Приватная сеть

Приватная сеть — это локальная сеть к которой подключены все серверы одного пула серверов. Логически объединяет серверы в изолированные пользовательские сети. Некоторые конфигурации серверов BareMetal поддерживают резервирование каналов приватной сети MC-LAG.

В рамках одного пула между арендованными серверами возможна сетевая связность на уровнях сетевой модели OSI L2 (приватная подсеть) и L3 (VRF).

Между серверами, физически размещенными в разных пулах, доступна только L3-связность с помощью VRF.

Приватная подсетьПриватная подсеть

Приватная подсеть — это виртуальная сеть VLAN, объединяющая серверы в одном пуле, физически изолированная от интернета и логически — от виртуальных сетей других пользователей.

Приватной подсети автоматически присваивается уникальный идентификатор VLAN в соответствии со стандартом IEEE 802.1Q. При этом идентификатор VLAN присваивается подсети не при создании, а при ее привязке к любому серверу BareMetal.

К сетевому интерфейсу (или группе агрегирования MC-LAG) сервера, которые подключены к приватной сети, можно привязать одновременно несколько приватных подсетей: одну основную и несколько дополнительных. При этом одна и та же приватная подсеть может одновременно являться основной на одних серверах и дополнительной — на других.

Основная приватная подсетьОсновная приватная подсеть

К любому серверу BareMetal должна быть привязана одна приватная подсеть, которая будет считаться для него основной. Основная приватная подсеть сервера представляет собой виртуальную сеть с нативным (native) VLAN. В нее направляется весь нетегированный трафик, поступающий на сетевой интерфейс (в группу агрегирования) сервера.

В основной приватной подсети сервера может использоваться сервис DHCP.

Заменить основную приватную подсеть можно только на серверах, к которым не привязаны дополнительные приватные подсети.

Дополнительная приватная подсетьДополнительная приватная подсеть

К серверу BareMetal можно привязать дополнительные приватные подсети. Дополнительная приватная подсеть сервера представляет собой виртуальную сеть с тегированным (tagged) VLAN. В дополнительную подсеть направляется трафик, поступающий на сетевой интерфейс (группу агрегирования) сервера и отмеченный тегом, который соответствует уникальному для этой подсети идентификатору VLAN (тегированный трафик).

По умолчанию к сетевому интерфейсу сервера BareMetal можно привязать только одну приватную подсеть — основную. Чтобы иметь возможность привязывать к серверу дополнительные приватные подсети, обратитесь в службу поддержки с запросом на увеличение квоты baremetal.privateSubnetsPerServerInterface.count.

Привязать дополнительную приватную подсеть к серверу можно при его изменении. Подробнее читайте в разделе Изменить сервер.

После привязки к серверу дополнительной приватной подсети необходимо вручную настроить VLAN на сетевом интерфейсе в операционной системе сервера. Подробнее читайте в разделе Настроить на сервере дополнительную приватную подсеть с тегированным VLAN.

Виртуальный сегмент сети (VRF)Виртуальный сегмент сети (VRF)

Чтобы обеспечить L3-маршрутизацию между приватными подсетями, в которых настроена маршрутизация, такие подсети объединяются в виртуальные сегменты сети (VRF).

Серверы из одного или разных пулов, подключенные к разным приватным подсетям, объединенным в VRF, смогут поддерживать между собой сетевой обмен по L3. Чтобы настроить такой сетевой обмен, для соответствующих подсетей в блоке IP-адресация и маршрутизация необходимо выбрать одинаковый VRF.

Для адресации в подсетях можно использовать любые CIDR в зарезервированных под частные сети диапазонах 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16 при условии, что в подсети не менее восьми адресов (префикс CIDR не более /29).

Статические маршрутыСтатические маршруты

Для маршрутизации внутри приватной сети Yandex BareMetal вы можете использовать статические маршруты.

Количество статических маршрутов в облаке ограничено квотами. При этом к статическим маршрутам в Yandex BareMetal применяются следующие дополнительные ограничения:

• Префикс назначения может быть равен 0.0.0.0/0, либо должен представлять собой корректный диапазон приватных IPv4-адресов в нотации CIDR, входящих в любой из следующих диапазонов:

  • 10.0.0.0/8;
  • 172.16.0.0/12;
  • 192.168.0.0/16.

• Префикс назначения не может совпадать или пересекаться с диапазоном IP-адресов приватной подсети, входящей в данный VRF.

• Префикс назначения не может совпадать или пересекаться с диапазоном IP-адресов другого статического маршрута в данном VRF.

• Значением Next hop может быть IPv4-адрес, входящий в диапазон любой приватной подсети в данном VRF.

  Чтобы анонсировать статический маршрут в Virtual Private Cloud, в VRF должно быть настроено приватное соединение с облачными сетями, а при настройке статического маршрута в VRF должна быть включена опция Доступ из облака.

  В этом случае сетевой трафик в подсетях Virtual Private Cloud, предназначенный для адресов из префикса назначения статического маршрута, будет направляться на адрес Next hop, даже если этот адрес находится в приватной подсети BareMetal.

Приватное соединение с облачными сетямиПриватное соединение с облачными сетями

Сетевая связность между серверами BareMetal, приватными подсетями Virtual Private Cloud в облачной инфраструктуре и приватными подсетями в on-prem инфраструктуре настраивается с использованием сервиса Yandex Cloud Interconnect.

Статические маршруты, созданные в VRF, могут анонсироваться в Virtual Private Cloud. Для этого при настройке статического маршрута в VRF должна быть включена опция Доступ из облака.

См. такжеСм. также

• Сеть
• Публичная сеть
• Сервис DHCP в сети Yandex BareMetal
• Резервирование сетевого подключения BareMetal с помощью технологии MC-LAG
• Создать VRF
• Создать приватную подсеть
• Создать приватное соединение с облачными сетями
• Создать статический маршрут