Связаться с намиПодключиться

Приватное соединение

Статья создана
Обновлена 18 октября 2024 г.

Приватное соединение (private connection) — это логическое соединение с вашей облачной сетью. Организуется внутри транка. В транке может быть несколько приватных соединений в разные облачные сети.

Важно

Организация нескольких приватных соединений в одну облачную сеть на одной точке присутствия не допускается. Для целей резервирования допускается организация нескольких приватных соединений в одной облачной сети на разных точках присутствия, но не более одного такого приватного соединения на точке присутствия.

Приватное соединение настраивается внутри транка и имеет свой уникальный идентификатор — VLAN-ID.

Максимальный размер IP MTU для приватного соединения — 8910 байт. Изменение IP MTU со стороны оборудования Yandex Cloud не допускается.

Стыковая подсеть

Для организации приватного соединения необходима стыковая подсеть. Эта point-to-point подсеть используется для организации IP-связности между оборудованием Yandex Cloud и оборудованием клиента или оператора связи.

Стыковая подсеть может быть размером /30 или /31. Использовать подсети других размеров нельзя.

В стыковой подсети можно использовать следующие диапазоны адресов:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 169.254.0.0/16

Использовать IP-адресацию в других диапазонах нельзя.

Примечание

При организации приватного соединения используются только IPv4-адреса.
В настоящее время использование IPv6-адресов не допускается.

BGP-связность

BGP-связность настраивается внутри каждого приватного или публичного соединения между клиентским оборудованием и оборудованием Yandex Cloud в точке присутствия для обмена информацией о подсетях (префиксах) между сторонами. После обмена этой маршрутной информацией стороны могут передавать IPv4-трафик между подсетями, о которых они сообщили друг другу.

Важно

Существует лимит со стороны оборудования Yandex Cloud на количество получаемых префиксов от маршрутизатора клиента по протоколу BGP.
Если количество префиксов от маршрутизатора клиента превысит установленный лимит, то BGP-сессия будет разорвана на 30 минут.

Для поддержания непрерывной BGP-связности рекомендуется на маршрутизаторе клиента настраивать политики агрегации маршрутной информации для минимизации количества префиксов анонсируемых по протоколу BGP в направлении оборудования Yandex Cloud до разумных и необходимых размеров.

BGP ASN

Для настройки BGP-связности с каждой из сторон нужно указать номер автономной системы (BGP ASN) в формате ASPlain. Значение BGP ASN для Yandex Cloud постоянно и всегда равно 200350.

На клиентском оборудовании разрешается использовать публичный номер BGP ASN (если он есть). На клиентском оборудовании разрешается использовать любое значение из следующих диапазонов приватных номеров BGP ASN RFC 6996:

  • 64512 - 65534 для двухбайтовых BGP ASN.
  • 4200000000 - 4294967294 для четырехбайтовых BGP ASN.

На клиентском оборудовании запрещается использовать следующие диапазоны номеров BGP ASN RFC 5398:

  • 64496 – 64511 для двухбайтовых BGP ASN
  • 65536 – 65551 для четырехбайтовых BGP ASN

На клиентском оборудовании запрещается иметь BGP ASN из вышеперечисленных диапазонов в атрибуте BGP AS_Path.

Важно

Со стороны Yandex Cloud используется четырехбайтовое значение BGP ASN — 200350. Часто на сетевом оборудовании разных производителей приоритет отдается использованию двухбайтовых значений BGP ASN, как более распространенному варианту.

При настройке BGP-взаимодействия со стороны клиентского маршрутизатора необходимо явно разрешить в его конфигурации использование четырехбайтовых значений BGP ASN.

При настройке BGP-взаимодействия со стороны клиентского маршрутизатора, для публичных соединений с использованием публичных IPv4-адресов принадлежащих клиенту, необходимо указывать публичный номер BGP ASN клиента.

BGP аутентификация (опционально)

Для повышения уровня защиты BGP-соединения можно использовать BGP-аутентификацию с использованием механизма BGP MD5 password. При включении данной функциональности рекомендуется использовать в качестве пароля строку длиной более 20 символов, состоящую из латинских букв, цифр и специальных символов.

Протокол BFD

Если у клиента нет возможности подключить свой маршрутизатор к оборудованию Yandex Cloud напрямую, допускается использование промежуточных сетевых устройств — коммутаторов. Для быстрого обнаружения отказов в схемах с использованием промежуточных сетевых устройств рекомендуется использовать протокол BFD.

Протокол BFD всегда включен со стороны оборудования Yandex Cloud cо следующими значениями параметров:

  • timer — 300ms
  • multiplier — 3

Эти значения параметров фиксированы и не могут быть изменены в ручном режиме.

При необходимости клиент может настроить на своём оборудовании нужное ему значение timer. В процессе установки BFD-сессии эти параметры будут согласовываться в рамках протокола BFD между оборудованием клиента и оборудованием Yandex Cloud.

Устанавливать значение multiplier, отличное от 3, не рекомендуется — это может привести к неоптимальной работе протокола.

Таймеры BGP

Ниже приведены значения таймеров в секундах, которые настроены на оборудовании Yandex Cloud по умолчанию:

  • minimum-hold-time = 90

Использование на стороне оборудования клиента значений меньше указанного будет приводить к проблемам с установлением BGP-соседства.

