شبكات AWS والهوية

الاتصال بين الشبكات الافتراضية (VPC)

18 دقيقة الدرس 6 من 28

الاتصال بين الشبكات الافتراضية (VPC)

كل VPC تنشئها تكون معزولة بطبيعتها — لا يتجاوز أي حركة مرور حدودها ما لم تبنِ الجسر بنفسك. على نطاق واسع، يتضاعف هذا العزل: عشرات الـ VPCs في كل منطقة، وحركة مرور عابرة للمناطق، والوصول الخاص إلى الخدمات المُدارة من AWS — كلها تحتاج إلى إجابات معمارية. توفر AWS ثلاثة عناصر أساسية متكاملة: VPC Peering، وTransit Gateway (TGW)، وVPC Endpoints / PrivateLink. اختيار العنصر المناسب (أو الجمع بينها) يحدد الوضع الأمني لشبكتك، ونطاق تأثير الأعطال، والتكلفة لكل جيجابايت.

VPC Peering

اتصال VPC Peering هو رابط Layer-3 مباشر وخاص بين VPCين فقط. تسير حركة المرور عبر الشبكة الخلفية لـ AWS — ولا تعبر الإنترنت العام أبداً — ويجب أن يُضيف كل طرف إدخال صريح في جدول التوجيه. يعمل الـ Peering عبر الحسابات والمناطق المختلفة (يُضاف رسم نقل بيانات بين المناطق بحوالي 0.01 دولار/جيجابايت).

القيود الصارمة:

  • لا توجيه عابر (Transitive Routing). إذا كانت VPC-A مرتبطة بـ VPC-B وVPC-B مرتبطة بـ VPC-C، فإن VPC-A لا تستطيع الوصول إلى VPC-C عبر VPC-B. كل زوج يحتاج إلى اتصال Peering مستقل.
  • لا تداخل في نطاقات CIDR. خطط لمخطط IPAM قبل الـ Peering — إعادة تحديد نطاقات VPC الموجودة أمر مؤلم.
  • الحد الافتراضي لـ AWS هو 125 اتصال Peering نشط لكل VPC؛ فوق هذا الحد تصبح الإدارة مستعصية.
متى تختار Peering: أقل من 10 VPCs، طوبولوجيا ثابتة، وأحجام حركة مرور كبيرة ومستقرة حيث تريد أدنى تكلفة نقل بيانات ممكنة (الـ Peering داخل نفس المنطقة مجاني بين ENIs في نفس منطقة التوفر).

Transit Gateway

Transit Gateway هو موجّه موزع إقليمياً ومُدار بالكامل بنمط Hub-and-Spoke. كل VPC (وكذلك VPN / Direct Connect) تتصل بالـ TGW؛ وجداول التوجيه الخاصة بالـ TGW تتحكم في ما يمكن الوصول إليه. تتقلص الشبكة الكاملة من اتصالات O(n²) إلى O(n) من الاتصالات بالـ TGW.

الإمكانات الإنتاجية الرئيسية:

  • جداول توجيه متعددة على TGW — تُقسّم بيئات الإنتاج والاختبار والخدمات المشتركة إلى مجالات توجيه منفصلة؛ لضمان أن VPCs الإنتاج لا تتصل بـ VPCs التطوير حتى مع اتصال كليهما بنفس الـ TGW.
  • Peering بين المناطق — ربط TGWين عبر مناطق مختلفة لشبكة خلفية عالمية دون تعقيد الشبكة الكاملة.
  • اتصال VPN وDirect Connect — تنتهي الاتصالات بالبنية التحتية الداخلية عند TGW وليس عند كل VPC منفردة.
  • Multicast — لأعباء العمل المتخصصة كبيانات الأسواق المالية والوسائط التي تستخدم IP Multicast.

التسعير: 0.05 دولار/ساعة لكل اتصال + 0.02 دولار/جيجابايت. مع مئات الـ VPCs تتضاءل التكلفة أمام توفير التشغيل، لكن مع 3-4 VPCs بحركة مرور متواضعة يكون الـ Peering أرخص.

