GH GambleHub

VPC Peering ve Yönlendirme

1) Neden Peering ve ne zaman uygun

VPC/VNet Peering, sağlayıcının özel ağlarını özel trafikle tek bir noktadan noktaya adres alanında birleştirir (eşler arasında İnternet ve NAT yoktur). Tipik durumlar:
  • Ortak özel bağlantı ile ortamların ve alanların ayrılması (prod/stage/dev);
  • Paylaşılan bir ağda ortak platformları (günlük kaydı, KMS/Vault, artifaktlar) ortaya çıkarmak;
  • Uygulamalardan yönetilen PaaS'a özel yollarla (hub'lar/uç noktalar aracılığıyla) erişim.

Bakmamak daha iyi olduğunda, ancak bir hub: 10-20'den fazla ağ, transit yönlendirme ihtiyacı, merkezi çıkış, bulutlar arası iletişim - Transit Gateway/Virtual WAN/Cloud Router'ı kullanın.

2) Modeller ve kısıtlamalar

2. 1 Peering Çeşitleri

Bölge içi peering - bölge içinde, minimum gecikme ve maliyet.
Bölgeler arası gözetleme - bölgeler arasında, bölgeler arası trafik genellikle ödenir.
Çapraz proje/hesap - farklı hesaplar/projeler arasında gözetleme (delegasyonla).

2. 2 Transit ve NAT

Klasik VPC/VNet Peering geçişli değildir: A↔B ve B↔C ağ A↔C anlamına gelmez.
Geçiş için ara ağ üzerinden NAT - anti-patern (kaynak IP'yi keser, karmaşık denetim).
Transit - hub veri yolu için: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 Örtüşen CIDR

Eşleme, kesişen önekleri desteklemez. Geçişler kaçınılmazsa, uygulayın:
  • Adres Replan (en iyi seçenek);
  • Tek taraflı şemalarla NAT etki alanları/Proxy VPC (denetim ve günlüğü dikkate alarak);
  • Belirli PaaS için - PrivateLink/PSC L3 erişimi olmadan.

3) Adresleme ve rota tasarımı

3. 1 CIDR Planlaması

Tek bir süper ağ (örneğin, '10. 0. 0. 0/8 ') -' bölge/env/vpc'ye bölün.
Gelecekteki VPC'ler/büyüme tamponları için rezerv aralıkları.
IPv6 - önceden planlayın: VPC'de'/56 ', alt ağda'/64'.

3. 2 Yönlendirme

Rota tabloları: her VPC/alt ağdaki eşler/hub üzerindeki açık yollar.
Öncelikler: Daha spesifik önek kazanır; Gözetleme yoluyla her şeyi yakalamaktan kaçının.
Kara delik koruması: Yinelenen/eskimiş yolları işaretleyin ve temizleyin.

3. 3 Alan adları ve roller

Spoke (uygulamalar) ↔ Hub (ortak hizmetler, çıkış, inceleme).
Bayramlar sadece spoke↔hub; spoke↔spoke - hub üzerinden (segmentasyon ve kontrol).

4) Topoloji desenleri

4. 1 "Basit" örgü (VPC ≤5)

Doğrudan pin-to-pin bayramlar (A↔B, A↔C...). Artılar: minimum bileşenler; Eksileri: O (N ²) bağlantıları ve kuralları.

4. 2 Hub-and-Spoke

Hub VPC/VNet ile tüm ziyafetler konuştu; Merkezde - TGW/Sanal WAN/Bulut Yönlendirici, NAT/çıkış, inceleme. Ölçeklenebilir, yönetimi kolay.

4. 3 Çok bölgeli

Her bölgedeki yerel merkezler; Merkezler arasında - bölgeler arası eşleme veya omurga (TGW-to-TGW/VWAN-to-VWAN).

