Сеть

Сеть — ключевой компонент любой облачной среды. Именно с помощью сетей инстансы (виртуальные машины) получают доступ друг к другу, к другим сервисам внутри облака и к внешнему миру (например, к интернету). Корректная настройка сетевой инфраструктуры позволяет обеспечить как безопасность, так и доступность ресурсов, а также контролировать трафик, скорость и правила подключения.

• Поддерживаемые SDN
  • SDN Amano
  • Как настроить шифрование оверлеев
  • Как настроить запрещающие группы безопасности

В этой инструкции рассматриваются основные сетевые объекты в облаке: подсети, порты, политики QoS, маршрутизаторы, плавающие IP-адреса и группы безопасности.

В разделе «Сеть» отображаются следующие вкладки:

Сети

На странице Сети отображаются следующие вкладки:

Все сети

Наименование поля	Описание
Имя	Имя сети
Идентификатор проекта / Название	Проект, которому принадлежит сеть
Внешний	Да / Нет
Общий	Да / Нет
Количество подсетей	Количество подсетей в сети
Действие	Редактировать

Доступны следующие действия:

Создание сети	Создать сеть
Управление сетями	Просмотр, Редактирование и Удаление
Создание подсети	Создать подсеть

Создание сети

1. Для создания сети перейдите в Сеть > Сети

2. Нажмите кнопку «Создать сеть»

3. Укажите необходимые данные:

• Имя сети - введите имя сети. Имя должно начинаться с заглавной буквы или строчной буквы и состоять из 1 до 128 символов, вы можете использовать только символы «0-9, a-z, A-Z, «-„_()[].»

• Описание - введите описание сети

• Зона доступности - выберите зону доступности

• MTU (Максимальный размер передаваемого пакета) - укажите размер, минимальное значение 68 для IPv4 и 1280 для IPv6

Примечание

Будьте очень внимательны при заполнении этого параметра, поскольку он зависит от настроек вашего сетевого оборудования. Если MTU превысит настроенные параметры на сетевом оборудовании, сеть работать не будет.

• Создать подсеть - выберите, если требуется создать подсеть. Подсеть в облачной инфраструктуре — это логически выделенная часть IP-сети внутри облака, в которой размещаются инстансы и другие сетевые ресурсы. Подсети позволяют организовать адресное пространство, управлять маршрутизацией и изоляцией трафика.

Зачем нужны подсети:

1. Чтобы назначать IP-адреса инстансам из определённого диапазона.

2. Для логического разделения облачной сети на сегменты — например, подсети для отдельных структурных единиц компании.

3. Чтобы управлять маршрутизацией и доступом между подсетями или во внешнюю сеть.

4. Для подключения к маршрутизатору, через который инстансы получают выход во внешнюю сеть.

• Общий - выберите, если хотите сделать сеть общей. Общая сеть в облачной инфраструктуре — это сеть, созданная администратором и доступная для подключения сразу в нескольких проектах. В отличие от сетей, созданных в рамках одного проекта и доступных только его инстансам, общая сеть может использоваться множеством проектов одновременно.

Зачем нужна общая сеть: для упрощённого доступа к общим ресурсам и организации сетевого взаимодействия между инстансами из разных проектов через общую инфраструктуру.

• Включена безопасность порта - включена по умолчанию. Безопасность порта (port security) в облачной инфраструктуре — это механизм, который контролирует сетевую активность на уровне виртуального сетевого интерфейса (порта), к которому подключён инстанс. Он позволяет ограничить, какие MAC- и IP-адреса могут использоваться на этом порту, и защищает от сетевых атак и нежелательного трафика.

Зачем нужна безопасность порта:

1. Чтобы предотвратить подмену MAC-адреса (MAC spoofing) и IP-адреса.

2. Чтобы запретить несанкционированную пересылку трафика через порт. Несанкционированная пересылка трафика — это ситуация, когда инстанс начинает передавать или маршрутизировать сетевой трафик, не предназначенный для него. Это может быть использовано для атак и нарушает сетевую изоляцию. Функция безопасности порта помогает предотвратить такие действия.

3. Для повышения изоляции и безопасности инстансов, особенно в многопользовательских или чувствительных средах.

По умолчанию порт «привязан» к IP- и MAC-адресу, выданному при подключении. Если портовая безопасность включена, трафик с других адресов будет блокироваться.

Безопасность порта тесно связана с механизмом групп безопасности (security groups) — набором правил, определяющих, какой сетевой трафик разрешён или запрещён на уровне инстанса. Если портовая безопасность отключена, вы не сможете назначать группы безопасности на этот порт. Это означает, что никакие правила фильтрации трафика применяться не будут, и порт окажется полностью открытым для входящего и исходящего трафика.

4. Нажмите кнопку Ok

Новая сеть появится в списке сетей на странице Сети. Также информация о сети появится в Сводке и Лимитах.

