Peering ва масир VPC

1) Чаро Пиринг ва кай мувофиқ аст

• ҷудокунии муҳитҳо ва доменҳо (prod/stage/dev) бо пайвасти умумии хусусӣ;
• баровардани платформаҳои умумӣ (воридшавӣ, KMS/Vault, артефактҳо) дар шабакаи муштарак;
• дастрасӣ аз барномаҳо ба PAA-и идорашаванда тавассути роҳҳои хусусӣ (тавассути марказҳо/нуқтаҳои ниҳоӣ).

Вақте ки беҳтар аст, ки на аз назар гузаронед, балки як марказ: зиёда аз 10-20 шабака, зарурати масири транзитӣ, egress мутамарказ, иртиботи абрӣ → аз Transit Gateway/Virtual WAN/Cloud Router истифода баред.

2) Моделҳо ва маҳдудиятҳо

2. 1 Намудҳои peering

Peering дохили минтақа - дар дохили минтақа, таъхирҳои ҳадди ақал ва арзиш.
Гузариши байниминтақавӣ - байни минтақаҳо, трафики байниминтақавӣ одатан пардохта мешавад.
Кросс-лоиҳа/ҳисоб - ҳамбастагӣ байни ҳисобҳо/лоиҳаҳои гуногун (бо ҳайат).

2. 2 Транзит ва НАТ

Классикии VPC/VN et Peering гузаранда нест: шабакаи A↔B ва B↔C маънои онро надорад, ки A↔C.
NAT тавассути шабакаи фосилавии транзит - зидди намуна (манбаи IP, аудити мураккабро вайрон мекунад).
Барои транзит - автобуси марказӣ: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 Такрори CIDR

• Суроғаи такрорӣ (варианти беҳтарин);
• Доменҳои NAT/Proxy VPC бо схемаҳои яктарафа (бо назардошти аудит ва сабти ном);
• Барои PAA-и мушаххас - Private-Link/PSC бидуни дастрасии L3.

3) Суроға ва тарҳи масир

3. 1 Банақшагирии CIDR

Як супернети ягона (масалан, '10. 0. 0. 0/8 ') → тақсим аз рӯи' минтақа/env/vpc '.
Диапазонҳои захиравӣ барои ояндаи VPC/афзоиш-буферҳо.
IP .v6 - пешакӣ ба нақша гиред: '/56 'дар VPC, '/64' дар subnet.

3. 2 Масир

Ҷадвалҳои масир: хатсайрҳои возеҳ дар ҳамсолон/марказ дар ҳар як VPC/subnet.
Афзалиятҳо: Префикси мушаххас пирӯз мешавад; пешгирӣ аз сайд-ҳама ба воситаи peering.
Муҳофизати Blackhole: Хатсайрҳои такрорӣ/кӯҳна.

3. 3 Доменҳо ва нақшҳо

Гуфтугӯ (барномаҳо) ↔ Hub (хадамоти умумӣ, egress, санҷиш).
Танҳо идҳо spoke↔hub; spoke↔spoke - тавассути марказ (тақсимбандӣ ва назорат).

4) Намунаҳои топология

4. 1 торҳои "оддӣ" (≤ 5 VPC)

Идҳои мустақими пинҳонӣ (A↔B, A↔C...). Тарафдор: ҷузъҳои ҳадди аққал; муқобил: O (N ²) пайвандҳо ва қоидаҳо.

4. 2 Hub-ва-сухан

Ҳама зиёфатҳо бо Hub VPC/VN et; дар марказ - TGW/Виртуалии WAN/Роутери абрӣ, NAT/egress, санҷиш. Миқёспазир, идора кардан осон аст.

4. 3 Бисёр минтақа

Марказҳои маҳаллӣ дар ҳар як минтақа; байни марказҳо - peering байниминтақавӣ ё сутунмӯҳра (TGW-to-TGW/VWAN-to-VWAN).

5) Амният ва сегментатсия

Давлатманд дар мизбон: SG/NSG монеаи асосӣ аст; NACL/subnetwork ACL - рӯйхати посбон/инкор.

Сиёсатҳои L7 дар фикрию/прокси (Istio/Envoy/NGINX) - иҷозат аз ҷониби m

Назорати Egress: гуфтугӯ набояд Интернетро мустақиман "бубинад" - танҳо тавассути дарвозаи egress/Private

Журналҳо ва бозрасии Hub (GWLB, IDS/IPS) барои трафики байниминтақавӣ.

