Запустили Yandex Cloud Router, обновили Yandex VPC и Yandex Cloud DNS

Yandex Cloud Router предназначен для управления маршрутизацией трафика между облачными сетями (VPC), локальной инфраструктурой и выделенными серверами Yandex BareMetal. Сервис находится на стадии Preview и тесно интегрирован с сервисом Yandex Cloud Interconnect.

Yandex Cloud Router помогает строить гибридную инфраструктуру: вы можете объединить облачные сети VPC, локальную инфраструктуру и серверы Yandex BareMetal в единый сетевой сегмент. Управлять маршрутизацией можно через консоль, CLI и API.

Одно из ключевых преимуществ сервиса — возможность построения отказоустойчивой инфраструктуры. Yandex Cloud Router автоматически переключает трафик между площадками без ручного вмешательства. Сервис формирует нужные сетевые топологии, комбинируя ресурсы VPC, BareMetal и локальной инфраструктуры:

Какие сценарии поддерживает Yandex Cloud Router

Можно организовать сетевую связность между подсетями Yandex BareMetal и локальной инфраструктурой.

Также можно объединить несколько облачных сетей VPC и ресурсов локальной инфраструктуры в единый сетевой контур.

Кроме того, есть возможность настроить сетевую связность между несколькими облачными сетями VPC без дополнительного оборудования.

Обновления Yandex VPC и Yandex Cloud DNS

Мы существенно обновили сетевые сервисы Yandex Virtual Private Cloud и Yandex Cloud DNS. Новые функции повышают безопасность доступа к ресурсам.

Yandex VPC Private Endpoint

Сейчас в Yandex Cloud больше 75 сервисов. С точки зрения сетевой связности их можно разделить на две большие группы:

• Сервисы, которые подключаются к подсетям VPC — например, Yandex Compute Cloud или Network Load Balancer. Такие сервисы условно можно назвать внутренними.
• Сервисы, которые не подключаются к VPC — например, Yandex Object Storage, Yandex AI Studio или Cloud Registry. Такие сервисы по отношению к VPC можно условно назвать внешними, хотя все они используют одну и ту же инфраструктуру.

У таких внешних сервисов есть особенности:

• обязательное использование публичных IP-адресов для доступа к сервису;
• требуется развёртывание дополнительных ресурсов для организации сетевой связности внутри VPC — например, NAT-шлюзы;
• организация доступа к таким сервисам не всегда соответствует регламентам безопасности клиентов.

Yandex VPC Private Endpoint позволяет организовать прямую IP-связность от ресурсов в VPC к таким внешним сервисам без использования публичных IP-адресов. Это обеспечивает прямую доступность ресурсов в рамках VPC и даёт возможность гибко управлять разграничением доступа и уровнем безопасности.

Разберем на примере подключения к Yandex Object Storage. Так выглядит подключение к нему без Yandex VPC Private Endpoint:

А так обеспечивается доступ с использованием Yandex VPC Private Endpoint:

Логически сервисное подключение можно разделить на две части:

• Клиентская часть (Private Endpoint, PE) отвечает за представление сервиса в VPC и реализуется внутри сервиса Yandex VPC. Эта общая часть для всех типов сервисных подключений.
• Сервисная часть (Provider) отвечает за взаимодействие с клиентской частью и реализуется на стороне сервиса. Эта часть уникальна для каждого сервиса и типа сервисного подключения.

Что это даёт пользователям

По сути Yandex VPC Private Endpoint организует безопасное отказоустойчивое и масштабируемое сетевое соединение между ресурсами в VPC и внешним сервисом без использования публичных IP-адресов (задействуются только внутренние IP-адреса).

Yandex VPC Private Endpoint можно пользоваться не только внутри VPC, но и из вашей локальной инфраструктуры — при условии, что она подключена с помощью сервиса Cloud Interconnect или VPN‑туннеля через публичный интернет. Это актуально и при подключении выделенных серверов Yandex BareMetal — VPC PE позволяет реализовать безопасное сетевое соединение с локальной инфраструктурой.

Мы активно развиваем номенклатуру сервисных подключений, и теперь сервисные подключения доступны для многих других наших сервисов:

• Cloud Registry — сервис для безопасного хранения артефактов программного обеспечения, которые используются при разработке и развертывании приложений.
• Yandex AI Studio — платформа для создания ИИ-приложений и агентов.
• Yandex Managed Service for Trino — сервис для управления распределенным аналитическим SQL-движком Trino в инфраструктуре Yandex Cloud.
• Serverless Containers — сервис для запуска контейнеров без Kubernetes^®.
• Cloud Functions — сервис для запуска кода в виде функции в безопасном окружении без создания и обслуживания виртуальных машин.
• Yandex API Gateway.
• Yandex AI Studio MCP Gateway.

DNS‑фильтры

Инструмент для фильтрации нежелательных DNS-запросов от облачных ресурсов с помощью белых и черных списков.

Как это работает

Запросы на нежелательные FQDN, которые содержатся в черном списке, отфильтровываются сервисом Yandex Cloud DNS. IP-трафик к IP-адресам за этими FQDN не блокируется.

Какие возможности это даёт

• Блокировка вредоносных ресурсов — фишинговых сайтов, доменов с вредоносным ПО, подозрительных новых доменов.
• Блокировка нежелательных ресурсов — социальных сетей, стриминговых сервисов. Это позволяет придерживаться корпоративной политики и дополнительного контроля трафика.

DNS-фильтры уже доступны через API, CLI, Terraform.

DNS Inbound

Использование этой функциональности позволяет отправлять DNS-запросы из локальной инфраструктуры напрямую в сервис Yandex Cloud DNS и получать ответы на них из внутренних зон DNS.

Иными словами, эта функция нужна, чтобы дать возможность ресурсам в вашей локальной инфраструктуре обращаться напрямую в сервис Yandex Cloud DNS без развёртывания и настройки дополнительных облачных ресурсов, делая доступ к ресурсам в VPC удобным, единообразным и управляемым.

Вот как это реализовано без DNS Inbound:

А вот так — с DNS Inbound:

Польза использования DNS Inbound:

• Доступ к облачным ресурсам по именам

  Вы можете обращаться к ресурсам по понятным доменным именам, а не IP-адресам — даже если сервисы находятся в приватной облачной сети.

• Единое DNS-пространство

  В локальной среде и в облаке используются одинаковые DNS-записи — нет дублирования и рассинхронизации.

• Упрощение гибридной архитектуры

  При связке через VPN или Cloud Interconnect DNS Inbound позволяет on-premises-системам «видеть» облачные сервисы как локальные.

• Безопасность

  Можно выполнять DNS-разрешение внутренних имён из внешних сетей.

DNS Inbound уже доступен через API, CLI и Terraform.