Облачные сети (VPC)

Виртуальное частное облако (VPC) в К2 Облаке — это изолированная сеть для развёртывания ресурсов в безопасной и управляемой среде. Конфигурируйте VPC по своему усмотрению: задавайте адресное пространство, создавайте подсети, настраивайте таблицы маршрутизации. Контролируйте доступ к развёрнутым в облачной сети ресурсам с помощью двухуровневой фильтрации трафика — ACL и групп безопасности.

Основные преимущества

Безопасность

Взаимосвязанные облачные ресурсы изолированы от остальной облачной среды на сетевом уровне. Сервис фильтрации трафика Anti-DDoS обеспечит постоянную доступность ваших веб-ресурсов и защитит от атак злоумышленников. Зеркалирование трафика можно встроить в ИТ-инфраструктуру и использовать для анализа сетевой активности.

Гибкое управление трафиком

Таблицы маршрутизации позволяют управлять прохождением трафика внутри VPC и за его пределы на уровне отдельных подсетей, а DHCP — конфигурировать сетевые параметры виртуальных машин.

Возможности IP-адресации

Для VPC можно выбирать любые адреса и создавать внутри нее необходимое количество подсетей в нужных зонах доступности. Для организации доступа извне можно использовать внешние Elastic IP-адреса или зарегистрировать собственные блоки публичных IPv4-адресов по принципу Bring Your Own IP.

Создавайте и настраивайте в VPC

Подсети для сегментации ресурсов внутри VPC в зонах доступности
Экземпляры для запуска сервисов и приложений
Сетевые интерфейсы для подключения экземпляров к подсетям
Таблицы маршрутизации для определения правил пересылки трафика
ACL, или сетевые списки контроля доступа, для фильтрации трафика между подсетями
Группы безопасности для stateful-фильтрации трафика на сетевых интерфейсах
Параметры DHCP для тонкой настройки DHCP-сервера
VPN для соединения VPC между собой
Elastic IP и интернет-шлюз для доступа к экземплярам из интернета

Сценарии использования

Размещение веб-приложений и серверов

Запуск веб-серверов с балансировкой нагрузки (NLB/ALB)
Размещение серверов приложений и баз данных в приватных подсетях

Гибридные облачные решения

Подключение on premise инфраструктуры, офиса либо инфраструктуры у другого облачного провайдера к VPC К2 Облака через Site-to-Site VPN
Использование сервиса Direct Connect для выделенного канала связи

Многоуровневая архитектура

Публичные подсети для балансировщиков нагрузки и веб-серверов
Приватные подсети для серверов приложений и баз данных
Изоляция компонентов с помощью Security Groups и Network ACL

Безопасность и соответствие требованиям

Встроенный в интернет-шлюз NAT Gateway для доступа в интернет из приватных подсетей без использования выделенного Elastic IP
Два уровня фильтрации трафика при помощи групп безопасности и Network ACL
Изоляция сред (Dev/Test/Prod) в разных VPC или подсетях

Начало работы

Чтобы создать виртуальное частное облако, перейдите Виртуальные машины — Сеть — VPC и нажмите Создать (см. документацию). Либо нажмите стрелку рядом с кнопкой Создать и выберите Создать VPC или Создать VPC по умолчанию.

Часто задаваемые вопросы

Как создать VPC в зоне доступности?

VPC — региональный ресурс, который не привязан к зоне доступности. При создании подсети в VPC вы можете указать зону доступности.

Как организовать сетевую связь между сервисами в разных VPC?

Если адресное пространство нескольких VPC не пересекается, то можно соединить VPC через специальный облачный маршрутизатор — транзитный шлюз.

В чём разница между публичной и приватной подсетью?

Публичная подсеть:

Имеет маршрут в интернет через интернет-шлюз
Размещаются балансировщики, веб-серверы
Виртуальная машина или балансировщик нагрузки могут иметь публичные IP

Приватная подсеть:

Нет прямого доступа в интернет
Размещаются БД, бэкенд-сервисы
Доступ в интернет через NAT

Как происходит фильтрация трафика?

В K2 Облаке вы можете использовать двойную фильтрацию с помощью групп безопасности и списков контроля доступа (ACL).

Группы безопасности фильтруют трафик на уровне отдельных сетевых интерфейсов виртуальных машин в stateful режиме. Этот режим автоматически разрешает трафик в возвратном направлении. Группы безопасности работают по принципу «запрещено всё, что не разрешено явно», поэтому нужно добавлять именно разрешающие правила.

Списки контроля доступа действуют как межсетевой фильтр с разрешающими или запрещающими правилами и обрабатывают трафик в stateless режиме, то есть без отслеживания соединений. Нужно явно разрешать трафик в обоих направлениях (ingress/egress) или «входящее»/«исходящее». При этом по умолчанию группы безопасности блокируют весь трафик, а ACL, наоборот, разрешают. Применение такой двойной фильтрации позволяет более гибко разграничивать трафик в сетевой инфраструктуре со сложной топологией.

Не нашли ответ на свой вопрос?

Задайте его нам, заполнив форму, и мы оперативно ответим на него