Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Доступны в регионе
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Партнёрская программа
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»
Yandex Managed Service for GitLab
  • Начало работы
    • Все инструкции
    • Получение информации об инстансах
    • Создание и активация инстанса
    • Настройка групп безопасности и ограничение доступа к инстансу
    • Остановка и запуск инстанса
    • Изменение настроек инстанса
    • Управление резервными копиями
    • Миграция из пользовательской инсталляции GitLab
    • Очистка переполненного дискового пространства
    • Удаление инстанса
    • Создание и добавление пользователей в проект
    • Настройка правил ревью кода
    • Мониторинг состояния инстанса
    • Настройка OmniAuth
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Вопросы и ответы
  • Обучающие курсы

В этой статье:

  • Правила для входящего трафика
  • Правила для исходящего трафика
  1. Пошаговые инструкции
  2. Настройка групп безопасности и ограничение доступа к инстансу

Настройка групп безопасности и ограничение доступа к инстансу Managed Service for GitLab

Статья создана
Yandex Cloud
Обновлена 28 июля 2025 г.
  • Правила для входящего трафика
  • Правила для исходящего трафика

Правила группы безопасности определяют:

  • для каких IP-адресов доступен инстанс, в том числе доступен ли он из интернета;
  • по какому протоколу можно работать с Git-репозиториями в инстансе GitLab: SSH или HTTPS;
  • какой сертификат можно использовать при работе по HTTPS: сертификат Let's Encrypt (по умолчанию) или собственный сертификат;
  • выделен ли доступ к GitLab Container Registry.

Важно

От настройки группы безопасности зависит работоспособность и доступность инстанса Managed Service for GitLab.

Чтобы настроить группу безопасности инстанса Managed Service for GitLab:

  1. Добавьте в имеющуюся группу безопасности правила для входящего и исходящего трафика или создайте новую группу с указанными правилами.
  2. Примените группу безопасности к инстансу GitLab при создании или изменении.

Если к инстансу не привязать отдельную группу безопасности, к нему применится группа, созданная по умолчанию в сети инстанса. Правила этой группы безопасности, добавленные для других сервисов, влияют на доступ к инстансу GitLab.

Если у вас возникли проблемы с настройкой группы безопасности, обратитесь в техническую поддержку.

Правила для входящего трафикаПравила для входящего трафика

Зачем нужно правило

Настройки правила

Для работы с Git-репозиториями по протоколу SSH.

  • Диапазон портов — 22 и 2222. Для каждого порта создайте отдельное правило.

  • Протокол — TCP.

  • Источник — CIDR.

  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров. Примеры:

    • 172.16.0.0/12.
    • 85.32.32.22/32.

    Чтобы разрешить трафик с любых IP-адресов, укажите 0.0.0.0/0.

Для работы с Git-репозиториями по протоколу HTTPS.

  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров.

Для использования сертификата Let's Encrypt.

Такой сертификат используется по умолчанию при работе с Git-репозиториями по протоколу HTTPS. Если вы не указываете это правило, то для работы по протоколу HTTPS добавьте собственный сертификат.

  • Диапазон портов — 80 и 443. Для каждого порта создайте отдельное правило.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для создания резервных копий инстанса.

  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 213.180.193.243/32.

Для проверки доступности ресурсов сетевым балансировщиком.

  • Диапазон портов — 80.
  • Протокол — TCP.
  • Источник — Проверки состояния балансировщика.

Для подключения к GitLab Container Registry.

  • Диапазон портов — 5050.

  • Протокол — TCP.

  • Источник — CIDR.

  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров.

    Чтобы разрешить трафик с любых IP-адресов, укажите 0.0.0.0/0.

Правила для исходящего трафикаПравила для исходящего трафика

Managed Service for GitLab использует для работы внешние ресурсы. Если в группе безопасности инстанса вы ограничили исходящий трафик, инстанс может работать некорректно. Чтобы избежать этого, добавьте в группу безопасности следующие правила:

Зачем нужно правило

Настройки правила

Для использования сертификата Let's Encrypt.

  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для создания резервных копий инстанса.

  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 213.180.193.243/32.

Для запросов в службу метаданных при обновлении инстанса.

  • Диапазон портов — 80.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 169.254.169.254/32.

Для запросов в службу DNS.

  • Диапазон портов — 53.

  • Протокол — UDP.

  • Источник — CIDR.

  • CIDR блоки — <второй_IP-адрес_в_подсети>/32. Например для подсети 10.128.0.0/24 это будет CIDR 10.128.0.2/32.

    Если в вашей подсети есть собственный DNS-сервер, также разрешите исходящий трафик к нему, например IP-адрес_DNS_сервера/32.

Для запросов к NTP-серверам для поддержки двухфакторной аутентификации.

  • Диапазон портов — 123.
  • Протокол — UDP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для доступа к воркерам под управлением раннера, созданного с помощью консоли управления.

  • Диапазон портов — 22.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — CIDR подсети, в которой находится инстанс Managed Service for GitLab (воркеры создаются в ней же). Например 10.128.0.0/24.

Была ли статья полезна?

Предыдущая
Создание и активация инстанса
Следующая
Остановка и запуск инстанса
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»