Рекомендации по использованию публичных IP-адресов

Публичные IPv4-адреса — это ограниченный ресурс, цена которого постоянно растет. При этом использование публичных IPv4-адресов часто не требуется, а в некоторых случаях может создавать уязвимости в вашей инфраструктуре. Yandex Cloud предоставляет набор сервисов и образов виртуальных машин, позволяющих минимизировать использование публичных IPv4 и построить более экономичную и устойчивую инфраструктуру.

Используйте NAT-шлюз

Если вашим облачным ресурсам необходимо обмениваться данными с интернетом и другими внешними ресурсами (например, скачивать обновления, пакеты и код из публичных репозиториев), рекомендуется использовать NAT-шлюзы. Они позволяют организовать доступ к внешним ресурсам через общий пул IP-адресов облака.

Настройте маршрутизацию через NAT-инстанс

Чтобы организовать доступ в интернет с определенных адресов, воспользуйтесь выделенным NAT-инстансом и зафиксируйте его адрес как статический. Например, такой вариант можно использовать для настройки политик или межсетевых экранов при взаимодействии с партнерскими организациями. Таким образом, виртуальные машины в рамках сети доступа смогут использовать общий выход в интернет с фиксированного адреса.

Также такая схема позволяет организовать безопасный доступ к сервису Object Storage без доступа в интернет. Для этого настройте политику доступа для бакета, добавив в белый список только фиксированный IP-адрес вашего NAT-инстанса (см. пример настройки).

Используйте балансировщики нагрузки

Для публикации ваших приложений используйте балансировщики нагрузки Network Load Balancer и Application Load Balancer или сервис типа LoadBalancer в Managed Service for Kubernetes. С их помощью можно публиковать сервисы на общем IP-адресе, используя разные порты или маршрутизацию по путям и SNI.

Публикуйте статические файлы с помощью Object Storage и Cloud CDN

Для публикации статических файлов используйте сервис Object Storage в сочетании с сервисом Cloud CDN. Таким образом вы и сэкономите вычислительные ресурсы ваших виртуальных машин, и повысите экономическую эффективность. Также использование CDN ускоряет отдачу контента пользователям и повышает надежность ваших сервисов.

Подробнее:

• Настройка хостинга.
• Организация сине-зеленого и канареечного развертывания версий веб-сервиса.

Используйте Site-to-Site VPN

Для настройки сетевого взаимодействия между разными площадками и внешними облаками используйте Site-to-Site VPN. Так можно обезопасить ваши приложения от несанкционированного доступа и исключить доступ к ним извне. Также это поможет сэкономить на использовании публичных IP адресов: вам будет необходим только один публичный IP-адрес для VPN-подключения.

Подробнее:

• Создание туннеля IPSec VPN.
• Настройка VPN с облаком Azure.
• Настройка VPN с облаком AWS.

Используйте Cloud Interconnect

Свяжите вашу локальную сетевую инфраструктуру с облачной с помощью сервиса Cloud Interconnect. Это позволит не использовать публичные IP-адресов как со стороны вашей сети, так и со стороны Yandex Cloud. Вместо этого вы сможете использовать внутренние IP-адреса из подсетей, диапазоны которых определите сами.

Подробнее:

• Подключение услуги Yandex Cloud Interconnect.
• Маршрутизация трафика с помощью Cloud Interconnect.

Подключайтесь к ВМ через серийную консоль

Если вам нужен только SSH-доступ к ВМ — используйте серийную консоль вместо подключения через публичный IP-адрес. Рекомендуем выключать возможность подключения через серийную консоль в то время, когда вы ей не пользуетесь.