Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Настройка групп безопасности

Статья создана
Обновлена 17 апреля 2026 г.

Группы безопасности и ограничение доступа к инстансу Managed Service for GitLab

Правила группы безопасности определяют:

  • для каких IP-адресов доступен инстанс, в том числе доступен ли он из интернета;
  • по какому протоколу можно работать с Git-репозиториями в инстансе GitLab: SSH или HTTPS;
  • какой сертификат можно использовать при работе по HTTPS: сертификат Let's Encrypt (по умолчанию) или собственный сертификат;
  • выделен ли доступ к GitLab Container Registry.

Важно

От настройки группы безопасности зависит работоспособность и доступность инстанса Managed Service for GitLab.

Чтобы настроить группу безопасности инстанса Managed Service for GitLab:

  1. Добавьте в имеющуюся группу безопасности правила для входящего и исходящего трафика или создайте новую группу с указанными правилами.
  2. Примените группу безопасности к инстансу GitLab при создании или изменении.

Если к инстансу не привязать отдельную группу безопасности, к нему применится группа, созданная по умолчанию в сети инстанса. Правила этой группы безопасности, добавленные для других сервисов, влияют на доступ к инстансу GitLab.

Если у вас возникли проблемы с настройкой группы безопасности, обратитесь в техническую поддержку.

Правила для входящего трафика

Зачем нужно правило

Настройки правила

Для работы с Git-репозиториями по протоколу SSH.

  • Диапазон портов — 22 и 2222. Для каждого порта создайте отдельное правило.

  • Протокол — TCP.

  • Источник — CIDR.

  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров. Примеры:

    • 172.16.0.0/12.
    • 85.32.32.22/32.

    Чтобы разрешить трафик с любых IP-адресов, укажите 0.0.0.0/0.

Для работы с Git-репозиториями по протоколу HTTPS.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров.

Для использования сертификата Let's Encrypt.

Такой сертификат используется по умолчанию при работе с Git-репозиториями по протоколу HTTPS. Если вы не указываете это правило, то для работы по протоколу HTTPS добавьте собственный сертификат.
  • Диапазон портов — 80 и 443. Для каждого порта создайте отдельное правило.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для создания резервных копий инстанса.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 213.180.193.243/32.

Для проверки доступности ресурсов сетевым балансировщиком.
  • Диапазон портов — 80.
  • Протокол — TCP.
  • Источник — Проверки состояния балансировщика.

Для подключения к GitLab Container Registry.

  • Диапазон портов — 5050.

  • Протокол — TCP.

  • Источник — CIDR.

  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров.

    Чтобы разрешить трафик с любых IP-адресов, укажите 0.0.0.0/0.

Правила для исходящего трафика

Managed Service for GitLab использует для работы внешние ресурсы. Если в группе безопасности инстанса вы ограничили исходящий трафик, инстанс может работать некорректно. Чтобы избежать этого, добавьте в группу безопасности следующие правила:

Зачем нужно правило

Настройки правила

Для использования сертификата Let's Encrypt.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для создания резервных копий инстанса.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 213.180.193.243/32.

Для запросов в службу метаданных при обновлении инстанса.
  • Диапазон портов — 80.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 169.254.169.254/32.

Для запросов в службу DNS.

  • Диапазон портов — 53.

  • Протокол — UDP.

  • Источник — CIDR.

  • CIDR блоки — <второй_IP-адрес_в_подсети>/32. Например для подсети 10.128.0.0/24 это будет CIDR 10.128.0.2/32.

    Если в вашей подсети есть собственный DNS-сервер, также разрешите исходящий трафик к нему, например IP-адрес_DNS_сервера/32.

Для запросов к NTP-серверам для поддержки двухфакторной аутентификации.
  • Диапазон портов — 123.
  • Протокол — UDP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для доступа к воркерам под управлением раннера, созданного с помощью консоли управления.
  • Диапазон портов — 22.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — CIDR подсети, в которой находится инстанс Managed Service for GitLab (воркеры создаются в ней же). Например 10.128.0.0/24.

Группы безопасности для управляемого раннера

Настройка сетевого взаимодействия между GitLab и управляемыми раннерами включает обязательные, рекомендуемые и опциональные настройки групп безопасности.

Правила для входящего трафика

Зачем нужно правило

Настройки правила

Для управления раннером с инстанса GitLab по протоколу SSH.
Обязательное правило.
  • Диапазон портов — 22.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — CIDR всех подсетей, где могут запускаться раннеры.
    Вместо CIDR вы можете указать группу безопасности, созданную для раннеров.

Правила для исходящего трафика

Зачем нужно правило

Настройки правила

Для взаимодействия с публичным адресом инстанса GitLab по протоколу HTTPS (например, для клонирования репозиториев, загрузки артефактов).
Обязательное правило.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — публичный адрес GitLab.

Для доступа к реестру артефактов (например, Cloud Registry, dockerhub.io).
Рекомендуемое правило.
  • Диапазон портов — 443, 5000 или другой.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — CIDR реестров, к которым предоставляется доступ. Чтобы разрешить трафик на любые IP-адреса, укажите 0.0.0.0/0.

Для доступа к объектным хранилищам (например, LFS, Container Registry).
Рекомендуемое правило.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — CIDR объектных хранилищ, к которым предоставляется доступ. Чтобы разрешить трафик на любые IP-адреса, укажите 0.0.0.0/0.

Для доступа к внешним ресурсам.
Опциональное правило.
  • Диапазон портов — 443, 80 или другой.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — CIDR внешних ресурсов.
    Если список ресурсов не определен, можно разрешить исходящий трафик к любым адресам (CIDR — 0.0.0.0/0) через все порты. В этом случае можно пропустить настройку рекомендуемых правил и настройку доступа из управляемого раннера к публичному адресу инстанса GitLab.
Предыдущая
Создание и активация инстанса
Следующая
Остановка и запуск инстанса