Подключиться
Yandex Virtual Private Cloud

Архитектура и защита базового интернет-сервиса

Статья создана

Сценарий описывает построение инфраструктуры базового интернет-сервиса с несколькими виртуальными машинами. Доступ к ВМ будет ограничен с помощью групп безопасности. Нагрузка по серверам с веб-приложениями будет распределяться сетевым балансировщиком.

Чтобы создать инфраструктуру для интернет-сервиса:

  1. Зарезервируйте два статических публичных IP-адреса.
  2. Создайте ВМ для сервиса во всех зонах доступности.
  3. Создайте IPSec-инстанс для удаленного доступа.
  4. Настройте маршрутизацию для VPN.
  5. Создайте таблицу маршрутизации.
  6. Привяжите таблицу маршрутизации ко всем подсетям.
  7. Создайте и настройте группы безопасности.
  8. Назначьте группы безопасности ВМ.
  9. Создайте сетевой балансировщик.
  10. Проверьте работоспособность инфраструктуры.

Если инфраструктура вам больше не нужна, удалите созданные ресурсы.

Подготовьте облако к работе

Перед тем, как разворачивать инфраструктуру, нужно зарегистрироваться в Yandex.Cloud и создать платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex.Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша виртуальная машина, на странице облака.

Подробнее об облаках и каталогах.

Создайте виртуальную сеть с подсетями subnet-a, subnet-b и subnet-c в соответствующих зонах доступности.

В стоимость поддержки интернет-сервиса входят:

Зарезервируйте два статических публичных IP-адреса

Для работы интернет-сервиса потребуются два статических публичных IP-адреса: один будет назначен VPN-шлюзу, а другой — сетевому балансировщику.

  1. В консоли управления откройте сервис Virtual Private Cloud в каталоге, где требуется зарезервировать IP-адреса.
  2. Откройте вкладку IP-адреса. Нажмите кнопку Зарезервировать адрес.
  3. В открывшемся окне выберите зону доступности ru-central1-b. Нажмите кнопку Зарезервировать.
  4. Снова нажмите Зарезервировать адрес.
  5. В открывшемся окне выберите зону доступности ru-central1-a. Нажмите кнопку Зарезервировать.

Создайте ВМ для сервиса во всех зонах доступности

  1. В консоли управления откройте ваш каталог и нажмите кнопку Создать ресурс. Выберите пункт Виртуальная машина.
  2. Укажите имя виртуальной машины: web-node-a.
  3. Выберите зону доступности ru-central1-a.
  4. В блоке Образы из Cloud Marketplace нажмите кнопку Выбрать и выберите образ Drupal.
  5. В блоке Сетевые настройки выберите подсеть subnet-a. В блоке Публичный адрес выберите Без адреса.
  6. В поле Доступ укажите логин и SSH-ключ для доступа к ВМ.
  7. Нажмите кнопку Создать ВМ.
  8. Повторите операции для ВМ web-node-b и web-node-c. Создайте их в зонах ru-central1-b и ru-central1-c, и подключите к подсетям subnet-b и subnet-c соответственно.

Создайте IPSec-инстанс для удаленного доступа

Для организации защищенного доступа к вашим ресурсам создайте IPSec-инстанс.

  1. В консоли управления откройте ваш каталог и нажмите кнопку Создать ресурс. Выберите пункт Виртуальная машина.
  2. Укажите имя виртуальной машины: vpc.
  3. Выберите зону доступности ru-central1-a.
  4. В блоке Образы из Cloud Marketplace нажмите кнопку Выбрать и выберите образ IPSec-инстанс.
  5. В блоке Сетевые настройки выберите подсеть subnet-a. В блоке Публичный адрес выберите из списка зарезервированный IP-адрес.
  6. В поле Доступ укажите логин и SSH-ключ для доступа к ВМ.
  7. Нажмите кнопку Создать ВМ.

Настройте маршрутизацию для VPN

Настройте маршрутизацию между удаленной сетью и IPSec-инстансом. В примере будет использоваться подсеть 192.168.0.0/24.

