Получение сведений, необходимых для включения ресурса в белый список Минцифры
В периоды ограничений работы мобильного интернета на территории Российской Федерации операторы связи продолжают обеспечивать доступность ряда социально значимых ресурсов для конечных пользователей. Перечень этих социально значимых ресурсов составляет так называемый «белый список», формируемый и регулярно обновляемый Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры).
Если вы хотите включить ваши ресурсы в белый список Минцифры и ваши ресурсы построены на инфраструктуре и с использованием сервисов Yandex Cloud, вам потребуется информация о публичных IP-адресах, которые выделены в инфраструктуре Yandex Cloud для доступа конечных пользователей к вашим ресурсам.
Как определить IP-адрес вашего ресурса в инфраструктуре Yandex Cloud
Все публичные адреса ваших ресурсов, которые вы хотите включить в белый список, должны быть зарезервированы за вами и только за вами. В качестве подтверждения вашего права пользования IP-адресами вы можете приложить соответствующий скриншот из консоли управления.
Важно
Не рекомендуем передавать в Минцифры диапазоны IP-адресов. Рекомендуется передавать отдельные IP-адреса, то есть адреса, имеющие индекс /32 в нотации CIDR.
Как узнать публичный IP-адрес ресурса в Yandex Cloud
В экосистеме Yandex Cloud ряд сервисов выделяют под некоторые ресурсы пользователей индивидуальные публичные IP-адреса. В перечень таких ресурсов входят:
- Виртуальные машины в сервисе Yandex Compute Cloud. Узнать публичный IP-адрес виртуальной машины вы можете с помощью инструкции Получить информацию о виртуальной машине.
- Физические серверы в сервисе Yandex BareMetal. Узнать публичный IP-адрес сервера BareMetal вы можете с помощью инструкции Получить информацию о сервере.
- Кластеры Kubernetes и узлы кластера в сервисе Yandex Managed Service for Kubernetes. Узнать публичный IP-адрес кластера Kubernetes и узлов вы можете с помощью инструкций Информация об имеющихся кластерах Managed Service for Kubernetes и Получите публичный IP-адрес узла.
- L7-балансировщики нагрузки в сервисе Yandex Application Load Balancer. Узнать публичный IP-адрес L7-балансировщика вы можете с помощью инструкции Получить информацию об L7-балансировщике.
- Внешние сетевые балансировщики нагрузки в сервисе Yandex Network Load Balancer. Узнать публичный IP-адрес внешнего сетевого балансировщика вы можете с помощью инструкции Получить детальную информацию о сетевом балансировщике.
- Прокси-серверы в сервисе Yandex Smart Web Security. Узнать публичный IP-адрес прокси-сервера вы можете в консоли управления.
- Сервис Yandex Cloud CDN при использовании провайдера Yandex Cloud CDN позволяет получить выделенную IP-адресацию для CDN-ресурсов, распространяемых через все точки присутствия. Чтобы получить выделенный IP-адрес, закрепленный только за вашим CDN-ресурсом, направьте обращение в службу технической поддержки Yandex Cloud.
Совет
Узнать публичные IP-адреса, назначенные вашим ресурсам в инфраструктуре Yandex Cloud, вы всегда можете у AI-ассистента. Подробнее читайте в инструкции Управление ресурсами Yandex Cloud с помощью AI-ассистента.
Другие сервисы Yandex Cloud не выделяют под ресурсы пользователей индивидуальных публичных IP-адресов, а трафик пользователя к таким ресурсам поступает на единый служебный IP-адрес сервиса и обрабатывается параллельно с трафиком других пользователей.
Как зарезервировать публичный IP-адрес, чтобы не потерять его
Публичные IP-адреса бывают динамическими и статическими. Динамический IP-адрес может измениться при остановке и последующем запуске ресурса, за которым этот адрес закреплен (например, виртуальной машины Compute Cloud). Статический IP-адрес резервируется за пользователем и может использоваться его ресурсами на постоянной основе. Подробнее читайте в разделе Публичные адреса.
Для добавления в белый список Минцифры подходят только статические (зарезервированные) публичные IP-адреса. Зарезервировать статический публичный IP-адрес можно как до, так и после создания ресурса. Подробнее читайте в инструкциях:
Чтобы зарезервированный публичный IP-адрес не мог быть случайно удален, защитите его от удаления. Подробнее читайте в инструкции Настроить защиту от удаления.
Приведенные рекомендации позволяют заранее выделить список используемых вашими ресурсами IP-адресов, защитить их от удаления и затем использовать по мере необходимости.
Что делать, если для ресурса в Yandex Cloud не выделен отдельный публичный IP-адрес
Может возникнуть ситуация, когда в белый список Минцифры требуется добавить ресурс в инфраструктуре Yandex Cloud, который не входит в приведенный выше перечень и которому не может быть назначен собственный публичный IP-адрес (например, бакет Yandex Object Storage).
В подобной ситуации вы можете добавить дополнительный промежуточный элемент на пути трафика к вашему приложению — L7-балансировщик нагрузки. При такой схеме запросы пользователей будут сначала поступать на балансировщик, имеющий свой собственный выделенный IP-адрес, который можно добавить в белый список Минцифры, и уже из балансировщика запросы будут направляться на нужный вам ресурс в инфраструктуре Yandex Cloud.
Такая схема реализации доступа к ресурсу имеет дополнительные преимущества: к L7-балансировщику нагрузки вы можете подключить профиль безопасности Smart Web Security, который дополнительно защитит ваши ресурсы от DDoS-атак и ботов на уровне приложений (L7).
Примеры решений по использованию балансировщиков нагрузки для обеспечения доступа к приложениям:
- Создание распределенной инфраструктуры с защищенным доступом
- Интеграция L7-балансировщика с Cloud CDN и Object Storage
- Создание балансировщика с защитой от DDoS
- Создание L7-балансировщика Yandex Application Load Balancer с профилем безопасности Yandex Smart Web Security
- Создание L7-балансировщика с профилем безопасности Smart Web Security через Ingress-контроллер Application Load Balancer
- Экстренная защита сервисов в Application Load Balancer от DDoS на уровне L7
- Отказоустойчивый сайт с балансировкой нагрузки через Yandex Application Load Balancer
- Организация виртуального хостинга
- Защита сервиса с помощью Smart Web Security