Связаться с намиПодключиться

Маршрутизация через NAT-инстанс с помощью консоли управления

Статья создана
Улучшена
Обновлена 6 марта 2025 г.

Чтобы настроить маршрутизацию через NAT-инстанс с помощью консоли управления Yandex Cloud:

  1. Подготовьте облако к работе.
  2. Создайте группу безопасности.
  3. Создайте тестовую ВМ.
  4. Создайте NAT-инстанс.
  5. Настройте статическую маршрутизацию в облачной сети.
  6. Проверьте работу NAT-инстанса.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки NAT-инстанса входят:

Подготовьте инфраструктуру

  1. Создайте облачную сеть, например my-vpc.

  2. В облачной сети создайте подсети, например:

    • public-subnet, в которой будет размещен NAT-инстанс.
    • private-subnet, в которой будет размещена тестовая ВМ.

Создайте группу безопасности

Группы безопасности содержат правила, которые разрешают обращаться к ВМ по SSH. В сценарии будет создана группа безопасности nat-instance-sg.

Чтобы создать группу безопасности:

  1. В консоли управления выберите сервис Virtual Private Cloud.

  2. Откройте вкладку Группы безопасности.

  3. Создайте группу безопасности:

    1. Нажмите кнопку Создать группу безопасности.

    2. В поле Имя укажите имя группы: nat-instance-sg.

    3. В поле Сеть выберите сеть my-vpc.

    4. В блоке Правила создайте следующие правила по инструкции под таблицей:

      Направление
      трафика      		 Описание Диапазон портов Протокол Назначение /
      Источник      		 CIDR блоки
      Исходящий any Весь Любой CIDR 0.0.0.0/0
      Входящий ssh 22 TCP CIDR 0.0.0.0/0
      Входящий ext-http 80 TCP CIDR 0.0.0.0/0
      Входящий ext-https 443 TCP CIDR 0.0.0.0/0

    5. Выберите вкладку Исходящий трафик или Входящий трафик.

    6. Нажмите кнопку Добавить правило.

    7. В открывшемся окне в поле Диапазон портов укажите один порт или диапазон портов, куда или откуда будет поступать трафик. Чтобы открыть все порты, нажмите Выбрать весь диапазон.

    8. В поле Протокол укажите нужный протокол или оставьте Любой, чтобы разрешить передачу трафика по всем протоколам.

    9. В поле Назначение или Источник выберите CIDR — правило будет применено к диапазону IP-адресов. В поле CIDR блоки укажите 0.0.0.0/0.

    10. Нажмите кнопку Сохранить. Таким образом создайте все правила из таблицы.

    11. Нажмите кнопку Сохранить.

Создайте тестовую виртуальную машину

  1. В консоли управления выберите каталог, в котором будет создана ВМ.

  2. В списке сервисов выберите Compute Cloud.

  3. На панели слева выберите Виртуальные машины.

  4. Нажмите кнопку Создать виртуальную машину.

  5. В блоке Образ загрузочного диска выберите один из образов и версию операционной системы на базе Linux.

  6. В блоке Расположение выберите зону доступности, где находится подсеть private-subnet.

  7. В блоке Сетевые настройки:

    • В поле Подсеть выберите подсеть для тестовой ВМ, например private-subnet.
    • В поле Публичный IP-адрес выберите Без адреса.
    • В поле Группы безопасности выберите созданную ранее группу nat-instance-sg.
    • Разверните блок Дополнительно и в поле Внутренний IPv4 адрес выберите Автоматически.

  8. В блоке Доступ выберите SSH-ключ и укажите данные для доступа к ВМ:

    • В поле Логин введите имя пользователя, например, yc-user.

    • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      • Нажмите кнопку Добавить ключ.
      • Задайте имя SSH-ключа.
      • Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.
      • Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации.

      Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя создаваемой виртуальной машины.

  9. В блоке Общая информация задайте имя ВМ: test-vm.

  10. Нажмите кнопку Создать ВМ.

Сохраните имя пользователя, закрытый SSH-ключ и внутренний IP-адрес тестовой ВМ.

Создайте NAT-инстанс

  1. В консоли управления выберите каталог, в котором будет создана ВМ.

  2. В списке сервисов выберите Compute Cloud.

  3. На панели слева выберите Виртуальные машины.

  4. Нажмите кнопку Создать виртуальную машину.

  5. В блоке Образ загрузочного диска перейдите на вкладку Marketplace и выберите образ NAT-инстанс.

  6. В блоке Расположение выберите зону доступности, где находится подсеть public-subnet.

