VPC Peering we marşrut

1) Peering näme üçin we haçan ýerlikli?

• umumy şahsy baglanyşykda gurşawy we domeni bölmek (prod/stage/dev);
• shared-torda umumy platformalary (logistika, KMS/Vault, artefaktlar) çykarmak;
• şahsy ýollar arkaly dolandyrylýan PaaS programmalaryndan elýeterlilik (hub/endpoint 'ler arkaly).

Iň gowusy peering däl-de, hub: 10-20-den gowrak tor, tranzit marşrutynyň zerurlygy, merkezleşdirilen egress, bulutara aragatnaşyklar → Transit Gateway/Virtual WAN/Cloud Router ulanyň.

2) Modeller we çäklendirmeler

2. 1 Piringiň görnüşleri

Intra-region peering - sebitiň içinde, iň az gijikdirmeler we çykdajylar.
Inter-region peering - sebitleriň arasynda, adatça sebitara traffik tölenýär.
Cross-project/account - dürli hasaplaryň/taslamalaryň arasynda piring (tabşyrmak bilen).

2. 2 Tranzit we NAT

Klassiki VPC/VNet Peering geçiş däl: A, B, B, C ulgamy A, C diýmegi aňlatmaýar.
NAT tranzit üçin aralyk toruň üsti bilen - anti-pattern (asyl IP döwýär, çylşyrymly audit).
Tranzit üçin - hub-şina: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 Overlapping CIDR

• Salgylaryň gaýtadan iberilmegi (iň gowy wariant);
• NAT-domenler/bir taraplaýyn shemalary bolan Proxy VPC (auditi we logirlemegi göz öňünde tutup);
• Spesifik PaaS üçin - L3 elýeterliligi bolmadyk PrivateLink/PSC.

3) Salgynyň we marşrutlaryň dizaýny

3. 1 CIDR meýilnamalaşdyrmak

Bir supernet (mysal üçin, '10. 0. 0. 0/8 ') → bölmek' region/env/vpc '.
Geljekdäki VPC/tenantlar (growth-buffers) üçin zolaklary saklaň.
IPv6 - öňünden meýilnama: '/56 'VPC-de, '/64' kiçi ulgamda.

3. 2 Marşrut

Route tables: her VPC/kiçi ulgamlarda peer/hub üçin aç-açan ugurlar.
Ileri tutulýan ugurlar: has anyk prefiks ýeňýär; piring arkaly catch-all-dan gaça duruň.
Blackhole-gorag: gaýtalanýan/köne ugurlary belläň we arassalaň.

3. 3 Domenler we rollar

Spoke (programmalar) Hub (umumy hyzmatlar, egress, gözegçilik).
Toýlar diňe spoke hub; spoke, spoke - hub arkaly (segmentasiýa we gözegçilik).

4) Topologiýalaryň nusgalary

4. 1 "Ýönekeý" mesh (≤ 5 VPC)

Göni pin-tu-pin pirleri (A, B, A, C...). Plýuslar: komponentleriň iň az; minuslar: O (N ²) baglanyşyklar we düzgünler.

4. 2 Hub-and-Spoke

Ähli spoke Hub VPC/VNet; merkezde - TGW/Wirtual WAN/Cloud Router, NAT/egress, gözegçilik. Ulaldylýar, diňe dolandyrmak.

4. 3 Köp sebit

Her sebitde lokal merkezler; merkezleriň arasynda - inter-region peering ýa-da magistral (TGW-to-TGW/VWAN-to-VWAN).

5) Howpsuzlyk we segmentasiýa

Host Stateful: SG/NSG - esasy päsgelçilik; NACL/kiçi torly ACL - gödek diwar/deny-listler.
L7-de syýasatlar mesh/proxy (Istio/Envoy/NGINX) - mTLS/JWT/claims boýunça ygtyýarnama.
Egress-control: spoke interneti göni - diňe egress-şlýuz/PrivateLink arkaly "görmeli" däldir.
Akym Logs we aralyk VPC traffigi üçin hub barlagy (GWLB, IDS/IPS).

6) DNS и split-horizon

Her hususy zolakda - zerur VPC-lerde (Private Hosted Zones/Private DNS/Zones) görünmek.
PrivateLink/PSC arkaly PaaS üçin - hususy IP endpointlere şahsy ýazgylar.
Conditional forwarding между on-prem ↔ cloud и region ↔ region.
Ady: 'svc. env. region. internal. corp '- PII-siz; TTL-i (30-120s) feýloweriň aşagynda düzüň.

7) Gözegçilik we synag

Metrikler: SG/NSG-de accepted/denied, bytes per peer, RTT/jitter sebitleriň arasynda, top-talkers.
Logy: SIEM-de VPC Flow Logs/NSG Flow Logs, 'trace _ id' -den L7 L3 korelýasiýa üçin traska.
Elýeterlilik synaglary: dürli kiçi ulgamlardan/AZ/sebitlerden sintetika TCP/443/DB-portlar; reachability analyzer.
Chaos-tor: peer/hub arasynda gijikdirmeler/ýitgiler; wagt/retraut/idempotentligi barlamak.

8) Öndürijiligi we bahasy

Inter-region hemişe diýen ýaly nyrhlanýar; egress-i öňünden hasaplaň (log/backaplarda bahalar ýokarlanýar).
MTU/PMTUD: üpjün edijiniň çäginde standart MTU, ýöne serhetlerde (VPN, FW, NAT-T) MSS-clamp-i göz öňünde tutuň.
Gözegçiligiň gorizontal ölçegi (GWLB/scale sets) dar ýerleri bolmazdan; Merkezler üçin ECMP.
Cache/edge we SWR sebitara traffigi azaldýar.

