Приватное соединение
Приватное соединение (private connection) — это логическое соединение вашей On-Prem инфраструктуры с виртуальной сетью в облаке. Точкой назначения приватного соединения в облачной сети является Routing Instance.
Пример использования двух приватных соединений для организации отказоустойчивой IP-связности:
Важно
Организация нескольких приватных соединений в одну облачную сеть на одной точке присутствия не допускается.
Основными компонентами приватного соединения являются:
Далее уже через настроенную BGP-связность выполняется обмен маршрутами между облачной сетью и On-Prem инфраструктурой, после чего между On-Prem и ресурсами в облачной сети можно передавать трафик.
Приватное соединение организуется внутри транка. В транке может быть несколько приватных соединений в разные облачные сети.
Приватное соединение настраивается внутри транка и имеет свой уникальный идентификатор — VLAN-ID.
Максимальный размер IP MTU для приватного соединения — 8910 байт. Изменение IP MTU со стороны оборудования Yandex Cloud не допускается.
Стыковая подсеть
Для организации приватного соединения необходима стыковая подсеть. Эта point-to-point подсеть используется для организации IP-связности между оборудованием Yandex Cloud и оборудованием клиента или оператора связи.
Стыковая подсеть может быть размером /30
или /31
. Использовать подсети других размеров нельзя.
В стыковой подсети можно использовать следующие диапазоны адресов:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16
Использовать IP-адресацию в других диапазонах нельзя.
Примечание
При организации приватного соединения используются только IPv4-адреса.
В настоящее время использование IPv6-адресов не допускается.
BGP-связность
BGP-связность настраивается внутри каждого приватного или публичного соединения между клиентским оборудованием и оборудованием Yandex Cloud в точке присутствия для обмена информацией о подсетях (префиксах) между сторонами. После обмена этой маршрутной информацией стороны могут передавать IPv4-трафик между подсетями, о которых они сообщили друг другу.
Важно
Существует лимит со стороны оборудования Yandex Cloud на количество получаемых префиксов от маршрутизатора клиента по протоколу BGP.
Если количество префиксов от маршрутизатора клиента превысит установленный лимит, то BGP-сессия будет разорвана на 30 минут.
Для поддержания непрерывной BGP-связности рекомендуется на маршрутизаторе клиента настраивать политики агрегации маршрутной информации для минимизации количества префиксов анонсируемых по протоколу BGP в направлении оборудования Yandex Cloud до разумных и необходимых размеров.
BGP ASN
Для настройки BGP-связности с каждой из сторон нужно указать номер автономной системы (BGP ASN) в формате ASPlain. Значение BGP ASN для Yandex Cloud постоянно и всегда равно 208795.
На клиентском оборудовании разрешается использовать публичный номер BGP ASN (если он есть). На клиентском оборудовании разрешается использовать любое значение из следующих диапазонов приватных номеров BGP ASN RFC 6996
64512 - 65534
для двухбайтовых BGP ASN.4200000000 - 4294967294
для четырехбайтовых BGP ASN.
На клиентском оборудовании запрещается использовать следующие диапазоны номеров BGP ASN RFC 5398
64496 – 64511
для двухбайтовых BGP ASN65536 – 65551
для четырехбайтовых BGP ASN
На клиентском оборудовании запрещается иметь BGP ASN из вышеперечисленных диапазонов в атрибуте BGP AS_Path
.
Важно
Со стороны Yandex Cloud используется четырехбайтовое значение BGP ASN — 208795. Часто на сетевом оборудовании разных производителей приоритет отдается использованию двухбайтовых значений BGP ASN, как более распространенному варианту.
При настройке BGP-взаимодействия со стороны клиентского маршрутизатора необходимо явно разрешить в его конфигурации использование четырехбайтовых значений BGP ASN.
При настройке BGP-взаимодействия со стороны клиентского маршрутизатора, для публичных соединений с использованием публичных IPv4-адресов принадлежащих клиенту, необходимо указывать публичный номер BGP ASN клиента.
