Сетевые объекты

Все облачные серверы можно подключать к приватной сети без непосредственного доступа в интернет и настраивать разные варианты доступа в интернет посредством роутеров, плавающих IP-адресов и общих публичных IP.

Глоссарий

Сетевые объекты – это регионально-специфичные ресурсы. Их можно использовать для объединения виртуальных машин во всех доступных зонах выбранного региона.

Сетевые объекты Облачной платформы описаны в таблице:

Термин Определение
Приватная сеть (VLAN) Изолированные друг от друга на L2-уровне сегменты сети
Подсеть (IP-адрес) Диапазон частных IP-адресов, ограниченный размером CIDR, назначенных клиентом.
Разные IP-адреса (подсети) могут быть назначены в одну приватную сеть.
Подсети используются для распределения IP-адресов при создании новых портов
Порт Назначенная связка mac+IP-адрес, предназначенная для подключения к виртуальной сетевой карте облачного сервера.
Один из портов в подсети может быть подключен к роутеру
Роутер Устройство, которое может маршрутизировать трафик между различными подсетями и интернетом. Все подсети, подключенные к одному маршрутизатору могут общаться друг с другом, используя IP-адрес маршрутизатора как маршрут по умолчанию.
Все подсети, подключенные к одному маршрутизатору могут выходить в интернет, используя общий внешний IP-адрес, присвоенный роутеру.
Роутер выполняет функцию NAT:
- доступ из приватной сети в интернет (исходящий трафик);
- прокидывание пакетов для плавающего IP-адреса до сервера, на который он назначен
Общий внешний IP-адрес на роутере IP-адрес, который назначается порту роутера при подключении его к external network
External network Служебная подсеть, предоставляющая публичные IP-адреса для портов роутеров и плавающих адресов
Плавающий IP-адрес Публичный IP-адрес из External network, который можно ассоциировать с каким-либо приватным адресом сервера или балансировщика нагрузки. Трафик плавающего адреса обрабатывается роутером, все пакеты передаются ассоциированному приватному адресу
Публичная подсеть Диапазон публичных IP-адресов, ограниченный размером префикса (маски), предоставленных клиенту.
IP-адреса из этой подсети не обрабатываются роутером, а подключаются напрямую к облачному серверу
VRRP-подсеть VRRP-подсеть – это мультирегиональный облачный объект. Представляет собой композицию из двух одинаковых публичных подсетей с четырьмя доступными для использования адресами в каждом из двух выбранных регионах облачной платформы.
В отличие от обычных публичных подсетей в маршрутизации трафика VRRP-подсетей задействован дополнительный инфраструктурный роутер. Это позволяет облаку перенаправлять трафик на резервную подсеть в другом регионе при необходимости

Создание приватной сети

Для создания приватной сети:

  1. Откройте карточку проекта и перейдите в подраздел Сеть.
  2. Укажите необходимый регион.
  3. Нажмите кнопку Создать сеть.
  4. В открывшемся окне введите имя сети.
  5. Пропишите CIDR подсети (диапазон IP-адресов, доступных в этой подсети, можно добавить несколько)
  6. Нажмите кнопку Создать.

Новая подсеть появится в списке.

Внутри приватной сети отсутствует ограничение на объем трафика, что позволяет передавать любой объем данных между вашими сервисами без дополнительных платежей. Количество используемых приватных сетей — без ограничений, с пропускной способностью 1 Гбит/сек.

Все сети можно создать из карточки сервера - подробнее в статье Создание облачного сервера.

Объединение серверов в приватную сеть

Все облачные серверы можно объединять в приватную сеть.

Для подключения облачного сервера к нужной приватной сети:

  1. Перейдите в карточке проекта в подраздел Серверы.
  2. Раскройте карточку сервера.
  3. Перейдите на вкладку Порты.
  4. Нажмите кнопку Добавить порт.
  5. Выберите подсеть из нужной сети и нажмите кнопку Добавить порт.

Приватная сеть работает только внутри проекта и, по умолчанию, недоступна для других проектов аккаунта пользователя и других аккаунтов.

Чтобы сделать приватную сеть одного проекта доступной для другого проекта:

  1. Откройте страницу проекта и скопируйте UUID целевого проекта.
  2. Перейдите в карточке проекта в подраздел Сеть.
  3. Разверните меню сети, которую необходимо расшарить на другой проект.
  4. Перейдите на вкладку Проекты.
  5. Добавьте необходимый проект, введя скопированный UUID проекта.

