Архитектура и защита базового интернет-сервиса
- Подготовьте облако к работе
- Зарезервируйте два статических публичных IP-адреса
- Создайте ВМ для сервиса во всех зонах доступности
- Создайте IPSec-инстанс для удаленного доступа
- Настройте маршрутизацию для VPN
- Создайте и настройте группы безопасности
- Создайте сетевой балансировщик
- Проверьте работоспособность инфраструктуры
- Удалите созданные ресурсы
Сценарий описывает построение инфраструктуры базового интернет-сервиса с несколькими виртуальными машинами. Доступ к ВМ будет ограничен с помощью групп безопасности. Нагрузка по серверам с веб-приложениями будет распределяться сетевым балансировщиком.
Чтобы создать инфраструктуру для интернет-сервиса:
- Зарезервируйте два статических публичных IP-адреса.
- Создайте ВМ для сервиса во всех зонах доступности.
- Создайте IPSec-инстанс для удаленного доступа.
- Настройте маршрутизацию для VPN.
- Создайте таблицу маршрутизации.
- Привяжите таблицу маршрутизации ко всем подсетям.
- Создайте и настройте группы безопасности.
- Назначьте группы безопасности ВМ.
- Создайте сетевой балансировщик.
- Проверьте работоспособность инфраструктуры.
Если инфраструктура вам больше не нужна, удалите созданные ресурсы.
Подготовьте облако к работе
Перед тем, как разворачивать инфраструктуру, нужно зарегистрироваться в Yandex.Cloud и создать платежный аккаунт:
- Перейдите в консоль управления, затем войдите в Yandex.Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
- На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе
ACTIVE
илиTRIAL_ACTIVE
. Если платежного аккаунта нет, создайте его.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша виртуальная машина, на странице облака.
Подробнее об облаках и каталогах.
Создайте виртуальную сеть с подсетями subnet-a
, subnet-b
и subnet-c
в соответствующих зонах доступности.
Необходимые платные ресурсы
В стоимость поддержки интернет-сервиса входят:
- плата за постоянно запущенные виртуальные машины (см. тарифы Yandex Compute Cloud);
- плата за использование публичных статических IP-адресов (см. тарифы Yandex Virtual Private Cloud);
- плата за использование сетевого балансировщика (см. тарифы Yandex Network Load Balancer).
Зарезервируйте два статических публичных IP-адреса
Для работы интернет-сервиса потребуются два статических публичных IP-адреса: один будет назначен VPN-шлюзу, а другой — сетевому балансировщику.
- В консоли управления откройте сервис Virtual Private Cloud в каталоге, где требуется зарезервировать IP-адреса.
- Откройте вкладку IP-адреса. Нажмите кнопку Зарезервировать адрес.
- В открывшемся окне выберите зону доступности
ru-central1-b
. Нажмите кнопку Зарезервировать. - Снова нажмите Зарезервировать адрес.
- В открывшемся окне выберите зону доступности
ru-central1-a
. Нажмите кнопку Зарезервировать.
Создайте ВМ для сервиса во всех зонах доступности
- В консоли управления откройте ваш каталог и нажмите кнопку Создать ресурс. Выберите пункт Виртуальная машина.
- Укажите имя виртуальной машины:
web-node-a
. - Выберите зону доступности
ru-central1-a
. - В блоке Образы из Cloud Marketplace нажмите кнопку Выбрать и выберите образ Drupal.
- В блоке Сетевые настройки выберите подсеть
subnet-a
. В блоке Публичный адрес выберите Без адреса. - В поле Доступ укажите логин и SSH-ключ для доступа к ВМ.
- Нажмите кнопку Создать ВМ.
- Повторите операции для ВМ
web-node-b
иweb-node-c
. Создайте их в зонахru-central1-b
иru-central1-c
, и подключите к подсетямsubnet-b
иsubnet-c
соответственно.
Создайте IPSec-инстанс для удаленного доступа
Для организации защищенного доступа к вашим ресурсам создайте IPSec-инстанс.
- В консоли управления откройте ваш каталог и нажмите кнопку Создать ресурс. Выберите пункт Виртуальная машина.
