GH GambleHub

VPC Peering va marshrutlash

1) Nega Peering va qachon o’rinli

VPC/VNet Peering provayderning xususiy tarmoqlarini shaxsiy trafikka ega (internetsiz va piringlar o’rtasidagi NATsiz) yagona manzilli makonga birlashtiradi. Namunaviy keyslar:
  • umumiy maxfiy bog’liqlikda vositalar va domenlarni ajratish (prod/stage/dev);
  • shared-tarmog’ida umumiy platformalarni (logotip, KMS/Vault, artefaktlar) chiqarish;
  • shaxsiy yo’llar orqali boshqariladigan PaaS ilovalaridan foydalanish (xablar/endpoint’lar orqali).

Peering emas, balki hub: 10-20 dan ortiq tarmoqlar, tranzit marshrutlash zarurati, markazlashtirilgan egress, bulutlararo aloqalar → Transit Gateway/Virtual WAN/Cloud Router dan foydalaning.

2) Modellar va cheklovlar

2. 1 Piring turlari

Intra-region peering - mintaqa ichida, minimal kechikishlar va xarajatlar.
Inter-region peering - hududlar o’rtasida, odatda mintaqalararo trafik uchun haq to’lanadi.
Cross-project/account - turli hisoblar/loyihalar orasidagi piring.

2. 2 Tranzit va NAT

Klassik VPC/VNet Peering tranzitiv emas: A, B va B, C tarmoqlari A, C degani emas.
NAT tranzit uchun oraliq tarmoq orqali - anti-pattern (boshlang’ich IP, murakkab auditni buzadi).
Tranzit uchun - hub-shina: AWS Transit Gateway (TGW), Azure Virtual WAN/Hub, GCP Cloud Router/HA VPN/Peering Router.

2. 3 Overlapping CIDR

Piring kesishgan prefikslarni qoʻllab-quvvatlamaydi. Agar kesishish muqarrar bo’lsa, quyidagilarni qo’llang:
  • Manzillarni qayta yuborish (eng yaxshi variant);
  • bir tomonlama sxemali NAT-domenlar/Proxy VPC (audit va logirovkani hisobga olgan holda);
  • Maxsus PaaS uchun - PrivateLink/PSC L3-kirishsiz.

3) Manzil va yo’nalishlar dizayni

3. 1 CIDR rejalashtirish

Yagona supernet (masalan,’10. 0. 0. 0/8’) → bo’linadi’region/env/vpc’.
Kelgusi VPC/tenantlar (growth-buffers) uchun bandlarni zaxira qiling.
IPv6 - oldindan reja: ’/56’da VPC, ’/64’da kichik tarmoqlarda.

3. 2 Yo’naltirish

Route tables: har bir VPC/kichik tarmoqlarda peer/hub uchun aniq yo’nalishlar.
Ustuvorliklar: yanada o’ziga xos prefiks g’alaba qozonadi; piring orqali catch-all’dan qoching.
Blackhole himoyasi: takrorlanadigan/eskirgan yo’nalishlarni belgilash va tozalash.

3. 3 Domenlar va rollar

Spoke Hub (umumiy servislar, egress, inspeksiya).
Faqat spoke hub; spoke, spoke - hub orqali (segmentatsiya va nazorat).

4) Topologiyalar patternlari

4. 1 «Oddiy» mesh (≤ 5 VPC)

To’g «ridan-to’g» ri pin-tu-pin pirlari (A, B, A, C...). Plyuslar: minimal komponentlar; kamchiliklari: O (N ²) aloqalar va qoidalar.

4. 2 Hub-and-Spoke

Barcha spoke’lar Hub VPC/VNet; xabda - TGW/Virtual WAN/Cloud Router, NAT/egress, inspeksiya. Kattalashtirish, shunchaki boshqarish.

4. 3 Ko’p mintaqa

Har bir mintaqadagi lokal xablar; xablar o’rtasida - inter-region peering yoki magistral (TGW-to-TGW/VWAN-to-VWAN).

