордиҳӣ ва "самти ғайричашмдошт".

11) Санҷиш ва санҷиш

Сиёсат ҳамчун Кодекс (OPA/Gatekeeper) барои қоидаҳои шабака/Ingress/Service.
Хатсайрҳои канарӣ: доменҳои санҷишӣ дар DNS хусусӣ, санҷишҳои синтетикӣ аз зершабақаҳои гуногун/AZ/минтақаҳо.
Шабакаи хаос: таъхирҳо/талафот дар байни VPC/inter-AZ (netem/Toxiproxy), санҷиши вақт ва сиёсати такрорӣ.

12) Намунаҳои конфигуратсия

12. 1 Terraform: тамғакоғазҳо ва хатсайрҳо (идея)

hcl resource "aws_route_table" "app" {
vpc_id = aws_vpc. core. id tags = { Name = "rt-app", env = var. env, zone = "private" }
}
Route on PrivateLink endpoint (interface endpoint is created separately)
resource "aws_vpc_endpoint_route_table_association" "s3" {
route_table_id = aws_route_table. app. id vpc_endpoint_id = aws_vpc_endpoint. s3. id
}

12. 2 K8s Шабакаи Сиёсат: ҳама чизро ғайр аз он чизе, ки ба шумо лозим аст, рад кунед

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: allow-core }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ port: 5432, protocol: TCP }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 }  # private endpoints ports: [{ port: 443, protocol: TCP }]

12. 3 Nginx Ingress (нақшаи дохилӣ) + HSTS

yaml metadata:
annotations:
alb. ingress. kubernetes. io/scheme: internal nginx. ingress. kubernetes. io/hsts: "true"

13) Антипаттернҳо

"Менеҷмент-Интернет" -и умумӣ аз зершабақаҳои хусусӣ; набудани назорати egress.
DNS тақсимшуда ва дастури тасодуфӣ '/etc/hosts '.
Гузаронидани CIDR ва "лӯхтакҳои NAT".
Нуқтаҳои ҷамъиятӣ барои пойгоҳи додаҳо/анборҳо "ба хотири роҳат".
Не сабтҳои ҷараён/аудити қоидаҳо; "кушода" SG '0. 0. 0. 0/0`.
Калидҳои дастрасии статикӣ дар рамз/CI.

14) Арзиш ва нишондиҳандаҳо

Нуқтаҳои ниҳоии хусусӣ аксар вақт нисбат ба egress доимии NAT арзонтар ва бехатартаранд.
Ҷадвали кластерҳои NAT/az-local барои фарохмаҷро барои пешгирӣ кардани эҷоди мушкилот.
Кэш/канор ва SWR трафики байниминтақавиро коҳиш медиҳад.
Интихоби протоколҳо: HTTP/2/gRPC дар дохили § алоқаҳо ва сарбории TLS камтаранд.

15) Хусусиятҳои IGaming/Finance

PCI DSS: гардиши корт (CDE) дар шабакаи алоҳида/VRF, интернет нест; дастрасӣ ба гузоришҳои мағоза/PSP танҳо аз ҷониби нуқтаҳои ниҳоӣ; аудити тағйирнопазир (WORM/Object Lock).

KMS/Vault: калидҳо ба як минтақа/бренд тақсим карда мешаванд; амалиётҳои имзокунӣ (HSM) танҳо аз CDE тавассути m

PSP/KYC: агар пайвастшавӣ/бозорҳои хусусӣ вуҷуд дошта бошанд - истифода; дар акси ҳол, тавассути прокси боэътимод бо HMAC/m

Бисёрҳуҷрагӣ: барчаспҳо ва сиёсатҳо аз ҷониби 'иҷорагир '/' бренд'; алоҳида номҳои хусусии DNS ва қабатҳои SG.

16) Рӯйхати санҷиши омодагии Prod

• Нақшаи CIDR бидуни чорроҳа; тайёрии дугона (IP bv6).
• Hub-and-Spoke, Transit, peering; on-prem ⇄ абр - BGP, ҷуфтҳои пайванди эҳтиётӣ.
• Ҳама PAA/анборҳо/DB - тавассути нуқтаҳои хусусӣ + сиёсати ниҳоӣ.
• LB/Ingress дохилӣ; периметри ҷамъиятӣ - танҳо дар канори/WAF.
• DNS-уфуқӣ, минтақаҳои хусусӣ ва интиқоли шартӣ танзим карда шудаанд.
• Egress бо нобаёнӣ "инкор мекунад"; NAT/шахсони боэътимод маҳдуд ва сабт карда мешаванд.
• ТТЛС + SPIFFE; JWT-муаллиф оид ба L7; Vault/ESO, сирри кӯтоҳ.
• Шабака/SG/NACL - "ҳадди аққали зарурӣ", гузоришҳои ҷараён ва таҳлили дастрасӣ.
• Коллектори OTel дар дохили; огоҳӣ ба egress, SLO аз ҷониби 'сайт/минтақа/vpc'.
• PCI/аудит: гузоришҳои WORM, KMS/HSM, ҷудокунии CDE, дафтарчаи дастрасӣ.

17) TL; ДР

Шабакаи ҳаб-гуфтугӯ бо нақшаи возеҳи CIDR созед, нуқтаҳои хусусиро ба ҳар як PAA/анбор/пойгоҳи додаҳо истифода баред ва трафикро ба берун танҳо тавассути нуқтаҳои идорашаванда истифода баред. Дар дохили - дохилии LB/Ingress, mTLS + SPIFFE, DNS-уфуқи тақсимшуда, шабакаи қатъии шабака/SG ва телеметрия тавассути OT bel. Барои IGaming/Finance, сегментатсияи PCI, KMS/Vault ва аудити тағйирнопазирро илова кунед; Баромади PSP/KYC тавассути каналҳои хусусӣ ё прокси сахт назоратшаванда.