Связаться с намиПодключиться

Организация сетевой связности между подсетями Yandex BareMetal и On-Prem с помощью Cloud Interconnect

Статья создана
Улучшена
Обновлена 22 мая 2025 г.

В данном руководстве вы установите сетевую связность между сервером BareMetal, расположенным в приватной подсети Yandex BareMetal, и ресурсами, которые развернуты в On-Prem. Сетевая связность будет организована с помощью сервисов Cloud Interconnect и Cloud Router.

Схема решения:

На схеме выше показана организация сетевого взаимодействия между ресурсами в сегменте Yandex BareMetal и удаленными ресурсами клиента на своей площадке, которая подключена к Yandex Cloud с помощью сервиса Cloud Interconnect.

При необходимости организации сетевого взаимодействия между вышеперечисленными ресурсами и виртуальной сетью VPC клиента, нужно добавить соответствующие IP-префиксы подсетей VPC в Routing Instance. Подробнее с организацией такого вида сетевого взаимодействия можно ознакомиться в документации.

Примечание

Предполагается, что сетевое взаимодействие между On-Prem и виртуальной сетью VPC с помощью сервиса Cloud Interconnect уже организовано и работает.

AK: Подготовительный шаг. Разобрать предыдущий документ про связность между BMS и VPC на части и собрать его снова через include. Полученные запчасти использовать при сборке этого документа (п.п. 1,2 плана точно).

AK: Фактически нужно сделать следующее:

  1. Создать облачную инфраструктуру на стороне BMS (сервера, VRF, приватная сеть).
  2. Подключить VRF к уже существующему RI.
  3. Добавить агрегирующие маршруты (по одному для On-Prem и BMS сегментов).
  4. Дождаться применения изменений в Interconnect.
  5. Проверить связность между BMS и On-Prem ресурсами.

Чтобы настроить сетевую связность между приватными подсетями BareMetal и On-Prem с помощью Cloud Interconnect необходимо:

  1. Подготовьте облако к работе.
  2. Создайте облачную инфраструктуру.
  3. Создайте Routing Instance.
  4. Создайте приватное соединение.
  5. Настройте Routing Instance
  6. Проверьте сетевую связность.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки инфраструктуры для организации сетевой связности между подсетями BareMetal и VPC входят:

Создайте облачную инфраструктуру

Создайте необходимую инфраструктуру Yandex Cloud, в которой вы будете настраивать сетевую связность.

Для настройки Cloud Interconnect в сервисе BareMetal понадобятся приватная маршрутизируемая подсеть и VRF в BareMetal, облачная сеть с одной или более подсетями Virtual Private Cloud, а также Routing Instance, в составе которого будут анонсированы один или несколько префиксов приватных подсетей VPC.

Для проверки сетевой связности понадобятся сервер BareMetal и виртуальная машина Compute Cloud.

Создайте VRF и приватную подсеть BareMetal

Создайте виртуальный сегмент сети (VRF) и приватную подсеть в пуле серверов ru-central1-m3:

  1. В консоли управления выберите каталог, в котором вы будете создавать инфраструктуру.
  2. В списке сервисов выберите BareMetal.
  3. Создайте виртуальный сегмент сети:
    1. На панели слева выберите VRF и нажмите кнопку Создать VRF.
    2. В поле Имя задайте имя VRF: my-vrf.
    3. Нажмите кнопку Создать VRF.
  4. Создайте приватную подсеть:
    1. На панели слева выберите Приватные подсети и нажмите кнопку Создать подсеть.
    2. В поле Пул выберите пул серверов ru-central1-m3.
    3. В поле Имя задайте имя подсети: subnet-m3.
    4. Включите опцию IP-адресация и маршрутизация.
    5. В поле Виртуальный сетевой сегмент (VRF) выберите созданный ранее сегмент my-vrf.
    6. В поле CIDR укажите 192.168.1.0/24.
    7. В поле Шлюз по умолчанию оставьте значение по умолчанию 192.168.1.1.
    8. Включите опцию Назначение IP-адресов по DHCP и в появившемся поле Диапазон IP-адресов оставьте значения по умолчанию: 192.168.1.1192.168.1.254.
    9. Нажмите кнопку Создать подсеть.

