Рекомендации по использованию публичных IP-адресов

Публичные IPv4-адреса — это ограниченный ресурс, цена которого постоянно растет. При этом использование публичных IPv4-адресов часто не требуется, а в некоторых случаях может создавать уязвимости в вашей инфраструктуре. Yandex Cloud предоставляет набор сервисов и образов виртуальных машин, позволяющих минимизировать использование публичных IPv4 и построить более экономичную и устойчивую инфраструктуру.

Используйте NAT-шлюзИспользуйте NAT-шлюз

Если вашим облачным ресурсам необходимо обмениваться данными с интернетом и другими внешними ресурсами (например, скачивать обновления, пакеты и код из публичных репозиториев), рекомендуется использовать NAT-шлюзы. Они позволяют организовать доступ к внешним ресурсам через общий пул IP-адресов облака.

Настройте маршрутизацию через NAT-инстансНастройте маршрутизацию через NAT-инстанс

Чтобы организовать доступ в интернет с определенных IP-адресов, воспользуйтесь выделенным NAT-инстансом и зафиксируйте его адрес как статический. Например, такой вариант можно использовать для настройки политик или межсетевых экранов при взаимодействии с партнерскими организациями. Таким образом, ВМ в рамках сети доступа смогут использовать общий выход в интернет с фиксированного IP-адреса.

Также такая схема позволяет организовать безопасный доступ к сервису Yandex Object Storage без доступа в интернет. Для этого настройте политику доступа для бакета, добавив в белый список только фиксированный IP-адрес вашего NAT-инстанса (см. пример настройки).

Используйте балансировщики нагрузкиИспользуйте балансировщики нагрузки

Для публикации ваших приложений используйте балансировщики нагрузки Yandex Network Load Balancer и Yandex Application Load Balancer или сервис типа LoadBalancer в Yandex Managed Service for Kubernetes. С их помощью можно публиковать сервисы на общем IP-адресе, используя разные порты или маршрутизацию по путям и SNI.

Публикуйте статические файлы с помощью Object Storage и Cloud CDNПубликуйте статические файлы с помощью Object Storage и Cloud CDN

Для публикации статических файлов используйте сервис Object Storage в сочетании с сервисом Yandex Cloud CDN. Таким образом вы и сэкономите вычислительные ресурсы ваших ВМ, и повысите экономическую эффективность. Также использование Yandex Cloud CDN ускоряет отдачу контента пользователям и повышает надежность ваших сервисов.

Подробнее:

• Настройка хостинга.

• Организация сине-зеленого и канареечного развертывания версий веб-сервиса.

Используйте Site-to-Site VPNИспользуйте Site-to-Site VPN

Для настройки сетевого взаимодействия между разными площадками и внешними облаками используйте Site-to-Site VPN. Так можно обезопасить ваши приложения от несанкционированного доступа и исключить доступ к ним извне. Также это поможет сэкономить на использовании публичных IP-адресов: вам будет необходим только один публичный IP-адрес для VPN-подключения.

Подробнее:

• Организация сетевой связности между облачными и удаленными ресурсами с помощью IPsec-шлюзов.
• Настройка VPN с облаком Azure.
• Настройка VPN с облаком AWS.

Используйте Yandex Cloud InterconnectИспользуйте Yandex Cloud Interconnect

Свяжите вашу локальную сетевую инфраструктуру с облачной с помощью сервиса Cloud Interconnect. Это позволит не использовать публичные IP-адресов как со стороны вашей сети, так и со стороны Yandex Cloud. Вместо этого вы сможете использовать внутренние IP-адреса из подсетей, диапазоны которых определите сами.

Подробнее:

• Маршрутизация трафика с помощью Cloud Interconnect.

Подключайтесь к ВМ через серийную консольПодключайтесь к ВМ через серийную консоль

Если вам нужен только SSH-доступ к ВМ — используйте серийную консоль вместо подключения через публичный IP-адрес. Рекомендуем выключать возможность подключения через серийную консоль в то время, когда вы ей не пользуетесь.