Please enable JavaScript.
Coggle requires JavaScript to display documents.
Виртуальные сети - Coggle Diagram
Виртуальные сети
-
Свойства
-
-
Когда вы создаёте облако, в нём автоматически создаются сеть default и подсети в каждой зоне доступности
-
-
Чтобы ВМ полноценно заработала, для неё нужно организовать доступ в интернет. Три способа.
Назначить ВМ публичный IP-адрес. Для этого выберите автоматический способ назначения IP-адреса, когда создаёте ВМ, или привяжите его к уже созданной
Наименее предпочтителен с точки зрения безопасности. Такая конфигурация подходит для небольшого веб-сервера. Если вы собираетесь строить озеро данных или обрабатывать математические вычисления, не рекомендуется давать к ресурсам прямой доступ из интернета — разместите их за NAT.
Использовать NAT-шлюз, который позволяет дать ВМ доступ в интернет без назначения ей публичного IP-адреса. Самому шлюзу адрес выделяется из отдельного диапазона публичных IP-адресов
Использовать NAT-инстанс — отдельную ВМ со статическим публичным IP-адресом и настроенными правилами маршрутизации трафика
Публичные IP адреса
Присваивается по умолчанию при создании облачного ресурса с публичным адресом, если выставлены соответствующие настройки
По умолчанию динамический (каждый раз новый при запуске ресурса), но его можно сделать статическим
Динамические IP-адреса освобождаются при остановке ресурса и сохраняются при перезагрузке. Статические IP сохраняются при остановке ресурса. Их можно зарезервировать и использовать позже, даже если они не привязаны к ресурсу
Кроме облачной сети, надо создать ещё и подсети — подмножество сети в конкретной зоне доступности. По умолчанию создаётся по одной подсети для каждой зоны, но вы можете этим управлять, если захотите
Варианты IP адресов подсетей от 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Это не случайные диапазоны: они зафиксированы в стандарте RFC1918 как немаршрутизируемые в интернете и используются только в локальных сетях
Допустимая длина префикса варьируется от /16 до /28. Подсеть 10.0.0.0/17 создать можно, а 10.0.0.0/15 или 10.0.0.0/29 — нет.
Первые два адреса подсети выделяются под шлюз (x.x.x.1 для маски сети /24) и DNS-сервер (x.x.x.2 для маски сети /24). Использовать их для виртуальных машин или других ресурсов не получится
Внутри одной облачной сети диапазоны IP-адресов всех подсетей не должны пересекаться. В то же время подсети разных облачных сетей могут пересекаться по IP-адресам, ведь две разные сети изолированы друг от друга
-
Внутренние IP-адреса не меняются в течение всего времени существования облачного ресурса. При создании виртуальной машины или другого ресурса их можно задать вручную, или они будут выбраны автоматически в выбранной подсети
Кроме внутреннего адреса, вы можете выдать виртуальной машине или базе данных также и публичный IP-адрес. Он будет уже принадлежать маршрутизируемому диапазону (например 130.193.32.0/19), и благодаря этому адресу облачные ресурсы могут обмениваться данными с интернетом и с ресурсами из других облачных сетей. Публичные адреса сопоставляются с внутренними адресами ресурсов с помощью так называемого one-to-one NAT, т. е. одному внешнему адресу соответствует один ресурс в конкретной облачной сети
Группы безопасности
Группы безопасности выполняют функцию межсетевого экрана и позволяют контролировать входящий и исходящий трафик ВМ
Группа безопасности назначается сетевому интерфейсу при создании или изменении ВМ и содержит правила получения и отправки трафика
Запрещено все, что не разрешено явно
Чтобы разрешить передачу трафика на любые адреса по любым протоколам, укажите CIDR 0.0.0.0 с маской /0 и в поле выбора протокола выберите Любой
Группы безопасности не блокируют отправку трафика на адреса сервисов, необходимых для работы ВМ и виртуальной сети. Это: Адрес сервера метаданных — 169.254.169.254 и Адрес DNS-сервера — второй по порядку внутренний IP-адрес (обычно x.x.x.2) в каждой подсети
Чтобы сетевой балансировщик мог проверять состояние подключённых к нему ресурсов, разрешите передачу трафика между диапазонами адресов 198.18.235.0/24 и 198.18.248.0/24 и целевыми ресурсами
-
-
Если две ВМ находятся в одной группе безопасности без правил, они не смогут обмениваться трафиком. Выберите любое решение
Используйте правило Self для всей группы. Оно разрешает любой трафик между ресурсами, которые относятся к одной и той же группе безопасности
-
-