Связаться с намиПодключиться

Архитектура и защита базового интернет-сервиса

Статья создана
Обновлена 10 ноября 2025 г.

Примечание

В регионе Казахстан доступна только зона доступности kz1-a.

В этом руководстве вы развернете и настроите инфраструктуру базового интернет-сервиса с несколькими виртуальными машинами. Подключение к инфраструктуре будет выполняться с удаленной площадки. Доступ к ВМ будет ограничен с помощью групп безопасности. Нагрузка по серверам с веб-приложениями будет распределяться сетевым балансировщиком.

Схема организации сетевого взаимодействия удаленной площадки и базового интернет-сервиса:

Удаленная площадка:

  • Сеть remote-net с подсетью subnet-1 (10.129.0.0/24).
  • Тестовая ВМ — vm-1 на базе Linux Ubuntu в подсети subnet-1. С помощью этой ВМ проверяется работоспособность инфраструктуры облачной площадки.

Примечание

В качестве удаленной площадки вы также можете использовать свой персональный компьютер. Для этого вам необходимо знать CIDR подсети локального компьютера и внешний IP-адрес, который он использует для выхода в интернет.

Облачная площадка:

  • Сеть network с подсетями subnet-a (192.168.5.0/24), subnet-b (192.168.15.0/24) и subnet-d (192.168.25.0/24).
  • IPsec-инстанс (шлюз) vpn в подсети subnet-a. Основная задача IPsec-шлюза — организация IPsec-соединения с удаленной площадкой и обеспечение сетевого взаимодействия между облачными ВМ.
  • Таблица маршрутизации со статическим маршрутом vpn-route обеспечивает передачу трафика из подсети subnet-1 удаленной площадки к ВМ облачной площадки через основной IPsec-шлюз.
  • ВМ базового интернет-сервиса web-node-a, web-node-b и web-node-d на базе Drupal в подсетях subnet-a, subnet-b и subnet-d соответственно.
  • Группа безопасности vpn-sg используется на ВМ vpn для управления трафиком IPSec-туннеля. Группа безопасности web-service-sg обеспечивает передачу трафика между ВМ web-node-a, web-node-b и web-node-d.
  • Сетевой балансировщик web-service-lb распределяет входящий трафик между ВМ web-node-a, web-node-b и web-node-d.

Чтобы создать инфраструктуру для интернет-сервиса:

  1. Подготовьте облако к работе.
  2. Настройте удаленную площадку.
  3. Настройте облачную площадку.
  4. Проверьте работоспособность инфраструктуры.

Если инфраструктура вам больше не нужна, удалите созданные ресурсы.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки создаваемой инфраструктуры входят:

Настройте удаленную площадку

На этом этапе вы создадите и настроите инфраструктуру удаленной площадки. В нее войдут сеть, подсеть и виртуальная машина, с которой будет осуществляться доступ к инфраструктуре базового интернет-сервиса.

Примечание

В качестве удаленной площадки вы можете использовать свой персональный компьютер. Для этого узнайте CIDR подсети этого компьютера и внешний IP-адрес, который он использует для выхода в интернет.

Если в качестве удаленной площадки вы будете использовать свой персональный компьютер, пропустите этот раздел и переходите к разделу Настройте облачную площадку.

Создайте сеть и подсеть

  1. Создайте сеть remote-net. При создании сети отключите опцию Создать подсети.

  2. Создайте подсеть для тестовой ВМ на удаленной площадке со следующими параметрами:

    • Имяsubnet-1.
    • Зона доступностиkz1-b.
    • Сетьremote-net.
    • CIDR10.129.0.0/24.

Создайте тестовую ВМ

Создайте ВМ, которая будет использоваться для подключения извне к инфраструктуре базового интернет-сервиса.

  1. В консоли управления выберите каталог, в котором будет создана ВМ.

  2. В списке сервисов выберите Compute Cloud.

  3. На панели слева выберите Виртуальные машины.

  4. Нажмите кнопку Создать виртуальную машину.

