Сетевые объекты
Все облачные серверы можно подключать к приватной сети без непосредственного доступа в интернет и настраивать разные варианты доступа в интернет посредством роутеров, плавающих IP-адресов и общих публичных IP.
Глоссарий
Сетевые объекты – это регионально-специфичные ресурсы. Их можно использовать для объединения виртуальных машин во всех доступных зонах выбранного региона.
Сетевые объекты Облачной платформы описаны в таблице:
| Термин | Определение |
|---|---|
| Приватная сеть (VLAN) | Изолированные друг от друга на L2-уровне сегменты сети |
| Подсеть (IP-адрес) | Диапазон частных IP-адресов, ограниченный размером CIDR, назначенных клиентом. Разные IP-адреса (подсети) могут быть назначены в одну приватную сеть. Подсети используются для распределения IP-адресов при создании новых портов |
| Порт | Назначенная связка MAC+IP-адрес, предназначенная для подключения к виртуальной сетевой карте облачного сервера. Один из портов в подсети может быть подключен к роутеру |
| Роутер | Устройство, которое может маршрутизировать трафик между различными подсетями и интернетом. Все подсети, подключенные к одному маршрутизатору, могут общаться друг с другом, используя IP-адрес маршрутизатора как маршрут по умолчанию. Все подсети, подключенные к одному маршрутизатору, могут выходить в интернет, используя общий внешний IP-адрес, присвоенный роутеру. Роутер выполняет функцию NAT: - доступ из приватной сети в интернет (исходящий трафик); - прокидывание пакетов для плавающего IP-адреса до сервера, на который он назначен |
| Общий внешний IP-адрес на роутере | IP-адрес, который назначается порту роутера при подключении его к External network |
| External network | Служебная подсеть, предоставляющая публичные IP-адреса для портов роутеров и плавающих адресов |
| Плавающий IP-адрес | Фиксированный публичный IP-адрес из External network, который можно ассоциировать с каким-либо приватным адресом сервера или балансировщика нагрузки. Трафик плавающего адреса обрабатывается роутером, все пакеты передаются ассоциированному приватному адресу |
| Публичная подсеть | Диапазон публичных IP-адресов, ограниченный размером префикса (маски), предоставленных клиенту. IP-адреса из этой подсети не обрабатываются роутером, а подключаются напрямую к облачному серверу |
| VRRP-подсеть | VRRP-подсеть – это мультирегиональный облачный объект. Представляет собой композицию из двух одинаковых публичных подсетей с четырьмя доступными для использования адресами в каждом из двух выбранных регионов облачной платформы. В отличие от обычных публичных подсетей в маршрутизации трафика VRRP-подсетей задействован дополнительный инфраструктурный роутер. Это позволяет облаку сохранить сетевую связанность в случае проблем с основным маршрутизатором дата-центра |
Стандартные конфигурации сетей
Приватная сеть и бастион-хост
Bastion-хост – это хост в сети, который является шлюзом/прокси для всех остальных серверов. Обычно такой хост доступен на внешнем адресе и общается с остальными серверами по приватной сети.
Публичная сеть
Все серверы имеют простой публичный доступ в сеть интернет. Взаимодействие между серверами осуществляется также через публичные интерфейсы.
Балансировщик нагрузки и bastion-хост
Композиция из первого примера и выделенного балансировщика нагрузки. Bastion-хост используется для доступа в приватную сеть и управления инфраструктурой, балансировщик забирает с bastion-хоста функции проксирования запросов клиентов в инфраструктуру.
Приватная сеть между регионами и услугами
Такая топология позволяет организовать прямой публичный доступ к группе облачных серверов (виртуальных машин) и связать их приватной сетью с ресурсами в другом регионе облачной платформы или с выделенными серверами в любой локации.
Для построения такой топологии используется L3VPN-сеть.
Для подключения L3VPN-сети создайте тикет и передайте в нём информацию о подключаемых сетях и услугах, которые необходимо объединить.