Организация сетевой связности между облачными и удаленными ресурсами с помощью IPsec-шлюзов
Сетевое взаимодействие корпоративного ЦОД с облачными ресурсами должно быть надежно защищено. Для этой цели применяются технологии организации защищенных соединений.
Одна из таких технологий — соединение через интернет на основе IPsec-шлюзов по протоколу IPsec. Протокол IPsec
Схема организации защищенного соединения между инфраструктурой в Yandex Cloud (облачная площадка) и условным корпоративным ЦОД (удаленная площадка) с помощью IPsec-шлюзов:
Облачная площадка:
- Сеть
cloud-net
с подсетямиsubnet-a
(172.16.1.0/24
),subnet-b
(172.16.2.0/24
) иipsec-subnet
(172.16.0.0/24
). - Основной IPsec-шлюз
cloud-gw
в формате ВМ на базе продукта с открытым исходным кодом strongSwan . IPsec-шлюз подключается к подсетиipsec-subnet
. Основная задача шлюза — организация IPsec-соединения с удаленным шлюзом и обеспечение сетевого взаимодействия между тестовыми ВМ. - Группа безопасности
cloud-net-sg
применяется на сетевом интерфейсе ВМ основного шлюза и разрешает прохождение IPsec-трафика между шлюзами. - Таблица маршрутизации со статическими маршрутами
cloud-net-rt
обеспечивает передачу трафика в направлении подсетиsubnet-1
удаленной площадки через основной IPsec-шлюз. - Тестовые ВМ
vm-a
иvm-b
на базе Ubuntu Linux подключаются к подсетямsubnet-a
иsubnet-b
соответственно. С помощью этих ВМ проверяется IP-связность через IPsec-соединение.
Удаленная площадка:
- Сеть
remote-net
с подсетьюsubnet-1
(10.10.0.0/16
). - Удаленный IPsec-шлюз
remote-gw
в формате ВМ на базе продукта с открытым исходным кодом strongSwan . IPsec-шлюз подключается к подсетиsubnet-1
. Основная задача шлюза — организация IPsec-соединения с основным шлюзом и обеспечение сетевого взаимодействия между тестовыми ВМ. - Группа безопасности
remote-net-sg
применяется на сетевом интерфейсе ВМ удаленного шлюза и разрешает прохождение IPsec-трафика между шлюзами. - Таблица маршрутизации со статическими маршрутами
remote-net-rt
обеспечивает передачу трафика в направлении подсетейsubnet-а
иsubnet-b
облачной площадки через удаленный IPsec-шлюз. - Тестовая ВМ —
vm-1
на базе Ubuntu Linux подключается к подсетиsubnet-1
. С помощью этой ВМ проверяется IP-связность через IPsec-соединение.
IPsec-соединение устанавливается между публичными IP-адресами основного (x1.x1.x1.x1
) и удаленного (x2.x2.x2.x2
) шлюзов.
Для организации сетевой связности с помощью IPsec-шлюзов воспользуйтесь одним из вариантов: