Техническая документация
Глубокое погружение в техническую архитектуру, тестирование производительности и детали разработки платформы 2GC CloudBridge.
Что это такое?
2GC CloudBridge — это QUIC-first, hostname-aware, Zero-Trust оверлей для соединения пользователей, сайтов, облаков и edge-узлов через Интернет. Узнайте больше о нашей глобальной стратегии. Сеть предпочитает прямые P2P-пути (ICE/STUN/TURN) и автоматически использует HTTP/3 MASQUE-туннели (CONNECT-UDP / CONNECT-IP) на 443, если UDP или P2P недоступны.
Ключевые особенности
- • QUIC-first протокол с HTTP/3 MASQUE фолбэком
- • Hostname-aware маршрутизация и контроль доступа
- • Zero-Trust архитектура по умолчанию
- • P2P пути с поддержкой ICE/STUN/TURN
- • Автоматический фолбэк на HTTP/3 туннели
- • Совместимость с Port 443 (корпоративные фаерволы)
Технические преимущества
- • 1-RTT установление соединения
- • 0-RTT возобновление соединения
- • MASQUE туннелирование для надежного транспорта
- • ICE/STUN для прохождения NAT
- • Миграция соединения для мобильности
- • Мультиплексирование потоков в одном соединении
Какие проблемы это решает?
Решает ключевые проблемы современных сетей с помощью технологий QUIC-first, hostname-aware и Zero-Trust оверлея.
Ограничения UDP/нестабильный VPN
Клиент пробует QUIC/HTTP-3; если недоступно — WebSocket(H2/H3) или TCP. HTTP-нативные туннели MASQUE — основной транспорт.
- • HTTP/3 MASQUE туннели
- • Port 443 совместимость
- • Стандартизированные решения вместо проприетарных
NAT/CGNAT и сложный P2P
ICE с STUN/TURN, с автоматическим релеем в случае сбоя. Полная поддержка прохождения NAT и автоматического обнаружения пиров.
- • ICE Протокол Interactive Connectivity Establishment
- • STUN/TURN NAT traversal и релей-серверы
- • Автоматический релей Фолбэк при сбое P2P
Хрупкие IP-ACL
Маршрутизация и политики на основе Hostname (динамический "синтетический IP"/изначально разрешенный IP) для масштабируемого контроля доступа.
- • Hostname-aware Маршрутизация по имени хоста
- • Синтетический IP Динамические IP из диапазона CGNAT
- • Масштабируемый контроль Эффективное управление доступом
Риски Zero-day в классических VPN
Устраняет открытый VPN-портал и использует стандартные механизмы HTTPS вместе с защитой уровня протокола QUIC/MASQUE.
- • Нет VPN портала Устранение единой точки отказа
- • Механизмы HTTPS Стандартные протоколы
- • Уровень протокола Защита QUIC/MASQUE
Как это работает (кратко)
Сеть автоматически выбирает лучший доступный метод транспорта в зависимости от условий сети и ограничений.
Прямые пиринговые соединения
MASQUE туннели на порту 443
Контроль доступа на основе FQDN
Ключевые компоненты
Протоколы Data Plane
Контур управления
Почему QUIC/HTTP-3 + MASQUE?
Функции производительности QUIC
- • Мультиплексирование потоков в одном соединении
- • 1-RTT (0-RTT) установление соединения
- • Миграция соединения для мобильности
- • Контроль перегрузки и потока
- • Встроенное шифрование с TLS 1.3
Преимущества MASQUE туннелирования
- • UDP/HTTP/3 MASQUE для сложных сетей
- • Прохождение NAT/CGNAT с ICE/STUN/TURN
- • Автоматические механизмы релея (фолбэк)
- • Маршрутизация по имени хоста с синтетическим IP
- • Снижение рисков Zero-day в VPN
Безопасность (Zero Trust по умолчанию)
Безопасность (Zero Trust по умолчанию)
Встроенные механизмы безопасности обеспечивают комплексную защиту от различных векторов атак и гарантируют безопасную связь.
Безопасность уровня протокола
- • Валидация адреса предотвращает атаки усиления
- • Механизм повтора для валидации соединения
- • Лимит анти-усиления защищает от DDoS
- • TLS 1.3 шифрование по умолчанию
- • Perfect Forward Secrecy обмен ключами
- • Connection ID для защиты приватности
Архитектура Zero Trust
- • Принцип "Никогда не доверяй, всегда проверяй"
- • Контроль доступа на основе личности
- • Модель наименьших привилегий
- • Непрерывный мониторинг и валидация
- • Микросегментация сетевого трафика
- • Сквозное шифрование (End-to-end)
Ключевые возможности
Any-to-Any P2P-меш
- • RFC 9443 совместимые соединения
- • Прямая связь между пирами
- • Автоматическое обнаружение и маршрутизация
- • Отказоустойчивость и избыточность
- • Географическое распределение (поддержка)
Доступ по имени хоста
- • FQDN/wildcards для политик доступа
- • Синтетический IP динамическое выделение
- • Масштабируемые механизмы применения
- • CGNAT диапазон управление IP
- • Контроль доступа на основе политик
Полные и Per-App Туннели
- • CONNECT-IP поддержка полного туннеля
- • CONNECT-UDP туннелирование приложений
- • Гибкие варианты развертывания
- • Маршрутизация для конкретных приложений
- • Гранулярный контроль трафика
Приоритетные сценарии
Zero-Trust Частный Доступ
Multi-Cloud / VPC-stitching
Что нас отличает
Уникальное ценностное предложение
Мы объединяем лучшие современные сетевые протоколы с собственными подходами, чтобы решать реальные задачи глобальной связности и безопасности.
