VPC Peering和路由

1）為什麼Peering以及何時合適

• 共享私有連通性的介質和域分離（prod/stage/dev）；
• 在共享網絡中提供共享平臺（編寫，KMS/Vault，工件）；
• 通過私有路徑從應用程序訪問受控的PaaS（通過樞紐/端口）。

如果最好不是點對點,而是中心：超過10到20個網絡,則需要傳輸路由、集中式網格、互連→使用Transit Gateway/Virtual WAN/Cloud Router。

2）模型和限制

2.1種piring

區域內同行-在該區域內，最小的延遲和成本。
跨地區同行-跨區域，通常支付區域間流量。
Cross-project/account-不同帳戶/項目之間的對等（具有委托）。

2.2過境和NAT

經典的VPC/VNet Peering不是傳遞性的：A↔B和B↔C網絡並不意味著A↔C。
通過中間網絡進行傳輸的NAT是反模式（打破源IP，復雜的審計）。
對於公交-總線：AWS公交（TGW），Azure虛擬WAN/Hub，GCP 雲路由器/HA VPN/Peering Router。

2.3 Overlapping CIDR

• 編織地址（最佳選擇）；
• 具有單向電路的NAT 域/Proxy VPC（考慮審核和邏輯）；
• 對於特定的PaaS-沒有L3訪問的PrivateLink/PSC。

3）編址和路線設計

3.1 CIDR規劃

單一超級網絡（例如'10。0.0.0/8'）→分為「region/env/vpc」。
為未來的VPC/tenant（增長緩沖區）保留範圍。
IPv6-預先計劃：「/56」在VPC上,「/64」在子網上。

3.2路由

路線表：在每個VPC/子網上, peer/hub上的顯式路由。
優先級：更具體的前綴獲勝；避免通過對等來捕捉所有。
Blackhole保護：重復/過時的路線標記和清潔。

3.3個域和角色

Spoke（應用程序）↔ Hub（共享服務、egress,檢查）。
Pyrs僅spoke↔hub；spoke↔spoke-通過中心（分割和控制）。

4）拓撲模式

4.1個「簡單」mesh（≤5 VPC）

筆直的pin-tu-pin pira（A↔B，A↔C……）。優點：組件的最小值；缺點：O（N ²）聯系和規則。

4.2 Hub-and-Spoke

所有spoke都帶有Hub VPC/VNet；在中心-TGW/虛擬 WAN/雲路由器，NAT/egress，檢查。可擴展,只需管理即可。

4.3個多區域

每個地區的本地樞紐；中心之間是區域間對接或幹線（TGW-to-TGW/VWAN-to-VWAN）。

5）安全性和細分

主機上的靜態：SG/NSG是主要障礙；NACL/子網 ACL-粗糙的柵欄/陰暗表。
Mesh/proxy（Istio/Envoy/NGINX）中的L7策略是mTLS/JWT/claims的授權。
Egress控制：spoke不應直接通過egress 網關/PrivateLink「查看」Internet。
流量記錄和樞紐檢查（GWLB，IDS/IPS）用於VPC間流量。

6) DNS и split-horizon

每個私有區域都可以在所需的VPC（私人主機Zones/私人 DNS/Zones）上看到。
對於PaaS，通過PrivateLink/PSC是私有IP端點上的專用條目。

Conditional forwarding между on-prem ↔ cloud и region ↔ region.

命名：'svc。env.region.internal.corp'-沒有PII；將TTL（30-120 s）捕獲到捕獲器下。

7）可觀察性和測試

度量標準：接受/拒絕在SG/NSG上，點對點，區域之間的RTT/jitter，top-talkers。
Logs：SIEM中的VPC Flow Logs/NSG Flow Logs，帶有「trace_id」的跟蹤以表示L7↔L3。

可達性測試： 來自不同子網/AZ/地區的合成 TCP/443/DB端口；reachability analyzer.