Арендуйте сервер BareMetal

  1. В консоли управления выберите каталог, в котором вы создаете инфраструктуру.

  2. В списке сервисов выберите BareMetal и нажмите кнопку Заказать сервер.

  3. В поле Пул выберите пул серверов ru-central1-m3.

  4. В блоке Конфигурация выберите подходящую конфигурацию сервера.

  5. (Опционально) В блоке Диск настройте разметку дисков:

    1. Нажмите кнопку Настроить разделы диска.

    2. Укажите параметры разделов. Чтобы создать новый раздел, нажмите кнопку Добавить раздел.

      Примечание

      Чтобы самостоятельно собрать RAID-массивы и настроить разделы дисков, нажмите кнопку Разобрать RAID.

    3. Нажмите кнопку Сохранить.

  6. В блоке Образ выберите образ. Например: Ubuntu 24.04.

  7. В блоке Условия аренды выберите период, на который арендуете сервер. По окончании указанного периода аренда сервера будет автоматически продлена на такой же период.

  8. В блоке Сетевые настройки:

    1. В поле Приватная подсеть выберите созданную ранее подсеть subnet-m3.
    2. В поле Публичный адрес выберите Без адреса.

  9. В блоке Доступ:

    1. В поле Пароль воспользуйтесь одним из вариантов создания пароля для root-пользователя:

      • Чтобы сгенерировать пароль для root-пользователя, выберите опцию Новый пароль и нажмите кнопку Сгенерировать.

        Важно

        Этот вариант предусматривает ответственность пользователя за безопасность пароля. Сохраните сгенерированный пароль в надежном месте: он не сохраняется в Yandex Cloud, и после заказа сервера вы не сможете посмотреть его.

      • Чтобы использовать пароль root-пользователя, сохраненный в секрете Yandex Lockbox, выберите опцию Секрет Lockbox:

        В полях Имя, Версия и Ключ выберите соответственно секрет, его версию и ключ, в которых сохранен ваш пароль.

        Если у вас еще нет секрета Yandex Lockbox, нажмите кнопку Создать, чтобы создать его.

        Этот вариант позволяет вам как задать собственный пароль (тип секрета Пользовательский), так и использовать пароль, сгенерированный автоматически (тип секрета Генерируемый).

    2. В поле Открытый SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      • Нажмите кнопку Добавить ключ.
      • Задайте имя SSH-ключа.
      • Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к серверу по SSH необходимо создать самостоятельно.
      • Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации.

      Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя операционной системы создаваемого сервера BareMetal.

  10. В блоке Информация о сервере в поле Имя задайте имя сервера: server-m3.

  11. Нажмите кнопку Заказать сервер.

Примечание

Подготовка сервера и установка на него операционной системы может занять до 45 минут — в это время сервер будет находиться в статусе Provisioning. После завершения установки ОС сервер перейдет в статус Ready.

Создайте Routing Instance

Для организации сетевой связности между подсетями BareMetal и подсетями on-prem необходимо создать ресурс Routing Instance. Routing Instance можно создать через обращение в службу технической поддержки.

Если в вашем каталоге уже есть настроенная сетевая связность с использованием Cloud Interconnect (VPC-to-On-Prem), то вы можете как использовать уже существующий Routing Instance, так и запросить создание нового, дополнительного Routing Instance для организации обособленной сетевой связности.

Проверьте наличие Routing Instance в вашем каталоге

  1. Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

    По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  2. Проверьте наличие Routing Instance в каталоге по умолчанию:

    Выполните команду:

    yc cloudrouter routing-instance list

    Если в вашем каталоге уже есть Routing Instance, команда выведет такой результат:

    +----------------------+------------------+--------+-----------------------+
|          ID          |       NAME       | STATUS | PRIVATE CONNECTION ID |
+----------------------+------------------+--------+-----------------------+
| cf35oot8f0eu******** | routing-instance | ACTIVE | cf395uf8dg7h********  |
+----------------------+------------------+--------+-----------------------+

  3. Если у вас уже есть Routing Instance, вы можете пропустить следующий шаг и переходить к созданию приватного соединения.