Создание подсети

Для создания подсети перейдите в Сеть > Сети

1. Наведите курсор на троеточие в отображении сети

2. В открывшемся списке наведите курсор на Создать подсеть, как показано на рисунке и нажмите

3. В открывшемся диалоговом окне введите необходимые параметры

• Имя подсети - имя должно начинаться с заглавной буквы, строчной буквы и состоять из 1 до 128 символов, вы можете использовать только символы «0-9, a-z, A-Z, «-„_()[].»

• Описание - введите описание подсети

• Проект - проект, к которому будет относиться подсеть

• Версия IP - выбор типа IP определяет, будет ли подсеть использовать:

1. IPv4 — самый распространённый формат (например, 192.168.0.0/24)

2. IPv6 — стандарт с расширенным адресным пространством (например, 2001:db8::/64)

3. Используйте IPv6 только в том случае, когда это необходимо, в иных случаях выбирайте IPv4

4. Тип IP определяет, какие маршруты будут строиться, какие фаерволы использовать, и как настраивать NAT (если он нужен).

• CIDR - (Classless Inter-Domain Routing, безклассовая междоменная маршрутизация) — адрес подсети в формате Х.Х.Х.Х/У, где Х это адрес подсети, а Y это длина маски подсети

Дополнительные опции

• Отключить шлюз - этот параметр отключает автоматическое назначение IP-адреса шлюза по умолчанию. Это значит, что трафик из подсети не будет по умолчанию направляться ни в другие подсети, ни во внешние сети, если явно не задать маршруты.

Шлюз по умолчанию может быть:

1. Виртуальным, созданным средствами самой облачной платформы — через объект router, который подключён к внешней сети OpenStack. Такой шлюз управляется полностью внутри OpenStack и используется, например, для выхода инстансов в интернет.

2. Физическим, находящимся за пределами OpenStack — это может быть шлюз маршрутизации в реальной инфраструктуре организации (например, корпоративный маршрутизатор). В этом случае подсеть OpenStack интегрируется с существующей сетью организации.

Когда стоит отключать шлюз:

Когда подсеть должна быть полностью изолированной от других сетей (в том числе от внешнего интернета).Если маршрутизация будет настраиваться вручную, без участия OpenStack. В случае интеграции с внешней инфраструктурой, где маршруты уже определены вне платформы, и не требуется назначать шлюз внутри OpenStack.

• IP-адрес шлюза - укажите адрес шлюза

• DHCP - Dynamic Host Configuration Protocol — Протокол динамической настройки узлов. Если в облачной подсети включён DHCP, инстансы, подключённые к этой сети, автоматически получают нужные сетевые параметры при запуске — это упрощает работу и снижает вероятность ошибок в настройках. Если DHCP отключён, все параметры указываются вручную внутри инстанса.

• Пулы выделения - (allocation pools) — это диапазоны IP-адресов, которые доступны для автоматической выдачи инстансам внутри подсети. Они определяют, какие IP-адреса из CIDR подсети можно использовать для назначения через DHCP или вручную, и исключают, например, системные адреса (шлюз, служебные).

Например:

Подсеть: 10.0.0.0/8

Полный диапазон: 10.0.0.1 — 10.255.255.254

Вы хотите, чтобы DHCP выдавал IP только из 10.0.0.100 до 10.0.0.200.

В пуле выделения вы указываете: 10.0.0.100 — 10.0.0.200

Остальные адреса будут игнорироваться DHCP-сервером и могут быть использованы вручную, либо зарезервированы.

• DNS - Укажите адрес DNS сервера, который буде выдаваться инстансам через DHCP

• Маршруты хоста - при создании подсети вы можете указать дополнительные маршруты, чтобы:

1. направлять трафик в другие подсети через конкретный шлюз, минуя основной маршрут;

2. организовать подключение к VPN, корпоративным сетям или DMZ;

3. ограничить или изменить маршрут трафика по техническим или организационным требованиям, например, для повышения безопасности, оптимизации производительности или соблюдения архитектурных ограничений.

5. Подтвердите действие 4. Подсеть создана

Порты

Порт — это виртуальный сетевой интерфейс, через который ресурс подключается к облачной сети. Порт привязывается к подсети, получает IP-адрес и используется для настройки сетевых параметров, включая безопасность, маршрутизацию и доступ к внешним ресурсам.

Через порт настраиваются:

• группы безопасности (фильтрация трафика),

• плавающие IP-адреса,

• политики QoS (качество обслуживания).

Каждому инстансу необходим хотя бы один порт для подключения к сети.

На странице Порты отображаются следующие вкладки:

Все порты

На этой вкладке отображаются все существующие порты.

Интерфейсы инстансов

На этой вкладке отображаются порты, привязанные к инстансам.

