GH GambleHub

Özel uç noktalar ve intranetler

1) Neden özel bir ağ

Amaç, internete erişmeden kritik hizmetleri özel bağlantılar aracılığıyla bağlayarak saldırı yüzeyini ve çıkış maliyetini en aza indirmektir. Bu verir:
  • PaaS/DB/depoların genel IP'den yalıtılması;
  • Daha kolay uyumluluk (PCI DSS/GDPR)
  • Öngörülebilir gecikmeler ve yönlendirme.

2) Temel model: VPC/VNet ve hub'lar

Adres alanı: Kesişmeler olmadan tek bir CIDR planı (örneğin, '10. 0. 0. 0/12 'ortamlara ve hub'lara kesilir).
Segmentasyon: Alt ağlar 'ingress', 'app', 'data', 'ops', 'shared' bireysel yollar/ACL/SG ile.
Transit hub: merkezi VPC/VNet ağ geçitleri (VPN/DirectConnect/ExpressRoute/Interconnect), inter-VPC eşleme/Transit Ağ Geçidi ve ağ güvenlik duvarları.
Çift yığın: IPv6'yı önceden zamanlama (NAT'yi kaydeder, adres ölçeğini geliştirir).

3) Özel bitiş noktaları: ilkeler

Private endpoint/PrivateLink/Private Service Connect - yönetilen bir hizmete (nesne depolama, kuyruklar, veritabanı, gizli depolama) özel bir arabirim, yalnızca adres alanınızdan erişilebilir:
  • Trafik, sağlayıcı ağının içine girer (İnternet üzerinden değil).
  • Gidebileceğiniz uç nokta ilke sınırları (önekler/ARN/kaynaklar).
  • DNS özel IP olarak yeniden tanımlanır (bkz. § 6).

Tipik hedefler: nesne depoları (S3/GCS/Blob), gizli/KMS, kuyruklar, olay otobüsleri, yönetilen veritabanları, analitik hizmetler, artifakt kayıtları.

4) Giriş ve içeride dengeleme

L4/7 için Dahili Yük Dengeleyici (ILB), sadece özel alt ağlardan görüyoruz.

Kubernetes:
  • Dahili ek açıklamalarla 'LoadBalancer' türünde 'Hizmet'.
  • Özel bir adresten Internal Ingress (Nginx/Contour/Gateway API) ile giriş yapın.
  • API Ağ Geçidi (özel): arka uçlarla özel entegrasyon; Dışarıda - gerekirse sadece kenardan.

Örnek: İç olarak K8s Girişi

yaml apiVersion: networking. k8s. io/v1 kind: Ingress metadata:
name: api-internal annotations:
kubernetes. io/ingress. class: "nginx"
alb. ingress. kubernetes. io/scheme: internal # or provider equivalent spec:
rules:
- host: api. internal. corp http:
paths:
- path: /v1/
pathType: Prefix backend:
service:
name: api port: { number: 8080 }

5) Çıkış kontur: "varsayılan - inkar"

Özel alt ağlardan doğrudan İnternet olmadan: her şey sadece:
  • NAT Ağ Geçidi (güncellemeler/depolar için) + FQDN/IP üzerinden çıkış allowlist;
  • Politikalar kontrol gerektiriyorsa TLS denetimi/proxy;
  • NAT yerine PaaS/registers'a özel uç noktalar.
  • SG/NACL: hizmet başına açık izinler, "doğu-batı" - minimum.
  • K8s Çıkış Politikaları (CNI/OPA Gatekeeper/Calico NetworkPolicy) - harici IP engelleme, küme/uç nokta izinleri.

6) DNS: özel bölgeler и bölünmüş ufuk

Ayrı iç bölgeler ('.internal. corp ') ve kamu.
Sağlayıcı hizmetleri için özel DNS bölgeleri: genel adları geçersiz kılma (örneğin, 'bucket. s3. bölge. Amazonaws. com ') özel A/AAAA kayıtlarına.
Forwarders/Koşullu DNS между on-prem ↔ bulut.
Ad biçimi: encapsulate environment/region ('api. eu1. İç. corp '), PII önlemek.