# Terraform: إنشاء Transit Gateway مع جدولَي توجيه معزولَين # (prod-rtb لا يصل إلى dev-rtb بشكل افتراضي) resource "aws_ec2_transit_gateway" "main" { description = "Central TGW" auto_accept_shared_attachments = "disable" default_route_table_association = "disable" default_route_table_propagation = "disable" tags = { Name = "main-tgw" } } resource "aws_ec2_transit_gateway_route_table" "prod" { transit_gateway_id = aws_ec2_transit_gateway.main.id tags = { Name = "prod-rtb" } } resource "aws_ec2_transit_gateway_route_table" "dev" { transit_gateway_id = aws_ec2_transit_gateway.main.id tags = { Name = "dev-rtb" } } resource "aws_ec2_transit_gateway_vpc_attachment" "prod_vpc" { transit_gateway_id = aws_ec2_transit_gateway.main.id vpc_id = aws_vpc.prod.id subnet_ids = aws_subnet.prod_private[*].id transit_gateway_default_route_table_association = false transit_gateway_default_route_table_propagation = false } resource "aws_ec2_transit_gateway_route_table_association" "prod_vpc_assoc" { transit_gateway_attachment_id = aws_ec2_transit_gateway_vpc_attachment.prod_vpc.id transit_gateway_route_table_id = aws_ec2_transit_gateway_route_table.prod.id } resource "aws_ec2_transit_gateway_route_table_propagation" "prod_vpc_prop" { transit_gateway_attachment_id = aws_ec2_transit_gateway_vpc_attachment.prod_vpc.id transit_gateway_route_table_id = aws_ec2_transit_gateway_route_table.prod.id }
VPC Peering vs Transit Gateway topology VPC Peering (mesh) VPC A VPC B VPC C VPC D 6 peering links for 4 VPCs No transitive routing Transit Gateway (hub & spoke) Transit Gateway VPC A VPC B VPC C VPC D VPN/DX 5 attachments, centralised routing
يسار: شبكة Peering كاملة (O(n²) اتصالاً، بدون توجيه عابر). يمين: Transit Gateway بنمط Hub-and-Spoke (O(n) اتصالاً، جداول توجيه مركزية).

VPC Endpoints وAWS PrivateLink

حتى داخل VPC خاصة، فإن الاتصال بـ s3.amazonaws.com أو dynamodb.amazonaws.com يعبر الإنترنت العام بشكل افتراضي — ما لم تُضف VPC Endpoint. هناك نوعان:

Gateway Endpoints

إدخالات مجانية في جداول التوجيه تعتمد على قوائم البادئات (prefix-list) لخدمتَي S3 وDynamoDB فقط. تبقى حركة المرور داخل شبكة AWS. تُضيف مسار هدفه vpce-xxxx وسياسة نقطة نهاية (JSON يشبه IAM) لتقييد المجلدات أو الجداول التي يمكن الوصول إليها من هذه VPC.

Interface Endpoints (PrivateLink)

واجهة شبكة مرنة (ENI) تُحقن في شبكتك الفرعية بعنوان IP خاص، مدعومة بـ Network Load Balancer على جانب الخدمة. متاحة لأكثر من 150 خدمة AWS (EC2، SSM، STS، KMS، ECR، CloudWatch Logs، Secrets Manager...) ولخدماتك الخاصة المشتركة عبر الحسابات. التكلفة: ~0.01 دولار/ساعة لكل منطقة توفر لكل نقطة نهاية + 0.01 دولار/جيجابايت.

PrivateLink لخدماتك الخاصة: يمكنك عرض خدمة مصغرة داخلية (مدعومة بـ NLB) لـ VPCs أو حسابات أخرى عبر PrivateLink دون الحاجة إلى Peering أو TGW. تُنشئ VPC المستهلكة نقطة نهاية Interface؛ لا تغادر حركة المرور AWS أبداً. هذا هو النمط الصحيح لمزودي SaaS الذين يشاركون خدمات مع عملائهم دون منحهم وصولاً على مستوى VPC.
# AWS CLI: إنشاء S3 Gateway Endpoint (مجاني، بدون رسوم نقل بيانات) aws ec2 create-vpc-endpoint \ --vpc-id vpc-0abc123 \ --service-name com.amazonaws.us-east-1.s3 \ --route-table-ids rtb-0def456 rtb-0ghi789 \ --vpc-endpoint-type Gateway \ --policy-document '{ "Statement": [{ "Effect": "Allow", "Principal": "*", "Action": ["s3:GetObject","s3:PutObject"], "Resource": "arn:aws:s3:::my-prod-bucket/*" }] }' # AWS CLI: إنشاء Secrets Manager Interface Endpoint aws ec2 create-vpc-endpoint \ --vpc-id vpc-0abc123 \ --service-name com.amazonaws.us-east-1.secretsmanager \ --vpc-endpoint-type Interface \ --subnet-ids subnet-0aaa subnet-0bbb \ --security-group-ids sg-0ccc \ --private-dns-enabled # يعيد كتابة secretsmanager.us-east-1.amazonaws.com إلى IP الخاص
VPC Endpoint types: Gateway vs Interface (PrivateLink) Gateway Endpoint (S3 / DynamoDB) VPC Private Subnet EC2 instance Route Table 0.0.0.0/0 → igw Gateway Endpoint AWS S3 (AWS backbone) Free — route table entry only Interface Endpoint (PrivateLink) VPC Private Subnet EC2 instance Interface Endpoint ENI 10.0.1.55 (private) NLB (service side) AWS / Your service Secrets Manager / Custom $0.01/hr/AZ + $0.01/GB
Gateway Endpoints تُضيف إدخال توجيه مجاني لـ S3/DynamoDB؛ Interface Endpoints تحقن ENI خاصة (عبر PrivateLink) لأكثر من 150 خدمة وأعباء العمل المخصصة.

