Связаться с намиПодключиться

Создание L7-балансировщика Application Load Balancer с профилем безопасности Yandex Smart Web Security с помощью консоли управления

Статья создана
Обновлена 14 августа 2025 г.

Чтобы создать L7-балансировщик с профилем безопасности Smart Web Security с помощью консоли управления Yandex Cloud:

  1. Подготовьте облако к работе.
  2. Подготовьте инфраструктуру.
  3. Создайте профиль безопасности.
  4. Подключите профиль безопасности к виртуальному хосту.
  5. Настройте DNS.
  6. Протестируйте работу профиля безопасности.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки инфраструктуры для L7-балансировщика с профилем безопасности Smart Web Security входят:

Подготовьте инфраструктуру

Разверните инфраструктуру Application Load Balancer, а также ВМ с тестовым веб-сервером.

Создайте следующие ресурсы:

Сохраните публичный IP-адрес L7-балансировщика, он понадобится для проверки профиля безопасности.

Совет

Чтобы обеспечить доступность вашего сервиса при высоких нагрузках, рекомендуем настроить автомасштабирование L7-балансировщика.

Создайте профиль безопасности

Профиль безопасности является основным элементом сервиса Smart Web Security и состоит из набора правил, каждое из которых содержит условия для фильтрации входящих пользовательских запросов к защищаемому ресурсу.

Чтобы создать профиль безопасности:

  1. В консоли управления выберите каталог, в котором вы хотите создать профиль.

  2. В списке сервисов выберите Smart Web Security.

  3. Нажмите кнопку Создать профиль и выберите По преднастроенному шаблону.

    Преднастроенный профиль содержит:

    Совет

    Создание преднастроенного профиля с полной защитой Smart Protection является предпочтительным. Рекомендуем использовать его, чтобы обеспечить наибольшую безопасность защищаемого ресурса.

  4. Введите имя профиля, например test-sp1.

  5. В поле Действие для базового правила по умолчанию выберите Запретить. Таким образом, если не будет задано других правил, весь трафик к защищаемому ресурсу будет запрещен.

  6. Нажмите кнопку Добавить правило.

  7. В окне создания правила:

    1. Введите имя правила, например test-rule1.

    2. Задайте приоритет правила, например 999800. Правило будет иметь больший приоритет, чем преднастроенные.

      Примечание

      Чем меньше значение параметра, тем больший приоритет у правила. Приоритеты преднастроенных правил:

      • базовое правило по умолчанию — 1000000;
      • правило Smart Protection с полной защитой — 999900.

    3. Выберите тип правила — Базовое.

    4. Выберите действие — Разрешить.

      В правиле будут описаны условия, при которых запросы будут направлены к бэкенду тестового приложения.

    5. В поле Условия выберите IP.

    6. В появившемся поле Условия на IP выберите опцию Совпадает или принадлежит диапазону и задайте публичный IP-адрес устройства, с которого вы будете отправлять запросы L7-балансировщику, например 158.160.100.200.

    7. Нажмите кнопку Добавить.

      В блоке Правила безопасности в таблице появится созданное вами правило.

  8. Нажмите кнопку Создать.

Подключите профиль безопасности к виртуальному хосту

  1. В консоли управления выберите каталог, в котором вы хотите подключить профиль безопасности к виртуальному хосту сервиса Application Load Balancer.

  2. В списке сервисов выберите Smart Web Security.

  3. Выберите профиль test-sp1.

  4. Нажмите кнопку Подключить к хосту.

  5. В открывшемся окне выберите:

    • Балансировщик test-load-balancer.
    • HTTP-роутер test-http-router.
    • Виртуальный хост test-virtual-host.

  6. Нажмите кнопку Подключить.

    На вкладке Подключенные хосты появится подключенный виртуальный хост.

Настройте DNS

  1. Добавьте ресурсную А-запись в публичную DNS-зону вашего домена, указав в ней значения:

    • Имя записи — адрес вашего домена, заканчивающийся на точку. Например: example.com. или my.first.example.com..
    • Значение — IP-адрес L7-балансировщика. Чтобы узнать IP-адрес, воспользуйтесь инструкцией Получить информацию об L7-балансировщике.

    Эта запись перенаправит запросы, которые будут поступать на ваш домен, на IP-адрес L7-балансировщика.

    Примечание

    Если ваш домен делегирован Yandex Cloud DNS, создайте ресурсную запись по инструкции. В остальных случаях воспользуйтесь личным кабинетом вашего регистратора доменных имен. Если нужна помощь, обратитесь к документации регистратора или в его поддержку.

  2. В настройках вашего сервера запретите все соединения и разрешите только соединения для IP-адресов Yandex Cloud.

Протестируйте работу профиля безопасности

  1. Откройте терминал устройства, IP-адрес которого вы указали в разрешающем правиле.

  2. Отправьте запрос на бэкенд тестового приложения:

    curl --verbose <публичный_IP-адрес_L7-балансировщика>

    В результате должно быть выведено содержимое директории с тестовым веб-сервером.

  3. Повторите запрос с другого IP-адреса. В результате должно быть выведено сообщение о невозможности установить соединение с сервером.

Примечание

Проверка правил Smart Protection не проводится. При такой проверке параметры подозрительных запросов, в том числе IP-адреса, заносятся в черный список.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите профиль безопасности.
  2. Удалите L7-балансировщик.
  3. Удалите HTTP-роутер.
  4. Удалите группу бэкендов.
  5. Удалите целевую группу.
  6. Удалите ВМ.
  7. Удалите зону DNS, если вы создавали ее в Yandex Cloud DNS.

См. также

Предыдущая
Обзор
Следующая
Terraform