Сервисные подключения в Yandex Virtual Private Cloud
Сервисное подключение (VPC Private Endpoint) — это возможность подключать облачные ресурсы внутри VPC к сервисам Yandex Cloud по внутренней сети без использования публичных IP-адресов.
Сервисы Yandex Cloud остаются доступными как через публичные IP-адреса, так и через сервисные подключения.
Сервисное подключение — это региональный сервис, распределенный по зонам доступности. В случае отказа сервиса в одной из зон нагрузка перераспределится в другие зоны доступности.
Пропускная способность для отдельного сервисного подключения не гарантируется и зависит от текущей нагрузки на сервис. Для стабильной работы рекомендуется контролировать нагрузку с помощью мониторинга и учитывать установленные лимиты.
Логически сервисное подключение можно разделить на две части:
- Точка доступа к сервису (Private Endpoint, PE) — отвечает за представление (подключение) целевого сервиса в VPC. Реализуется внутри сервиса VPC. Эта общая часть для всех типов сервисных подключений.
- Интеграция на стороне целевого сервиса (Provider) — отвечает за взаимодействие с точкой доступа и реализуется на стороне целевого сервиса.
Особенности использования сервисных подключений
В одной виртуальной сети можно создать сервисные подключения разных типов, но не более одного сервисного подключения каждого типа (два и более сервисных подключений одного типа создать не получится).
Точка доступа является IP-адресом подключения в VPC из диапазонов CIDR подсетей в сети, для которой создается сервисное подключение. После создания сервисного подключения все облачные ресурсы сети с этим подключением получат IP-связность с целевым сервисом.
В момент создания точки доступа для нее всегда создается PE-запись — DNS-запись A-типа со специальным FQDN сервисного подключения. Например, для сервиса Object Storage PE-запись будет иметь вид storage.pe.yandexcloud.net.
При необходимости можно создать дополнительную Primary-запись — DNS-запись A-типа для публичного FQDN сервиса. В ней также будет указан внутренний IP-адрес, выделенный для сервисного подключения. Создание Primary-записи определяется параметром private-dns-records-enabled. Например, для сервиса Object Storage Primary-запись будет иметь вид storage.yandexcloud.net.
DNS-записи A-типа создаются в сервисной зоне internal.
При использовании сервиса Cloud Interconnect сервисное подключение будет доступно через приватные соединения, так же, как и другие ресурсы VPC. Если необходимо получить доступ к сервисному подключению через FQDN вне Yandex Cloud, то на корпоративном DNS-сервере необходимо настроить A-записи таким образом, чтобы FQDN нужного сервиса указывал на соответствующий IP-адрес сервисного подключения.
Виды сервисных подключений
В настоящее время можно создать сервисное подключение для следующих облачных сервисов:
| Название сервиса | Способ создания | PE-запись | Primary-запись |
|---|---|---|---|
| Object Storage | UI,CLI,Terraform | storage.pe.yandexcloud.net |
storage.yandexcloud.net |
| Cloud Registry | обращение в поддержку | registry.pe.yandexcloud.net |
registry.yandexcloud.net |
| AI Studio | обращение в поддержку | ai.pe.api.cloud.yandex.net |
ai.api.cloud.yandex.net |
| Managed Service for Trino | обращение в поддержку | trino.pe.yandexcloud.net, *.trino.pe.yandexcloud.net |
- |
| Serverless Containers | обращение в поддержку | *.containers.pe.yandexcloud.net |
*.containers.yandexcloud.net |
| Cloud Functions | обращение в поддержку | functions.pe.yandexcloud.net |
functions.yandexcloud.net |
| Public API Gateway | обращение в поддержку | - |
*.api.cloud.yandex.net |
| AI Studio MCP Gateway | обращение в поддержку | *.mcpgw.serverless.pe.yandexcloud.net |
*.mcpgw.serverless.yandexcloud.net |
Особенности использования разных видов сервисных подключений
Object Storage
Политики доступа
Чтобы разрешить доступ к Object Storage только из VPC через сервисное подключение, необходимо применить следующую политику доступа для бакета:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": [
"arn:aws:s3:::<имя_бакета>/*",
"arn:aws:s3:::<имя_бакета>"
],
"Condition": {
"StringEquals": {
"yc:private-endpoint-id": "<идентификатор_подключения>"
}
}
}
}
Где:
<имя_бакета>— имя бакета в Object Storage, к которому нужно применить политику доступа, напримерmy-s3-bucket.<идентификатор_подключения>— идентификатор сервисного подключения (Private Endpoint), напримерenpd7rq1s3f5********.
Cloud Registry
Перед тем как создать сервисное подключение для сервиса Cloud Registry нужно сначала создать сервисное подключение для сервиса Object Storage.
Public API Gateway
В настоящее время для данного типа PE есть следующие ограничения:
- Работа через PE-запись не поддерживается. При создании PE данного типа необходимо всегда создавать Primary-запись.
- При работе через PE не поддерживается работа со следующими сервисами: