Терминирование TLS-соединений с помощью консоли управления
- Подготовьте облако к работе
- Необходимые платные ресурсы
- Создайте облачную сеть
- Зарезервируйте статический публичный IP-адрес
- Создайте группы безопасности
- Импортируйте TLS-сертификат сайта в Certificate Manager
- Создайте группу ВМ для сайта
- Создайте группу бэкендов
- Создайте и настройте HTTP-роутер
- Создайте L7-балансировщик
- Настройте DNS для сайта
- Проверьте работу хостинга
- Как удалить созданные ресурсы
- См. также
Чтобы создать инфраструктуру для терминирования TLS-соединений c помощью консоли управления:
- Подготовьте облако к работе.
- Создайте облачную сеть.
- Зарезервируйте статический публичный IP-адрес
- Создайте группы безопасности.
- Импортируйте TLS-сертификат сайта в Certificate Manager.
- Создайте группу ВМ для сайта.
- Создайте группу бэкендов.
- Создайте и настройте HTTP-роутер.
- Создайте L7-балансировщик.
- Настройте DNS для сайта.
- Проверьте работу хостинга.
В качестве примера используется доменное имя my-site.com
.
Если созданные ресурсы вам больше не нужны, удалите их.
Подготовьте облако к работе
Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:
- Перейдите в консоль управления
, затем войдите в Yandex Cloud или зарегистрируйтесь. - На странице Yandex Cloud Billing
убедитесь, что у вас подключен платежный аккаунт, и он находится в статусеACTIVE
илиTRIAL_ACTIVE
. Если платежного аккаунта нет, создайте его и привяжите к нему облако.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака
Подробнее об облаках и каталогах.
Необходимые платные ресурсы
В стоимость поддержки инфраструктуры для терминирования TLS-соединений входят:
- плата за постоянно запущенные ВМ (см. тарифы Yandex Compute Cloud);
- плата за использование публичного статического IP-адреса (см. тарифы Yandex Virtual Private Cloud);
- плата за использование вычислительных ресурсов L7-балансировщика (см. тарифы Application Load Balancer);
- плата за публичные DNS-запросы и зоны DNS, если вы используете Yandex Cloud DNS (см. тарифы Cloud DNS).
Создайте облачную сеть
Все ресурсы, созданные в сценарии, будут относиться к одной облачной сети.
Чтобы создать сеть:
- В консоли управления
выберите сервис Virtual Private Cloud. - Нажмите кнопку Создать сеть.
- Укажите Имя сети:
mysite-network
. - В поле Дополнительно выберите опцию Создать подсети.
- Нажмите кнопку Создать сеть.
Зарезервируйте статический публичный IP-адрес
Для работы виртуального хостинга потребуется статический публичный IP-адрес, который будет назначен L7-балансировщику.
Чтобы зарезервировать IP-адрес:
- В консоли управления
выберите сервис Virtual Private Cloud. - Откройте вкладку IP-адреса. Нажмите кнопку Зарезервировать адрес.
- В открывшемся окне выберите зону доступности
ru-central1-a
. Нажмите кнопку Зарезервировать.
Создайте группы безопасности
Группы безопасности содержат правила, которые разрешают балансировщику получать входящий трафик и отправлять его на ВМ, а ВМ — получать этот трафик. В сценарии будут созданы две группы безопасности: для балансировщика и для всех ВМ.
Чтобы создать группы безопасности:
-
В консоли управления
выберите сервис Virtual Private Cloud. -
Откройте вкладку Группы безопасности.
-
Создайте группу безопасности для балансировщика:
- Нажмите кнопку Создать группу безопасности.
- Укажите Имя группы безопасности:
mysite-sg-balancer
. - Выберите Сеть
mysite-network
. - В блоке Правила создайте следующие правила по инструкции под таблицей:
Направление
трафикаОписание Диапазон портов Протокол Источник /
назначениеCIDR блоки Исходящий
any
Весь
Любой
CIDR
0.0.0.0/0
Входящий
ext-http
80
TCP
CIDR
0.0.0.0/0
Входящий
ext-https
443
TCP
CIDR
0.0.0.0/0
Входящий
healthchecks
30080
TCP
Проверки состояния балансировщика
— - Выберите вкладку Исходящий трафик или Входящий трафик.