  7. В блоке Сетевые настройки:

    • В поле Подсеть выберите подсеть для NAT-инстанса, например public-subnet.
    • В поле Публичный IP-адрес выберите Автоматически.
    • В поле Группы безопасности выберите созданную ранее группу nat-instance-sg.
    • Разверните блок Дополнительно и в поле Внутренний IPv4 адрес выберите Автоматически.

  8. В блоке Доступ выберите SSH-ключ и укажите данные для доступа к ВМ:

    • В поле Логин введите имя пользователя, например, yc-user.

    • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      • Нажмите кнопку Добавить ключ.
      • Задайте имя SSH-ключа.
      • Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.
      • Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации.

      Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя создаваемой виртуальной машины.

  9. В блоке Общая информация задайте имя ВМ: nat-instance.

  10. Нажмите кнопку Создать ВМ.

Сохраните имя пользователя, закрытый SSH-ключ, внутренний и публичный IP-адреса NAT-инстанса.

Настройте статическую маршрутизацию

Примечание

При создании NAT-инстанса автоматически настраивается только один сетевой интерфейс. Остальные интерфейсы можно включить вручную. Назначьте каждому новому интерфейсу IP-адрес и пропишите для него маршрут в таблице маршрутизации. В каждой подсети корректным шлюзом будет первый IP-адрес. Например, для подсети 192.168.0.128/25 первым адресом в подсети будет — 192.168.0.129.

  1. Создайте таблицу маршрутизации и добавьте в нее статический маршрут:

    1. В консоли управления выберите каталог, в котором хотите создать статический маршрут.

    2. В списке сервисов выберите Virtual Private Cloud.

    3. На панели слева выберите Таблицы маршрутизации.

    4. Нажмите кнопку Создать.

    5. В поле Имя задайте имя таблицы маршрутизации, например nat-instance-route. Требования к имени:

      • длина — от 2 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    6. В поле Cеть выберите сеть, например my-vpc.

    7. В блоке Статические маршруты нажмите Добавить маршрут.

    8. В открывшемся окне в поле Префикс назначения введите 0.0.0.0/0.

    9. В поле Next hop выберите IP-адрес.

    10. В поле IP-адрес укажите внутренний IP-адрес NAT-инстанса. Нажмите кнопку Добавить.

    11. Нажмите кнопку Создать таблицу маршрутизации.

  2. Привяжите таблицу маршрутизации к подсети, где находится тестовая ВМ, например private-subnet:

    1. На панели слева выберите Подсети.
    2. Нажмите в строке подсети с тестовой ВМ и выберите Привязать таблицу маршрутизации.
    3. В открывшемся окне в поле Привязка таблицы маршрутизации выберите таблицу nat-instance-route и нажмите Привязать.

Созданный маршрут можно применять и к другим подсетям в той же сети, кроме подсети, где находится NAT-инстанс.

Важно

Не привязывайте таблицу маршрутизации к подсети, в которой находится NAT-инстанс. В противном случае будут возникать маршрутные петли, при которых NAT-инстанс будет направлять пакеты не в локальную сеть, а сам себе.

Проверьте работу NAT-инстанса

  1. Подключитесь к тестовой ВМ через внутренний IP-адрес, используя NAT-инстанс в роли джамп-хоста:

    ssh -J <имя_пользователя_NAT-инстанса>@<публичный_IP-адрес_NAT-инстанса> \
  <имя_пользователя_ВМ>@<внутренний_IP-адрес_ВМ>

    Также подключиться к тестовой ВМ можно с помощью перенаправления стандартного ввода-вывода (флаг -W) для «проброса» соединения через NAT-инстанс:

    ssh -o ProxyCommand="ssh -i <путь/имя_файла_ключа_NAT> -W %h:%p <имя_пользователя_NAT>@<публичный_IP-адрес_NAT>" \
  -i <путь/имя_файла_ключа_ВМ> <имя_пользователя_ВМ>@<внутренний_IP-адрес_ВМ>

    Используйте эту команду для подключения в следующих случаях:

    • на ВМ используется версия OpenSSH ниже 7.3;
    • ваши SSH-ключи хранятся в отличном от директории по умолчанию месте или имеют нестандартные имена.

  2. Введите yes для подключения к NAT-инстансу и повторно введите yes для подключения к тестовой ВМ.

    Примечание

    При вводе yes команда может не отображаться в терминале, но сработает.

  3. Убедитесь, что тестовая ВМ получает доступ в интернет через публичный IP-адрес NAT-инстанса. Выполните команду:

    curl ifconfig.co

    Если команда вернет публичный IP-адрес NAT-инстанса, все настроено правильно.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите тестовую ВМ и NAT-инстанс.
  2. Удалите группу безопасности.
  3. Удалите статический публичный IP-адрес, если вы его зарезервировали.

См. также

Предыдущая
Обзор
Следующая
Terraform