Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Virtual Private Cloud
  • Начало работы
    • Взаимосвязь ресурсов сервиса
    • Устройство сети в Yandex Cloud
    • Облачные сети и подсети
    • Адреса облачных ресурсов
    • Маршрутизация
    • Группы безопасности
    • Шлюзы
    • Сервисные подключения
    • Мониторинг сетевых соединений
    • Диапазоны публичных IP-адресов
    • MTU и MSS
    • Настройки DHCP
    • Программно-ускоренная сеть
    • Квоты и лимиты
  • DDoS Protection
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Аудитные логи Audit Trails
  • История изменений
  • Вопросы и ответы
  • Обучающие курсы

В этой статье:

  • Устройство сервисного подключения
  • Типы сервисных подключений
  • Object Storage. Доступ из VPC
  • Примеры использования
  1. Концепции
  2. Сервисные подключения

Сервисные подключения в Yandex Virtual Private Cloud

Статья создана
Yandex Cloud
Обновлена 22 мая 2025 г.
  • Устройство сервисного подключения
  • Типы сервисных подключений
    • Object Storage. Доступ из VPC
  • Примеры использования

Важно

Функциональность Сервисные подключения (VPC Private Endpoints) находится на стадии Preview. Чтобы запросить доступ, обратитесь к вашему аккаунт-менеджеру.

Сервисное подключение (Private Endpoint) предоставляет прямую IP-связность между ресурсами внутри VPC и сервисами Yandex Cloud, которые размещаются за пределами VPC.

Под прямой IP-связностью здесь понимается доступность таких сервисов по внутренним IP-адресам VPC без использования публичных IP-адресов.

В качестве примера можно привести сервис Object Storage.

Устройство сервисного подключенияУстройство сервисного подключения

Логически сервисное подключение можно разделить на две части:

  • Клиентская часть (Private Endpoint, PE) — отвечает за представление сервиса в VPC. Реализуется внутри сервиса VPC. Эта общая часть для всех типов сервисных подключений.
  • Сервисная часть (Provider) — отвечает за взаимодействие с клиентской частью и реализуется на стороне сервиса. Эта часть уникальна для каждого сервиса и типа сервисного подключения.

У сервисного подключения есть следующие характеристики:

  • IP-адрес подключения в VPC из диапазонов CIDR подсетей в сети, для которой создается сервисное подключение.
  • Тип подключения — сервис к которому организуется подключение. Список доступных типов сервисных подключений приведен ниже.

При создании сервисного подключения в VPC создаются следующие объекты:

  1. Внутренний IP-адрес, к которому привязывается создаваемое подключение.
  2. DNS-запись A-типа со специальным FQDN для создаваемого сервисного подключения, например, storage.pe.yandexcloud.net в которой будет указан внутренний IP-адрес, выделенный для сервисного подключения.
  3. Опционально. При необходимости может быть создана дополнительная DNS-запись A-типа для публичного FQDN сервиса. В ней также будет указан внутренний IP-адрес, выделенный для сервисного подключения.

После того как вы создадите сервисное подключение, все облачные ресурсы, которые будут добавлены в подсети в сети с этим подключением, получат связность с ним через внутренний IP-адрес (1). Для работы с сервисами можно использовать как полное доменное имя (FQDN) (2), так и его часть (3). DNS-записи A-типа (2) и (3) будут создаваться в сервисной зоне internal.

Чтобы использовать сервисные подключения за пределами облачной инфраструктуры, вам необходимо обеспечить IP-связность вашей инфраструктуры с Yandex Cloud с помощью технологий VPN (IPsec, Wireguard и т.д.) или услуги Cloud Interconnect.

Примечание

Если вам нужно получить доступ к сервисному подключению через FQDN вне Yandex Cloud, то на корпоративном DNS-сервере необходимо настроить соответствующие A-записи так, чтобы FQDN сервиса указывал на IP-адрес подключения.

Типы сервисных подключенийТипы сервисных подключений

Название сервиса (Тип подключения) FQDN API сервиса
Object Storage storage.yandexcloud.net

Object Storage. Доступ из VPCObject Storage. Доступ из VPC

Чтобы разрешить доступ к Object Storage только из VPC через служебное подключение, необходимо применить следующую политику доступа для бакета:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": "*",
    "Action": "*",
    "Resource": [
      "arn:aws:s3:::<имя_бакета>/*",
      "arn:aws:s3:::<имя_бакета>"
    ],
    "Condition": {
      "StringEquals": {
        "yc:private-endpoint-id": "<идентификатор_подключения>"
      }
    }
  }
}

Где:

  • <имя_бакета> — имя бакета в Object Storage, к которому нужно применить политику доступа, например my-s3-bucket.
  • <идентификатор_подключения> — идентификатор сервисного подключения (Private Endpoint), например enpd7rq1s3f5********.

Примеры использованияПримеры использования

  • Подключение к Object Storage из Virtual Private Cloud
  • Подключение к Container Registry из Virtual Private Cloud

Была ли статья полезна?

Предыдущая
Шлюзы
Следующая
Мониторинг сетевых соединений
Проект Яндекса
© 2025 ООО «Яндекс.Облако»