- Укажите имя виртуальной машины:
vpc
. - Выберите зону доступности
ru-central1-a
. - В блоке Образы из Cloud Marketplace нажмите кнопку Выбрать и выберите образ IPSec-инстанс.
- В блоке Сетевые настройки выберите подсеть
subnet-a
. В блоке Публичный адрес выберите из списка зарезервированный IP-адрес. - В поле Доступ укажите логин и SSH-ключ для доступа к ВМ.
- Нажмите кнопку Создать ВМ.
Настройте маршрутизацию для VPN
Настройте маршрутизацию между удаленной сетью и IPSec-инстансом. В примере будет использоваться подсеть 192.168.0.0/24
.
Создайте таблицу маршрутизации
Создайте таблицу маршрутизации и добавьте в нее статические маршруты:
- В консоли управления откройте раздел Virtual Private Cloud в каталоге, где требуется настроить маршрутизацию.
- Выберите сеть, в которой требуется создать таблицу маршрутизации.
- Откройте вкладку Таблицы маршрутизации.
- Нажмите кнопку Создать таблицу маршрутизации.
- Задайте имя таблицы маршрутизации:
vpn-route
. - Нажмите кнопку Добавить маршрут.
- В открывшемся окне введите префикс подсети назначения на удаленной площадке, в примере это
192.168.0.0/24
. - В поле Next hop укажите внутренний IP-адрес IPSec-шлюза. Нажмите кнопку Добавить.
- Нажмите кнопку Создать таблицу маршрутизации.
Привяжите таблицу маршрутизации ко всем подсетям
Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации к подсети. Для этого:
- В консоли управления откройте сервис Virtual Private Cloud в каталоге, где требуется настроить маршрутизацию.
- Выберите сеть, в которой находятся подсети, которым нужно назначить таблицу маршрутизации.
- В строке нужной подсети нажмите кнопку .
- В открывшемся меню выберите пункт Привязать таблицу маршрутизации.
- В открывшемся окне выберите созданную таблицу в списке.
- Нажмите кнопку Привязать.
- Привяжите таблицу маршрутизации
vpn-route
ко всем трем подсетям.
Создайте и настройте группы безопасности
Чтобы разделить трафик между сегментами сети, необходимо создать группы безопасности и настроить в них правила приема и отправки трафика.
Создайте группу безопасности для VPN
Для работы VPN необходимо разрешить прием и передачу трафика на UDP-порты 500
и 4500
из внешней сети — это необходимо для работы IPSec-туннеля. Также необходимо разрешить передачу трафика между подсетями вашей виртуальной сети и сетью на удаленной площадке.
- В консоли управления откройте сервис Virtual Private Cloud в каталоге, где требуется создать группу безопасности.
- Откройте вкладку Группы безопасности.
- Нажмите кнопку Создать группу.
- Введите имя группы безопасности —
vpn-sg
. - В поле Сеть выберите сеть, к которой будет относиться группа безопасности.
- В блоке Правила создайте правила для управления трафиком:
- Выберите вкладку Исходящий трафик.
- Нажмите кнопку Добавить правило.
- В открывшемся окне в поле Порт укажите порт:
500
. - В поле Протокол выберите
UDP
. - В поле Назначение укажите публичный адрес удаленного VPN-концентратора с маской
32
.
- Нажмите кнопку Сохранить.
- Нажмите кнопку Добавить правило.
- В открывшемся окне в поле Порт укажите порт:
4500
. - В поле Протокол выберите
UDP
. - В поле Назначение укажите публичный адрес удаленного VPN-концентратора с маской
32
.
- В открывшемся окне в поле Порт укажите порт:
- Нажмите кнопку Сохранить.
- Настройте правила, разрешающие передачу трафика между веб-серверами и машинами на удаленной площадке. Нажмите кнопку Добавить правило.
- В открывшемся окне в поле Порт нажмите кнопку Выбрать весь диапазон.
- В поле Протокол выберите
Любой
. - В поле Назначение укажите CIDR внутренней сети —
10.0.0.0/8
. - Нажмите кнопку Добавить CIDR и укажите CIDR удаленной площадки —
192.168.0.0/24
.
- Создайте такие же правила для входящего трафика.
Создайте группу безопасности для ВМ интернет-сервиса
Создайте группу безопасности web-service-sg
и настройте правила для трафика.