Örnek giriş: 

api. internal. corp. A  10. 20. 30. 40 s3. bucket. corp. A  10. 100. 0. 25 # via private endpoint

7) Ara bağlantı desenleri

Peering (VPC↔VPC/VNet↔VNet): basit ve hızlı; Transit her zaman desteklenmez - hub-and-spoke için Transit Gateway/Virtual WAN/Cloud Router kullanın.
On-prem ⇄ bulutu: Başlamak için IPsec VPN, daha sonra BGP ve yedekleme (iki sağlayıcı, farklı giriş noktaları) ile hat (DC/ER/IC) kiraladı.
VRF/Route-domain segmentasyonu: prod/stage/dev ve kart çevresinin izolasyonu.

8) Sıfır Güven ve dahili kimlik doğrulama

mTLS-default (servis ağı: Istio/Linkerd/Consul), makine kimliği: SPIFFE/SPIRE.
L7 politikaları: JWT/talepler/kapsamlar tarafından yetkilendirme, proxy düzeyinde yolların/yöntemlerin kısıtlanması.
Sırlar: HashiCorp Vault/КMS + Dış Sırlar Operatörü; Kısa ömürlü kimlik (STS).
Bastion/Ayrıcalıklı Erişim: Privatka'ya yalnızca bir broker/JIT oturumu (MFA, komut kaydı) aracılığıyla erişim.

Örnek: Elçi filtresi mTLS + JWT-authz (parça)

yaml transport_socket:
name: tls typed_config: {... spiffe://svc. api... }
http_filters:
- name: envoy. filters. http. jwt_authn typed_config:
providers:
oidc: { issuer: https://idp. corp, audiences: ["api"], remote_jwks: {...} }
rules: [{ match: { prefix: "/v1" }, requires: { provider_name: oidc } }]

9) Veri ve PaaS özel içinde

Veritabanları/kümeler: sadece özel adresler; Bastion/JIT aracılığıyla yönetici paneli.
Depolar: VPC'den özel uç nokta yoluyla erişim; Uç nokta ilkesi yalnızca istenen kovalara/kaplara izin verir.
Kuyruklar/otobüsler: özel arayüzler; Üreticiler/tüketiciler - aynı VPC/eşleme içinde.
Artifact kayıtları: özel alt ağlardaki CI/CD koşucularından özel erişim.

10) Özel ağlarda gözlemlenebilirlik

OpenTelemetry Collector - bir telemetri ağ geçidi olarak: kendi kendine barındırılan (Prometheus/Tempo/Loki/ClickHouse) veya özel uç noktaları aracılığıyla arka uçları yönetmek için dahili ihracatçılar.
Akış günlükleri/NSG/NACL günlükleri ve ulaşılabilirlik analizörü gereklidir.
SLO dilimleri: 'site/region/vpc/subnet', çıkmak için uyarılar ve beklenmedik bir "Internet yönü".

11) Test ve doğrulama

Ağ kuralları/Giriş/Servis için Kod Olarak Politika (OPA/Gatekeeper).
Kanarya rotaları: özel DNS'deki test alanları, farklı alt ağlardan/AZ/bölgelerden sentetik kontroller.
Kaos ağı: VPC/AZ arası (netem/Toxiproxy) gecikmeler/kayıplar, zaman aşımı kontrolleri ve yeniden deneme politikaları.

12) Yapılandırma örnekleri

12. 1 Terraform: etiketler ve rotalar (fikir)

hcl resource "aws_route_table" "app" {
vpc_id = aws_vpc. core. id tags = { Name = "rt-app", env = var. env, zone = "private" }
}
Route on PrivateLink endpoint (interface endpoint is created separately)
resource "aws_vpc_endpoint_route_table_association" "s3" {
route_table_id = aws_route_table. app. id vpc_endpoint_id = aws_vpc_endpoint. s3. id
}