- Нажмите кнопку Добавить правило.
- В открывшемся окне в поле Диапазон портов укажите один порт или диапазон портов, куда или откуда будет поступать трафик.
- В поле Протокол укажите нужный протокол или оставьте
Любой
, чтобы разрешить передачу трафика по всем протоколам. - В поле Назначение или Источник выберите назначение правила:
CIDR
— правило будет применено к диапазону IP-адресов. В поле CIDR блоки укажите CIDR и маски подсетей, в которые или из которых будет поступать трафик. Чтобы добавить несколько CIDR, нажимайте кнопку Добавить CIDR.Группа безопасности
— правило будет применено к ВМ из текущей группы или из выбранной группы безопасности.Проверки состояния балансировщика
— правило, которое позволяет балансировщику проверять состояние ВМ.
- Нажмите кнопку Сохранить. Таким образом создайте все правила из таблицы.
- Нажмите кнопку Сохранить.
-
Аналогично для ВМ создайте группу безопасности
mysite-sg-vms
и сетьюmysite-network
со следующими правилами:Направление
трафикаОписание Диапазон портов Протокол Источник /
назначениеCIDR блоки Входящий
balancer
80
TCP
Группа безопасности
mysite-sg-balancer
Входящий
ssh
22
TCP
CIDR
0.0.0.0/0
Импортируйте TLS-сертификат сайта в Certificate Manager
Чтобы пользователи могли обращаться к сайту по защищенному протоколу HTTPS (HTTP over TLS), для него должен быть выпущен TLS-сертификат. Для использования в L7-балансировщике сертификат нужно импортировать в Certificate Manager.
Если у вашего сайта нет сертификата, вы можете получить в Certificate Manager сертификат от Let's Encrypt®. В этом случае дополнительных действий после создания сертификата не потребуется: он — импортируется автоматически.
Чтобы импортировать уже имеющийся сертификат для сайта my-site.com
:
- В консоли управления
выберите сервис Certificate Manager. - Нажмите кнопку Добавить сертификат и выберите пункт Пользовательский сертификат.
- Укажите Имя сертификата:
mysite-cert
. - В поле Сертификат нажмите кнопку Добавить сертификат. Загрузите Файл с вашим сертификатом или укажите его Содержимое и нажмите кнопку Добавить.
- Если ваш сертификат выпущен сторонним центром сертификации, в поле Цепочка промежуточных сертификатов нажмите кнопку Добавить цепочку. Загрузите Файл с цепочкой сертификатов или укажите его Содержимое и нажмите кнопку Добавить.
- В поле Приватный ключ нажмите кнопку Добавить приватный ключ. Загрузите Файл с ключом или укажите его Содержимое и нажмите кнопку Добавить.
- Нажмите кнопку Создать.
Создайте группу ВМ для сайта
Чтобы создать группу ВМ для сайта my-site.com
:
-
В консоли управления
выберите сервис Compute Cloud. -
Откройте вкладку Группы виртуальных машин. Нажмите кнопку Создать группу виртуальных машин.
-
Укажите имя группы ВМ:
mysite-ig
. -
В блоке Распределение выберите несколько зон доступности, чтобы обеспечить отказоустойчивость хостинга.
-
В блоке Шаблон виртуальной машины нажмите кнопку Задать.
-
В блоке Образ загрузочного диска откройте вкладку Marketplace и нажмите кнопку Показать все продукты Marketplace. Выберите продукт LEMP и нажмите кнопку Использовать.
-
В блоке Вычислительные ресурсы:
- Выберите платформу ВМ.
- Укажите необходимое количество vCPU и объем RAM.
Для функционального тестирования сайта хватит минимальной конфигурации:
- Платформа —
Intel Cascade Lake
. - Гарантированная доля vCPU —
5%
. - vCPU —
2
. - RAM —
1 ГБ
.
