GH GambleHub

Hibrit bulut: On-prem + bulut

1) Neden bir melez ve ne zaman haklı

Sürücüler: düzenleyici gereksinimler (veri ikameti/PII), mevcut ön yatırımlar, "tescilli" sistemlerde gecikme, maliyet kontrolü, yönetilen bulut hizmetlerine erişim.
Değiş tokuşlar: ağların ve güvenliğin karmaşıklığı, yetkinliklerin çoğaltılması, veri ve yapılandırmaların senkronizasyonu, operasyonel riskler.

Slogan: kritik yerlerde taşınabilir; Karlı olduğu bulut-yerli.

2) Hibrit modeller

On-prem uzantısı: Veri merkezi uzantısı olarak bulut (yeni mikro hizmetler/analitik, cepheler).
Yerel çapalarla bulut öncelikli: Bulutta çekirdek, ön planda - muhasebe sistemleri/ödeme ağ geçitleri/PII depolama.
Bulut patlaması: Buluttaki elastik yük zirveleri (toplu iş, promosyon zirveleri), temel hacim - yerel olarak.
DR to Cloud: On-prem için Sıcak/Sıcak Bulut Rezervi (RTO/RPO tarafından yönetilen).
Kenar + Çekirdek: PoP/kenar düğümleri kullanıcıya daha yakın, kök veri/ML bulutta.

3) Ağ ve bağlantı

3. 1 Kanallar

Siteden Siteye VPN (IPsec/SSL) - hızlı başlayın, daha yüksek gecikme, jitter.
Doğrudan hatlar (DC/ER/IC, MPLS) - öngörülebilir SLA'lar, gecikmenin altında, daha pahalı.
Çift bağlantı + BGP - hata toleransı ve yönlendirme kontrolü.

3. 2 Adresleme ve rotalar

Kesişme olmadan tek RFC1918 diyagramı; CIDR gelecek yıllar için plan yapıyor.
Sadece sınırlardaki NAT kubbeleri; NAT olmadan doğu-batı.
Ortamların izolasyonu için segment/VRF (dev/stage/prod), kiracılar, sağlayıcılar.

3. 3 Zaman ve DNS politikaları

Tek NTP (saat = kriptografi/imzalar için kader).
Split-horizon DNS: dahili bölgeler (svc. küme. local, corp.local), external - public.
Gelen trafik için sağlık tabanlı GSLB.

4) Kimlik ve erişim

SSO Federasyonu: OIDC/SAML, ön hazırlık IdP ↔ bulut IdP; SCIM sağlama.
En az ayrıcalık ilkesine göre roller; MFA ile kırık cam hesapları.
Makine kimliği: mTLS için SPIFFE/SPIRE veya mesh-PKI.
RBAC "uçtan uca": Git/CI/CD - küme/örgü - brokerler/DB - günlükleri.

5) Platform: Kubernetes + GitOps

5. 1 Tek yürütme katmanı

Aynı sürümlere/CRD'ye sahip on-prem ve bulut kümeleri.
GitOps (Argo CD/Flux): Tek grafikler/kaplamalar, sürüklenme kontrolü, promosyon akışları.

5. 2 Servis ağı

Istio/Linkerd: mTLS default, locality-aware balancing, failover inter-cluster.
L7 politikaları (JWT, başlıklar, oran limitleri, yeniden deneme/devre/zaman aşımı) - açık kodda.

5. 3 Örnek (topoloji ve kafes K8s)

yaml anti-affinity and distribution by zones on-prem cluster spec:
topologySpreadConstraints:
- maxSkew: 1 topologyKey: topology. kubernetes. io/zone whenUnsatisfiable: DoNotSchedule labelSelector: { matchLabels: { app: api } }
Istio DestinationRule: local cluster priority, then trafficPolicy cloud:
outlierDetection: { consecutive5xx: 5, interval: 5s, baseEjectionTime: 30s }

6) Veri ve depolama

6. 1 Bazlar

On-prem master, bulut okuma-replica (analitik/dizinler).
Cloud master + on-prem önbellek (yerel entegrasyonlar için düşük gecikme süresi).
Yerel kuorumlarla dağıtılmış SQL/NoSQL (Cockroach/Cassandra).
Döngüler arasında CDC/log replikasyonu (Debezium); İşleyicilerin idempotency.