5) Xavfsizlik va segmentatsiya

Stateful: SG/NSG - asosiy to’siq; NACL/kichik tarmoq ACL - qo’pol to’siq/deny-varaqlar.
L7 siyosati mesh/proxy (Istio/Envoy/NGINX) - mTLS/JWT/claims bo’yicha avtorizatsiya.
Egress-control: spoke Internetni to’g’ridan-to’g’ri - faqat egress-shlyuz/PrivateLink orqali ko’rmasligi kerak.
Flow Logs va xabdagi inspeksiya (GWLB, IDS/IPS) o’zaro VPC trafigi uchun.

6) DNS и split-horizon

Har bir xususiy zonada - kerakli VPC (Private Hosted Zones/Private DNS/Zones) ning ko’rinishi.
PrivateLink/PSC orqali PaaS uchun - xususiy IP endpoint’larga shaxsiy yozuvlar.
Conditional forwarding между on-prem ↔ cloud и region ↔ region.
Nomi:’svc. env. region. internal. corp’- PIIsiz; TTL (30-120s) ni feylover ostida tuzating.

7) Kuzatish va test sinovlari

SG/NSG da accepted/denied, bytes per peer, RTT/jitter, top-talkers.
Logi: VPC Flow Logs/NSG Flow Logs - SIEM, trastirovka’trace _ id’bilan L7 L3 korelyatsiyasi uchun.
Erishish testlari: sintetika TCP/443/DB-portlar turli kichik tarmoqlardan/AZ/mintaqalardan; reachability analyzer.
Chaos tarmog’i: peer/hub orasidagi kechikishlar/yo’qotishlar; taymaut/retraj/idempotentligini tekshirish.

8) Unumdorlik va qiymat

Inter-region deyarli har doim tarifikatsiya qilinadi; egress’ni oldindan hisoblang (loglar/bekaplarda qimmatlashmoqda).
MTU/PMTUD: provayder doirasida standart MTU, lekin chegaralarda (VPN, FW, NAT-T) MSS-clamp ni hisobga oling.
Tor joylarsiz tekshirishni gorizontal masshtablash (GWLB/scale sets); Xablar uchun ECMP.
Kesh/edge va SWR mintaqalararo trafikni kamaytiradi.

9) Bulutli xususiyatlar va misollar

9. 1 AWS (VPC Peering / Transit Gateway)

VPC Peering: Biz peering connection yaratamiz, kichik tarmoqlar jadvallariga yo’nalishlarni qo’shamiz.
Oddiy peering orqali tranzit yoʻq. Tranzit va markazlashtirilgan model uchun - Transit Gateway.

Terraform parchalari (g’oya): 
hcl resource "aws_vpc_peering_connection" "a_b" {
vpc_id    = aws_vpc. a. id peer_vpc_id  = aws_vpc. b. id peer_owner_id = var. peer_account_id auto_accept  = false tags = { Name = "a-b", env = var. env }
}

resource "aws_route" "a_to_b" {
route_table_id     = aws_route_table. a_rt. id destination_cidr_block = aws_vpc. b. cidr_block vpc_peering_connection_id = aws_vpc_peering_connection. a_b. id
}

9. 2 Azure (VNet Peering / Virtual WAN)

VNet Peering (shu jumladan global): Allow forwarded traffic bayroqlari, xab-sxemalar uchun Use remote gateway.
Xablar va tranzit uchun - Virtual WAN/Hub c Route Tables va Policies.

CLI g’oyasi: 
bash az network vnet peering create \
--name spokeA-to-hub --vnet-name spokeA --remote-vnet hub \
--resource-group rg --allow-vnet-access --allow-forwarded-traffic

9. 3 GCP (VPC Peering / Cloud Router)

VPC Peering tranzitsiz; markaz uchun - Cloud Router + HA VPN/Peering Router.
Hierarchical FW для org-guardrails.

10) Piring tarmoqlaridagi kubernetes

Spoke klasteri, umumiy servislar (loglash/saqlash/artefaktlar) - hub; shaxsiy manzillar bo’yicha kirish.
NetworkPolicy «deny-all» va aniq egress/PrivateLink.
VPC oʻrtasida Pod CIDRni «tashlamang»; Node CIDR’ni yoʻnaltiring va Ingress/Gateway’dan foydalaning.

