Сервисные подключения в Yandex Virtual Private Cloud
Важно
Функциональность Сервисные подключения (VPC Private Endpoints) находится на стадии Preview. Чтобы запросить доступ, обратитесь к вашему аккаунт-менеджеру.
Сервисное подключение (Private Endpoint) предоставляет прямую IP-связность между ресурсами внутри VPC и сервисами Yandex Cloud, которые размещаются за пределами VPC.
Под прямой IP-связностью здесь понимается доступность таких сервисов по внутренним IP-адресам VPC без использования публичных IP-адресов.
В качестве примера можно привести сервис Object Storage.
Устройство сервисного подключения
Логически сервисное подключение можно разделить на две части:
- Клиентская часть (Private Endpoint, PE) — отвечает за представление сервиса в VPC. Реализуется внутри сервиса VPC. Эта общая часть для всех типов сервисных подключений.
- Сервисная часть (Provider) — отвечает за взаимодействие с клиентской частью и реализуется на стороне сервиса. Эта часть уникальна для каждого сервиса и типа сервисного подключения.
У сервисного подключения есть следующие характеристики:
- IP-адрес подключения в VPC из диапазонов CIDR подсетей в сети, для которой создается сервисное подключение.
- Тип подключения — сервис к которому организуется подключение. Список доступных типов сервисных подключений приведен ниже.
При создании сервисного подключения в VPC создаются следующие объекты:
- Внутренний IP-адрес, к которому привязывается создаваемое подключение.
- DNS-запись A-типа со специальным FQDN для создаваемого сервисного подключения, например,
storage.pe.yandexcloud.netв которой будет указан внутренний IP-адрес, выделенный для сервисного подключения. - Опционально. При необходимости может быть создана дополнительная DNS-запись A-типа для публичного FQDN сервиса. В ней также будет указан внутренний IP-адрес, выделенный для сервисного подключения.
После того как вы создадите сервисное подключение, все облачные ресурсы, которые будут добавлены в подсети в сети с этим подключением, получат связность с ним через внутренний IP-адрес (1). Для работы с сервисами можно использовать как полное доменное имя (FQDN) (2), так и его часть (3). DNS-записи A-типа (2) и (3) будут создаваться в сервисной зоне internal.
Чтобы использовать сервисные подключения за пределами облачной инфраструктуры, вам необходимо обеспечить IP-связность вашей инфраструктуры с Yandex Cloud с помощью технологий VPN (IPsec, Wireguard и т.д.) или услуги Cloud Interconnect.
Примечание
Если вам нужно получить доступ к сервисному подключению через FQDN вне Yandex Cloud, то на корпоративном DNS-сервере необходимо настроить соответствующие A-записи так, чтобы FQDN сервиса указывал на IP-адрес подключения.
Типы сервисных подключений
| Название сервиса (Тип подключения) | FQDN API сервиса |
|---|---|
| Object Storage | storage.yandexcloud.net |
Object Storage. Доступ из VPC
Чтобы разрешить доступ к Object Storage только из VPC через служебное подключение, необходимо применить следующую политику доступа для бакета:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": [
"arn:aws:s3:::<имя_бакета>/*",
"arn:aws:s3:::<имя_бакета>"
],
"Condition": {
"StringEquals": {
"yc:private-endpoint-id": "<идентификатор_подключения>"
}
}
}
}
Где:
<имя_бакета>— имя бакета в Object Storage, к которому нужно применить политику доступа, напримерmy-s3-bucket.<идентификатор_подключения>— идентификатор сервисного подключения (Private Endpoint), напримерenpd7rq1s3f5********.