Инновации на уровне протоколов
- • Подход QUIC-first: современный протокол с резервом HTTP/3
- • Туннелирование MASQUE: стандартизированные механизмы транспорта
- • ICE/STUN/TURN: полное прохождение NAT
- • Миграция соединений: бесшовная поддержка мобильности
Преимущества архитектуры
- • Маршрутизация по имени хоста: контроль доступа на основе FQDN
- • Синтетическое управление IP: динамическое выделение CGNAT
- • Zero-Trust по умолчанию: встроенная модель безопасности
- • Any-to-Any P2P: меш-сеть совместимая с RFC 9443
Устойчивость транспорта
Несколько вариантов транспорта гарантируют связь даже в сильно ограниченных сетевых средах.
Современный протокол со встроенной безопасностью
HTTP-транспорт для резервного доступа
Классический надёжный транспорт
Сеточная топология
Конфигурация P2P Mesh сети WireGuard
Параметры сети:
- • Подсеть: 10.0.0.0/24
- • Маска: 255.255.255.0
- • Протокол: WireGuard (UDP/51820)
- • Шифрование: ChaCha20-Poly1305
Топология соединений:
- • Тип: полностью связанный Mesh
- • Обнаружение: автоматическое
- • Маршрутизация: динамическая
- • Отказоустойчивость: высокая
Детали P2P WireGuard соединений
Соединения с релеем:
- • A → Relay: 10.0.0.1 → 10.0.0.10 (основной)
- • B → Relay: 10.0.0.2 → 10.0.0.10 (хаб)
- • C → Relay: 10.0.0.3 → 10.0.0.10 (вторичный)
- • D → Relay: 10.0.0.4 → 10.0.0.10 (резерв)
- • Relay → All: централизованная маршрутизация
Технические характеристики:
- • Протокол: WireGuard (UDP/51820)
- • Шифрование: ChaCha20-Poly1305
- • Скорость: 10 Гбит/с на соединение
- • Задержка: 1-3 мс
- • IP релея: 10.0.0.10
Центральный Relay выступает «базовой станцией» всей сети. Все серверы подключаются к нему через зашифрованные туннели WireGuard со скоростью 10 Гбит/с. Relay обеспечивает централизованную маршрутизацию, балансировку и автоматический фейловер, а система подбирает оптимальные маршруты и удерживает задержку на уровне 1-3 мс.
Сценарии использования
Корпоративные сети
- • Соединение удалённых офисов
- • Доступ к корпоративным ресурсам
- • Резервные каналы связи
- • Глобальная сеть филиалов
Облачные сервисы
- • Связь между провайдерами облаков
- • Мультиоблачные архитектуры
- • Развёртывание вычислений на периферии
- • IoT-устройства и сенсоры
Ожидаемая производительность
Метрики производительности
Опираясь на возможности протокола QUIC и современную сетевую практику, мы ожидаем следующие характеристики.
Производительность соединений
- • 1-RTT соединение: быстрое начальное установление
- • 0-RTT возобновление: мгновенное переподключение
- • Миграция соединений: бесшовное переключение сетей
- • Мультиплексирование потоков: несколько потоков в одном соединении
- • Контроль перегрузки: адаптивное использование полосы
- • Контроль потока: эффективное управление передачей
Сетевая эффективность
- • Оптимизация P2P: прямые соединения при любой возможности
- • Автофолбэк: туннели HTTP/3 MASQUE для закрытых сетей
- • Прохождение NAT: ICE/STUN/TURN для сложных топологий
- • Релейный фолбэк: автоматический выбор релея при сбое P2P
- • Маршрутизация по FQDN: эффективный контроль доступа
- • Синтетический IP: динамическая выдача из диапазона CGNAT
P2P против традиционного клиент-сервер
Клиент-Сервер
- • Централизованная архитектура
- • Единая точка отказа
- • Более высокая задержка
- • Ограниченная масштабируемость
- • Проблемы узких мест
P2P Сеть
- • Децентрализованная архитектура
- • Нет единой точки отказа
- • Более низкая задержка
- • Неограниченная масштабируемость
- • Прямые соединения
Гибридный подход
- • Лучшее из обоих миров
- • Комбинация Edge + P2P
- • Оптимальная производительность
- • Максимальная надежность
- • Гибкое развертывание
Архитектура P2P сети
Компоненты сети
Метрики производительности
Развертывание и интеграции
Варианты развертывания
- • SaaS + автономное: гибкие модели развертывания
- • K8s-реле: контейнеризированные Relay-ноды
- • Интеграция с IdP: бесшовное подключение провайдеров идентичности
- • Совместная работа: параллельно с WireGuard/IPsec
- • Гибридный подход: лучшее из двух миров
Возможности интеграции
- • Мультитенантность: изолированные окружения клиентов
- • API-интеграция: REST API для связки систем
- • Вебхуки: уведомления о событиях в реальном времени
- • Ограничение скорости: встроенное управление трафиком
- • Мониторинг: полнота наблюдаемости
Разработка и интеграция
Интеграции
Поддерживаемые интеграции через десктопный клиент, CLI и партнерские коннекторы
- • Аутентификация и авторизация
- • Поддержка мультитенантности
- • Система вебхуков
- • Ограничение скорости
Десктопный клиент
Кроссплатформенное десктопное приложение
- • Высокопроизводительное нативное приложение
- • Системная интеграция
- • Безопасное хранение токенов
- • Автообновления
Мониторинг
Мониторинг и аналитика в реальном времени
- • Метрики производительности
- • События безопасности
- • ✓ Проверки состояния
- • Система оповещений