BGP аутентификация (опционально)
Для повышения уровня защиты BGP-соединения можно использовать BGP-аутентификацию с использованием механизма BGP MD5 password
. При включении данной функциональности рекомендуется использовать в качестве пароля строку длиной более 20 символов, состоящую из латинских букв, цифр и специальных символов.
Протокол BFD
Если у клиента нет возможности подключить свой маршрутизатор к оборудованию Yandex Cloud напрямую, допускается использование промежуточных сетевых устройств — коммутаторов. Для быстрого обнаружения отказов в схемах с использованием промежуточных сетевых устройств рекомендуется использовать протокол BFD
Протокол BFD всегда включен со стороны оборудования Yandex Cloud cо следующими значениями параметров:
timer
— 300msmultiplier
— 3
Эти значения параметров фиксированы и не могут быть изменены в ручном режиме.
При необходимости клиент может настроить на своём оборудовании нужное ему значение timer
. В процессе установки BFD-сессии эти параметры будут согласовываться в рамках протокола BFD между оборудованием клиента и оборудованием Yandex Cloud.
Устанавливать значение multiplier
, отличное от 3, не рекомендуется — это может привести к неоптимальной работе протокола.
Таймеры BGP
Ниже приведены значения таймеров в секундах, которые настроены на оборудовании Yandex Cloud по умолчанию:
minimum-hold-time
=90
Использование на стороне оборудования клиента значений меньше указанного будет приводить к проблемам с установлением BGP-соседства.
Топологии приватных соединений
Поддерживаются следующие варианты организации приватных соединений:
- Приватное соединение через прямое клиентское подключение.
- Приватное соединение через подключение оператора связи (L2-транзит).
- Приватное соединение через подключение оператора связи (L3VPN).
Приватное соединение через прямое клиентское подключение
L3-связность и BGP-связность организуется между оборудованием клиента в точке присутствия и оборудованием Yandex Cloud. При этом:
- Вы самостоятельно обеспечиваете L3-связность от оборудования в своем ЦОД до собственного оборудования в точке присутствия.
- BGP-взаимодействие организуется между вашим оборудованием в точке присутствия и оборудованием Yandex Cloud.
- Все анонсы маршрутов по протоколу BGP от вашего оборудования в точке присутствия попадают во все зоны доступности Yandex Cloud.
Приватное соединение через подключение оператора связи (L2-транзит)
У вас нет собственного оборудования в точке присутствия и вы используете услуги оператора связи, который организует связность между оборудованием Yandex Cloud и вашим оборудованием. При этом:
- L2 связность организуется оператором связи между оборудованием оператора связи в точке присутствия и оборудованием Yandex Cloud.
- L3- и BGP-связность организуется между вашим оборудованием в своем ЦОД и оборудованием Yandex Cloud в точке присутствия.
- Все анонсы маршрутов по протоколу BGP от вашего оборудования в своем ЦОД попадают во все зоны доступности Yandex Cloud.
Приватное соединение через подключение оператора связи (L3VPN)
У вас нет собственного оборудования в точке присутствия и вы используете услуги оператора связи, который организует для связность между оборудованием Yandex Cloud и вашим оборудованием. У вас нет технической возможности организовать BGP-связность с оборудованием Yandex Cloud самостоятельно. При этом:
- L2-связность организуется оператором связи между оборудованием оператора связи в точке присутствия и оборудованием Yandex Cloud.
- L3- и BGP-связность с Yandex Cloud организуется между оборудованием оператора связи и оборудованием Yandex Cloud в точке присутствия. Данное соединение также становится частью клиентского L3VPN, с помощью которого и достигается прямая связность между вашим оборудованием в его ЦОД и Yandex Cloud.
- Все анонсы маршрутов по протоколу BGP от оборудования оператора связи в точке присутствия попадают во все зоны доступности Yandex Cloud.
- Оператор связи в рамках оказания услуги L3VPN может использовать как статическую маршрутизацию, так и протоколы динамической маршрутизации.