Связаться с намиПодключиться

Настройка групп безопасности и ограничение доступа к инстансу Managed Service for GitLab

Статья создана
Обновлена 13 марта 2025 г.

Правила группы безопасности определяют:

  • для каких IP-адресов доступен инстанс, в том числе доступен ли он из интернета;
  • по какому протоколу можно работать с Git-репозиториями в инстансе GitLab: SSH или HTTPS;
  • какой сертификат можно использовать при работе по HTTPS: сертификат Let's Encrypt (по умолчанию) или собственный сертификат;
  • выделен ли доступ к GitLab Container Registry.

Чтобы задать правила, которые разрешают определенный трафик для инстанса GitLab:

  1. Создайте группу безопасности в сети Yandex Cloud, выбранной для инстанса во время его создания.

  2. Добавьте правила в группы безопасности для входящего и исходящего трафика. Список правил приведен ниже.

  3. Обратитесь в службу поддержки, чтобы привязать группу безопасности к инстансу GitLab.

    Если к инстансу не привязать отдельную группу безопасности, к нему применится группа, созданная по умолчанию в сети инстанса. Правила этой группы безопасности, добавленные для других сервисов, влияют на доступ к инстансу GitLab.

    Если при использовании группы безопасности по умолчанию доступа к инстансу нет или он работает некорректно, добавьте в эту группу правила для GitLab или привяжите новую группу.

Правила для входящего трафика

Зачем нужно правило

Настройки правила

Для работы с Git-репозиториями по протоколу SSH.

  • Диапазон портов — 22 и 2222. Для каждого порта создайте отдельное правило.

  • Протокол — TCP.

  • Источник — CIDR.

  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров. Примеры:

    • 172.16.0.0/12.
    • 85.32.32.22/32.

    Чтобы разрешить трафик с любых IP-адресов, укажите 0.0.0.0/0.

Для работы с Git-репозиториями по протоколу HTTPS.
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров.

Для использования сертификата Let's Encrypt.

Такой сертификат используется по умолчанию при работе с Git-репозиториями по протоколу HTTPS. Если вы не указываете это правило, то для работы по протоколу HTTPS добавьте собственный сертификат.
  • Диапазон портов — 80 и 443. Для каждого порта создайте отдельное правило.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для создания резервных копий инстанса
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 213.180.193.243/32.

Для проверки доступности ресурсов сетевым балансировщиком.
  • Диапазон портов — 80.
  • Протокол — TCP.
  • Источник — Проверки состояния балансировщика.

Для подключения к GitLab Container Registry.

  • Диапазон портов — 5050.

  • Протокол — TCP.

  • Источник — CIDR.

  • CIDR блоки — задайте диапазоны адресов подсетей внутри Yandex Cloud или публичные IP-адреса компьютеров в интернете, чтобы открыть доступ для подсетей и компьютеров.

    Чтобы разрешить трафик с любых IP-адресов, укажите 0.0.0.0/0.

Правила для исходящего трафика

Managed Service for GitLab использует для работы внешние ресурсы. Если в группе безопасности инстанса вы ограничили исходящий трафик, инстанс может работать некорректно. Чтобы избежать этого, добавьте в группу безопасности одно из приведенных в таблице правил. Они нужны для создания резервных копий и хранения пользовательских объектов в Yandex Object Storage.

Выбор правила зависит от сертификата, который вы используете: Let's Encrypt (по умолчанию) или самоподписанный.

Зачем нужно правило

Настройки правила

Для использования сертификата Let's Encrypt
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.

Для создания резервных копий инстанса
  • Диапазон портов — 443.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 213.180.193.243/32.

Для запросов в службу метаданных при обновлении инстанса.
  • Диапазон портов — 80.
  • Протокол — TCP.
  • Источник — CIDR.
  • CIDR блоки — 169.254.169.254/32.

Для запросов в службу DNS.

  • Диапазон портов — 53.

  • Протокол — UDP.

  • Источник — CIDR.

  • CIDR блоки — <второй_IP-адрес_в_подсети>/32. Например для подсети 10.128.0.0/24 это будет CIDR 10.128.0.2/32.

    Если в вашей подсети есть собственный DNS-сервер, также разрешите исходящий трафик к нему, например IP-адрес_DNS_сервера/32.

Для запросов к NTP-серверам для поддержки двухфакторной аутентификации.
  • Диапазон портов — 123.
  • Протокол — UDP.
  • Источник — CIDR.
  • CIDR блоки — 0.0.0.0/0.
Предыдущая
Создание и активация инстанса
Следующая
Остановка и запуск инстанса