    Если у вас нет Routing Instance или вы хотите построить дополнительную, обособленную сетевую связность, запросите создание нового Routing Instance.

Запросите создание Routing Instance

Обратитесь в службу технической поддержки для создания Routing Instance в вашем каталоге.

Оформите ваше обращение следующим образом:

Тема: [CIC для BareMetal] Создать Routing Instance.

Текст обращения:
Прошу Создать Routing Instance в указанном облачном каталоге со следующими параметрами:

folder_id: <идентификатор_каталога>

vpc:
  vpc_net_id: <идентификатор_сети>
    vpc_subnets: 
      ru-central1-a: [CIDR_a1, CIDR_a2, ..., CIDR_an]
      ru-central1-b: [CIDR_b1, CIDR_b2, ..., CIDR_bn]
      ru-central1-d: [CIDR_d1, CIDR_d2, ..., CIDR_dn]

Где:

Примечание

Создание Routing Instance службой технической поддержки может занять до 24 часов. В результате вы сможете получить идентификатор созданного Routing Instance, выполнив команду Yandex Cloud CLI yc cloudrouter routing-instance list.

Создайте приватное соединение

После того как в вашем каталоге будет создан необходимый Routing Instance, создайте приватное соединение Cloud Interconnect в сервисе BareMetal:

  1. В консоли управления выберите каталог, в котором вы хотите создать приватное соединение.

  2. В списке сервисов выберите BareMetal.

  3. На панели слева выберите VRF и выберите нужный виртуальный сегмент сети.

  4. В блоке Приватное соединение с облачными сетями нажмите кнопку Настроить соединение и в открывшемся окне:

    1. В поле Способ настройки выберите вариант Указать идентификатор и в поле Идентификатор соединения вставьте идентификатор приватного соединения Routing Instance.

      Вы также можете выбрать вариант Выбрать из каталога. В этом случае в появившемся списке вы сможете выбрать нужный Routing Instance.

      В результате в форме отобразятся CIDR подсетей BareMetal и Virtual Private Cloud, которые будут анонсироваться в Cloud Interconnect.

      Важно

      Для успешной настройки сетевой связности между подсетями BareMetal и подсетями VPC/on-prem, их диапазоны адресов, заданные CIDR, не должны совпадать или пересекаться.

    2. Чтобы создать приватное соединение с указанными CIDR подсетей, нажмите кнопку Сохранить.

В результате на странице с информацией о VRF в блоке Приватное соединение с облачными сетями отобразится идентификатор созданного соединения и его статус.

Примечание

Создание приватного соединения может занять до двух рабочих дней — в это время соединение будет находиться в статусе Creating. После создания статус соединения изменится на Ready.

Приватное соединение c облачными сетями может находиться в одном из следующих статусов:

  • CREATING — соединение создается.
  • READY — соединение сконфигурировано и готово к работе.
  • ERROR — возникла проблема с приватным соединением, для устранения необходимо обратиться в поддержку.
  • DELETING — соединение удаляется.
  • UPDATING — настройки приватного соединения обновляются.

Проверьте сетевую связность

После того как статус созданного приватного соединения изменится на Ready, сетевая связность между подсетями BareMetal и VPC будет установлена и вы сможете приступить к ее проверке.

Проверка сетевой связности предполагает, что:

  • процесс настройки приватного соединения с облачными подсетями успешно завершен (статус соединения отображается как Ready);
  • локальный сервис Firewall на сервере BareMetal разрешает прохождение трафика ICMP;
  • маршрутная таблица в операционной системе сервера BareMetal содержит маршрут до CIDR подсети с виртуальной машиной;
  • группа безопасности, которая назначена сетевому интерфейсу виртуальной машины, разрешает прохождение ICMP-трафика.

Проверьте сетевую связность из приватной подсети BareMetal к ресурсам в On-Prem

  1. В консоли управления выберите каталог, в котором вы создали инфраструктуру.

  2. В списке сервисов выберите BareMetal.

  3. В строке с сервером server-m3 нажмите значок и выберите KVM-консоль.

    Откроется окно с терминалом KVM-консоли, в котором вы увидите строку аутентификации:

    server-m3 login:

    Если вы не видите этой строки, попробуйте перезапустить сервер.

