Статическая маршрутизация

С помощью статической маршрутизации можно направлять трафик из подсети на заданные диапазоны IP-адресов через указанные в качестве next hop виртуальные машины.

Маршрутизация осуществляется с помощью таблиц маршрутизации. Таблицы содержат статические маршруты, состоящие из префикса целевой подсети в нотации CIDR и внутреннего IP-адреса next hop.

Таблица маршрутизации привязывается к подсети и не может содержать повторяющихся префиксов. Трафик из подсети с привязанной таблицей будет направляться к указанным в маршрутах префиксам через соответствующие адреса next hop.

Также в маршрутах можно использовать префикс 0.0.0.0/0 — он означает, что весь трафик, если он не направлен по другим маршрутам, будет направлен через next hop, указанный для префикса 0.0.0.0/0.

Например, к подсети с CIDR 10.1.0.0/24 привязана таблица маршрутизации с такими маршрутами:

Имя Префикс next hop
another-network 192.168.0.0/16 10.1.0.5
internet 0.0.0.0/0 10.1.0.10

В этом случае весь трафик в подсеть 192.168.0.0/16, которая находится в другой виртуальной сети, будет направляться через ВМ с адресом 10.1.0.5. Весь остальной трафик — через ВМ 10.1.0.10. Обратите внимание, что переопределение маршрута для префикса 0.0.0.0/0 может повлиять на внешнюю доступность ВМ из подсети с таблицей, где есть такой маршрут.

В настоящее время нельзя использовать префиксы из диапазонов адресов, выделенных для подсетей внутри виртуальной сети. Поддерживаются только префиксы назначения вне виртуальной сети, например, префиксы подсетей другой сети Яндекс.Облака или вашей локальной сети.

При создании маршрута в качестве next hop можно указать свободный внутренний IP-адрес, который не привязан ни к одной виртуальной машине. В этом случае маршрут не будет работать, пока не будет запущена виртуальная машина с соответствующим IP-адресом.

Две основных схемы использования статических маршрутов в Яндекс.Облаке:

  1. Построение сетевого маршрута до нужной подсети через одну виртуальную машину. В качестве идентификатора виртуальной машины используется внутренний IP-адрес. Подробнее о построении маршрутов сетью в Яндекс.Облаке и другими виртуальными или локальными сетями читайте в сценариях использования Маршрутизация с помощью NAT-инстанса и Создание туннеля IPSec VPN.
  2. Отказоустойчивая схема с маршрутами в нескольких зонах доступности. Вы можете создать ВМ в разных зонах доступности и проложить через них маршруты до одной подсети назначения. Обратите внимание, что к подсетям разных зонах доступности нужно привязывать разные таблицы маршрутизации — в одной таблице не могут находиться маршруты к одинаковым префиксам. При выходе из строя ВМ в одной из зон доступности, связность с подсетью назначения сохранится у ВМ из других зон.

Изменение маршрутов трафика в интернет

Если в префиксе назначения у маршрута из таблицы маршрутизации указан префикс адресов из интернета, то доступ к таким адресам и с таких адресов станет невозможным через публичные IP-адреса ВМ из подсетей, к которым привязана эта таблица.

Например, есть виртуальная машина vm-1 с публичным IP-адресом, подключенная к подсети my-subnet. Если к подсети my-subnet привязать таблицу my-route-table с маршрутом для префикса 0.0.0.0/0 (все адреса) через next hop 10.0.0.5, то доступ через публичный адрес к vm-1 пропадет. Это произойдет потому что весь трафик в подсеть my-subnet и из нее теперь будет направляться через адрес next hop.

Чтобы сохранить входящую связность с облачными ресурсами через публичный адрес, вы можете:

  • вынести ресурсы с публичными адресами в отдельную подсеть;
  • вместо настройки маршрута в интернет, включить для подсети доступ в интернет через NAT. Возможность находится на стадии Preview и может быть предоставлена по запросу в техническую поддержку.