6. 2 Nesne/dosya/blok

Çoğaltma/sürüm oluşturma özelliğine sahip S3-compatible storlar (on-prem MinIO + bulut S3/GCS); Denetim için WORM.
Yedeklemeler: 3-2-1 (3 kopya, 2 ortam, 1 - site dışı), düzenli kurtarma doğrulaması.

6. 3 Önbellek ve kuyruklar

Site başına Redis/KeyDB kümesi; Global önbellek - sadece olaylar/TTL aracılığıyla.
Kafka/Pulsar: MirrorMaker 2/çoğaltıcı; anahtar - tüketicilerin deadup/idempotency.

7) Güvenlik ve uyumluluk (Sıfır Güven)

Her yerde mTLS (mesh), TLS 1. Çevre üzerinde 2 +; Şifrelenmemiş kanalları devre dışı bırakmak.
Sırları: HashiCorp Vault/ESO; Kısa ömürlü jetonlar; Otomatik dönüş.
KMS/HSM: yargı/kiracı başına bölümlenmiş anahtarlar; Programlanmış kripto rotasyonları.
Segmentasyon: NetworkPolicies, mikro segmentasyon (NSX/Calico), yönetici erişimi için ZTNA.
Günlükler: değişmez (Nesne Kilidi), uçtan uca 'trace _ id', PII/PAN maskeleme.

8) Gözlemlenebilirlik, SLO ve olay yönetimi

OpenTelemetry SDK her yerde; Toplayıcı on-prem ve bulutta.
Kuyruk örneklemesi: %100 ошибок и p99, 'site = onprem' cloud ',' region ',' tenant 'etiketleri.
Dilimlere göre SLO ve Hata Bütçeleri (rota/kiracı/sağlayıcı/site); Yanma oranı ile uyarır.
Uçtan uca panolar: KIRMIZI/KULLANIM, bağımlılık haritaları, kanarya karşılaştırmaları (geçişlerden önce/sonra).

9) CI/CD ve yapılandırmalar

Tek bir eser kaydı (ön bellekte geçiş önbelleği).
Promo stream: dev _ stage (on-prem) - kanarya (bulut) - prod; ya da tam tersi - hedefe bağlı olarak.
Kontroller: sözleşme testleri (OpenAPI/gRPC/CDC), statik analiz, IaC bağlantısı, görüntü taraması, SLO kapıları.

10) DR/BCP (süreklilik planı)

Servis başına RTO/RPO. Örnekler:
  • Kataloglar/inişler: RTO 5-15 dk, RPO ≤ 5 dk;
  • Ödemeler/cüzdanlar: RTO ≤ 5 dakika, RPO ≈ 0-1 dakika (site içinde çekirdek/senkron).
  • Runbook: GSLB/ağırlıkları değiştirme, bir kümede bekleme durumunu yükseltme, özellik bayrakları "hafif mod".
  • GameDays: üç ayda bir - sitenin/kanalın bağlantısının kesilmesi, gerçek RTO/RPO'nun doğrulanması.

11) Maliyet ve FinOps

On-prem ve bulut arasındaki çıkış ana "gizli" masraftır; Önbelleğe alın ve yürüyüşe minimumda devam edin (SWR, edge).
Etiketleme: 'hizmet', 'env', 'site', 'kiracı', 'maliyet _ merkezi'.
Kural 80/20: "Kritik çekirdeğin" %20'sini, geri kalanını - daha ucuz olduğu yerlerde taşınabilir olarak transfer ediyoruz/tutuyoruz.
Altörnekleme metrikleri, "sıcak/soğuk" günlüklerinin referansları, bütçeye duyarlı örnekleme izleme.

12) İş yüklerinin yerleşim şekilleri

DesenCPU neredeVeriler neredeYorum yap
Veri-yerçekimiBulutOn-premCDC tarafından Bulutta Analytics/ML; Minimum çıkış
Edge-firstOn-prem/PoPBulutMüşteride gerçek zamanlı; Toplama ve tutma - bulutta
Taşınabilir çekirdekliHer ikisi deHer ikisi deK8s/mesh/Vault/OTel biriz; Operasyonel karmaşıklık daha yüksek
DR-to-cloudOn-premBulut (kopyalar)Düzenli egzersizler; hızlı cutover

13) Yapılandırma örnekleri

13. 1 IPsec S2S (fikir)


onprem ↔ cloud: IKEv2, AES-GCM, PFS group 14, rekey ≤ 1h, DPD 15s, SLA monitoring jitter/packet-loss