  4. В терминале KVM-консоли введите имя пользователя root и нажмите ENTER.

  5. В строке для ввода пароля вставьте сгенерированный при аренде сервера пароль и нажмите ENTER. Обратите внимание, что при наборе или вставке пароля в ОС Linux введенные символы не отображаются на экране.

    Совет

    Чтобы в KVM-консоли вставить текст из буфера обмена, воспользуйтесь полем Paste text here в правом верхнем углу.

    Результат:

    Welcome to Ubuntu 24.04.2 LTS (GNU/Linux 6.8.0-53-generic x86_64)
...
root@server-m3:~# _

    Если вы не сохранили пароль администратора к серверу, вы можете создать новый пароль по инструкции или переустановить на сервере операционную систему.

  6. В терминале KVM-консоли выполните команду ping, чтобы убедиться в доступности виртуальной машины sample-vm по ее внутреннему IP-адресу:

    ping <внутренний_IP-адрес_ВМ> -c 5

    Узнать внутренний IP-адрес ВМ вы можете в консоли управления в блоке Сетевой интерфейс на странице с информацией о ВМ.

    Результат:

    PING 192.168.11.2 (192.168.11.2) 56(84) bytes of data.
64 bytes from 192.168.11.2: icmp_seq=1 ttl=64 time=3.90 ms
64 bytes from 192.168.11.2: icmp_seq=2 ttl=64 time=0.235 ms
64 bytes from 192.168.11.2: icmp_seq=3 ttl=64 time=0.222 ms
64 bytes from 192.168.11.2: icmp_seq=4 ttl=64 time=0.231 ms
64 bytes from 192.168.11.2: icmp_seq=5 ttl=64 time=0.235 ms

--- 192.168.11.2 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4086ms
rtt min/avg/max/mdev = 0.222/0.964/3.899/1.467 ms

    Сетевая связность между сервером BareMetal и виртуальной машиной установлена, пакеты проходят без потерь.

Проверьте сетевую связность от ресурса в On-Prem до приватной подсети BareMetal

  1. Подключитесь к виртуальной машине по SSH.

  2. В терминале выполните команду ping, чтобы убедиться в доступности сервера server-m3 по его приватному IP-адресу:

    ping <приватный_IP-адрес_сервера> -c 5

    Узнать приватный IP-адрес сервера BareMetal вы можете в консоли управления в блоке Сетевые настройки на странице с информацией о сервере.

    Результат:

    PING 192.168.1.3 (192.168.1.3) 56(84) bytes of data.
64 bytes from 192.168.1.3: icmp_seq=1 ttl=64 time=0.271 ms
64 bytes from 192.168.1.3: icmp_seq=2 ttl=64 time=0.215 ms
64 bytes from 192.168.1.3: icmp_seq=3 ttl=64 time=0.262 ms
64 bytes from 192.168.1.3: icmp_seq=4 ttl=64 time=0.223 ms
64 bytes from 192.168.1.3: icmp_seq=5 ttl=64 time=0.208 ms

--- 192.168.1.3 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4106ms
rtt min/avg/max/mdev = 0.208/0.235/0.271/0.025 ms

    Сетевая связность между виртуальной машиной и сервером BareMetal установлена, пакеты проходят без потерь.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите виртуальную машину.

  2. Удалить сервер BareMetal нельзя. Вместо этого откажитесь от продления аренды сервера.

  3. При необходимости удалите приватное соединение:

    1. В консоли управления выберите каталог, в котором вы создали инфраструктуру.
    2. В списке сервисов выберите BareMetal.
    3. На панели слева выберите VRF и выберите виртуальный сегмент сети my-vrf.
    4. В блоке Приватное соединение с облачными сетями нажмите и выберите Отключить соединение.
    5. В открывшемся окне подтвердите удаление.

    В результате статус соединения сменится на Deleting. После того как все связи будут удалены, соединение пропадет из списка.

Предыдущая
Организация сетевой связности между приватной подсетью BareMetal и сетью Virtual Private Cloud
Следующая
Изменение набора IP-префиксов VPC в Routing Instance