11) Trabshuting (shpargalka)

1. CIDR kesishmayaptimi? Supersetlarni/eski kichik tarmoqlarni tekshirish.
2. Yo’nalishlar jadvallari: ikkala yo’nalishda ham yo’l bormi? Trafikni tutib qoladigan o’ziga xos yo’nalish yo’qmi?
3. SG/NSG/NACL: stateful-in/out mos keladimi? Tarmoq ostidagi ACL teskari trafikni bloklamaydimi?
4. DNS: toʻgʻri shaxsiy yozuvlar/forwarders? Ikkala tarmoqdan’dig + short’ni tekshirish.
5. MTU/MSS/PMTUD: parchalanish va «jim» taymautlar yoʻqmi?
6. Flow logs tekshirish: SYN/SYN-ACK/ACK bormi? Kim oqizadi?
7. Inter-region: kvotalar/piring limitlari/tashkilot siyosati/yo’nalish teglari.

12) Antipatternlar

Xabsiz o’nlab pirlardan iborat «tasodifiy» mesh → ACL qiyinchiliklari va o’tkazgichlarining portlashi.
Overlapping CIDR «qandaydir tarzda NATni bosib o’tamiz» → audit/uzil-kesil identifikatsiya buziladi.
Ommaviy egress har bir spoke → nazorat qilinmaydigan sirt va qiymat.
Split-horizon DNS → ismlar oqishi/singan rezolvlar yo’qligi.
Keng yo’nalishlar’0. 0. 0. 0/0’orqali peer → trafikning kutilmagan assimetriyasi.
IaC va taftishsiz konsolda qoʻlda tahrir qilish.

13) iGaming/Moliya xususiyatlari

PCI CDE va to’lov konturlari - faqat inspeksiyaga ega bo’lgan xablar orqali; aylanib o’tish uchun spoke spoke yo’q.
Data residency: PII/tranzaksion loglar - yurisdiksiyalar ichida; mintaqalararo - agregatlar/anonim.
Multi-PSP: PrivateLink/PSP xususiy kanallari, allowlist FQDN va mTLS/HMAC markazlashtirilgan egress-proksi.
Audit/WORM: flow-loglar va o’zgarmas ombordagi yo’nalishlarni o’zgartirish, normalar bo’yicha retenshn.
SLO kesmalari: per region/VPC/tenant; mintaqalararo RTTlarning «egress oqishi» va degradatsiyasiga qarshi alertlar.

14) Prod-tayyorlik chek-varaqasi

  • CIDR rejasi (IPv4/IPv6), o’sish hovuzlari ajratilgan.
  • Hub-and-spoke topologiyasi; pirlar - faqat spoke, hub; TGW/VWAN/Cloud Router orqali tranzit.
  • Route tables: aniq yo’llar, peer orqali hech qanday catch-all, blackhole nazorati.
  • SG/NSG/NACL qo’llanilgan; L7-siyosati to’g "risida; egress faqat hub/PrivateLink orqali.
  • Private DNS/PHZ sozlangan; conditional-forwarders между on-prem/cloud/regions.
  • Flow Logs kiritilgan; peer/region bo’yicha dashbordlar; erishish sintetikasi va PMTUD testlari.
  • Qoidalar/yo’nalishlar/DNS uchun IaC (Terraform/CLI) va Policy-as-Code (OPA/Conftest).
  • Runbook’va hujjatlashtirilgan (peer qo’shish, yo’nalishlarni yoyish, spoke o’chirish).
  • Mashqlar: hub/pirni o’chirish, haqiqiy RTO/RPO tarmoq yo’llarini o’lchash.
  • iGaming/Moliya uchun: izolyatsiya PCI, PrivateLink PSP, WORM-audit, SLO/yurisdiksiyalar bo’yicha alertlar.

15) TL; DR

VPC/VNet Peering’dan «nuqtadan nuqtaga» oddiy shaxsiy bog’lanish uchun foydalaning, lekin tranzit uchun unga tayanmang - bu uchun sizga hub (TGW/VWAN/Cloud Router) kerak. CIDRni kesishmasdan rejalashtiring, yo’nalishlarni aniq va o’ziga xos tuting, stateful SG/NSG va L7 siyosatini mesh, DNS - split-horizon. Flow-loglar, sintetika va PMTUD tekshiruvlarini yoqing. iGaming/moliya uchun - PCI izolyatsiyasi, PSP uchun shaxsiy kanallar va o’zgarmas audit.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.