Рекомендации по использованию публичных IP-адресов
Публичные IPv4-адреса — это ограниченный ресурс, цена которого постоянно растет. При этом использование публичных IPv4-адресов часто не требуется, а в некоторых случаях может создавать уязвимости в вашей инфраструктуре. Yandex Cloud предоставляет набор сервисов и образов виртуальных машин, позволяющих минимизировать использование публичных IPv4 и построить более экономичную и устойчивую инфраструктуру.
Используйте NAT-шлюз
Если вашим облачным ресурсам необходимо обмениваться данными с интернетом и другими внешними ресурсами (например, скачивать обновления, пакеты и код из публичных репозиториев), рекомендуется использовать NAT-шлюзы. Они позволяют организовать доступ к внешним ресурсам через общий пул IP-адресов облака.
Настройте маршрутизацию через NAT-инстанс
Чтобы организовать доступ в интернет с определенных IP-адресов, воспользуйтесь выделенным NAT-инстансом и зафиксируйте его адрес как статический. Например, такой вариант можно использовать для настройки политик или межсетевых экранов при взаимодействии с партнерскими организациями. Таким образом, ВМ в рамках сети доступа смогут использовать общий выход в интернет с фиксированного IP-адреса.
Также такая схема позволяет организовать безопасный доступ к сервису Yandex Object Storage без доступа в интернет. Для этого настройте политику доступа для бакета, добавив в белый список только фиксированный IP-адрес вашего NAT-инстанса (см. пример настройки
Используйте балансировщики нагрузки
Для публикации ваших приложений используйте балансировщики нагрузки Yandex Network Load Balancer и Yandex Application Load Balancer или сервис типа LoadBalancer
в Yandex Managed Service for Kubernetes. С их помощью можно публиковать сервисы на общем IP-адресе, используя разные порты или маршрутизацию по путям и SNI.
Публикуйте статические файлы с помощью Object Storage и Cloud CDN
Для публикации статических файлов используйте сервис Object Storage в сочетании с сервисом Yandex Cloud CDN. Таким образом вы и сэкономите вычислительные ресурсы ваших ВМ, и повысите экономическую эффективность. Также использование Yandex Cloud CDN ускоряет отдачу контента пользователям и повышает надежность ваших сервисов.
Подробнее:
Используйте Site-to-Site VPN
Для настройки сетевого взаимодействия между разными площадками и внешними облаками используйте Site-to-Site VPN. Так можно обезопасить ваши приложения от несанкционированного доступа и исключить доступ к ним извне. Также это поможет сэкономить на использовании публичных IP-адресов: вам будет необходим только один публичный IP-адрес для VPN-подключения.
Подробнее:
- Организация сетевой связности между облачными и удаленными ресурсами с помощью IPsec-шлюзов.
- Настройка VPN с облаком Azure
. - Настройка VPN с облаком AWS
.
Используйте Yandex Cloud Interconnect
Свяжите вашу локальную сетевую инфраструктуру с облачной с помощью сервиса Cloud Interconnect. Это позволит не использовать публичные IP-адресов как со стороны вашей сети, так и со стороны Yandex Cloud. Вместо этого вы сможете использовать внутренние IP-адреса из подсетей, диапазоны которых определите сами.
Подробнее:
Подключайтесь к ВМ через серийную консоль
Если вам нужен только SSH-доступ к ВМ — используйте серийную консоль вместо подключения через публичный IP-адрес. Рекомендуем выключать возможность подключения через серийную консоль в то время, когда вы ей не пользуетесь.