Создайте таблицу маршрутизации

Создайте таблицу маршрутизации и добавьте в нее статические маршруты:

  1. В консоли управления откройте раздел Virtual Private Cloud в каталоге, где требуется настроить маршрутизацию.
  2. Выберите сеть, в которой требуется создать таблицу маршрутизации.
  3. Откройте вкладку Таблицы маршрутизации.
  4. Нажмите кнопку Создать таблицу маршрутизации.
  5. Задайте имя таблицы маршрутизации: vpn-route.
  6. Нажмите кнопку Добавить маршрут.
  7. В открывшемся окне введите префикс подсети назначения на удаленной площадке, в примере это 192.168.0.0/24.
  8. В поле Next hop укажите внутренний IP-адрес IPSec-шлюза. Нажмите кнопку Добавить.
  9. Нажмите кнопку Создать таблицу маршрутизации.

Привяжите таблицу маршрутизации ко всем подсетям

Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации к подсети. Для этого:

  1. В консоли управления откройте сервис Virtual Private Cloud в каталоге, где требуется настроить маршрутизацию.
  2. Выберите сеть, в которой находятся подсети, которым нужно назначить таблицу маршрутизации.
  3. В строке нужной подсети нажмите кнопку .
  4. В открывшемся меню выберите пункт Привязать таблицу маршрутизации.
  5. В открывшемся окне выберите созданную таблицу в списке.
  6. Нажмите кнопку Привязать.
  7. Привяжите таблицу маршрутизации vpn-route ко всем трем подсетям.

Создайте и настройте группы безопасности

Чтобы разделить трафик между сегментами сети, необходимо создать группы безопасности и настроить в них правила приема и отправки трафика.

Создайте группу безопасности для VPN

Для работы VPN необходимо разрешить прием и передачу трафика на UDP-порты 500 и 4500 из внешней сети — это необходимо для работы IPSec-туннеля. Также необходимо разрешить передачу трафика между подсетями вашей виртуальной сети и сетью на удаленной площадке.

  1. В консоли управления откройте сервис Virtual Private Cloud в каталоге, где требуется создать группу безопасности.
  2. Откройте вкладку Группы безопасности.
  3. Нажмите кнопку Создать группу.
  4. Введите имя группы безопасности — vpn-sg.
  5. В поле Сеть выберите сеть, к которой будет относиться группа безопасности.
  6. В блоке Правила создайте правила для управления трафиком:
    1. Выберите вкладку Исходящий трафик.
    2. Нажмите кнопку Добавить правило.
    3. В открывшемся окне в поле Порт укажите порт: 500.
    4. В поле Протокол выберите UDP.
    5. В поле Назначение укажите публичный адрес удаленного VPN-концентратора с маской 32.
  7. Нажмите кнопку Сохранить.
  8. Нажмите кнопку Добавить правило.
    1. В открывшемся окне в поле Порт укажите порт: 4500.
    2. В поле Протокол выберите UDP.
    3. В поле Назначение укажите публичный адрес удаленного VPN-концентратора с маской 32.
  9. Нажмите кнопку Сохранить.
  10. Настройте правила, разрешающие передачу трафика между веб-серверами и машинами на удаленной площадке. Нажмите кнопку Добавить правило.
    1. В открывшемся окне в поле Порт нажмите кнопку Выбрать весь диапазон.
    2. В поле Протокол выберите Любой.
    3. В поле Назначение укажите CIDR внутренней сети — 10.0.0.0/8.
    4. Нажмите кнопку Добавить CIDR и укажите CIDR удаленной площадки — 192.168.0.0/24.
  11. Создайте такие же правила для входящего трафика.

Создайте группу безопасности для ВМ интернет-сервиса

Создайте группу безопасности web-service-sg и настройте правила для трафика.

Правила для исходящего трафика

Разрешите исходящие соединения к другим машинам из группы безопасности:

  • протокол Любой,
  • тип назначения Группа безопасности,
  • назначение Текущая.