13. 2 Terraform (etiket/etiket pasajı)

hcl resource "kubernetes_namespace" "payments" {
metadata {
name = "payments"
labels = {
"site"    = var. site    # onprem    cloud
"tenant"   = var. tenant
"cost_center" = var. cc
}
}
}

13. 3 Vault + ESO (ön kısımdan bulut kümesine kadar gizli)

yaml apiVersion: external-secrets. io/v1beta1 kind: ExternalSecret spec:
refreshInterval: 1h secretStoreRef: { kind: ClusterSecretStore, name: vault-store }
target: { name: psp-hmac, creationPolicy: Owner }
data:
- secretKey: hmac remoteRef: { key: kv/data/payments, property: HMAC_SECRET }

14) Antipatterns

CIDR ile NAT kaosunun kesişmesi; Önce adres planı, sonra kanallar.
Güçlü tutarlılığa sahip bir "paylaşılan" küresel önbellek - gecikme ve bölünmüş beyin.
Idempotency olmadan Retrays - çift yazma-off/emir.
İçeride mTLS/Zero Trust olmadan "Çıplak" VPN - tehlikeye girdiğinde yanal hareket.
DR egzersizlerinin eksikliği: planlar gerçekte işe yaramaz.
K8s/CRD/operators versiyonları arasındaki tutarsızlık - tek tip grafiklerin imkansızlığı.
'Trace _ id've maskeleme olmadan serbest formatta günlükler imkansızdır.

15) iGaming/Finansın Özellikleri

Veri ikametgahı: PII/ödeme etkinlikleri - on-prem/bölgesel devre; Buluta - kümeler/anonim.
PSP/KYC: Çoklu sağlayıcılar; Buluttan yerel ağ geçitlerine akıllı yönlendirme, yedeklemeye geri dönüş; Veri tekilleştirmesi olan bir broker aracılığıyla webhooks.
"Para Yolları": toplamın üzerindeki bireysel SLO'lar; HMAC/mTLS, 'Retry-After', 'Idempotency-Key' gereklidir.
Denetim: WORM depolama (Nesne Kilidi), değişmez işlem günlükleri, kritik olaylar için iki yönlü kayıt (on-prem + bulut).
Yargı bölgeleri: Ülke/marka başına KMS/Vault anahtar segmentasyonu; Çevredeki coğrafi bloklar.

16) Prod Hazırlık Kontrol Listesi

  • Adres planı, DNS, NTP - bir; S2S bağlantılar + ileri korumalı bağlantılar (BGP).
  • Tek kimlik (SSO/OIDC/SAML), MFA, en az ayrıcalık; Hizmetler için SPIFFE/SPIRE.
  • Tüm sitelerde K8s, GitOps, aynı operatörler/CRD; Servis ağı с mTLS и lokaliteye duyarlı LB.
  • Veri: CDC, tutarlılık testleri, RPO/RTO politikaları, 3-2-1 yedekleme ve düzenli geri yükleme sürücüleri.
  • Güvenlik: Vault/ESO, Rotasyon, NetworkPolicies, ZTNA; günlükler değişmez.
  • Gözlemlenebilirlik: OTel, kuyruk örnekleme, siteye/bölgeye/kiracıya göre SLO/bütçeler; kanarya panoları.
  • CI/CD: sözleşme testleri, IaC linting, görüntü taraması; SLO'dan Release-Gates.
  • DR-runbooks, GameDays, gerçek RTO/RPO ölçüldü; Cutover/roll-back düğmeleri.
  • FinOps: çıkış limitleri, etiketler ve raporlar, metrikler/günlükler/izler tutma politikası.
  • iGaming özellikleri: veri ikameti, çoklu PSP, WORM denetimi, ödemeler için bireysel SLO'lar.

17) TL; DR

Hybrid = iki dünyada ortak yürütme platformu (K8s + GitOps + mesh + OTel + Vault): on-prem ve bulut. Ağı ve kimliği planlayın, verileri CDC/idempotency ile taşınabilir hale getirin, Zero Trust genelinde güvenliği farklılaştırın, SLO/Hata Bütçeleri güvenilirliğini ölçün ve DR. Eğitin iGaming için verileri ve ödemeleri yargı yetkisinde tutun, çoklu PSP akıllı yönlendirme ve değiştirilemez denetim kullanın.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.