Статическая маршрутизация
С помощью статической маршрутизации можно направлять трафик из подсети на заданные диапазоны IP-адресов через указанные в качестве next hop виртуальные машины или NAT-шлюзы.
Маршрутизация осуществляется с помощью таблиц маршрутизации. Таблицы содержат статические маршруты, состоящие из префикса целевой подсети в нотации CIDR и внутреннего IP-адреса next hop.
Таблица маршрутизации привязывается к подсети и не может содержать повторяющихся префиксов. Трафик из подсети с привязанной таблицей будет направляться к указанным в маршрутах префиксам через соответствующие адреса next hop.
Также в маршрутах можно использовать префикс 0.0.0.0/0 — он означает, что весь трафик, если он не направлен по другим маршрутам, будет направлен через next hop, указанный для префикса 0.0.0.0/0.
Например, к подсети с CIDR 10.1.0.0/24 привязана таблица маршрутизации с такими маршрутами:
| Имя | Префикс | Next hop |
|---|---|---|
another-network |
192.168.0.0/16 |
10.1.0.5 |
internet |
0.0.0.0/0 |
10.1.0.10 |
В этом случае весь трафик в подсеть 192.168.0.0/16, которая находится в другой виртуальной сети, будет направляться через ВМ с адресом 10.1.0.5 — при условии, что у ВМ есть интерфейс в другой виртуальной сети. Весь остальной трафик — через ВМ 10.1.0.10. Обратите внимание, что переопределение маршрута для префикса 0.0.0.0/0 может повлиять на внешнюю доступность ВМ из подсети с таблицей, где есть такой маршрут.
Внимание
Статические маршруты могут использоваться для маршрутизации между сетями, только если в качестве next-hop указан интерфейс ВМ, которая одновременно подключена к подсетям двух облачных сетей и имеет два интерфейса — каждый в своей сети. Либо если ВМ имеет VPN-соединение с ВМ в другой сети.
В настоящее время нельзя использовать префиксы из диапазонов адресов, выделенных для подсетей внутри виртуальной сети. Поддерживаются только префиксы назначения вне виртуальной сети, например, префиксы подсетей другой сети Yandex Cloud или вашей локальной сети. Кроме того, в таблицах маршрутизации нельзя использовать префиксы link-local адресов — 169.254.0.0/16 и более узкие, например, 169.254.0.0/19.
При создании маршрута в качестве next hop можно указать свободный внутренний IP-адрес, который не привязан ни к одной ВМ. В этом случае маршрут не будет работать, пока не будет запущена ВМ с соответствующим IP-адресом.
Две основных схемы использования статических маршрутов в Yandex Cloud:
- Построение сетевого маршрута до нужного префикса через одну ВМ. В качестве идентификатора ВМ используется внутренний IP-адрес. Подробнее о построении маршрутов между сетью в Yandex Cloud и другими виртуальными или локальными сетями читайте в сценариях использования Маршрутизация с помощью NAT-инстанса и Создание туннеля IPSec VPN.
- Отказоустойчивая схема с маршрутами в нескольких зонах доступности. Вы можете создать ВМ в разных зонах доступности и проложить через них маршруты до одной подсети назначения. Обратите внимание, что к подсетям разных зонах доступности нужно привязывать разные таблицы маршрутизации — в одной таблице не могут находиться маршруты к одинаковым префиксам. При выходе из строя ВМ в одной из зон доступности, связность с подсетью назначения сохранится у ВМ из других зон.
Изменение маршрутов трафика в интернет
Если в префиксе назначения у маршрута из таблицы маршрутизации указан префикс адресов из интернета, то доступ к таким адресам и с таких адресов станет невозможным через публичные IP-адреса ВМ из подсетей, к которым привязана эта таблица.
Например, есть ВМ vm-1 с публичным IP-адресом, подключенная к подсети my-subnet. Если к подсети my-subnet привязать таблицу my-route-table с маршрутом для префикса 0.0.0.0/0 (все адреса) через next hop 10.0.0.5, то доступ через публичный адрес к vm-1 пропадет. Это произойдет потому, что весь трафик в подсеть my-subnet и из нее теперь будет направляться через адрес next hop.
Чтобы сохранить входящую связность с облачными ресурсами через публичный адрес, вы можете вынести ресурсы с публичными адресами в отдельную подсеть.