  5. Выберите вариант Расширенная настройка.

  6. В блоке Образ загрузочного диска выберите образ операционной системы Ubuntu 22.04 LTS OS Login.

  7. В блоке Расположение выберите зону доступности kz1-b.

  8. В блоке Сетевые настройки:

    • В поле Подсеть выберите подсеть subnet-1.
    • В поле Публичный IP-адрес выберите Автоматически.

  9. В блоке Доступ выберите вариант Доступ по OS Login, чтобы подключаться к создаваемой ВМ и управлять доступом к ней с помощью OS Login в Yandex Identity Hub.

    Используя OS Login, вы сможете подключаться к ВМ по SSH-ключам и SSH-сертификатам с помощью стандартного SSH-клиента или CLI. OS Login позволяет ротировать SSH-ключи, используемые для доступа к ВМ, и является наиболее безопасным вариантом доступа.

  10. В блоке Общая информация задайте имя ВМ — vm-1.

  11. Нажмите кнопку Создать ВМ.

  12. Получите публичный IP-адрес созданной ВМ:

    1. Дождитесь, когда созданная ВМ vm-1 перейдет в статус Running и нажмите на строку с этой ВМ.

    2. Скопируйте значение поля Публичный IPv4-адрес в блоке Сетевой интерфейс на открывшейся странице обзора ВМ.

      Публичный IP-адрес удаленной ВМ потребуется позднее при создании группы безопасности.

Настройте облачную площадку

Создайте и настройте облачную сеть

  1. В консоли управления перейдите в каталог, в котором будет развернута инфраструктура.

  2. В списке сервисов выберите Virtual Private Cloud.

  3. Создайте облачную сеть network. При создании сети отключите опцию Создать подсети.

  4. В сети network создайте подсети со следующими параметрами:

    1. Для подключения виртуальной машины web-node-a и IPsec-инстанса vpn:

      • Имяsubnet-a.
      • Зона доступностиkz1-a.
      • Сетьnetwork.
      • CIDR192.168.5.0/24.

    2. Для подключения виртуальной машины web-node-b:

      • Имяsubnet-b.
      • Зона доступностиkz1-b.
      • Сетьnetwork.
      • CIDR192.168.15.0/24.

    3. Для подключения виртуальной машины web-node-d:

      • Имяsubnet-d.
      • Зона доступностиkz1-d.
      • Сетьnetwork.
      • CIDR192.168.25.0/24.

Зарезервируйте два статических публичных IP-адреса

Для работы интернет-сервиса потребуются два статических публичных IP-адреса: один будет назначен VPN-шлюзу, а другой — сетевому балансировщику.

  1. В консоли управления перейдите в каталог, в котором будут зарезервированы IP-адреса.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. На панели слева выберите IP-адреса.
  4. Нажмите кнопку Зарезервировать адрес.
  5. В открывшемся окне выберите зону доступности kz1-a и нажмите кнопку Зарезервировать.
  6. Повторите шаги 4-5 и зарезервируйте статический публичный IP-адрес в зоне доступности kz1-b.

Создайте и настройте группы безопасности

Чтобы разделить трафик между сегментами сети, необходимо создать группы безопасности и настроить в них правила приема и отправки трафика.

Создайте группу безопасности для VPN-шлюза

Для работы VPN необходимо разрешить прием и передачу трафика на UDP-порты 500 и 4500 из внешней сети — это необходимо для работы IPSec-туннеля. Также необходимо разрешить передачу трафика между подсетями вашей виртуальной сети и сетью на удаленной площадке.

  1. В консоли управления перейдите в каталог, в котором будет создана группа безопасности.

  2. В списке сервисов выберите Virtual Private Cloud.

  3. На панели слева выберите Группы безопасности.

  4. Нажмите кнопку Создать группу безопасности.

  5. Введите имя группы безопасности — vpn-sg.

  6. В поле Сеть выберите сеть network, созданную ранее.