Правила для входящего трафика

Разрешите следующие входящие соединения:

  1. HTTP-соединения от нескольких тестовых несуществующих IP-адресов:
    • Протокол: TCP,
    • Порт: 80,
    • CIDR: 1.1.1.1/32, 85.32.45.45/32.
  2. HTTPS-соединения от нескольких тестовых несуществующих IP-адресов:
    • Протокол: TCP,
    • Порт: 443,
    • CIDR: 1.1.1.1/32, 85.32.45.45/32.
  3. TCP-соединения для доступа по SSH:
    • Протокол: TCP,
    • Порт: 22,
    • CIDR: 0.0.0.0/0.
  4. Соединения от других машин из группы безопасности:
    • Протокол: Любой,
    • Тип назначения Группа безопасности,
    • Назначение: Текущая.
  5. Проверки состояния от сетевого балансировщика:
    • Протокол: Любой,
    • Порт: 80,
    • CIDR: 198.18.235.0/24 и 198.18.248.0/24.

Назначьте группы безопасности ВМ

Чтобы правила групп безопасности начали действовать, группы необходимо назначить сетевым интерфейсам ВМ.

  1. В консоли управления откройте сервис Compute Cloud.
  2. Выберите виртуальную машину vpn.
  3. В блоке Сеть нажмите значок и выберите Редактировать группы безопасности.
  4. В открывшемся окне выберите группу безопасности vpn-sg.
  5. Нажмите кнопку Сохранить.
  6. Повторите шаги и назначьте группу безопасности web-service-sg виртуальным машинам web-node-a, web-node-b и web-node-c.

Создайте сетевой балансировщик

Сетевой балансировщик будет распределять входящий трафик интернет-сервиса по ВМ, объединенным в целевую группу.

Чтобы создать сетевой балансировщик:

  1. В консоли управления откройте сервис Network Load Balancer в каталоге, где требуется создать балансировщик.
  2. Нажмите кнопку Создать балансировщик.
  3. Задайте имя балансировщика: web-service-lb.
  4. В поле Публичный адрес выберите Список и укажите публичный статический адрес.
  5. В блоке Обработчики нажмите кнопку Добавить обработчик.
  6. В открывшемся окне введите имя обработчика и укажите порт 80 в полях Порт и Целевой порт. Нажмите кнопку Добавить.
  7. В блоке Целевые группы нажмите Добавить целевую группу.
  8. В поле Целевая группа нажмите на список и нажмите Создать целевую группу.
  9. В открывшемся окне задайте имя целевой групп: web-tg.
  10. Выберите виртуальные машины web-node-a, web-node-b и web-node-c.
  11. Нажмите кнопку Создать.
  12. Выберите созданную целевую группу из списка.
  13. Нажмите кнопку Создать.

Проверьте работоспособность инфраструктуры

Проверьте работоспособность инфраструктуры и убедитесь, что трафик к ВМ интернет-сервиса поступает только от разрешенных правилами адресов:

  1. Выполните на вашем компьютере команду curl <Публичный IP-адрес сетевого балансировщика>. Убедитесь, что ответ не поступил.
  2. Создайте группу безопасности web-service-test-sg без правил и назначьте ее ВМ web-node-a, web-node-b и web-node-c.
  3. Создайте в группе безопасности web-service-test-sg следующее правило для входящего трафика:
    • протокол TCP,
    • порт 80,
    • CIDR <IP-адрес вашего компьютера>/32.
  4. Снова выполните на вашем компьютере команду curl <Публичный IP-адрес сетевого балансировщика>. Убедитесь, что в качестве ответа вернулся HTML-код стартовой страницы Drupal.
  5. Удалите тестовую группу.

Удалите созданные ресурсы

Чтобы перестать платить за развернутые ресурсы, удалите созданные виртуальные машины и балансировщик:

  • vpn;
  • web-node-a;
  • web-node-b;
  • web-node-c;
  • web-service-lb.

Освободите и удалите зарезервированные статические публичные IP-адреса.

В этой статье: