Продумайте структуру сети заранее, после создания ВМ с NGFW новые интерфейсы добавить не получится.
Упрощаем работу с виртуальными машинами в Yandex Cloud: пять полезных функций
Как защитить инфраструктуру от сбоев, увеличить объём хранилища и изменить сетевую конфигурацию без остановки сервисов? Рассказываем о пяти важных обновлениях для бесперебойной работы ваших проектов.
14 ноября 2024 г.
15 минут чтения
Каждую минуту у нас запускается около десяти новых виртуальных машин (ВМ). Всего на платформе их работает 250 тысяч — от простых тестовых стендов до масштабных бизнес‑проектов. Одни живут несколько часов, другие — годами.
За полный цикл работы ВМ отвечает команда Compute. Специалисты развивают сервис для управления одиночными и групповыми ВМ, следят за их запуском на физических серверах, собирают данные о производительности и устраняют последствия сбоев. Ещё одна важная задача — подобрать подходящее «железо» под нужды ВМ пользователя и оптимально распределить ресурсы облака.
Команда представила ряд улучшений в работе ВМ. Все они отвечают ключевым требованиям бизнеса к продакшн‑среде: надёжности, гибкости управления и простоте обслуживания. В этой статье руководитель службы виртуальных машин Yandex Cloud Михаил Бобров рассказывает о ключевых обновлениях.
«Горячая» настройка сети без перезагрузки
Специальный сегмент сети, предназначенный для безопасной публикации сервисов в интернете. DMZ‑сегмент изолирует публичные сервисы от внутренней сети, обеспечивая дополнительный уровень безопасности.
Используются для защиты и сегментации облачной сети с выделением DMZ‑зоны для размещения публичных приложений.
Представьте: вам срочно нужно добавить новый сетевой сегмент к защищённой сети или изменить маршрутизацию, но останавливать рабочие сервисы нельзя. Теперь это не проблема: в четвёртом квартале 2024 года мы представили новую PCI‑топологию, которая позволяет менять сетевую конфигурацию на работающих серверах.
Одна ВМ теперь может работать как полноценное сетевое устройство. К ней подключаются до 80 дисков и 32 сетевых интерфейса — система справится с функциями межсетевого экрана, маршрутизатора или балансировщика нагрузки. При этом количество подключаемых устройств не зависит от размера системы.
Мы позаботились о защите от сбоев. Новый модуль yc‑route‑switcher автоматически перенаправит трафик на резервный сервер за одну минуту, если основной откажет. А для защиты DMZ‑сегмента создали решение с двумя межсетевыми экранами Next‑Generation Firewall в разных зонах доступности. Если один выйдет из строя, второй продолжит работу.
Для тех, кому важна комплексная защита инфраструктуры, мы разработали специальное решение на базе Check Point NGFW. Оно разделяет сеть на безопасные зоны и защищает от вторжений, вирусов и ботов. Доступно на маркетплейсе Yandex Cloud как по подписке, так и для работы с вашей лицензией.
Новое свойство ВМ — «поколение оборудования». Оно описывает базовые характеристики виртуализации: PCI‑топологию, настройки BIOS и другие технические параметры. Текущее поколение legacy скоро уступит место generation2 с расширенными возможностями. Не беспокойтесь о настройках, они сохранятся при создании резервных копий ВМ.
Увеличение объёма дисков без остановки работы серверов
Ресурсы кластера, предоставляющие долговременное хранилище данных, которое не зависит от жизненного цикла подов (pods).
Если закончилось место на диске, теперь можно увеличить его объём без остановки ВМ и работающих на ней сервисов. Это особенно важно для бизнес‑критичных систем, где каждая минута простоя может стоить денег.
Новая функция будет полезна компаниям, которые используют Kubernetes®. Мы уже встроили её в Yandex Managed Service for Kubernetes®, она работает автоматически для всех классов хранилища. А если вы используете собственную инсталляцию Kubernetes, то сможете подключить больше постоянных томов к каждому узлу и динамически менять их размер для любого приложения.
Гибкие политики обслуживания
У нас появились гибкие политики обслуживания, которые помогут сохранить непрерывность работы ваших сервисов.
Мы заранее сообщим вам о плановых работах через метаданные и API. Вы сможете выбрать оптимальный сценарий:
-
«Живую» миграцию без остановки сервисов
-
Быстрый перезапуск
При миграции задержка составит всего несколько секунд — ваши клиенты даже не заметят переезда на другой сервер.
Перед началом работ можно взять паузу. За это время команда спокойно перенесёт нагрузку или корректно остановит сервисы. Стандартным ВМ для этого хватает минуты. А для ресурсоёмких задач, например дообучения нейросетей на GPU, мы увеличили окно до 24 часов.
Владельцы выделенных серверов получили дополнительные преимущества. Теперь они сами могут выбрать удобное время для технических работ. При обслуживании мы предоставим подменный сервер, на который автоматически переедут все ВМ. Исключение — машины с локальными дисками, их придётся перезапустить вручную.
Настроить политики можно через командную строку или Terraform.
Важно: функция недоступна для прерываемых ВМ, которые могут быть остановлены в любой момент.
Безопасное хранение данных
Подход к управлению доступом, который позволяет настраивать разрешения на уровне отдельных ресурсов или действий, а не предоставлять полный доступ ко всем ресурсам сразу.
Мы предлагаем встроенное шифрование дисков ВМ, которое защитит ваши данные от несанкционированного доступа.
Чтобы настроить защиту, создайте ВМ от имени пользователя или сервисного аккаунта с доступом к ключу шифрования. Дальше система возьмёт безопасность под свой контроль. Благодаря гранулярному доступу криптографические ключи будут доступны только авторизованным пользователям и сервисам.
Такой подход особенно важен для организаций, которые работают с персональными данными или коммерческой тайной. Банки защищают финансовую информацию клиентов, медицинские учреждения — истории болезней пациентов, а бизнес — коммерческие тайны. Единый центр управления ключами поможет контролировать доступ к данным и предотвратит утечки информации.
Упрощённое подключение по SSH
Криптографические ключи, используемые для аутентификации при подключении по протоколу SSH. Они представляют собой пару ключей: приватный ключ, который хранится у пользователя, и открытый ключ, который размещается на сервере.
Управлять доступом к ВМ стало удобнее: появилось центральное хранилище SSH‑ключей — единый профиль OS Login. Теперь вам не придётся вспоминать, где хранятся ключи, и добавлять их в метаданные каждой машины по отдельности. Достаточно один раз сохранить ключ в профиле.
Новый подход не только упрощает работу, но и повышает безопасность. Централизованное хранение защищает ключи от потери и снижает риск взлома. При этом система остаётся гибкой: вы можете использовать ключи как через метаданные, так и напрямую через профиль OS Login.
Это обновление особенно ценно для начинающих пользователей. Больше не нужно разбираться в тонкостях настройки SSH при создании ВМ, платформа всё сделает сама. И даже если у вас нет профиля OS Login, вы всегда сможете скопировать ключи в метаданные ВМ.
Что в итоге
Работа с ВМ стала проще. В продакшн‑средах большинство новых изменений пройдёт без остановки сервисов. Протестируйте наши обновления самостоятельно в консоли.