6) DNS и тақсимшавӣ

Ҳар як минтақаи хусусӣ - намоён дар VPC-ҳои дилхоҳ (Минтақаҳои хусусии мизбон/DNS/минтақаҳои хусусӣ).
Барои PAA тавассути Private-Link/PSC - вурудоти хусусӣ ба нуқтаҳои хусусии IP.
Интиқоли шартӣ mejdu on-prem ↔ абри минтақа ↔ минтақа.
Номгузорӣ: 'svc. энв. вилоят. дохилӣ. corp '- бе PII; TTL (30-120s) -ро дар зери feiler ислоҳ кунед.

7) Мушоҳида ва озмоиш

Нишондиҳандаҳо: дар SG/NSG қабул/рад карда мешавад, байтҳо ба як ҳамсол, RTT/jitter байни минтақаҳо, top-talkers.
Гузоришҳо: Гузоришҳои ҷараёни VPC/Гузоришҳои ҷараёни NSG дар SIEM, пайгирӣ бо 'trace _ id' барои таносуби L7↔L3.
Санҷишҳои дастрасӣ: TCP/443 синтетика/бандарҳои DB аз зершабақаҳои гуногун/AZ/минтақаҳо; таҳлилгари дастрасӣ.
Шабакаи бетартибӣ: таъхирҳо/талафот байни ҳамсолон/марказ; Санҷиши вақт/бозсозӣ/idempotency.

8) Иҷро ва арзиши

Интер-минтақа қариб ҳамеша ситонида мешавад; пешакӣ хонед (бо гузоришҳо/нусхаҳои эҳтиётӣ гаронтар).
MTU/PMTUD: стандарти MTU дар провайдер аст, аммо дар ҳудуди он (VPN, FW, NAT-T), MSS-clampро баррасӣ кунед.
Ҷадвали санҷиш (маҷмӯи миқёси GWLB/миқёс) бидуни мушкилот; ECMP барои марказҳо.
Кэш/канор ва SWR трафики байниминтақавиро коҳиш медиҳад.

9) Хусусиятҳо ва намунаҳои абрӣ

9. 1 AWS (VPC Peering/Transit Gateway)

Peering VPC: пайвасти ҳамсолро эҷод кунед, дар ҷадвалҳои зершабақа хатсайрҳо илова кунед.
Транзит тавассути peering мунтазам вуҷуд надорад. Барои модели транзитӣ ва мутамарказ - Transit Gateway.

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (ВН et Peering/WAN виртуалӣ)

VNet Peering (аз ҷумла глобалӣ): Парчамҳо Трафики интиқолшударо иҷозат диҳед, Дарвозаи дурдастро барои нақшаҳои ҳаб истифода баред.
Барои марказҳо ва транзит - Виртуалии WAN/Hub бо ҷадвалҳо ва сиёсатҳои масир.

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering/Роутери абрӣ)

Peering VPC бе транзит; барои марказ - Роутери абрӣ + HA VPN/Роутер.
Иерархияи FW dlya org-guardrails.

10) Кубернетҳо дар шабакаҳои ҳамсол ба ҳамсол

Кластер дар гуфтор, хизматрасониҳои умумӣ (воридшавӣ/нигоҳдорӣ/артефактҳо) - дар марказ; дастрасӣ ба суроғаҳои хусусӣ.
Шабакаи Policy "инкор мекунад-ҳама" ва ба таври возеҳ дар hub/Private-Link.
Pod CIDR-ро дар байни VPC-ҳо "иҷро накунед"; Node CIDR-ро масир кунед ва Ingress/Gateway-ро истифода баред.

11) Траблотинг (варақи фиреб)

1. CIDR-ҳо бо ҳам мувофиқат намекунанд? Суперсетҳо/зершабақаҳои кӯҳнаро санҷед.
2. Ҷадвалҳои масир: Оё ҳар ду роҳ вуҷуд дорад? Оё роҳи мушаххасе ҳаст, ки ҳаракати нақлиётро халалдор мекунад?
3. SG/NSG/NACL: бозии давлатӣ-дар/берун? Оё зербанди ACL трафикро бозмедорад?
4. DNS: сабтҳои хусусӣ/форвардҳоро дуруст кунед? 'Кофтан + кӯтоҳ' -ро аз ҳарду шабака санҷед.
5. MTU/MSS/PMTUD: оё фрагментатсия ва танаффуси хомӯш вуҷуд дорад?
6. Санҷиши сабтҳои ҷараён: оё SYN/SYN-ACK/ACK ҳаст? Кӣ меафтад?
7. Минтақаҳои байниминтақавӣ: квотаҳо/маҳдудиятҳо/сиёсати созмон/барчаспҳои масир.

