2GC CloudBridge

Задача проекта: создать транспортную платформу, использующую протокол QUIC (RFC 9000)? тот же протокол, на котором работают YouTube, Google и Cloudflare. Для фильтрующего оборудования QUIC-трафик неотличим от обычного захода на веб-сайт по HTTPS. Заблокировать его невозможно без поломки всего интернета.

Требования к платформе:

- Устойчивость к DPI/ТСПУ на уровне протокола, а не обфускации

- Мультипротокольность с автоматическим fallback (если один протокол деградирует — трафик бесшовно переходит на другой)

- Мультитенантная архитектура с полной изоляцией арендаторов

- DDoS-защита на периметре с ML-детекцией аномалий

- AI-оптимизация маршрутов с предиктивным обнаружением деградации

- Kubernetes-native развертывание для масштабирования

- Self-service dashboard для управления сетью

- Мониторинг с 300+ метриками и per-tenant алертами

Полный цикл от проектирования архитектуры до реализации всех компонентов.

Стек: Go 1.25, Python 3.11, TypeScript, Next.js 15, QUIC (quic-go), BBRv3, MASQUE, WebRTC/ICE, WireGuard, WebSocket, Zitadel OIDC, Kubernetes, Docker, Prometheus, Grafana, XDP/eBPF, TensorFlow, GitLab CI.

Спроектировал и реализовал CloudBridge платформу из 8 интегрированных компонентов с 5 транспортными протоколами и бесшовным переключением между ними. Ядро платформы, QUIC-relay, который работает через порт 443 и для DPI-оборудования неотличим от обычного HTTPS-трафика. Архитектура включает собственный control plane (Zitadel OIDC), DDoS-защиту на уровне ядра Linux (XDP/eBPF), AI-сервис для оптимизации маршрутов, мониторинг на 300+ метрик и dashboard на Next.js для самообслуживания. Всё развертывается через Docker/Kubernetes. Инфраструктура спроектирована на 3 PoP (Москва, Франкфурт, Амстердам) с Anycast BGP маршрутизацией.

Провел исследование существующих решений (Tailscale, Cloudflare Tunnel, BI.ZONE SD-WAN) и выявил ключевой недостаток: все они используют протоколы с характерными DPI-сигнатурами. Спроектировал модульную архитектуру из 8 компонентов: Relay Client, Scalable Relay, DNS Network, Control Plane, DDoS Protection, AI Service, Monitoring и Dashboard. Каждый компонент, независимый микросервис со своим API, но все работают в едином pipeline. Определил стек протоколов: QUIC как основной (60% трафика), WebRTC/ICE для P2P (20%), MASQUE для обхода корпоративных фаерволов (15%), WireGuard для IoT (3%), WebSocket для сигнализации (2%). Написал полную архитектурную документацию, включая спецификации API, модели данных и deployment-схемы.

Реализовал ядро платформы Scalable Relay на Go 1.25 с поддержкой QUIC (RFC 9000) и BBRv3 congestion control. Ключевая особенность: 0-RTT возобновление сессий (при обрыве канал восстанавливается за миллисекунды), работа через порт 443 (неотличим от HTTPS для DPI). Реализовал автоматическое переключение между 5 протоколами: если QUIC деградирует в конкретной сетевой среде, трафик бесшовно переходит на MASQUE (HTTP/3 CONNECT tunnel) или WebRTC. Клиент этого не замечает. Разработал DNS-подсистему с GeoDNS и Anycast BGP (ASN 64512, конвергенция менее 30 секунд). Провел лабораторные тесты: при 5% потерь пакетов QUIC+BBRv3 показывает пропускную способность в 3 раза выше, чем TCP+TLS.

Спроектировал и реализовал 5-уровневую модель изоляции: сетевой (VRF, Calico, default-deny политики), приложений (Zitadel OIDC, JWT с tenant claims, mTLS), ресурсов (K8s квоты, per-tenant rate limits, circuit breakers), данных (IPAM с детерминистическими подсетями через SHA256, Row-Level Security в БД), операционный (90-дневный аудит, per-tenant метрики и алерты). Разработал DDoS-модуль с ML-детекцией аномалий на уровне ядра Linux через XDP/eBPF. AI-сервис на Python (TensorFlow/PyTorch) анализирует сетевые метрики в реальном времени и оптимизирует маршруты. Control Plane на базе Zitadel обеспечивает OIDC-аутентификацию и централизованное управление политиками.

Спроектировал глобальную PoP-инфраструктуру на 3 точки присутствия (Москва, Франкфурт, Амстердам), каждая с 8 relay-контейнерами, 2 DDoS-нодами (XDP/eBPF) и 2 Anycast DNS-инстансами. Всё развертывается через Docker Compose и Kubernetes. Настроил CI/CD pipeline в GitLab CI: автотесты, линтинг, сборка образов, деплой по окружениям. Мониторинг: Prometheus собирает 300+ метрик, Grafana-дашборды для каждого компонента и арендатора. Dashboard на Next.js 15 + React дает клиентам self-service управление: подключение площадок, мониторинг каналов, управление политиками доступа. Вся инфраструктура описана как код (IaC).

Разработана полнофункциональная сетевая платформа CloudBridge, готовая к пилотному развертыванию:

Транспортное ядро: QUIC-relay на Go с поддержкой BBRv3, работающий через порт 443. При тестировании показал трехкратное превосходство по пропускной способности над TCP+TLS при 5% потерь пакетов. Реализовано бесшовное автопереключение между 5 протоколами — клиент не замечает деградации отдельного канала.

Безопасность: 5-уровневая мультитенантная изоляция (сеть, приложения, ресурсы, данные, операции). DDoS-защита на уровне ядра Linux через XDP/eBPF с ML-детекцией аномалий. Аутентификация через Zitadel OIDC с JWT tenant claims и mTLS.

Инфраструктура: архитектура на 3 PoP (Москва, Франкфурт, Амстердам) с Anycast BGP маршрутизацией. Kubernetes-native развертывание, CI/CD через GitLab CI, мониторинг на 300+ метрик с per-tenant алертами.

AI-модуль: сервис оптимизации маршрутов и предиктивного обнаружения аномалий на базе TensorFlow/PyTorch.

Dashboard: self-service панель управления на Next.js 15 для подключения площадок, мониторинга каналов и управления политиками доступа.

Документация: полная архитектурная документация, спецификации API, deployment-схемы, стратегические материалы, pitch deck.

Проект вышел на стадию переговоров с МТС (MWS) о пилотном развертывании QUIC-relay внутри ЦОД-инфраструктуры MWS Cloud как managed-сервиса для корпоративных клиентов, испытывающих проблемы с VPN-связностью из-за ТСПУ.