  7. В блоке Правила создайте правила в соответствии с таблицей:

    Направление
    трафика

    Описание

    Диапазон портов

    Протокол

    Источник /
    Назначение

    CIDR блоки

    Входящий

    udp500

    500

    UDP

    CIDR

    <публичный_IP-адрес_удаленной_ВМ>/32

    Входящий

    udp4500

    4500

    UDP

    CIDR

    <публичный_IP-адрес_удаленной_ВМ>/32

    Входящий

    internal

    0-65535

    Любой

    CIDR

    • 192.168.5.0/24
    • 192.168.15.0/24
    • 192.168.25.0/24
    • 10.129.0.0/24 1

    Исходящий

    udp500

    500

    UDP

    CIDR

    <публичный_IP-адрес_удаленной_ВМ>/32

    Исходящий

    udp4500

    4500

    UDP

    CIDR

    <публичный_IP-адрес_удаленной_ВМ>/32

    Исходящий

    intersubnet

    0-65535

    Любой

    CIDR

    • 192.168.5.0/24
    • 192.168.15.0/24
    • 192.168.25.0/24
    • 10.129.0.0/24 1

    1 Если в качестве тестовой ВМ вы будете использовать локальный компьютер, укажите здесь CIDR подсети, в которой этот компьютер находится.

  8. Нажмите Создать.

Создайте группу безопасности для виртуальных машин интернет-сервиса

  1. В консоли управления перейдите в каталог, в котором будет создана группа безопасности.

  2. В списке сервисов выберите Virtual Private Cloud.

  3. На панели слева выберите Группы безопасности.

  4. Нажмите кнопку Создать группу безопасности.

  5. Введите имя группы безопасности — web-service-sg.

  6. В поле Сеть выберите сеть network, созданную ранее.

  7. В блоке Правила создайте правила в соответствии с таблицей:

    Направление
    трафика

    Описание

    Диапазон портов

    Протокол

    Источник /
    Назначение

    CIDR блоки /
    Группа безопасности

    Входящий

    ssh

    22

    TCP

    CIDR

    0.0.0.0/0

    Входящий

    anyself

    0-65535

    Любой

    Группа безопасности

    Текущая

    Входящий

    healthchecks

    80

    TCP

    Проверки состояния балансировщика

    Исходящий

    self

    0-65535

    Любой

    Группа безопасности

    Текущая

  8. Нажмите Создать.

Создайте и настройте виртуальные машины на облачной площадке

Создайте ВМ для сервиса во всех зонах доступности

  1. В консоли управления выберите каталог, в котором будут созданы ВМ.

  2. В списке сервисов выберите Compute Cloud.

  3. На панели слева выберите Виртуальные машины.

  4. Нажмите кнопку Создать виртуальную машину.

  5. Выберите вариант Расширенная настройка.

  6. В блоке Образ загрузочного диска перейдите на вкладку Marketplace и выберите образ Drupal 10.

  7. В блоке Расположение выберите зону доступности kz1-a.

  8. В блоке Сетевые настройки:

    • Выберите подсеть subnet-a.
    • В поле Публичный IP-адрес выберите Без адреса.
    • Выберите группу безопасности web-service-sg.

  9. В блоке Доступ:

    • Выберите вариант подключения SSH-ключ.

    • В поле Логин задайте имя пользователя.

      Внимание

      Не используйте логин root или другие имена, зарезервированные ОС. Для выполнения операций, требующих прав суперпользователя, используйте команду sudo.

    • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      1. Нажмите кнопку Добавить ключ.

      2. Задайте имя SSH-ключа.

      3. Выберите вариант:

        • Ввести вручную — вставьте содержимое открытого SSH-ключа. Пару SSH-ключей необходимо создать самостоятельно.

        • Загрузить из файла — загрузите открытую часть SSH-ключа. Пару SSH-ключей необходимо создать самостоятельно.

        • Сгенерировать ключ — автоматическое создание пары SSH-ключей.