12. 2 K8s NetworkPolicy: ihtiyacınız olan dışındaki her şeyi reddedin

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: allow-core }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ port: 5432, protocol: TCP }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 }  # private endpoints ports: [{ port: 443, protocol: TCP }]

12. 3 Nginx Giriş (iç şema) + HSTS

yaml metadata:
annotations:
alb. ingress. kubernetes. io/scheme: internal nginx. ingress. kubernetes. io/hsts: "true"

13) Antipatterns

Özel alt ağlardan ortak "yönetim-İnternet"; Çıkış kontrolü eksikliği.
Bölünmüş beyin DNS ve rastgele kılavuz'/etc/hosts '.
CIDR'ler ve "NAT yuvalama bebekleri'ile kesişiyor.
"Kolaylık sağlamak için" veritabanları/depolar için genel uç noktalar.
Akış günlükleri/kural denetimleri yok; "SG '0'ı aç. 0. 0. 0/0`.
Kod/CI'da uzun ömürlü statik erişim anahtarları.

14) Maliyet ve performans

Özel uç noktalar genellikle kalıcı NAT çıkışından daha ucuzdur ve daha güvenlidir.
Dar boğazdan kaçınmak için bant genişliği için NAT kümelerini/az-local olarak zamanlayın.
Önbellek/kenar ve SWR, bölgeler arası trafiği azaltır.
Protokol seçimi: İçinde HTTP/2/gRPC daha az bağlantı ve TLS yükü var.

15) iGaming/Finansın Özellikleri

PCI DSS: Ayrı bir ağda/VRF'de kart devresi (CDE), internet yok; Mağaza/PSP günlüklerine yalnızca özel uç noktalarla erişim; Değişmez denetimler (WORM/Object Lock).
KMS/Vault: bölge/marka başına bölümlenmiş anahtarlar; İmzalama işlemleri (HSM) yalnızca mTLS üzerinden CDE'den edinilebilir.
PSP/KYC: özel bağlantı/pazar varsa - kullanın; Aksi takdirde, HMAC/mTLS ve açık allowlist ile güvenilir bir proxy aracılığıyla çıkın.
Çoklu kiracılık: 'kiracı'/' marka'tarafından etiketler ve politikalar; Ayrı özel DNS adları ve SG katmanları.

16) Prod Hazırlık Kontrol Listesi

  • Kavşaklar olmadan CIDR planı; Çift yığın hazır (IPv6).
  • Hub-and-Spoke, Transit, peering; On-prem ⇄ cloud - BGP, yedek bağlantı çiftleri.
  • Tüm PaaS/storages/DB - özel uç noktalar + uç nokta politikaları aracılığıyla.
  • Dahili LB/Giriş; Genel çevre - yalnızca kenar/WAF üzerinde.
  • Split-horizon DNS, özel bölgeler ve koşullu yönlendirme yapılandırılmıştır.
  • Çıkış varsayılan olarak "inkar"; NAT/proxy'ler kısıtlanmış ve kaydedilmiştir.
  • Mesh mTLS + SPIFFE; L7 üzerinde JWT-authz; Kasa/ESO, kısa sırlar.
  • NetworkPolicy/SG/NACL - "minimum gerekli", akış günlükleri ve ulaşılabilirlik-analizi.
  • OTel Toplayıcı içinde; Çıkmak için uyarılar, 'site/region/vpc'tarafından SLO.
  • PCI/denetim: WORM günlükleri, KMS/HSM, CDE yalıtımı, erişim runbook.

17) TL; DR

Net bir CIDR planına sahip bir hub-and-spoke ağı oluşturun, her PaaS/depolama/veritabanına özel uç noktaları kullanın ve yalnızca yönetilen çıkış noktaları aracılığıyla dışarıya trafik çekin. İç - dahili LB/Giriş, mTLS + SPIFFE, bölünmüş ufuk DNS, sıkı NetworkPolicy/SG ve OTel üzerinden telemetri. IGaming/Finans için PCI segmentasyonu, KMS/Vault ve değişmez denetim ekleyin; Özel kanallar veya sıkı kontrol edilen bir proxy aracılığıyla PSP/KYC çıkışı.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.