Компьютерные сети

Связь с облаком

Компания растёт: офисы в трёх городах, production в AWS, база данных в Azure (legacy). Как соединить это всё безопасно и с минимальной latency? Cloud connectivity - мост между on-premises и облаками.

  • **Goldman Sachs** - Direct Connect в несколько регионов для low-latency trading
  • **Netflix** - Transit Gateway для сотен VPC с микросервисами
  • **Capital One** - hybrid cloud с VPN backup для Direct Connect

Предварительные знания

  • Cloud Networking: VPC
  • VPN: Virtual Networks

Site-to-Site VPN

**Site-to-Site VPN** - это зашифрованный туннель между твоим офисом (on-premises) и облаком через публичный интернет. AWS, GCP, Azure предоставляют managed VPN endpoints - тебе нужен только совместимый роутер на своей стороне.

В отличие от client VPN (для удалённых сотрудников), Site-to-Site соединяет целые сети. Все устройства в офисе получают доступ к облачным ресурсам, как будто они в одной локальной сети.

**Два туннеля для отказоустойчивости:** AWS VPN автоматически создаёт два IPsec туннеля к разным endpoints. Если один endpoint на обслуживании - трафик идёт через второй.

**Ограничения VPN через интернет:** • **Latency** - зависит от интернет-провайдера, обычно 20-100ms • **Jitter** - нестабильность задержки, проблема для VoIP/video • **Bandwidth** - ограничена скоростью интернета, до ~1.25 Gbps • **Reliability** - зависит от качества ISP

Почему AWS VPN создаёт два IPsec туннеля вместо одного?

Direct Connect / ExpressRoute

**Direct Connect** (AWS) / **ExpressRoute** (Azure) / **Cloud Interconnect** (GCP) - это выделенное физическое соединение между твоим датацентром и облаком, минуя публичный интернет. Провод тянется от твоего оборудования до точки присутствия облачного провайдера.

Представь: вместо того чтобы ехать по общей дороге (интернет), ты строишь персональный мост напрямую к AWS. Дорого, но гарантированная скорость и latency.

**Direct Connect не шифрует трафик по умолчанию!** Это выделенный канал, но не зашифрованный. Для sensitive data - добавь VPN поверх Direct Connect (MACsec или IPsec).

**Варианты Direct Connect:** • **Dedicated Connection** - физический порт 1/10/100 Gbps только для тебя • **Hosted Connection** - партнёр AWS даёт часть своего порта (50 Mbps - 10 Gbps) • **Direct Connect Gateway** - один DX ко многим VPC в разных регионах

Какое главное преимущество Direct Connect перед VPN?

VPC Peering

**VPC Peering** - это соединение между двумя VPC, позволяющее трафику идти напрямую через внутреннюю сеть AWS. Без peering трафик между VPC шёл бы через интернет.

Peering работает как виртуальный кабель между VPC. Трафик не выходит за пределы AWS network, что даёт низкую latency и высокую безопасность. VPC могут быть в разных регионах (inter-region peering) или даже в разных AWS аккаунтах.

**Non-transitive:** VPC Peering не транзитивен. Если A↔B и B↔C, то A НЕ может общаться с C через B. Нужен отдельный peering A↔C или Transit Gateway.

**Ограничения VPC Peering:** • CIDR блоки VPC не должны пересекаться • Не транзитивно (нужен full mesh для N VPC) • Максимум 125 peering connections на VPC • Не поддерживает edge-to-edge routing через VPN/DX

Если VPC-A peered с VPC-B, и VPC-B peered с VPC-C, может ли VPC-A общаться с VPC-C?

Transit Gateway

**Transit Gateway (TGW)** - это региональный hub для соединения VPC, VPN и Direct Connect. Вместо full mesh peering (N×(N-1)/2 соединений), все VPC подключаются к одному TGW.

Представь: вместо того чтобы соединять каждый дом с каждым кабелем, все дома подключаются к одной телефонной станции. Transit Gateway - это центральная станция для твоей облачной сети.

**Transit Gateway Routing:** TGW имеет свои route tables. Можно сегментировать трафик - например, production VPCs не видят development VPCs, хотя все подключены к одному TGW.

**Когда что использовать:** • **VPC Peering** - 2-3 VPC, простые требования, минимум cost • **Transit Gateway** - много VPC, hybrid connectivity, сложная сегментация • **Transit Gateway + RAM** - multi-account architectures (AWS Organizations)

VPN через интернет достаточно для enterprise workloads

Для критичных приложений нужен Direct Connect с VPN поверх него для шифрования

VPN через интернет имеет непредсказуемую latency и jitter. Direct Connect гарантирует SLA по latency. Финансовые системы, realtime analytics, VoIP требуют стабильного соединения, которое интернет не обеспечивает

Какую проблему решает Transit Gateway по сравнению с VPC Peering?

Итоги

  • **Site-to-Site VPN** - быстрый setup через интернет, но непредсказуемая latency
  • **Direct Connect** - выделенный канал 1-100 Gbps, низкая latency, но дорого и долго
  • **VPC Peering** - прямое соединение VPC, но non-transitive (нужен full mesh)
  • **Transit Gateway** - hub для VPC, VPN, DX; O(N) вместо O(N²) соединений
  • **Hybrid подход** - Direct Connect как primary, VPN как backup

Связанные темы

Cloud connectivity строится на базовых VPC концепциях и VPN технологиях:

  • Сети в облаке: VPC — VPC - фундамент для всех типов connectivity
  • VPN концепции — Site-to-Site VPN использует IPsec туннели

Вопросы для размышления

  • Какой тип connectivity ты бы выбрал для подключения офиса из 50 человек к AWS VPC?
  • Когда VPC Peering предпочтительнее Transit Gateway несмотря на ограничения?
  • Как бы ты спроектировал backup для Direct Connect соединения?

Связанные уроки

  • dist-11-replication
Связь с облаком

0

1

Войти