          При добавлении сгенерированного SSH-ключа будет создан и загружен архив с парой ключей. В ОС на базе Linux или macOS распакуйте архив в папку /home/<имя_пользователя>/.ssh. В ОС Windows распакуйте архив в папку C:\Users\<имя_пользователя>/.ssh. Дополнительно вводить открытый ключ в консоли управления не требуется.

      4. Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации. Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя внутри создаваемого ресурса.

  10. В блоке Общая информация задайте имя ВМ — web-node-a.

  11. Нажмите кнопку Создать ВМ.

  12. Повторите шаги 4-10 для создания ВМ web-node-b и web-node-d. Создайте их в зонах kz1-b и kz1-d, и подключите к подсетям subnet-b и subnet-d соответственно.

Создайте IPSec-инстанс для удаленного доступа

Для организации защищенного доступа к вашим ресурсам создайте IPSec-инстанс.

  1. В консоли управления перейдите в каталог, в котором будет создана ВМ.

  2. В списке сервисов выберите Compute Cloud.

  3. На панели слева выберите Виртуальные машины.

  4. Нажмите кнопку Создать виртуальную машину.

  5. Выберите вариант Расширенная настройка.

  6. В блоке Образ загрузочного диска перейдите на вкладку Marketplace и выберите образ IPSec-инстанс.

  7. В блоке Расположение выберите зону доступности kz1-a.

  8. В блоке Сетевые настройки:

    • Выберите подсеть subnet-a.
    • В поле Публичный IP-адрес выберите Список. В открывшемся списке выберите зарезервированный IP-адрес.
    • Выберите группу безопасности vpn-sg.

  9. В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа на ВМ:

    • В поле Логин введите имя пользователя. Не используйте имя root или другие имена, зарезервированные ОС. Для выполнения операций, требующих прав суперпользователя, используйте команду sudo.

    • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      1. Нажмите кнопку Добавить ключ.

      2. Задайте имя SSH-ключа.

      3. Выберите вариант:

        • Ввести вручную — вставьте содержимое открытого SSH-ключа. Пару SSH-ключей необходимо создать самостоятельно.

        • Загрузить из файла — загрузите открытую часть SSH-ключа. Пару SSH-ключей необходимо создать самостоятельно.

        • Сгенерировать ключ — автоматическое создание пары SSH-ключей.

          При добавлении сгенерированного SSH-ключа будет создан и загружен архив с парой ключей. В ОС на базе Linux или macOS распакуйте архив в папку /home/<имя_пользователя>/.ssh. В ОС Windows распакуйте архив в папку C:\Users\<имя_пользователя>/.ssh. Дополнительно вводить открытый ключ в консоли управления не требуется.

      4. Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации. Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя внутри создаваемого ресурса.

  10. В блоке Общая информация задайте имя ВМ — vpn.

  11. Нажмите кнопку Создать ВМ.

  12. Дождитесь, когда созданная ВМ vpn перейдет в статус Running, и скопируйте значение поля Внутренний IPv4 в строке, относящейся этой ВМ.

    Внутренний адрес шлюза понадобится при настройке статического маршрута.

Настройте маршрутизацию для VPN

Настройте маршрутизацию между подсетью на удаленной площадке и IPSec-инстансом.

Создайте таблицу маршрутизации

Создайте таблицу маршрутизации и добавьте в нее статические маршруты:

  1. В консоли управления перейдите в каталог, в котором будет настроена маршрутизация.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. Выберите сеть network, созданную ранее.
  4. На панели слева выберите Таблицы маршрутизации.
  5. Нажмите кнопку Создать таблицу маршрутизации.
  6. Укажите имя таблицы маршрутизации: vpn-route.
  7. В блоке Статические маршруты нажмите кнопку Добавить маршрут.
  8. В открывшемся окне:

    • В поле Префикс назначения введите 10.129.0.0/24.

      Если в качестве тестовой ВМ вы будете использовать локальный компьютер, укажите CIDR его подсети.

    • В поле Next hop укажите внутренний IP-адрес IPSec-шлюза.

