Публичное соединение
Публичное соединение (public connection) обеспечивает доступ к сервисам Yandex Cloud. Публичное соединение организуется внутри транка и имеет свой идентификатор — VLAN-ID. В транке может быть одно или несколько публичных соединений, через которые можно предоставить доступ к любой комбинации сервисов.
Максимальный размер IP MTU для публичного соединения — 1500 байт. Изменение IP MTU со стороны оборудования Yandex Cloud не допускается.
Список сервисов
У каждого сервиса в Yandex Cloud есть своя точка входа — API Endpoint
. Ознакомиться со списком точек входа сервисов Yandex Cloud можно по ссылкеFQDN API Endpoint
и номера порта на который этот сервис получает запросы.
Список сервисов Yandex Cloud, к которым предоставляется доступ через публичное соединение:
Название сервиса | Эндпойнт (FQDN) API |
---|---|
Object Storage | storage.yandexcloud.net |
Cloud Functions | serverless-functions.api.cloud.yandex.net |
Container Registry | container-registry.api.cloud.yandex.net, cr.yandex |
Yandex SpeechKit | transcribe.api.cloud.yandex.net |
Yandex Vision OCR | vision.api.cloud.yandex.net |
Yandex Translate | translate.api.cloud.yandex.net |
Консоль управления |
api.cloud.yandex.net |
Yandex Monitoring | monitoring.api.cloud.yandex.net |
YandexGPT API сервиса Foundation Models | llm.api.cloud.yandex.net |
All-Services | Все сервисы Yandex Cloud, перечисленные выше |
Фактически, публичное соединение обеспечивает связность между вашей инфраструктурой и IP-адресом, в который преобразуется FQDN API Endpoint
соответствующего сервиса. Преобразование FQDN имени в IP-адрес выполняется через службу DNS.
Например, если вы хотите получить доступ из своей инфраструктуры в сервис Object Storage через сервисное соединение, то со стороны оборудования Yandex Cloud в направлении вашего маршрутизатора по протоколу BGP будет анонсироваться префикс 213.180.193.243/32
, который соответствует FQDN API Endpoint storage.yandexcloud.net
для сервиса Object Storage.
Вам необходимо настроить маршрутизацию трафика в собственной инфраструктуре таким образом, чтобы трафик к сервисам Yandex Cloud направлялся к устройствам, выполняющим функции NAT для публичного соединения.
Стыковая подсеть
Публичное соединение организуется с использованием публичных IPv4-адресов, принадлежащих клиенту. В отдельных случаях допускается использование IPv4-адресов из адресного пула Yandex Cloud. При организации публичного соединения с адресами из адресного пула Yandex Cloud вам выделяется стыковая подсеть (point-to-point) размером /31
.
Внимание
Cервисы, к которым предоставляется доступ через публичное соединение, размещаются в собственных ДЦ. Трафик внутри публичного соединения между вашей инфраструктурой и сервисами не покидает периметр Yandex Cloud.
BGP-связность
BGP-связность настраивается внутри каждого приватного или публичного соединения между клиентским оборудованием и оборудованием Yandex Cloud в точке присутствия для обмена информацией о подсетях (префиксах) между сторонами. После обмена этой маршрутной информацией стороны могут передавать IPv4-трафик между подсетями, о которых они сообщили друг другу.
Важно
Существует лимит со стороны оборудования Yandex Cloud на количество получаемых префиксов от маршрутизатора клиента по протоколу BGP.
Если количество префиксов от маршрутизатора клиента превысит установленный лимит, то BGP-сессия будет разорвана на 30 минут.
Для поддержания непрерывной BGP-связности рекомендуется на маршрутизаторе клиента настраивать политики агрегации маршрутной информации для минимизации количества префиксов анонсируемых по протоколу BGP в направлении оборудования Yandex Cloud до разумных и необходимых размеров.
BGP ASN
Для настройки BGP-связности с каждой из сторон нужно указать номер автономной системы (BGP ASN) в формате ASPlain. Значение BGP ASN для Yandex Cloud постоянно и всегда равно 200350. На клиентском оборудовании можно настроить публичный номер BGP ASN (если он есть) или использовать любое значение из диапазона приватных номеров BGP ASN: 64512 — 65534
.
Важно
Со стороны Yandex Cloud используется 4-байтное значение BGP ASN — 200350. Часто на сетевом оборудовании разных производителей приоритет отдается использованию 2-байтных значений BGP ASN, как более распространенному варианту.
При настройке BGP-взаимодействия со стороны клиентского маршрутизатора необходимо явно разрешить в его конфигурации использование 4-байтных значений BGP ASN.
При настройке BGP-взаимодействия со стороны клиентского маршрутизатора, для публичных соединений с использованием публичных IPv4-адресов принадлежащих клиенту, необходимо указывать публичный номер BGP ASN клиента.
BGP аутентификация (опционально)
Для повышения уровня защиты BGP-соединения можно использовать BGP-аутентификацию с использованием механизма BGP MD5 password
. При включении данной функциональности рекомендуется использовать в качестве пароля строку длиной более 20 символов, состоящую из латинских букв, цифр и специальных символов.
Протокол BFD
Если у клиента нет возможности подключить свой маршрутизатор к оборудованию Yandex Cloud напрямую, допускается использование промежуточных сетевых устройств — коммутаторов. Для быстрого обнаружения отказов в схемах с использованием промежуточных сетевых устройств рекомендуется использовать протокол BFD
Протокол BFD всегда включен со стороны оборудования Yandex Cloud cо следующими значениями параметров:
timer
— 300msmultiplier
— 3
Эти значения параметров фиксированы и не могут быть изменены в ручном режиме.
При необходимости клиент может настроить на своём оборудовании нужное ему значение timer
. В процессе установки BFD-сессии эти параметры будут согласовываться в рамках протокола BFD между оборудованием клиента и оборудованием Yandex Cloud.
Устанавливать значение multiplier
, отличное от 3, не рекомендуется — это может привести к неоптимальной работе протокола.
Функции NAT
При использовании IPv4 адресов, предоставленных Yandex Cloud для организации публичного соединения, необходимо использовать технологию трансляции сетевых адресов NAT
-
NAT-функция выполняется на вашем оборудовании (маршрутизаторе), к которому подключается публичное соединение. Весь трафик публичного соединения отправляется от IPv4-адреса на интерфейсе маршрутизатора в стыковой подсети. В этом случае, ваш маршрутизатор, к которому подключается публичное соединение, должен будет анонсировать префикс стыковой подсети по протоколу BGP в сторону оборудования Yandex Cloud.
-
NAT-функция выполняется на вашем оборудовании, которое не используется для подключения публичного соединения, например сервере или межсетевом экране. В данном случае со стороны Yandex Cloud дополнительно выделяется сервисный IPv4-адрес (/32 префикс), и ваш маршрутизатор, к которому подключается публичное соединение, должен будет анонсировать этот префикс по протоколу BGP в сторону оборудования Yandex Cloud.