-
В блоке Сетевые настройки выберите Сеть
mysite-network
, созданную ранее, и ее подсети. -
Выберите группу безопасности
mysite-sg-vms
, созданную ранее. -
Укажите данные для доступа на ВМ:
-
В поле Логин введите имя пользователя.
-
В поле SSH-ключ вставьте содержимое файла открытого ключа.
Пару ключей для подключения по SSH необходимо создать самостоятельно, см. раздел о подключении к ВМ по SSH.
Внимание
IP-адрес и имя хоста (FQDN) для подключения к ВМ назначаются ей при создании. Если вы выбрали вариант Без адреса в поле Публичный адрес, вы не сможете обращаться к ВМ из интернета.
-
-
Нажмите кнопку Сохранить.
-
В блоке Масштабирование укажите Размер группы ВМ — 2.
-
В блоке Интеграция с Application Load Balancer выберите опцию Создать целевую группу и укажите имя группы ВМ —
mysite-tg
. Подробнее о целевых группах. -
Нажмите кнопку Создать.
Создайте группу бэкендов
Целевую группу, созданную вместе с группой ВМ, нужно привязать к группе бэкендов с настройками распределения трафика.
Для бэкендов в группе будут созданы проверки состояния: балансировщик будет периодически отправлять проверочные запросы к ВМ и ожидать ответа в течение определенного периода.
Чтобы создать группу бэкендов для сайта my-site.com
:
- В консоли управления
выберите сервис Application Load Balancer. - Откройте вкладку Группы бэкендов. Нажмите кнопку Создать группу бэкендов.
- Укажите Имя группы бэкендов:
my-site-bg
. - В блоке Бэкенды нажмите кнопку Добавить.
- Укажите Имя бэкенда:
mysite-backend
. - В поле Целевые группы выберите группу
mysite-tg
. - Укажите Порт, на котором ВМ бэкенда будут принимать входящий трафик от балансировщика:
80
. - Нажмите кнопку Добавить проверку состояния.
- Укажите Порт, на котором ВМ бэкенда будут принимать проверочные соединения:
80
. - Укажите Путь, к которому будет обращаться балансировщик при проверке состояния:
/
. - Нажмите кнопку Создать.
Создайте и настройте HTTP-роутер
Группу бэкендов нужно привязать к HTTP-роутеру с правилами маршрутизации.
Чтобы создать HTTP-роутер:
- В консоли управления
выберите сервис Application Load Balancer. - Откройте вкладку HTTP-роутеры. Нажмите кнопку Создать HTTP-роутер.
- Укажите Имя HTTP-роутера:
mysite-router
. - Нажмите кнопку Добавить виртуальный хост.
- Укажите Имя виртуального хоста:
mysite-host
. - В поле Authority укажите доменное имя сайта:
my-site.com
. - Нажмите кнопку Добавить маршрут.
- Укажите Имя маршрута:
mysite-route
. - В поле Группа бэкендов выберите группу
my-site-bg
. - Нажмите кнопку Создать.
Создайте L7-балансировщик
- В консоли управления
выберите сервис Application Load Balancer. - Нажмите кнопку Создать L7-балансировщик.
- Укажите Имя балансировщика:
mysite-alb
. - В блоке Сетевые настройки выберите группу безопасности
mysite-sg-balancer
, созданную ранее. - Создайте обработчик для перенаправления HTTP-запросов на HTTPS:
- В блоке Обработчики нажмите кнопку Добавить обработчик.
- Укажите Имя обработчика:
listener-http
. - В блоке Публичный IP-адрес выберите тип
Список
и IP-адрес, зарезервированный ранее. - В поле Протокол выберите пункт
Перенаправлять на HTTPS
.
- Создайте обработчик HTTPS-запросов:
- Снова нажмите кнопку Добавить обработчик.
- Укажите Имя обработчика:
listener-https
. - В блоке Публичный IP-адрес выберите тип
Список
и IP-адрес, зарезервированный ранее. - В поле Протокол выберите пункт
HTTPS
. - В блоке Основной обработчик выберите сертификат
mysite-cert
и HTTP-роутерmysite-router
. - Добавьте обработчик SNI для сайта
my-site.com
: - Нажмите кнопку Добавить обработчик SNI.
