Публичное соединение
Публичное соединение (public connection) обеспечивает доступ к сервисам Yandex Cloud. Публичное соединение организуется внутри транка и имеет свой идентификатор — VLAN-ID. В транке может быть одно или несколько публичных соединений, через которые можно предоставить доступ к любой комбинации сервисов.
Максимальный размер IP MTU для публичного соединения — 1500 байт. Изменение IP MTU со стороны оборудования Yandex Cloud не допускается.
Список сервисов
У каждого сервиса в Yandex Cloud есть своя точка входа — API Endpoint. Ознакомиться со списком точек входа сервисов Yandex Cloud можно по ссылке. У каждой точки входа есть свой идентификатор и адрес, который состоит из FQDN API Endpoint и номера порта на который этот сервис получает запросы.
Список сервисов Yandex Cloud, к которым предоставляется доступ через публичное соединение:
| Название сервиса | Эндпоинт (FQDN) API |
|---|---|
| Object Storage | storage.yandexcloud.net |
| Cloud Functions | serverless-functions.api.cloud.yandex.net |
| Container Registry | container-registry.api.cloud.yandex.net, cr.yandex |
| Yandex SpeechKit | transcribe.api.cloud.yandex.net |
| Yandex Vision OCR | vision.api.cloud.yandex.net |
| Yandex Translate | translate.api.cloud.yandex.net |
| Cloud API Gateway | api.cloud.yandex.net |
| Yandex Monitoring | monitoring.api.cloud.yandex.net |
| YandexGPT API сервиса Foundation Models | llm.api.cloud.yandex.net |
| All-Services | Все сервисы Yandex Cloud, перечисленные выше |
Фактически, публичное соединение обеспечивает связность между вашей инфраструктурой и IP-адресом, в который преобразуется FQDN API Endpoint соответствующего сервиса. Преобразование FQDN имени в IP-адрес выполняется через службу DNS.
Например, если вы хотите получить доступ из своей инфраструктуры в сервис Object Storage через сервисное соединение, то со стороны оборудования Yandex Cloud в направлении вашего маршрутизатора по протоколу BGP будет анонсироваться префикс 213.180.193.243/32, который соответствует FQDN API Endpoint storage.yandexcloud.net для сервиса Object Storage.
Вам необходимо настроить маршрутизацию трафика в собственной инфраструктуре таким образом, чтобы трафик к сервисам Yandex Cloud направлялся к устройствам, выполняющим функции NAT для публичного соединения.
Стыковая подсеть
Стыковая подсеть для публичного соединения может быть организована следующими способами:
- С использованием IPv4-адресов из адресного пула Yandex Cloud. При таком способе организации соединения из адресного пула Yandex Cloud клиенту выделяется стыковая подсеть (point-to-point) размером
/31. Со стороны оборудования клиента должна использоваться приватная BGP ASN для организации BGP-соседства. - С использованием приватных (RFC-1918) или собственных публичных IPv4-адресов. Это необходимо, если клиент планирует анонсировать собственные публичные IP-префиксы через стыковую подсеть. В этом случае необходимо следовать рекомендациям по организации BGP-соседства которые описаны ниже.
Внимание
Cервисы, к которым предоставляется доступ через публичное соединение, размещаются в собственных ДЦ. Трафик внутри публичного соединения между вашей инфраструктурой и сервисами не покидает периметр Yandex Cloud.
BGP-связность
BGP-связность настраивается внутри каждого приватного или публичного соединения между клиентским оборудованием и оборудованием Yandex Cloud в точке присутствия для обмена информацией о подсетях (префиксах) между сторонами. После обмена этой маршрутной информацией стороны могут передавать IPv4-трафик между подсетями, о которых они сообщили друг другу.
Важно
Существует лимит со стороны оборудования Yandex Cloud на количество получаемых префиксов от маршрутизатора клиента по протоколу BGP.
Если количество префиксов от маршрутизатора клиента превысит установленный лимит, то BGP-сессия будет разорвана на 30 минут.
Для поддержания непрерывной BGP-связности рекомендуется на маршрутизаторе клиента настраивать политики агрегации маршрутной информации для минимизации количества префиксов анонсируемых по протоколу BGP в направлении оборудования Yandex Cloud до разумных и необходимых размеров.
BGP ASN
Для настройки BGP-связности с каждой из сторон нужно указать номер автономной системы (BGP ASN) в формате ASPlain. Значение BGP ASN для Yandex Cloud постоянно и всегда равно 200350.
На клиентском оборудовании разрешается использовать публичный номер BGP ASN (если он есть). На клиентском оборудовании разрешается использовать любое значение из следующих диапазонов приватных номеров BGP ASN RFC 6996:
64512 - 65534для двухбайтовых BGP ASN.4200000000 - 4294967294для четырехбайтовых BGP ASN.
