Связаться с намиПодключиться

Настройте безопасную сетевую конфигурацию

Статья создана
Обновлена 9 августа 2024 г.

Зарезервируйте два статических публичных IP-адреса

Для работы интернет-сервиса потребуются два статических публичных IP-адреса: один будет назначен VPN-шлюзу, а другой — сетевому балансировщику.

  1. В консоли управления откройте сервис Virtual Private Cloud в каталоге, где требуется зарезервировать IP-адреса.
  2. Откройте вкладку IP-адреса. Нажмите кнопку Зарезервировать адрес.
  3. В открывшемся окне выберите зону доступности ru-central1-b. Нажмите кнопку Зарезервировать.
  4. Снова нажмите Зарезервировать адрес.
  5. В открывшемся окне выберите зону доступности ru-central1-a. Нажмите кнопку Зарезервировать.

Создайте ВМ для сервиса во всех зонах доступности

  1. В консоли управления откройте ваш каталог и нажмите кнопку Создать ресурс. Выберите пункт Виртуальная машина.
  2. Укажите имя виртуальной машины: web-node-a.
  3. Выберите зону доступности ru-central1-a.
  4. В блоке Образ загрузочного диска перейдите на вкладку Marketplace, нажмите кнопку Показать все продукты Marketplace и выберите образ Drupal.
  5. В блоке Сетевые настройки выберите подсеть subnet-a. В блоке Публичный адрес выберите Без адреса.
  6. В поле Доступ укажите логин и SSH-ключ для доступа к ВМ.
  7. Нажмите кнопку Создать ВМ.
  8. Повторите операции для ВМ web-node-b и web-node-d. Создайте их в зонах ru-central1-b и ru-central1-d, и подключите к подсетям subnet-b и subnet-d соответственно.

Создайте IPSec-инстанс для удаленного доступа

Для организации защищенного доступа к вашим ресурсам создайте IPSec-инстанс.

  1. В консоли управления откройте ваш каталог и нажмите кнопку Создать ресурс. Выберите пункт Виртуальная машина.
  2. Укажите имя виртуальной машины: vpc.
  3. Выберите зону доступности ru-central1-a.
  4. В блоке Образ загрузочного диска перейдите на вкладку Marketplace, нажмите кнопку Показать все продукты Marketplace и выберите образ IPSec-инстанс.
  5. В блоке Сетевые настройки выберите подсеть subnet-a. В блоке Публичный адрес выберите из списка зарезервированный IP-адрес.
  6. В поле Доступ укажите логин и SSH-ключ для доступа к ВМ.
  7. Нажмите кнопку Создать ВМ.

Настройте маршрутизацию для VPN

Настройте маршрутизацию между удаленной сетью и IPSec-инстансом. В примере будет использоваться подсеть 192.168.0.0/24.

Создайте таблицу маршрутизации

Создайте таблицу маршрутизации и добавьте в нее статические маршруты:

  1. В консоли управления откройте раздел Virtual Private Cloud в каталоге, где требуется настроить маршрутизацию.
  2. Выберите сеть, в которой требуется создать таблицу маршрутизации.
  3. На панели слева выберите Таблицы маршрутизации.
  4. Нажмите кнопку Создать.
  5. Задайте имя таблицы маршрутизации: vpn-route.
  6. Нажмите кнопку Добавить маршрут.
  7. В открывшемся окне введите префикс подсети назначения на удаленной площадке, в примере это 192.168.0.0/24.
  8. В поле Next hop укажите внутренний IP-адрес IPSec-шлюза. Нажмите кнопку Добавить.
  9. Нажмите кнопку Создать таблицу маршрутизации.

Привяжите таблицу маршрутизации ко всем подсетям

Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации к подсети. Для этого:

  1. В консоли управления откройте сервис Virtual Private Cloud в каталоге, где требуется настроить маршрутизацию.
  2. Выберите сеть, в которой находятся подсети, которым нужно назначить таблицу маршрутизации.
  3. В строке нужной подсети нажмите кнопку .
  4. В открывшемся меню выберите пункт Привязать таблицу маршрутизации.
  5. В открывшемся окне выберите созданную таблицу в списке.
  6. Нажмите кнопку Привязать.
  7. Привяжите таблицу маршрутизации vpn-route ко всем трем подсетям.

Создайте и настройте группы безопасности

Чтобы разделить трафик между сегментами сети, необходимо создать группы безопасности и настроить в них правила приема и отправки трафика.

Создайте группу безопасности для VPN

Для работы VPN необходимо разрешить прием и передачу трафика на UDP-порты 500 и 4500 из внешней сети — это необходимо для работы IPSec-туннеля. Также необходимо разрешить передачу трафика между подсетями вашей виртуальной сети и сетью на удаленной площадке.