混沌網絡：peer/hub之間的延遲/損失；Taymout/Retrais/Idementity檢查。

8）生產力和成本

區域間幾乎總是收費；提前讀取egress（在日誌/備份時更昂貴）。
MTU/PMTUD：在提供商中，標準的MTU，但在邊界（VPN，FW，NAT-T）上，考慮MSS clamp。
水平檢查縮放（GWLB/尺碼集），沒有瓶頸；用於中心的ECMP。
緩存/邊緣和SWR減少了區域間流量。

9）雲功能和示例

9.1 AWS (VPC Peering / Transit Gateway)

VPC同步：創建同行連接,在子網表中添加路由。
沒有通過普通珍珠的過境。對於公交和集中模式-公交網關。

hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9.2 Azure (VNet Peering / Virtual WAN)

VNet Peering（包括全局）：Allow forwarded traffic標誌,用於集線器電路的遠程網關。
對於樞紐和公交-虛擬WAN/Croute Tables and Policies。

bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9.3 GCP (VPC Peering / Cloud Router)

沒有過境的VPC Peering；中心-Cloud Router+HA VPN/Peering Router。

Hierarchical FW для org-guardrails.

10）對等網絡中的Kubernetes

spoke中的群集，共享服務（邏輯/存儲/工件）-到hub；通過私人地址訪問。
NetworkPolicy 「deny-all」和Hub/PrivateLink上的顯式egress。
不要在VPC之間「掛起」Pod CIDR；路由CIDR並使用Ingress/Gateway。

11）Trablshuting（spargalka）

1.CIDR不相交嗎？檢查超集/舊子網。

2.路線表： 兩邊有路嗎？是否沒有更具體的路線攔截流量?

3.SG/NSG/NACL： stateful-in/out是否匹配？子網ACL是否阻止反向流量?

4.DNS：正確的私人記錄/前進者?檢查兩個網絡中的「dig+short」。
5.MTU/MSS/PMTUD：沒有碎片和「沈默」的時間？
6.流量檢查記錄：是否有SYN/SYN-ACK/ACK?誰在閑逛？
7.區域間：配額/對等限制/組織策略/路由標簽。

12）反模式

數十個沒有樞紐的啤酒的「偶然」混亂→復雜性和錯過ACL的爆炸。
Overlapping CIDR「某種程度上是NAT的幸存者」→會破壞審計/端到端識別。
每個漏洞中的公共表情→不可控制的表面和成本。
缺少DNS分裂地平線→名稱泄漏/斷層。
寬路線'0。0.0.0/0'通過對等→出乎意料的流量不對稱。
在沒有IaC和修訂版的控制臺中進行手動編輯。

13） iGaming/財務細節

PCI CDE和支付路徑-僅通過帶有檢查的樞紐；沒有繞過spoke↔spoke。
數據駐留：PII/交易日誌在轄區內；區域間聚合/匿名。
Multi-PSP：PrivateLink/PSP的私有通道，allowlist FQDN和mTLS/HMAC上的集中式egress代理。
審計/WORM：不變存儲中的流動日誌和路由更改，根據規範進行重建。
SLO切口：per region/VPC/tenant；區域間RTT的「滲漏」和退化。

14）準備就緒支票清單

• CIDR無交叉路口（IPv4/IPv6）計劃,保留增長池。
• Hub-and-spoke拓撲；piras-僅spoke↔hub；通過TGW/VWAN/Cloud Router過境。
• 路線表：顯式路徑，沒有通過同行，控制黑洞。
• 已應用SG/NSG/NACL；Mesh中的L7政客；egress 僅通過樞紐/PrivateLink。
• 專用DNS/PHZ配置；conditional-forwarders между on-prem/cloud/regions.
• Flow Logs包括在內；沿peer/region的dashbords；可達性合成和PMTUD測試。
• 用於規則/路由/DNS的IaC（Terraform/CLI）和基於策略的代碼（OPA/Conftest）。
• 記錄了runbook'和（添加peer,滾動路由,禁用spoke）。
• 演習：關閉樞紐/盛宴，測量實際的RTO/RPO網絡路徑。
• 對於iGaming/finance： PCI隔離、PrivateLink到PSP、WORM審計、SLO/Alerta跨司法管轄區。

15) TL;DR

使用VPC/VNet Peering實現簡單的點對點私有連通性，但不要依靠它進行過境-為此需要一個樞紐（TGW/VWAN/Cloud Router）。規劃CIDR而無需交叉路口,保持路由顯式和特定,將stateful SG/NSG和L7策略應用到mesh, DNS-分裂視野中。包括流動日誌、合成和PMTUD檢查。對於iGaming/financial-PCI隔離，PSP的私有通道和不可更改的審計。