12) Антипаттернҳо

Торҳои "тасодуфӣ" -и даҳҳо ҳамсолон бидуни марказ → таркиши мушкилот ва ACL мегузаранд.
Такрори CIDR "ба андозае NAT-ро сарнагун мекунад" → танаффуси аудити/охири-ба-охир.
Egress ҷамъиятӣ дар ҳар як сухан → сатҳи беназорат ва арзиши беназорат.
Набудани тақсимоти уфуқии DNS → ихроҷи ном/қатъномаҳои вайроншуда.
Хатсайрҳои васеъ '0. 0. 0. 0/0 'бар ҳамсолон → асимметрияи ғайричашмдошти трафик.
Таҳрири дастӣ дар консол бидуни IA ва таҷдиди назар.

13) Хусусиятҳои IGaming/Finance

PCI CDE ва схемаҳои пардохт - танҳо тавассути марказ бо санҷиш; гузарише нест spoke↔spoke.
Ҷои зисти маълумот: гузоришҳои PII/транзаксия - дар қаламрави қаламрав; байниминтақавӣ - агрегатҳо/беном.
Multi-PSP: Каналҳои хусусӣ/хусусӣ ба PSP, прокси мутамаркази egress аз ҷониби рӯйхати allowlist FQDN ва MTLS/HMAC.
Аудит/WORM: гузоришҳои ҷараён ва тағирёбии масир дар нигоҳдории бетағйир, нигоҳдорӣ тибқи стандартҳо.
Қисматҳои SLO: дар як минтақа/VPC/иҷорагир; огоҳӣ дар бораи "ихроҷи egress" ва таназзули RTTs байниминтақавӣ.

14) Рӯйхати санҷиши омодагии Prod

• Нақшаи убури CIDR (IP .v4/IP _ v6), ҳавзҳои афзоиш ҳифз карда шудаанд.
• Топологияи ҳаб ва сухан; идҳо - танҳо spoke↔hub; транзит тавассути TGW/VWAN/Router Cloud.
• Ҷадвалҳои масир: роҳҳои равшан, ҳама ба воситаи ҳамсолон, назорати сиёҳ.
• SG/NSG/NACL татбиқ карда мешавад; Сиёсати L7 дар фикрию; egress танҳо тавассути маркази/хусусӣ.
• DNS/PHZ-и хусусӣ танзим карда шудааст; шартӣ-форвардҳо между on-prem/абр/минтақаҳо.
• Гузоришҳои ҷараён фаъол мебошанд; панели панелҳо аз ҷониби ҳамсолон/минтақаҳо; синтетикаи дастрасӣ ва санҷишҳои PMTUD.
• IA (Terraform/CLI) ва Policy-as-Code (OPA/Confest) барои қоидаҳо/хатсайрҳо/DNS.
• Дафтарчаи ҳуҷҷатгузорӣ 'ва (илова кардани ҳамсолон, хатсайрҳо, хомӯш кардани сухан).
• Машқҳо: хомӯш кардани марказ/зиёфат, чен кардани RTO/RPO роҳҳои шабака.
• Барои IGaming/Finance: Ҷудокунии PCI, Private-Link ба PSP, аудити WORM, SLO/огоҳиҳо аз ҷониби юрисдиксия.

15) TL; ДР

Барои пайвасти оддии нуқта ба нуқтаи хусусӣ VPC/VN Peering-ро истифода баред, аммо ба транзит такя накунед - он ба марказ ниёз дорад (TGW/VWAN/Cloud Router). CIDR-ро бидуни чорроҳа ба нақша гиред, хатсайрҳоро дақиқ ва мушаххас нигоҳ доред, сиёсати SG/NSG ва L7-ро дар торҳо, DNS - тақсимшавӣ истифода баред. Фаъол кардани гузоришҳои ҷараён, синтетика ва санҷиши PMTUD. Барои IGaming/молия - ҷудокунии PCI, каналҳои хусусӣ ба PSP ва аудити тағйирнопазир.