Правила для исходящего трафика
Разрешите исходящие соединения к другим машинам из группы безопасности:
- протокол
Любой
, - тип назначения Группа безопасности,
- назначение
Текущая
.
Правила для входящего трафика
Разрешите следующие входящие соединения:
- HTTP-соединения от нескольких тестовых несуществующих IP-адресов:
- Протокол:
TCP
, - Порт:
80
, - CIDR:
1.1.1.1/32
,85.32.45.45/32
.
- Протокол:
- HTTPS-соединения от нескольких тестовых несуществующих IP-адресов:
- Протокол:
TCP
, - Порт:
443
, - CIDR:
1.1.1.1/32
,85.32.45.45/32
.
- Протокол:
- TCP-соединения для доступа по SSH:
- Протокол:
TCP
, - Порт:
22
, - CIDR:
0.0.0.0/0
.
- Протокол:
- Соединения от других машин из группы безопасности:
- Протокол:
Любой
, - Тип назначения Группа безопасности,
- Назначение:
Текущая
.
- Протокол:
- Проверки состояния от сетевого балансировщика:
- Протокол:
Любой
, - Порт:
80
, - CIDR:
198.18.235.0/24
и198.18.248.0/24
.
- Протокол:
Назначьте группы безопасности ВМ
Чтобы правила групп безопасности начали действовать, группы необходимо назначить сетевым интерфейсам ВМ.
- В консоли управления откройте сервис Compute Cloud.
- Выберите виртуальную машину
vpn
. - В блоке Сеть нажмите значок и выберите Редактировать группы безопасности.
- В открывшемся окне выберите группу безопасности
vpn-sg
. - Нажмите кнопку Сохранить.
- Повторите шаги и назначьте группу безопасности
web-service-sg
виртуальным машинамweb-node-a
,web-node-b
иweb-node-c
.
Создайте сетевой балансировщик
Сетевой балансировщик будет распределять входящий трафик интернет-сервиса по ВМ, объединенным в целевую группу.
Чтобы создать сетевой балансировщик:
- В консоли управления откройте сервис Network Load Balancer в каталоге, где требуется создать балансировщик.
- Нажмите кнопку Создать балансировщик.
- Задайте имя балансировщика:
web-service-lb
. - В поле Публичный адрес выберите Список и укажите публичный статический адрес.
- В блоке Обработчики нажмите кнопку Добавить обработчик.
- В открывшемся окне введите имя обработчика и укажите порт
80
в полях Порт и Целевой порт. Нажмите кнопку Добавить. - В блоке Целевые группы нажмите Добавить целевую группу.
- В поле Целевая группа нажмите на список и нажмите Создать целевую группу.
- В открывшемся окне задайте имя целевой групп:
web-tg
. - Выберите виртуальные машины
web-node-a
,web-node-b
иweb-node-c
. - Нажмите кнопку Создать.
- Выберите созданную целевую группу из списка.
- Нажмите кнопку Создать.
Проверьте работоспособность инфраструктуры
Проверьте работоспособность инфраструктуры и убедитесь, что трафик к ВМ интернет-сервиса поступает только от разрешенных правилами адресов:
- Выполните на вашем компьютере команду
curl <Публичный IP-адрес сетевого балансировщика>
. Убедитесь, что ответ не поступил. - Создайте группу безопасности
web-service-test-sg
без правил и назначьте ее ВМweb-node-a
,web-node-b
иweb-node-c
. - Создайте в группе безопасности
web-service-test-sg
следующее правило для входящего трафика:- протокол
TCP
, - порт
80
, - CIDR
<IP-адрес вашего компьютера>/32
.
- протокол
- Снова выполните на вашем компьютере команду
curl <Публичный IP-адрес сетевого балансировщика>
. Убедитесь, что в качестве ответа вернулся HTML-код стартовой страницы Drupal. - Удалите тестовую группу.
Удалите созданные ресурсы
Чтобы перестать платить за развернутые ресурсы, удалите созданные виртуальные машины и балансировщик:
vpn
;web-node-a
;web-node-b
;web-node-c
;web-service-lb
.
Освободите и удалите зарезервированные статические публичные IP-адреса.