Настройка групп безопасности и ограничение доступа к инстансу Managed Service for GitLab
Правила группы безопасности определяют:
- для каких IP-адресов доступен инстанс, в том числе доступен ли он из интернета;
- по какому протоколу можно работать с Git-репозиториями в инстансе GitLab: SSH или HTTPS;
- какой сертификат можно использовать при работе по HTTPS: сертификат Let's Encrypt
(по умолчанию) или собственный сертификат ; - выделен ли доступ к GitLab Container Registry
.
Чтобы задать правила, которые разрешают определенный трафик для инстанса GitLab:
- Создайте группу безопасности в сети Yandex Cloud, выбранной для инстанса во время его создания.
- Добавьте правила в группы безопасности для входящего и исходящего трафика. Список правил приведен ниже.
- Обратитесь в службу поддержки
, чтобы привязать группу безопасности к инстансу GitLab.
Правила для входящего трафика
Зачем нужно правило |
Настройки правила |
Для работы с Git-репозиториями по протоколу SSH. |
|
Для использования сертификата Let's Encrypt. Такой сертификат используется по умолчанию |
|
Для работы с Git-репозиториями по протоколу HTTPS. |
|
Для проверки доступности ресурсов сетевым балансировщиком. |
|
Для подключения к GitLab Container Registry. |
|
Правила для исходящего трафика
Примечание
Managed Service for GitLab использует для работы внешние ресурсы, поэтому ограничение исходящего трафика может привести к частичной неработоспособности сервиса. Если все же необходимо ограничить исходящий трафик, обязательно добавьте правило, приведенное ниже.
Зачем нужно правило |
Настройки правила |
Для создания резервных копий и хранения пользовательских объектов в Yandex Object Storage. |
|