Подключение приватной сети к роутеру

Приватную сеть можно подключить к виртуальному роутеру для организации NAT-доступа в интернет и назначения выбранным облачным серверам внешних IP-адресов.

Для создания роутера:

  1. В карточке проекта в подраздел Сеть на вкладку Роутеры.
  2. Укажите необходимый регион.
  3. Нажмите кнопку Создать роутер.
  4. В открывшемся окне укажите регион и введите имя роутера.
  5. Нажмите кнопку Создать.

Созданный роутер можно подключить к шлюзу external network на вкладке Подключение в карточке роутера. На роутер можно назначить порт на вкладке Порты в карточке роутера. Для этого нажмите кнопку Добавить порт и выберите нужную подсеть.

Подключение сервера к интернету

Доступ в интернет осуществляется через публичные подсети или плавающий IP-адрес, который является полноценным внешним IP-адресом и будет доступен до тех пор, пока не будет удален. Пропускная способность как через интернет, так и локально - 1 Гбит/сек.

Через публичные подсети

Для подключения сервера к публичной подсети:

  1. Перейдите в карточке проекта в подраздел Сеть на вкладку Публичные сети.
  2. Укажите необходимый регион.
  3. Нажмите кнопку Добавить подсеть.
  4. В открывшемся окне ознакомьтесь со стоимостью услуги и подтвердите оплату.

Для выхода облачного сервера в интернет через публичную сеть откройте карточку сервера, перейдите на вкладку Порты и добавьте порт для подсети из сети с названием “Публичная”.

Через плавающий IP

Для использования плавающего IP:

  1. Перейдите в карточке проекта в подраздел Сеть на вкладку Плавающие IP.
  2. Укажите необходимый регион.
  3. Нажмите кнопку Добавить IP-адрес.
  4. В открывшемся окне ознакомьтесь со стоимостью услуги и подтвердите оплату.

В разделе Роутеры после оплаты появится роутер NAT и в разделе Приватные сети — сеть NAT.

Для выхода облачного сервера в интернет с плавающим IP-адресом добавьте в карточке сервера порт для сети NAT и подключите плавающий адрес к этому порту.

VRRP-подсети

Одной VRRP-подсетью можно связать 2 региона. В одном проекте может быть несколько VRRP-подсетей, если в проекте доступно более 2 регионов.

Для использования VRRP-подсети:

  1. Перейдите в подраздел Квоты и нажмите кнопку Изменить квоты.
  2. Измените квоты в поле Межрегиональные ресурсы.
  3. Перейдите в карточке проекта в подраздел Сеть на вкладку VRRP-подсети.
  4. Нажмите кнопку Создать VRRP-подсеть.
  5. Выберите регионы для добавления VRRP-подсети.
  6. Нажмите кнопку Добавить VRRP-подсеть.

VRRP-подсеть будет создана.

В каждом регионе первый эффективный адрес подсети используется как шлюз. Второй адрес зарезервирован под служебные нужды. Оставшиеся четыре адреса можно назначать виртуальным машинам. Подробнее читайте в статьях Резервирование маршрутизатора с использованием протокола VRRP и Опыт использования VRRP.

Стандартные конфигурации сетей

Приватная сеть и бастион-хост

Хост-Bastion - это хост в сети, который является шлюзом/прокси для всех остальных серверов. Обычно такой хост доступен на внешнем адресе и общается с остальными серверами по приватной сети.

Публичная сеть

Все серверы имеют простой публичный доступ в сеть интернет. Взаимодействие между серверами осуществляется также через публичные интерфейсы.

Балансировщик нагрузки и bastion-хост

Композиция из первого примера и выделенного балансировщика нагрузки. Bastion-хост используется для доступа в приватную сеть и управления инфраструктурой, балансировщик забирает с bastion-хоста функции проксирования запросов клиентов в инфраструктуру.

Приватная сеть между регионами и услугами

Такая топология позволяет организовать прямой публичный доступ к группе облачных серверов (виртуальных машин) и связать их приватной сетью с ресурсами в другом регионе облачной платформы или с выделенными серверами в любой локации.

Для построения такой топологии используется L3VPN сеть. Для подключения L3VPN сеть создайте тикет, в котором передайте информацию о подключаемых сетях и услугах, который необходимо объединить.