5) Güvenlik ve segmentasyon

Ana bilgisayarda durum bilgisi: SG/NSG ana engeldir; NACL/alt ağ ACL - kaba bekçi/inkar listeleri.
Mesh/proxy'de L7 politikaları (Istio/Envoy/NGINX) - mTLS/JWT/claims tarafından yetkilendirme.
Çıkış kontrolü: spoke, İnternet'i doğrudan "görmemelidir" - yalnızca çıkış ağ geçidi/PrivateLink aracılığıyla.
Inter-VPC trafiği için Akış Günlükleri ve Hub Denetimi (GWLB, IDS/IPS).

6) Bölünmüş ufuk и DNS

Her özel bölge - istenen VPC'lerde görünürlük (Özel Barındırılan Bölgeler/Özel DNS/Bölgeler).
PaaS için PrivateLink/PSC aracılığıyla - özel IP uç noktalarına özel girişler.
Koşullu iletme между hazır ↔ bulut и bölge ↔ bölge.
Adlandırma: 'svc. env. bölge. İç. corp '- PII olmadan; Feiler altında TTL (30-120s) düzeltin.

7) Gözlemlenebilirlik ve test

Metrikler: SG/NSG'de kabul edilen/reddedilen, eş başına bayt, bölgeler arasında RTT/jitter, üst konuşmacılar.
Günlükler: SIEM'de VPC Akış Günlükleri/NSG Akış Günlükleri, L7↔L3 korelasyon için 'trace _ id'ile izleme.
Ulaşılabilirlik testleri: Farklı alt ağlardan/AZ/bölgelerden TCP/443 sentetikler/DB portları; erişilebilirlik analizörü.
Kaos ağı: peer/hub arasındaki gecikmeler/kayıplar; Zaman aşımı/geri ödeme/idempotency kontrolü.

8) Performans ve maliyet

Bölgeler arası hemen hemen her zaman ücretlidir; Çıkışları önceden okuyun (günlükler/yedeklemeler ile daha pahalı).
MTU/PMTUD: Standart MTU sağlayıcı dahilindedir, ancak sınırlarda (VPN, FW, NAT-T), MSS-kelepçesini düşünün.
Darboğazlar olmadan muayene ölçeği büyütme (GWLB/ölçek setleri); Hub'lar için ECMP.
Önbellek/kenar ve SWR, bölgeler arası trafiği azaltır.

9) Bulut özellikleri ve örnekleri

9. 1 AWS (VPC Peering/Transit Ağ Geçidi)

VPC Peering: peering bağlantısı oluşturun, alt ağ tablolarına yollar ekleyin.
Düzenli bakmadan geçiş yoktur. Transit ve merkezi model için - Transit Gateway.

Terraform parçaları (fikir): 
hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering/Sanal WAN)

VNet Peering (global dahil): bayraklar İletilen trafiğe izin ver, Hub şemaları için uzak ağ geçidini kullan.
Hub'lar ve transit için - Rota Tabloları ve Politikaları ile Sanal WAN/Hub.

CLI fikri: 
bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering/Bulut Yönlendirici)

Transit olmadan VPC Peering; Merkez için - Cloud Router + HA VPN/Peering Router.
Hiyerarşik FW для org-korkulukları.

10) Eşler arası ağlarda Kubernetes

Cluster in spoke, common services (logging/storage/artifacts) - hub içinde; Özel adreslere erişim.
NetworkPolicy "deny-all've hub/PrivateLink üzerinde açık çıkış.
Pod CIDR'yi VPC'ler arasında "taşımayın"; Düğüm CIDR'sini yönlendirin ve Ingress/Gateway kullanın.