9) Bulut aýratynlyklary we mysallar

9. 1 AWS (VPC Peering / Transit Gateway)

VPC Peering: peering connection döredýäris, kiçi ulgamlaryň tablisalaryna ugurlary goşýarys.
Adaty peering arkaly tranzit ýok. Tranzit we merkezleşdirilen model üçin - Transit Gateway.

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering / Virtual WAN)

VNet Peering (global): Allow forwarded traffic, Hub-shemalar üçin Use remote gateway baýdaklary.
Merkezler we tranzit üçin - Wirtual WAN/Hub c Route Tables we Policies.

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering / Cloud Router)

VPC Peering tranzitsiz; merkez üçin - Cloud Router + HA VPN/Peering Router.
Hierarchical FW для org-guardrails.

10) Piring torlarynda Kubernetes

Spoke-de klaster, umumy hyzmatlar (logistika/ammar/artefaktlar) - hub-da; Şahsy salgylara girmek.
NetworkPolicy "deny-all" we açyk egress/PrivateLink.
Pod CIDR-i VPC arasynda "çekmäň"; Node CIDR ugrukdyryň we Ingress/Gateway ulanyň.

11) Trablşuting (şpargalka)

1. CIDR kesişmeýärmi? Supersetleri/köne kiçi ulgamlary barlaň.
2. Ugur tablisalary: iki tarapa ýol barmy? Traffigi saklaýan has anyk ugur barmy?
3. SG/NSG/NACL: stateful-in/out gabat gelýärmi? ACL kiçi ulgamy ters traffigi petiklemeýärmi?
4. DNS: Dogry şahsy ýazgylar/forwarders? Iki ulgamdan 'dig + short' barlaň.
5. MTU/MSS/PMTUD: bölmek we "dymmak" wagtlary ýokmy?
6. Flow logs barlagy: SYN/SYN-ACK/ACK barmy? Kim dökýär?
7. Inter-region: kwotalar/piring çäkleri/guramanyň syýasaty/marşrut bellikleri.

12) Antipatternler

"Tötänleýin" mesh onlarça pir bir habsyz → ACL kynçylyklarynyň we geçişleriniň partlamasy.
Overlapping CIDR "nämüçindir NAT bilen basarys" → audit/ahyrky kesgitlemek bozulýar.
Her spoke → gözegçiliksiz ýüzi we bahasy köpçülige açyk egress.
Split-horizon DNS → atlaryň syzmagy/döwülen rezolwlar ýok.
Giň ugurlar '0. 0. 0. 0/0 'peer → traffigiň garaşylmadyk asimmetriýasy arkaly.
IaC we auditsiz konsolda el bilen düzedişler.

13) iGaming/Maliýe aýratynlyklary

PCI CDE we töleg konturlary - diňe barlag nokady arkaly; aýlanyp geçmek.
Data residency: PII/geleşik ýazgylary - ýurisdiksiýalaryň içinde; sebitara - agregatlar/anonim.
Multi-PSP: PrivateLink/PSP hususy kanallary, allowlist FQDN we mTLS/HMAC boýunça merkezleşdirilen egress-proxy.
Audit/WORM: flow-loglar we üýtgemeýän ammarda marşrutlary üýtgetmek, kadalar boýunça gaýtadan işlemek.
SLO kesişleri: per region/VPC/tenant; sebitara RTT-leriň "egress syzmagy" we zaýalanmagy üçin alertler.

14) Prod-taýynlyk çek-sanawy

• Çatryksyz CIDR meýilnamasy (IPv4/IPv6), ösüş howuzlary saklanýar.
• Hub-and-spoke topologiýasy; toýlar - diňe spoke hub; TGW/VWAN/Cloud Router arkaly tranzit.
• Route tables: aç-açan ýollar, peer arkaly catch-all ýok, blackhole gözegçiligi.
• SG/NSG/NACL ulanyldy; L7-syýasatlar mesh; egress diňe hub/PrivateLink arkaly.
• Private DNS/PHZ sazlandy; conditional-forwarders между on-prem/cloud/regions.
• Flow Logs goşuldy; peer/region boýunça daşbordlar; elýeterlilik sintetikasy we PMTUD synaglary.
• Düzgünler/marşrutlar/DNS üçin IaC (Terraform/CLI) we Policy-as-Code (OPA/Conftest).
• Runbook 'we (peer goşmak, marşrutlary açmak, spoke öçürmek).
• Maşklar: hub/pir öçürmek, hakyky RTO/RPO tor ýollaryny ölçemek.
• iGaming/Maliýe üçin: PCI izolýasiýasy, PSP-e PrivateLink, WORM-audit, SLO/ýurisdiksiýalar boýunça alert.

15) TL; DR

"Nokatdan nokada" ýönekeý şahsy baglanyşyk üçin VPC/VNet Peering ulanyň, ýöne tranzit üçin oňa bil baglamaň - bu hub gerek (TGW/VWAN/Cloud Router). CIDR-i kesişmän meýilleşdiriň, ugurlary aýdyň we anyk saklaň, stateful SG/NSG we L7 syýasatlaryny mesh, DNS - split-horizon. Akymlary, sintetikleri we PMTUD barlaglaryny açyň. iGaming/Maliýe üçin - PCI izolýasiýasy, PSP hususy kanallary we üýtgemeýän audit.