На клиентском оборудовании запрещается использовать следующие диапазоны номеров BGP ASN RFC 5398:
64496 – 64511для двухбайтовых BGP ASN65536 – 65551для четырехбайтовых BGP ASN
На клиентском оборудовании запрещается иметь BGP ASN из вышеперечисленных диапазонов в атрибуте BGP AS_Path.
Важно
Со стороны Yandex Cloud используется четырехбайтовое значение BGP ASN — 200350. Часто на сетевом оборудовании разных производителей приоритет отдается использованию двухбайтовых значений BGP ASN, как более распространенному варианту.
При настройке BGP-взаимодействия со стороны клиентского маршрутизатора необходимо явно разрешить в его конфигурации использование четырехбайтовых значений BGP ASN.
При настройке BGP-взаимодействия со стороны клиентского маршрутизатора, для публичных соединений с использованием публичных IPv4-адресов принадлежащих клиенту, необходимо указывать публичный номер BGP ASN клиента.
BGP аутентификация (опционально)
Для повышения уровня защиты BGP-соединения можно использовать BGP-аутентификацию с использованием механизма BGP MD5 password. При включении данной функциональности рекомендуется использовать в качестве пароля строку длиной более 20 символов, состоящую из латинских букв, цифр и специальных символов.
Протокол BFD
Если у клиента нет возможности подключить свой маршрутизатор к оборудованию Yandex Cloud напрямую, допускается использование промежуточных сетевых устройств — коммутаторов. Для быстрого обнаружения отказов в схемах с использованием промежуточных сетевых устройств рекомендуется использовать протокол BFD.
Протокол BFD всегда включен со стороны оборудования Yandex Cloud cо следующими значениями параметров:
timer— 300msmultiplier— 3
Эти значения параметров фиксированы и не могут быть изменены в ручном режиме.
При необходимости клиент может настроить на своём оборудовании нужное ему значение timer. В процессе установки BFD-сессии эти параметры будут согласовываться в рамках протокола BFD между оборудованием клиента и оборудованием Yandex Cloud.
Устанавливать значение multiplier, отличное от 3, не рекомендуется — это может привести к неоптимальной работе протокола.
Таймеры BGP
Ниже приведены значения таймеров в секундах, которые настроены на оборудовании Yandex Cloud по умолчанию:
minimum-hold-time=90
Использование на стороне оборудования клиента значений меньше указанного будет приводить к проблемам с установлением BGP-соседства.
Организации BGP-соседства при анонсировании собственных IP-префиксов
Если вам необходимо анонсировать собственные публичные IP-префиксы для организации BGP-связности в рамках публичного соединения, следуйте следующим правилам:
- Ваши публичные IP-префиксы должны быть надлежащим образом зарегистрированы — для них должны быть созданы соответствующие объекты Route Object и Route Origin Authorization у регионального регистратора.
- Ваше оборудование должно устанавливать BGP-связность с оборудованием Yandex Cloud только с использованием публичной BGP ASN. Использование приватных BGP ASN для такого взаимодействия не допускается.
- Длина ваших IP-префиксов не должна быть меньше
/24. Анонсы более специфичных префиксов (с длиной от/25до/32) будут отбрасываться оборудованием Yandex Cloud.
Функции NAT
При использовании IPv4-адресов, предоставленных Yandex Cloud для организации публичного соединения (стыковая подсеть 1-го типа), необходимо использовать технологию трансляции сетевых адресов NAT на стороне вашего оборудования, чтобы трафик мог корректно маршрутизироваться к сервисам Yandex Cloud. Допускаются следующие варианты реализации NAT:
-
NAT-функция выполняется на вашем оборудовании (маршрутизаторе), к которому подключается публичное соединение. Весь трафик публичного соединения отправляется от IPv4-адреса на интерфейсе маршрутизатора в стыковой подсети. В этом случае, ваш маршрутизатор, к которому подключается публичное соединение, должен будет анонсировать префикс стыковой подсети по протоколу BGP в сторону оборудования Yandex Cloud.
-
NAT-функция выполняется на вашем оборудовании, которое не используется для подключения публичного соединения, например сервере или межсетевом экране. В данном случае со стороны Yandex Cloud дополнительно выделяется сервисный IPv4-адрес (/32 префикс), и ваш маршрутизатор, к которому подключается публичное соединение, должен будет анонсировать этот префикс по протоколу BGP в сторону оборудования Yandex Cloud.
При использовании собственных IPv4-адресов (стыковая подсеть 2-го типа) функции NAT должны выполняться с использованием этих IP-адресов.