Связаться с намиПодключиться

Настройка групп безопасности и ограничение доступа к инстансу Managed Service for GitLab

Статья создана
Обновлена 28 июля 2025 г.

Правила группы безопасности определяют:

  • для каких IP-адресов доступен инстанс, в том числе доступен ли он из интернета;
  • по какому протоколу можно работать с Git-репозиториями в инстансе GitLab: SSH или HTTPS;
  • какой сертификат можно использовать при работе по HTTPS: сертификат Let's Encrypt (по умолчанию) или собственный сертификат;
  • выделен ли доступ к GitLab Container Registry.

Важно

От настройки группы безопасности зависит работоспособность и доступность инстанса Managed Service for GitLab.

Чтобы настроить группу безопасности инстанса Managed Service for GitLab:

  1. Добавьте в имеющуюся группу безопасности правила для входящего и исходящего трафика или создайте новую группу с указанными правилами.
  2. Примените группу безопасности к инстансу GitLab при создании или изменении.

Если к инстансу не привязать отдельную группу безопасности, к нему применится группа, созданная по умолчанию в сети инстанса. Правила этой группы безопасности, добавленные для других сервисов, влияют на доступ к инстансу GitLab.

Если у вас возникли проблемы с настройкой группы безопасности, обратитесь в техническую поддержку.

Правила для входящего трафика

Зачем нужно правило

Настройки правила

Для работы с Git-репозиториями по протоколу SSH.

  • Диапазон портов — 22 и 2222. Для каждого порта создайте отдельное правило.

  • Протокол — TCP.

  • Источник — CIDR.

  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров. Примеры:

    • 172.16.0.0/12.
    • 85.32.32.22/32.

    Чтобы разрешить трафик с любых IP-адресов, укажите 0.0.0.0/0.

Для работы с Git-репозиториями по протоколу HTTPS.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров.

Для использования сертификата Let's Encrypt.

Такой сертификат используется по умолчанию при работе с Git-репозиториями по протоколу HTTPS. Если вы не указываете это правило, то для работы по протоколу HTTPS добавьте собственный сертификат.
  • Диапазон портов — 80 и 443. Для каждого порта создайте отдельное правило.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для создания резервных копий инстанса.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 213.180.193.243/32.

Для проверки доступности ресурсов сетевым балансировщиком.
  • Диапазон портов — 80.
  • Протокол — TCP.
  • Источник — Проверки состояния балансировщика.

Для подключения к GitLab Container Registry.

  • Диапазон портов — 5050.

  • Протокол — TCP.

  • Источник — CIDR.

  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров.

    Чтобы разрешить трафик с любых IP-адресов, укажите 0.0.0.0/0.

Правила для исходящего трафика

Managed Service for GitLab использует для работы внешние ресурсы. Если в группе безопасности инстанса вы ограничили исходящий трафик, инстанс может работать некорректно. Чтобы избежать этого, добавьте в группу безопасности следующие правила:

Зачем нужно правило

Настройки правила

Для использования сертификата Let's Encrypt.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для создания резервных копий инстанса.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 213.180.193.243/32.

Для запросов в службу метаданных при обновлении инстанса.
  • Диапазон портов — 80.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 169.254.169.254/32.

Для запросов в службу DNS.

  • Диапазон портов — 53.

  • Протокол — UDP.

  • Источник — CIDR.

  • CIDR блоки — <второй_IP-адрес_в_подсети>/32. Например для подсети 10.128.0.0/24 это будет CIDR 10.128.0.2/32.

    Если в вашей подсети есть собственный DNS-сервер, также разрешите исходящий трафик к нему, например IP-адрес_DNS_сервера/32.

Для запросов к NTP-серверам для поддержки двухфакторной аутентификации.
  • Диапазон портов — 123.
  • Протокол — UDP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для доступа к воркерам под управлением раннера, созданного с помощью консоли управления.
  • Диапазон портов — 22.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — CIDR подсети, в которой находится инстанс Managed Service for GitLab (воркеры создаются в ней же). Например 10.128.0.0/24.
Предыдущая
Создание и активация инстанса
Следующая
Остановка и запуск инстанса