Сети

Виртуальное частное облако (VPC) предоставляет изолированную сетевую среду для запуска сервисов Облака КРОК. Внутри виртуального частного облака вы можете создавать облачные ресурсы во всех трёх зонах доступности. Каждая зона доступности расположена в отдельном ЦОД. Разнесение облачных ресурсов по разным зонам доступности позволяет минимизировать негативное влияние инцидентов в одной из них.

Экземпляры могут иметь до 16 интерфейсов для подключения к подсетям. Это позволяет предоставить виртуальной машине доступ к подсетям, которые должны быть изолированы друг от друга, например, по соображениям безопасности. Такая возможность пригодится при развертывании виртуальных сетевых устройств (различных межсетевых экранов L3/L4/L7, IPS, IDS, сертифицированных VPN-устройств и др. ), для разделения трафика данных и управляющего трафика, предоставления разных сервисов на разных интерфейсах.

Виртуальное частное облако (VPC) может представлять собой сеть размером от 16 до 65536 адресов (от /28 до /16 в нотации CIDR). Размер сети задается пользователем при создании VPC. Его следует выбирать таким образом, чтобы количество подсетей и IP-адресов, которое можно создать в VPC, удовлетворяло вашим текущим требованиям и позволяло обеспечить последующее масштабирование и развитие проекта.

В Облаке КРОК вы может использовать двойную фильтрацию с помощью групп безопасности и списков контроля доступа (ACL). Группы безопасности осуществляют фильтрацию на уровне отдельных сетевых интерфейсов виртуальных машин, а списки контроля доступа действуют как межсетевой фильтр. При этом по умолчанию группы безопасности блокируют весь трафик, а ACL, наоборот, разрешают. Применение такой двойной фильтрации позволяет более гибко разграничивать трафик в сетевой инфраструктуре со сложной топологией. Подробнее о группах безопасности и ACL.

Облачный сервис VPN (VPN as a Service, VPNaaS) позволяет быстро соединить инфраструктуру в Облаке КРОК с удаленной инфраструктурой. Между ними может быть установлено соединение IPSec VPN в туннельном или транспортном режиме. Кроме того, VPN-соединение может быть установлено с другими облачными платформами, такими как AWS или между двумя разными VPC в Облаке КРОК. VPNaaS поддерживает актуальные протоколы и алгоритмы безопасности. Вы можете сами выбирать, какие настройки туннеля использовать при организации VPN-соединения. Это позволяет обеспечить требуемый уровень защиты соединения, а также расширяет совместимость облачного VPN с клиентским оборудованием. Например, облачную инфраструктуру можно без проблем связать с локальной площадкой с помощью маршрутизатора под управлением Mikrotik, используя IPSec в туннельном режиме, а также настроить соединение между облаком и Cisco ASA с версией прошивки, не поддерживающей IPSec VTI. В режиме отказоустойчивого VPN-соединения создаются два туннеля. В нормальном режиме работы оба туннеля активны. При отказе одного из них трафик передаётся по второму, так что облачные ресурсы остаются по-прежнему доступны. Для повышения отказоустойчивости туннели терминируются в разных зонах доступности. Настройки для каждого туннеля можно задать независимо.Подробнее

На данный момент в Облаке КРОК поддерживаются только сетевые балансировщики нагрузки (Network Load Balancer, NLB). Они работают на четвёртом уровне сетевой модели OSI и позволяют распределять трафик TCP или UDP. Распределение трафика осуществляется в соответствии с алгоритмом 5-tuple hash, который учитывает:

• протокол;
• адрес и порт отправителя;
• адрес и порт получателя.

В зависимости от источника трафика сетевые балансировщики нагрузки делятся на:

• сетевые балансировщики внешней нагрузки;
• сетевые балансировщики внутренней нагрузки.

Первые имеют публичные (внешние) IP-адреса и доступны из интернета. Вторые имеют приватные (внутренние) IP-адреса и доступны только внутри VPC, в котором были созданы.