Модуль 10.4: Гібридна хмарна архітектура (On-Prem до Хмари)
Складність: [COMPLEX] | Час на виконання: 3 год | Передумови: Архітектурні патерни хмар, основи мереж, Enterprise Landing Zones (Модуль 10.1)
Чому цей модуль важливий
Розділ «Чому цей модуль важливий»У 2023 році великий європейський банк почав переносити свою торгову платформу з власних дата-центрів в AWS. План був простий: перенести все за 18 місяців. Проте вже через півроку виникла критична проблема: державні регулятори заборонили вивозити певні типи фінансових даних за межі країни. Наявні дата-центри банку знаходилися у Франкфурті і мали пряме підключення до біржових каналів через виділене оптоволокно. Перенос торгової системи у хмару додав би 5-8 мілісекунд затримки, що коштувало б банку $12 мільйонів втраченого прибутку на рік через уповільнення операцій.
Керівництво прийняло прагматичне рішення, до якого приходить більшість великих компаній: вони ніколи не перейдуть у хмару повністю. Замість цього вони побудували гібридну архітектуру. Торгове ядро залишилося в офісі (для швидкості), старі банківські системи — теж (бо їх важко переписати), а все інше — сайти для клієнтів, аналітика та мобільні додатки — працює в AWS EKS.
Цей модуль навчить вас будувати такі системи. Ви дізнаєтеся, як з’єднувати офісні сервери з хмарою через VPN та виділені канали, як зробити так, щоб один логін працював і в хмарі, і в офісі, як синхронізувати дані між ними та як використовувати EKS Anywhere та Anthos для управління всіма кластерами з одного вікна.
Зв’язок: VPN vs Виділені канали
Розділ «Зв’язок: VPN vs Виділені канали»Фундамент гібридної хмари — це “труба”, через яку ходять дані між вашим офісом та хмарою.
1. Site-to-Site VPN
Розділ «1. Site-to-Site VPN»Зашифрований тунель через звичайний інтернет.
- Плюси: Дешево ($36/міс), налаштовується за годину.
- Мінуси: Швидкість залежить від інтернету, затримки (20-100 мс).
- Для чого: розробка, тестування, бекапи.
2. Dedicated Connection (Direct Connect / ExpressRoute)
Розділ «2. Dedicated Connection (Direct Connect / ExpressRoute)»Прямий фізичний дріт від вашого сервера до хмари. Трафік не йде через інтернет.
- Плюси: Стабільна швидкість, мінімальна затримка (1-5 мс), гарантія аптайму.
- Мінуси: Дорого ($1600+/міс), підключення займає від 2 тижнів до 3 місяців.
- Для чого: Продакшн, реальний час, великі бази даних.
Єдина ідентичність для хмари та офісу
Розділ «Єдина ідентичність для хмари та офісу»Ви не хочете, щоб розробники мали різні паролі для хмарного EKS та офісного Kubernetes. Рішення — OIDC Federation (напр. через Pinniped або Dex). Користувач логіниться через корпоративну пошту (Okta / Azure AD), а система видає йому доступ до будь-якого кластера, незалежно від того, де він знаходиться фізично.
Реплікація даних через кордон
Розділ «Реплікація даних через кордон»Дані мають “гравітацію” — їх важко і повільно переміщувати.
- Active-Passive: Офіс — головний, хмара — тільки для бекапів.
- Event Streaming (Kafka): Події в офісі (напр. нова покупка) миттєво копіюються у хмару для аналітики.
- Cache-Aside: Хмара тримає в пам’яті (Redis) копії найпопулярніших даних з офісу, щоб сайт працював швидше.
Гібридні платформи Kubernetes
Розділ «Гібридні платформи Kubernetes»Вендори пропонують запускати їхній софт у вашому дата-центрі, щоб все було однаковим:
| Рішення | Хмара | Де працює в офісі |
|---|---|---|
| EKS Anywhere | AWS | VMware або Bare Metal |
| GKE Enterprise (Anthos) | VMware або Bare Metal | |
| Azure Arc | Azure | Будь-який Kubernetes кластер |
Головна перевага: Ви використовуєте однакові команди kubectl та однакові YAML-файли і в хмарі, і в офісі.
Типові помилки
Розділ «Типові помилки»| Помилка | Чому це стається | Як виправити |
|---|---|---|
| Тільки VPN для продакшну | Здається, що інтернет стабільний | Використовуйте Direct Connect; інтернет-провайдери іноді мають збої |
| Однакові IP адреси | Забули домовитися з адмінами | Ви не зможете з’єднати мережі, якщо і в хмарі, і в офісі діапазон 10.0.0.0/16 |
| Немає локального реєстру | Офіс качає образи з хмари | Поставте локальний Harbor в офісі, щоб не забивати канал при кожному деплої |
| Ручне управління офісом | ”Тут же можна зайти по SSH” | Тільки GitOps (ArgoCD/Flux) для всіх кластерів без винятку |
Тест
Розділ «Тест»1. Чому важливо мати непересічні IP-діапазони (CIDR) між офісом та хмарою?
Тому що роутер (маршрутизатор) не знатиме, куди відправити пакет. Якщо адреса 10.1.1.5 є і в офісі, і в хмарі — зв’язок між ними буде неможливим. Завжди плануйте глобальну карту IP для всієї компанії.
2. Коли варто використовувати EKS Anywhere замість звичайного Kubernetes?
Коли ваша компанія глибоко інтегрована в AWS і ви хочете використовувати ті ж самі інструменти, ролі IAM та стандарти безпеки в офісі, що і в хмарі, маючи єдину підтримку від Amazon.
Практична вправа: Дизайн гібриду
Розділ «Практична вправа: Дизайн гібриду»- Спроектуйте схему підключення офісу до AWS:
- Який тип підключення ви оберете для бази даних (затримка < 10 мс)?
- Який тип підключення ви оберете для резервного копіювання вночі?
- Визначте, як поди в офісі будуть дізнаватися про IP-адреси сервісів у хмарі (DNS стратегия).
- Напишіть список ресурсів, які ви НІКОЛИ не перенесете в хмару через закони про дані.
Наступний модуль
Розділ «Наступний модуль»Ви побудували міст, тепер час навчитися керувати всім цим флотом. Переходьте до Модуля 10.5: Управління мультихмарним флотом (Azure Arc / GKE Fleet) — ми навчитеся керувати сотнями кластерів по всьому світу з єдиного дашборда.