Топологии приватных соединений

Поддерживаются следующие варианты организации приватных соединений:

L3-связность и BGP-связность организуется между оборудованием клиента в точке присутствия и оборудованием Yandex Cloud. При этом:

  • Вы самостоятельно обеспечиваете L3-связность от оборудования в своем ЦОД до собственного оборудования в точке присутствия.
  • BGP-взаимодействие организуется между вашим оборудованием в точке присутствия и оборудованием Yandex Cloud.
  • Все анонсы маршрутов по протоколу BGP от вашего оборудования в точке присутствия попадают во все зоны доступности Yandex Cloud.

Приватное соедиение через подключение оператора связи (L2-транзит)

У вас нет собственного оборудования в точке присутствия и вы используете услуги оператора связи, который организует связность между оборудованием Yandex Cloud и вашим оборудованием. При этом:

  • L2 связность организуется оператором связи между оборудованием оператора связи в точке присутствия и оборудованием Yandex Cloud.
  • L3- и BGP-связность организуется между вашим оборудованием в своем ЦОД и оборудованием Yandex Cloud в точке присутствия.
  • Все анонсы маршрутов по протоколу BGP от вашего оборудования в своем ЦОД попадают во все зоны доступности Yandex Cloud.

Приватное соединение через подключение оператора связи (L3VPN)

У вас нет собственного оборудования в точке присутствия и вы используете услуги оператора связи, который организует для связность между оборудованием Yandex Cloud и вашим оборудованием. У вас нет технической возможности организовать BGP-связность с оборудованием Yandex Cloud самостоятельно. При этом:

  • L2-связность организуется оператором связи между оборудованием оператора связи в точке присутствия и оборудованием Yandex Cloud.
  • L3- и BGP-связность с Yandex Cloud организуется между оборудованием оператора связи и оборудованием Yandex Cloud в точке присутствия. Данное соединение также становится частью клиентского L3VPN, с помощью которого и достигается прямая связность между вашим оборудованием в его ЦОД и Yandex Cloud.
  • Все анонсы маршрутов по протоколу BGP от оборудования оператора связи в точке присутствия попадают во все зоны доступности Yandex Cloud.
  • Оператор связи в рамках оказания услуги L3VPN может использовать как статическую маршрутизацию, так и протоколы динамической маршрутизации.

Анонсы облачных подсетей и взаимодействие с VPC

Чтобы подключить одну или несколько облачных подсетей к приватному соединению, необходимо знать:

  • идентификатор виртуальной сети vpc_net_id, которую нужно подключить к транковому соединению.
  • cписок анонсируемых IPv4-префиксов подсетей в виртуальной сети с распределением их по зонам доступности. Как правило, префиксы соответствуют подсетям, уже настроенным в облаке. В таком случае, анонсируемые префиксы и фактические диапазоны адресов подсетей совпадают.

Новые подсети, которые будут созданы в виртуальной сети позднее, не будут анонсироваться в приватное соединение Cloud Interconnect автоматически.

Для добавления новой подсети в уже существующее приватное соединение необходимо создать обращение в техническую поддержку с запросом о добавлении нового анонса в соответствующее приватное соединение Cloud Interconnect.

Важно

При использовании балансировщиков нагрузки Yandex Cloud:

адреса их обработчиков анонсируются в виде IPv4-префиксов с длиной /32.

Таким образом, можно использовать балансировщики нагрузки для распределения трафика, поступающего через Cloud Interconnect от вашей инфраструктуры, между облачными ресурсами в разных зонах доступности Yandex Cloud.

Ваше оборудование анонсирует IPv4-префиксы из вашей инфраструктуры по протоколу BGP в сторону оборудования Yandex Cloud. В анонсах можно использовать следующие виды префиксов:

  • приватные IP-подсети из RFC-1918.
  • маршрут по умолчанию - 0.0.0.0/0.
  • публичные IP-подсети.

Эти префиксы попадают в подсети VPC с помощью редистрибуции маршрутной информации на оборудовании Yandex Cloud.

После получения клиентских префиксов оборудованием Yandex Cloud они становятся доступны для всех виртуальных машин и внутренних балансировщиков нагрузки в подсетях VPC.

Для обеспечения IP-связности между ресурсами в облаке и ресурсами в вашей инфраструктуре никаких изменений в таблицах маршрутизации виртуальных машин не требуется.

Агрегированные префиксы (агрегаты)

Для автоматического анонсирования в Cloud Interconnect новых подсетей можно использовать агрегированные префиксы подсетей (агрегаты). Использование агрегатов позволяет настроить анонсы префиксов один раз и в дальнейшем просто добавлять новые подсети в уже существующую VPC, без обращений в техническую поддержку.

Например, при организации приватного соединения можно указать анонсы агрегированных IPv4-префиксов вида:

ru-central1-a [10.128.0.0/16]
ru-central1-b [10.130.0.0/16]
ru-central1-d [10.140.0.0/16]

Если позже создать в этой сети в зоне ru-central1-a подсеть с префиксом 10.128.15.0/24, она автоматически будет доступна через Cloud Interconnect, поскольку подсеть 10.128.15.0/24 принадлежит уже анонсированному ранее адресному пространству 10.128.0.0/16.

Предыдущая
Транковое подключение
Следующая
Публичное соединение