إطار اتخاذ القرار

  • طوبولوجيا صغيرة ومستقرة (2-5 VPCs): VPC Peering — أدنى تكلفة وأقل تعقيداً.
  • VPCs كثيرة، خدمات مشتركة، تكامل مع البنية الداخلية: Transit Gateway — توجيه مركزي، تقسيم عبر جداول توجيه متعددة، نقطة اتصال واحدة بالبنية الداخلية.
  • الوصول لخدمات AWS أو مشاركة APIs داخلية دون تداخل شبكي: VPC Endpoints / PrivateLink — يمنع التعرض للإنترنت، ويتيح سياسات نقطة النهاية لضوابط محيط البيانات.
  • مشاركة خدمة عبر الحسابات دون وصول شبكي كامل: PrivateLink — يبقى المزود خلف NLB؛ يحصل المستهلكون على IP خاص فقط؛ لا رؤية على مستوى VPC.
مخاطر الإنتاج — دقة أسماء DNS لنقاط النهاية: تُعيد Interface Endpoints مع --private-dns-enabled كتابة اسم المضيف العام (مثل secretsmanager.us-east-1.amazonaws.com) إلى IP الخاص. إذا كان لديك محلل DNS للشركة يُحيل الاستعلامات إلى خادم داخلي، فإن إعادة الكتابة تعمل فقط في الـ VPC التي تحتوي نقطة النهاية. مثيلات EC2 التي تحل الأسماء عبر خادم DNS مختلف ستحصل على عنوان IP العام وستتجاوز PrivateLink. الحل: استخدام Route 53 Resolver Inbound/Outbound Endpoints مع قواعد إعادة التوجيه، أو ضمان أن جميع استعلامات DNS تصدر من محلل VPC (169.254.169.253).

التحقق واستكشاف الأخطاء

بعد إعداد أي مسار اتصال، تحقق منه بشكل منهجي:

# التحقق من جداول توجيه TGW والنشر والاقترانات aws ec2 describe-transit-gateway-route-tables \ --filters "Name=transit-gateway-id,Values=tgw-0abc123" aws ec2 search-transit-gateway-routes \ --transit-gateway-route-table-id tgw-rtb-0def456 \ --filters "Name=state,Values=active" # التأكد من أن Interface Endpoint يحل إلى IP خاص nslookup secretsmanager.us-east-1.amazonaws.com # المتوقع: يعود 10.x.x.x (نطاق VPC الخاص بك)، وليس 54.x.x.x # اختبار S3 Gateway Endpoint — يجب أن ينجح بدون مسار إنترنت aws s3 ls s3://my-prod-bucket --region us-east-1 # VPC Reachability Analyzer: تحليل مسار آلي (دون إرسال حركة مرور) aws ec2 start-network-insights-analysis \ --network-insights-path-id nip-0abc123 aws ec2 describe-network-insights-analyses \ --network-insights-analysis-ids nia-0xyz789 \ --query "NetworkInsightsAnalyses[0].{Status:Status,Reachable:NetworkPathFound}"
VPC Reachability Analyzer هو أسرع طريقة لإثبات (أو دحض) مسار اتصال دون إرسال حركة مرور حقيقية. يُنمذج VPCs وSecuirty Groups وNACLs وجداول توجيه TGW ويُعيد شرحاً خطوة بخطوة لسبب حجب حركة المرور. بتكلفة 0.10 دولار لكل تحليل، فهو تأمين رخيص قبل أي تغيير في الإنتاج.
الدرس السابق Route 53 واستراتيجيات DNS
الدرس التالي أدوار وسياسات IAM بعمق
العودة للدورة