- Укажите Имя обработчика SNI:
mysite-sni
. - В поле Имена серверов укажите
my-site.com
. - Выберите сертификат
mysite-cert
и HTTP-роутерmysite-router
.
- Нажмите кнопку Создать.
Настройте DNS для сайта
Доменное имя my-site.com
должно быть связано с IP-адресом L7-балансировщика с помощью записей DNS. Чтобы это сделать:
-
В консоли управления
выберите сервис Application Load Balancer. -
Скопируйте IP-адрес созданного балансировщика.
-
На сайте компании, которая предоставляет вам услуги DNS-хостинга, перейдите в настройки DNS.
-
Создайте или измените A-запись для
my-site.com
таким образом, чтобы она указывала на скопированный IP-адрес:my-site.com. A <IP-адрес_L7-балансировщика>
Если вы пользуетесь Yandex Cloud DNS, настройте запись по следующей инструкции:
Инструкция по настройке DNS-записей для Cloud DNS
Чтобы получить доступ к именам из публичной зоны, вам нужно делегировать домен. Укажите адреса серверов
ns1.yandexcloud.net
иns2.yandexcloud.net
в личном кабинете вашего регистратора.- В консоли управления
выберите сервис Cloud DNS. - Если у вас нет публичной зоны DNS, создайте ее:
- Нажмите кнопку Создать зону.
- Укажите Имя зоны:
tls-termination-dns
. - В поле Зона укажите доменное имя сайта с точкой в конце:
my-site.com.
- Выберите Тип зоны —
Публичная
. - Нажмите кнопку Создать.
- Создайте запись в зоне:
- В списке зон нажмите на зону
tls-termination-dns
. - Нажмите кнопку Создать запись.
- Поле Имя оставьте пустым, чтобы запись соответствовала доменному имени
my-site.com
(а не имени с субдоменом, напримерwww.my-site.com
). - Выберите Тип записи — A.
- В поле Значение вставьте скопированный IP-адрес балансировщика.
- Нажмите кнопку Создать.
- В списке зон нажмите на зону
- В консоли управления
После настройки DNS, проверьте работу хостинга.
Проверьте работу хостинга
Чтобы проверить работу хостинга:
-
Создайте главную страницу сайта — файл
index.html
Пример файла index.html
<!DOCTYPE html> <html> <head> <title>My site</title> </head> <body> <h1>This is my site</h1> </body> </html>
-
Загрузите файл
index.html
на каждую ВМ:-
В блоке Сеть на странице виртуальной машины в консоли управления
найдите публичный IP-адрес виртуальной машины. -
Подключитесь к виртуальной машине по протоколу SSH.
-
Выдайте права на запись для вашего пользователя на директорию
/var/www/html
:UbuntuCentOSsudo chown -R "$USER":www-data /var/www/html
sudo chown -R "$USER":apache /var/www/html
-
Загрузите на ВМ файлы веб-сайта с помощью протокола SCP
.Linux/macOSWindowsИспользуйте утилиту командной строки
scp
:scp -r <путь_до_директории_с_файлами> <имя_пользователя_ВМ>@<IP-адрес_виртуальной_машины>:/var/www/html
С помощью программы WinSCP
скопируйте локальную директорию с файлами в директорию/var/www/html
на ВМ.
-
-
В браузере откройте сайт по адресу
http://my-site.com
— должно произойти перенаправление на страницуhttps://my-site.com
, где уже подключен TLS-сертификат из Certificate Manager.
Как удалить созданные ресурсы
Чтобы перестать платить за созданные ресурсы:
- Удалите L7-балансировщик
mysite-alb
. - Удалите HTTP-роутер
mysite-router
. - Удалите группу бэкендов
my-site-bg
. - Удалите группу ВМ
mysite-ig
. - Удалите зарезервированный статический публичный IP-адрес.
- Если вы использовали Cloud DNS, то удалите DNS-записи и удалите DNS-зону.