  1. В консоли управления откройте сервис Virtual Private Cloud в каталоге, где требуется создать группу безопасности.
  2. На панели слева выберите Группы безопасности.
  3. Нажмите кнопку Создать группу безопасности.
  4. Введите имя группы безопасности — vpn-sg.
  5. В поле Сеть выберите сеть, к которой будет относиться группа безопасности.
  6. В блоке Правила создайте правила для управления трафиком:
    1. Выберите вкладку Исходящий трафик.
    2. Нажмите кнопку Добавить правило.
    3. В открывшемся окне в поле Диапазон портов укажите порт: 500.
    4. В поле Протокол выберите UDP.
    5. В поле Назначение укажите публичный адрес удаленного VPN-концентратора с маской 32.
  7. Нажмите кнопку Сохранить.
  8. Нажмите кнопку Добавить правило.
    1. В открывшемся окне в поле Диапазон портов укажите порт: 4500.
    2. В поле Протокол выберите UDP.
    3. В поле Назначение укажите публичный адрес удаленного VPN-концентратора с маской 32.
  9. Нажмите кнопку Сохранить.
  10. Настройте правила, разрешающие передачу трафика между веб-серверами и машинами на удаленной площадке. Нажмите кнопку Добавить правило.
    1. В открывшемся окне в поле Диапазон портов нажмите кнопку Выбрать весь диапазон.
    2. В поле Протокол выберите Любой.
    3. В поле Назначение укажите CIDR внутренней сети — 10.0.0.0/8.
    4. Нажмите кнопку Добавить CIDR и укажите CIDR удаленной площадки — 192.168.0.0/24.
  11. Создайте такие же правила для входящего трафика.

Создайте группу безопасности для ВМ интернет-сервиса

Создайте группу безопасности web-service-sg и настройте правила для трафика.

Правила для исходящего трафика

Разрешите исходящие соединения к другим машинам из группы безопасности:

  • Протокол: Любой;
  • Назначение: Группа безопасности;
  • Группа безопасности: Текущая.

Правила для входящего трафика

Разрешите следующие входящие соединения:

  1. HTTP-соединения от нескольких тестовых несуществующих IP-адресов:
    • Протокол: TCP,
    • Диапазон портов: 80,
    • CIDR: 1.1.1.1/32, 85.32.45.45/32.
  2. HTTPS-соединения от нескольких тестовых несуществующих IP-адресов:
    • Протокол: TCP,
    • Диапазон портов: 443,
    • CIDR: 1.1.1.1/32, 85.32.45.45/32.
  3. TCP-соединения для доступа по SSH:
    • Протокол: TCP,
    • Диапазон портов: 22,
    • CIDR: 0.0.0.0/0.
  4. Соединения от других машин из группы безопасности:
    • Протокол: Любой,
    • Назначение Группа безопасности,
    • Группа безопасности: Текущая.
  5. Проверки состояния от сетевого балансировщика:
    • Протокол: Любой,
    • Диапазон портов: 80,
    • CIDR: 198.18.235.0/24 и 198.18.248.0/24.

Назначьте группы безопасности ВМ

Чтобы правила групп безопасности начали действовать, группы необходимо назначить сетевым интерфейсам ВМ.

  1. В консоли управления откройте сервис Compute Cloud.
  2. Выберите виртуальную машину vpn.
  3. В блоке Сеть нажмите значок и выберите Изменить.
  4. В открывшемся окне в поле Группы безопасности выберите группу безопасности vpn-sg.
  5. Нажмите кнопку Сохранить.
  6. Повторите шаги и назначьте группу безопасности web-service-sg виртуальным машинам web-node-a, web-node-b и web-node-d.

Создайте сетевой балансировщик

Сетевой балансировщик будет распределять входящий трафик интернет-сервиса по ВМ, объединенным в целевую группу.

Чтобы создать сетевой балансировщик:

  1. В консоли управления откройте сервис Network Load Balancer в каталоге, где требуется создать балансировщик.
  2. Нажмите кнопку Создать сетевой балансировщик.
  3. Задайте имя балансировщика: web-service-lb.
  4. В поле Публичный адрес выберите Список и укажите публичный статический адрес.
  5. В блоке Обработчики нажмите кнопку Добавить обработчик.
  6. В открывшемся окне введите имя обработчика и укажите порт 80 в полях Порт и Целевой порт. Нажмите кнопку Добавить.
  7. В блоке Целевые группы нажмите Добавить целевую группу.
  8. В поле Целевая группа нажмите на список и нажмите Создать целевую группу.
  9. В открывшемся окне задайте имя целевой группы: web-tg.
  10. Выберите виртуальные машины web-node-a, web-node-b и web-node-d.
  11. Нажмите кнопку Создать.
  12. Выберите созданную целевую группу из списка.
  13. Нажмите кнопку Создать.

Проверьте работоспособность инфраструктуры

Проверьте работоспособность инфраструктуры и убедитесь, что трафик к ВМ интернет-сервиса поступает только от разрешенных правилами адресов:

  1. Выполните на вашем компьютере команду curl <Публичный IP-адрес сетевого балансировщика>. Убедитесь, что ответ не поступил.
  2. Создайте группу безопасности web-service-test-sg без правил и назначьте ее ВМ web-node-a, web-node-b и web-node-d.
  3. Создайте в группе безопасности web-service-test-sg следующее правило для входящего трафика:
    • Протокол: TCP,
    • Диапазон портов: 80,
    • CIDR: <IP-адрес вашего компьютера>/32.
  4. Снова выполните на вашем компьютере команду curl <Публичный IP-адрес сетевого балансировщика>. Убедитесь, что в качестве ответа вернулся HTML-код стартовой страницы Drupal.
  5. Удалите тестовую группу.

Удалите созданные ресурсы

Чтобы перестать платить за развернутые ресурсы, удалите созданные виртуальные машины и балансировщик:

  • vpn;
  • web-node-a;
  • web-node-b;
  • web-node-d;
  • web-service-lb.

Освободите и удалите зарезервированные статические публичные IP-адреса.

Предыдущая
Шаг 6. Иерархия ресурсов
Следующая
Шаг 8. Логирование