Yandex.Cloud | Как работает сеть в Yandex.Cloud: объясняем на пальцах

• Александр Власов, архитектор Яндекс Облака, рассказывает о работе сети в облаке.  

• Вебинар состоит из восьми частей, включая управление маршрутизацией, балансировку нагрузки, продукты на маркетплейсе и планы на новую услугу.  

• В конце будет секция ответов на часто задаваемые вопросы.  

• Сеть поддерживается стандартными средствами управления облаком.  

• Доступна веб-консоль, сервис-провайдер, Terraform, Python, Go, Java и Node.js.  

• Сеть состоит из региональных объектов, подсетей и групп безопасности.  

• Подсети принадлежат конкретным дата-центрам и имеют автоматическую сетевую связанность.  

• Ресурсам назначается приватный серый адрес, который можно выбрать с помощью Terraform.  

• Адрес шлюза всегда первый в подсети и прописывается на каждой виртуальной машине.  

• Адрес сервера позволяет виртуальным машинам общаться по доменному имени.  

• Служебный адрес 169 используется для сервиса метаданных и позволяет запускать виртуальные машины с нужной конфигурацией.  

• Публичные адреса всегда назначаются на виртуальные устройства в облаке.  

• Бывают динамические и статические адреса, привязанные к определенной зоне доступности.  

• Балансировщики нагрузки могут использовать адреса из любой зоны.  

• Сервис NAT позволяет экономить белые адреса, но работает только в одну сторону.  

• Бастионная машина использует статические маршруты для фильтрации трафика и экономии адресов.  

• Публичный доступ требует настройки и может быть дорогим.  

• Услуга защиты адресов включается при создании и защищает от DDoS-атак.  

• Плата взимается только за чистый трафик, очищенный системой.  

• Нет поддержки протоколов IPv6 и кластеризации с плавающим адресом.  

• Запрещено хождение малкаста и закрыт порт 25 наружу.  

• Современные кластеры поддерживают режим третий, что решает проблемы с кластеризацией.  

• Для управления маршрутизацией создается объект таблицы маршрутизации.  

• Статические маршруты управляются облаком, что позволяет автоматически маршрутизировать трафик.  

• Пример: соединение облака с офисом через VPN с использованием таблицы маршрутизации.  

• Ссылка для настройки сценария.  

• Балансировщик автоматически балансирует трафик по зонам доступности.  

• Состоит из обработчика, целевой группы и механизма проверки состояния.  

• Два типа балансировщиков: внешний и внутренний.  

• Обработчик принимает трафик по IP-адресу, порту и протоколу.  

• Целевая группа содержит адреса ресурсов для балансировки трафика.  

• Проверка состояния проверяет состояние ресурсов и балансирует трафик.  

• Внутренний балансировщик получает адрес из выбранной подсети.  

• Доступен для сценариев между ресурсами облака и удаленными клиентами.  

• Маркетплейс с образами виртуальных машин от партнеров.  

• Доступны маршрутизаторы, криптошлюзы и другие устройства.  

• Выделенные каналы для соединения с облаком.  

• Гарантии по полосе пропускания, задержкам и потерям пакетов.  

• Подключение через точки присутствия или партнеров.  

• Ограничение доступа виртуальных машин к ресурсам облака.  

• Правила для входящего и исходящего трафика.  

• Стейтфул механизм для автоматического разрешения ответного трафика.  

• Реализация сетевых сценариев в облаке.  

• Создание подсетей и виртуальных машин в трех зонах доступности.  

• Настройка VPN и правил безопасности для веб-серверов.  

• Создание кластера массил в трех зонах доступности.  

• Обращение к кластеру по доменному имени без настройки маршрутизации.  

• Создание балансировщика нагрузки с защитой ОТС.  

• Добавление веб-серверов в целевую группу и настройка проверки состояния по порту 80.  

• Обеспечение безопасности через балансировщик нагрузки с белым адресом.  

• В будущем планируется использование security-групп для упрощения конфигурации файерволов.  

• Поддержка резервного подключения между содами и облаком.  

• Внутренний балансировщик доступен через клауд интерконнект.  

• Возможность резервирования подключения к облаку и обращения к сервисам.  

• Поддержка IPv6 в перспективе, но сроки неизвестны.  

• Использование виртуального роутера вместо виртуального коммутатора.  

• Возможность разгона скорости до 10 Гбит/с.  

• Создание изолированных контуров с межсетевыми экранами.  

• Разделение сетей на три подсети: разработка, базы данных и публичная.  

• Развертывание межсетевых экранов с мультиинтерфейсностью.  

• Создание статических маршрутов для параллельной отказоустойчивости.  

• Настройка маршрутов внутри виртуальных машин для доступа к подсетям.  

• Настройка шлюзов для доступа к интернету и другим подсетям.  

• Пакет отправляется на облачный шлюз 10.129.0.1.  

• Шлюз перенаправляет пакет на облачный файервол 10.125.0.5.  

• Файервол транслирует адрес 10.129.0.129 в серый адрес 172.16.0.5.  

• Пакет с серого адреса 172.16.0.5 отправляется на облачный шлюз 172.16.0.1.  

• Сценарий может включать множество подсетей и виртуальных машин.  

• Фильтрация и глубокая инспекция пакетов возможны благодаря межсетевым экранам.  

• В будущем функционал групп безопасности упростит настройку.  

• Вопросы о работе через NAT и получении белого адреса.  

• Решение проблем с перенастройкой маршрутов и восстановлением доступа.  

• Особенности дефолтного маршрута и его влияние на интернет-соединение.  

• Обход лимита на количество сессий с помощью технологии сжатия сессии.  

• Квоты сервиса доступны в разделе "Квоты".  

• Возможность поддержки квот на число обработчиков для балансировщиков.  

• Перенос сетевой нагрузки на выделенные ядра для оптимизации производительности.  

• Подходит для высоконагруженных сервисов и больших баз данных.  

• Предоставляется по запросу.  

• Централизованная настройка DNS-серверов и доменов для виртуальных машин.  

• Включение по запросу, станет доступно широкой публике в будущем.  

• Построение топологии через интерфейс облака.  

• Порядок создания топологии: создание подсетей, размещение виртуальных машин, балансировщиков.  

• Ограничения на горячую миграцию и обновление интерфейсов виртуальных машин.  

• Анонсы вебинаров и мероприятий по оптимизации работы с данными и использованию управляемых баз данных.  

• Приглашение зарегистрироваться на мероприятия.