11) Trableshooting (hile sayfası)

1. CIDR'ler çakışmıyor mu? Süper kümeleri/eski alt ağları kontrol edin.
2. Rota tabloları: Her iki yönde de bir yol var mı? Trafiği kesen daha spesifik bir yol var mı?
3. SG/NSG/NACL: stateful giriş/çıkış maçı? ACL alt ağı ters trafiği engelliyor mu?
4. DNS: doğru özel kayıtlar/ileticiler? Her iki ağdan da 'dig + short' seçeneğini işaretleyin.
5. MTU/MSS/PMTUD: Parçalanma ve sessiz zaman aşımları var mı?
6. Akış günlükleri kontrol ediliyor: bir SYN/SYN-ACK/ACK var mı? Kim düşüyor?
7. Bölgeler arası: Kotaları/sınırları/organizasyon politikalarını/yönlendirme etiketlerini incelemek.

12) Antipatterns

Bir göbeği olmayan onlarca akranın "rastgele'bir ağı - zorlukların patlaması ve ACL geçer.
Üst üste binen CIDR "Bir şekilde NAT'ı eziyor" - denetim/uçtan uca tanımlama sonları.
Her konuşmada kamu çıkışı - kontrolsüz yüzey ve maliyet.
Bölünmüş ufuk DNS eksikliği - isim sızıntıları/kırık çözünürlükler.
Geniş yollar '0. 0. 0. 0/0 'üzeri akran - beklenmeyen trafik asimetrisi.
Konsolda IaC ve revizyon olmadan manuel düzenlemeler.

13) iGaming/Finansın Özellikleri

PCI CDE ve ödeme devreleri - sadece denetlenen hub üzerinden; bypass spoke↔spoke yok.
Veri ikameti: PII/işlem günlükleri - yargı alanları içinde; bölgeler arası - kümeler/anonim.
Çoklu PSP: PrivateLink/PSP'ye özel kanallar, allowlist FQDN ve mTLS/HMAC tarafından merkezi çıkış proxy'si.
Denetim/WORM: Akış günlükleri ve rota değişmeyen depolama, standartlara göre tutma değişiklikleri.
SLO bölümleri: bölge/VPC/kiracı başına; "Çıkış kaçağı've bölgelerarası RTT'lerin bozulması için uyarılar.

14) Prod Hazırlık Kontrol Listesi

  • CIDR non-crossing planı (IPv4/IPv6), büyüme havuzları saklıdır.
  • Hub-and-spoke topolojisi; Bayramlar - sadece spoke↔hub; TGW/VWAN/Cloud Router üzerinden geçiş.
  • Rota tabloları: açık yollar, hiçbir yakalama-tüm akran, kara delik kontrolü ile.
  • SG/NSG/NACL uygulanmıştır; Mesh'de L7 politikaları; Sadece/PrivateLink hub üzerinden çıkın.
  • Özel DNS/PHZ yapılandırılmış; Koşullu ileticiler между on-prem/bulut/bölgeler.
  • Akış Günlükleri etkin; akran/bölgeye göre gösterge tabloları; Ulaşılabilirlik sentetikleri ve PMTUD testleri.
  • Kurallar/rotalar/DNS için IaC (Terraform/CLI) ve Kod Olarak Politika (OPA/Conftest).
  • Belgeli çalışma kitabı've (akran ekleyin, rotaları açın, konuştu devre dışı bırakın).
  • Alıştırmalar: hub/feast'i devre dışı bırakmak, ağ yollarının gerçek RTO/RPO'sunu ölçmek.
  • iGaming/Finans için: PCI izolasyonu, PSP'ye PrivateLink, WORM denetimi, yargı yetkisine göre SLO/uyarılar.

15) TL; DR

Basit noktadan noktaya özel bağlantı için VPC/VNet Peering'i kullanın, ancak transit için ona güvenmeyin - bir hub'a (TGW/VWAN/Cloud Router) ihtiyaç duyar. Kesişmeler olmadan CIDR'yi planlayın, rotaları açık ve spesifik tutun, mesh, DNS - split-horizon'da durumsal SG/NSG ve L7 politikalarını uygulayın. Akış günlüklerini, sentetikleri ve PMTUD kontrollerini etkinleştirin. IGaming/finans için - PCI yalıtımı, PSP'ye özel kanallar ve değiştirilemez denetim.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.