    • Нажмите кнопку Добавить.

  9. Нажмите кнопку Создать таблицу маршрутизации.

Привяжите таблицу маршрутизации ко всем подсетям

Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации ко всем подсетям в сети network на облачной площадке.

  1. В консоли управления перейдите в каталог, где требуется настроить маршрутизацию.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. На панели слева выберите Подсети.
  4. В строке с подсетью subnet-a нажмите и выберите Привязать таблицу маршрутизации.
  5. В открывшемся окне в поле Таблица маршрутизации выберите созданную ранее таблицу vpn-route.
  6. Нажмите кнопку Привязать.
  7. Повторите шаги 4-6 для привязки таблицы маршрутизации vpn-route к подсетям subnet-b и subnet-d.

Создайте сетевой балансировщик

Сетевой балансировщик будет распределять входящий трафик интернет-сервиса между ВМ, объединенными в целевую группу.

Чтобы создать сетевой балансировщик:

  1. В консоли управления перейдите в каталог, где требуется создать балансировщик.

  2. В списке сервисов выберите Network Load Balancer.

  3. Нажмите кнопку Создать сетевой балансировщик.

  4. Задайте имя балансировщика — web-service-lb.

  5. В поле Публичный адрес выберите Список и укажите публичный статический адрес.

  6. В блоке Обработчики нажмите кнопку Добавить обработчик. В открывшемся окне:

    1. Введите имя обработчика web-service-lb-listener.
    2. В поле Порт укажите 80.
    3. В поле Целевой порт укажите 80.
    4. Нажмите кнопку Добавить.

  7. В блоке Целевые группы нажмите Добавить целевую группу.

    1. В поле Целевая группа выберите Создать целевую группу. В открывшемся окне:

      1. Задайте имя целевой группы: web-tg.
      2. Выберите виртуальные машины web-node-a, web-node-b и web-node-d.
      3. Нажмите кнопку Создать.

    2. Выберите созданную целевую группу web-tg.

  8. В блоке с созданной целевой группой:

    1. Нажмите кнопку Настроить.
    2. В открывшемся окне в поле Тип выберите TCP и нажмите кнопку Применить.

  9. Нажмите кнопку Создать.

Проверьте работоспособность инфраструктуры

Проверьте работоспособность инфраструктуры и убедитесь, что трафик к ВМ интернет-сервиса не поступает извне:

  1. На удаленном компьютере выполните команду:

    curl <публичный_IP-адрес_сетевого_балансировщика>

    Убедитесь, что ответ от сервера не поступил. Это означает, что сетевой трафик к серверам Drupal запрещен.

  2. Добавьте в группу безопасности web-service-sg два новых правила для входящего трафика:

    Описание

    Диапазон портов

    Протокол

    Источник /
    Назначение

    CIDR блоки

    http-external-vm

    80

    TCP

    CIDR

    <публичный_IP-адрес_удаленной_ВМ>/32

    https-external-vm

    443

    TCP

    CIDR

    <публичный_IP-адрес_удаленной_ВМ>/32

    Добавленные правила разрешают доступ с публичного адреса ВМ на удаленной площадке к ВМ целевой группы сетевого балансировщика.

  3. Снова выполните на удаленном компьютере команду:

    curl <публичный_IP-адрес_сетевого_балансировщика>

    Убедитесь, что в качестве ответа вернулся HTML-код стартовой страницы Drupal. Это означает, что добавленные в группу безопасности правила разрешили сетевой доступ к виртуальным машинам Drupal с IP-адреса удаленного компьютера.

Как удалить созданные ресурсы

Чтобы перестать платить за развернутые ресурсы:

  1. Удалите виртуальные машины.
  2. Удалите сетевой балансировщик.
  3. Удалите зарезервированные статические публичные IP-адреса.
  4. При необходимости удалите таблицу маршрутизации, группы безопасности, подсети и сети.
Предыдущая
Все руководства
Следующая
Реализация отказоустойчивых сценариев для сетевых виртуальных машин