Сеть в Yandex Data Transfer
При создании эндпоинтов некоторых типов вы можете выбрать облачную подсеть. Указанная подсеть будет использоваться трансфером для доступа к хостам эндпоинта источника или приемника.
Подсеть может быть указана в настройках эндпоинта вручную (для On-Premise эндпоинтов), либо выбрана автоматически в случае эндпоинтов MDB. Такая подсеть называется выбранной подсетью. Сеть, которой принадлежит выбранная подсеть, называется выбранной сетью.
Если хосты в настройках эндпоинта указаны в виде доменных имен, то для их разрешения в IP-адреса будут использоваться DNS-серверы, указанные в настройках DHCP выбранной подсети. Все DNS-серверы подсети должны разрешать доменное имя хоста в IP-адрес, иначе трансфер может не запуститься, т. к. для разрешения имен службы трансфера используют произвольный DNS-сервер подсети. Подробнее см. в разделе IP-адреса и доменные имена в настройках эндпоинтов.
Подсети, выбранные для обоих эндпоинтов одного трансфера, должны принадлежать одной и той же зоне доступности.
Подсети кластеров MDB
Подсеть можно указать только для эндпоинтов с типом подключения On-Premise. Если в настройках эндпоинта указан не хост, а ID кластера MDB, для доступа к эндпоинту будет автоматически выбрана одна из подсетей, к которым подключен кластер базы данных.
Примечание
В случае, если оба эндпоинта трансфера являются кластерами MDB, и подсети источника и приемника не пересекаются по зонам доступности, трансфер запустить не получится. Существует два обходных пути в такой ситуации:
- добавить хост в один из кластеров, выбрав для него подходящую зону доступности;
- настроить один из эндпоинтов как On-Premise и выбрать для него любую подсеть с зоной доступности, соответствующей одной из зон другого эндпоинта. Если подходящей подсети нет, создайте новую подсеть в нужной зоне и укажите ее в настройках On-Premise эндпоинта.
Диапазоны IP-адресов подсетей
При трансфере между хостами источника и приемника, находящимися внутри Yandex Cloud в разных подсетях, диапазоны IP-адресов этих подсетей не должны пересекаться. Например, к ошибке приведет использование хостами подсетей с такими диапазонами:
network-1/subnet-aс IPv4 CIDR10.130.0.0/24.network-2/subnet-bс IPv4 CIDR10.130.0.0/24.
Примечание
Для успешного запуска трансфера в диапазоне адресов подсети, выбранной для эндпоинта, должен оставаться хотя бы один свободный IP-адрес.
Доступность и принадлежность IP-адресов
IP-адрес принадлежит сети, если он принадлежит любому из CIDR любой из подсетей данной сети. Например, если есть сеть my-network с подсетями my-network-a (CIDR 192.168.0.0/24) и my-network-b (CIDR 192.168.1.0/24), то адреса 192.168.0.100 и 192.168.1.50 принадлежат сети my-network, а адрес 1.2.3.4 — нет.
IP-адрес доступен через подсеть, если он принадлежит сети данной подсети, либо в сети, которой принадлежит данная подсеть, корректно настроена маршрутизация для данного IP-адреса. Адреса 192.168.0.100 и 192.168.1.50 будут доступны через подсеть my-network-a (равно как и через my-network-b). Адрес 1.2.3.4 будет доступен через данные подсети только в следующих случаях:
- в сети
my-networkнастроен NAT-шлюз — в таком случае трафик будет направлен в интернет; - в сети
my-networkнастроен статический маршрут, который обрабатывает указанный адрес1.2.3.4. В этом случае трафик будет направлен на указанный в маршруте next-hop адрес.
IP-адреса и доменные имена в настройках эндпоинтов
В случае, если хост в настройках эндпоинта указан в виде IP-адреса, выбранная для эндпоинта подсеть будет использована для доступа к кластеру, даже если указанный IP-адрес не принадлежит выбранной для эндпоинта сети.
Если используется On-Premise эндпоинт с хостом, указанным в виде доменного имени, либо используется эндпоинт MDB, то для разрешения имени хоста в IP-адрес будет использован DNS-сервер, указанный в настройках DHCP выбранной подсети, либо DNS-сервер по умолчанию (второй адрес в диапазоне подсети). Для успешной работы трансфера адрес, в который разрешается доменное имя хоста, должен принадлежать выбранной для эндпоинта сети, а адрес DNS-сервера должен быть доступен через выбранную подсеть.
Группы безопасности
На выбранную для эндпоинта подсеть можно назначить группы безопасности. В случае, если сетевой доступ к хостам источника или приёмника ограничен группами безопасности, можно обеспечить сетевую связность между Yandex Data Transfer и вашей СУБД, не добавляя разрешающих правил для широких диапазонов IP-адресов в ваши группы безопасности, и точечно разрешить доступ из конкретных групп. Вы можете разрешить доступ к хостам вашей СУБД одним из следующих способов:
- создайте разрешающее правило
selfв группе безопасности, защищающей хосты источника или приемника, и укажите эту группу безопасности в настройках эндпоинта; - создайте новую группу безопасности для эндпоинта и создайте разрешающие правила между группами безопасности эндпоинта и СУБД.
Примечание
Не забудьте разрешить исходящий трафик на нужный порт для группы безопасности, указанной в эндпоинте.
Трансфер между источником из внешней сети и приемником в Yandex Cloud
Обеспечить доступ к источнику, который находится во внешней сети, можно одним из следующих способов:
- настроив источник таким образом, чтобы к нему можно было подключиться из интернета;
- с помощью Yandex Cloud Interconnect;
- с помощью промежуточной ВМ, на которой настроена маршрутизация трафика в Virtual Private Cloud.
Если вам необходимо мигрировать данные между Yandex Cloud и сторонним облаком, разрешите входящие подключения к базе данных в стороннем облаке из интернета с IP-адресов, используемых сервисом Data Transfer.
Для запуска трансферов, для работы которых необходим доступ в интернет, нужно обладать ролью data-transfer.admin. Для создания эндпоинтов, в настройках которых указана подсеть, надо назначить пользователю роль vpc.user на каталог, в котором находится подсеть.