Порты обладают следующими характеристиками:

• Имя - Имя порта

• Привязанный ресурс - Ресурс, привязанный к сети

• Сеть - Тип сети. Internal - внутренняя сеть или external - внешняя сеть.

Внутренняя сеть - доступна только внутри облачного проекта или инфраструктуры. Она используется для связи между инстансами, сервисами и другими компонентами без выхода в интернет.

Выбирайте internal, если:

• • нужно настроить обмен данными между инстансами без доступа к внешнему миру;

• • важно изолировать инфраструктуру (например, для баз данных, служебных сервисов);

• • инстансы работают только в рамках одного проекта и не должны быть доступны извне.

Внешняя сеть - позволяет инстансам выходить в интернет или быть доступными извне (например, по плавающему IP-адресу). Обычно связана с NAT или маршрутизатором, обеспечивающим связь с внешними сетями.

Выбирайте external, если:

• • инстанс должен иметь доступ в интернет (например, для скачивания пакетов или обновлений);

• • нужно опубликовать сервис наружу (например, веб-сервер, доступный по внешнему IP);

• • инстанс — часть публичного API, приложения, или открытого ресурса.

• Тип порта - определяет его назначение и способ подключения к сети. В большинстве случаев используется тип normal — стандартный порт для подключения инстансов. Другие типы предназначены для специальных сценариев:

• normal — стандартный порт для подключения инстансов.

• direct — прямое подключение к физическому интерфейсу (например, SR-IOV).

• dhcp — служебный порт для DHCP-сервиса.

• router — подключение маршрутизатора к сети.

• baremetal — подключение физических серверов.

• macvtap — высокопроизводительное подключение, требующее настройки хоста.

Выбор типа зависит от задач и архитектуры проекта.

• IPv4-адрес - Адрес в формате IPv4. При создании порта вы можете вручную указать IPv4-адрес. В этом случае адрес будет закреплён за портом и назначен виртуальному интерфейсу инстанса. Если DHCP включён — адрес выдастся автоматически; если отключён — его нужно будет настроить вручную внутри инстанса. Это полезно для назначения статического IP-адреса или организации предсказуемой сетевой схемы.

• IPv6-адрес - Адрес в формате IPv6. Аналогично пункту выше.

Примечание

Указывать IPv4- или IPv6-адрес вручную нужно только, если: вы хотите назначить статический IP-адрес, который не будет меняться; DHCP в подсети отключён, и адрес не будет выдан автоматически; вы проектируете предсказуемую схему адресации (например, для сервисов с жёсткой привязкой по IP). Если DHCP включён и вы не вводите адрес, он будет назначен автоматически. Можно указать либо IPv4-, либо IPv6-адрес, либо оба, если подсеть поддерживает оба типа.

• MAC-адрес - MAC-адрес порта. MAC-адрес задаётся автоматически, но вы можете ввести его вручную, если это требуется по архитектуре или политике проекта. Может понадобиться вводить MAC-адрес вручную, если: у вас в системе есть жёсткая привязка IP к MAC (например, в DHCP или в системе безопасности); если вы восстанавливаете порт или конфигурацию, где MAC-адрес должен быть таким же, как ранее; если MAC-адрес нужен для лицензирования программного обеспечения или сетевой фильтрации.

• Действие - Удалить

Доступны следующие действия:

Управление портами

Просмотр, Удаление

Политики Qos

(Quality of Service - QoS) - возможность гарантировать определенные требования к сети с соглашением об уровне обслуживания (SLA) между поставщиком приложения и конечными пользователями. Обычно в QoS входят требования производительности, например значения пропускной способности, задержки, исправления дрожания и надежности, а также значение производительности устройств хранения в операциях ввода-вывода в секунду (IOPS), соглашения о допустимом количестве запросов и ожидаемая производительность при пиковых нагрузках.

Такие политики применяются к сетям или конкретным портам и позволяют:

1. Стабильная производительность критичных сервисов

   QoS позволяет гарантировать минимальную пропускную способность для определённых инстансов или сервисов, обеспечивая их бесперебойную работу даже в условиях высокой сетевой нагрузки.

2. Защита от ухудшения качества связи

   Ограничивая максимальную пропускную способность для отдельных инстансов, QoS предотвращает ситуации, когда один потребитель сети может “забить” канал и ухудшить качество связи для других пользователей.

3. Приоритизация трафика

   QoS может применяться для управления приоритетами — например, трафик мониторинга, синхронизации или управления может иметь более высокий приоритет, чем вспомогательные задачи.

4. Сегментация по SLA

   Разные классы арендаторов или проектов могут получать разное качество обслуживания: например, VIP-проекты получают больше полосы пропускания, чем проекты в тестовой зоне.

5. Прогнозируемая нагрузка

   С помощью предопределённых правил QoS администратор может сглаживать всплески трафика, упрощая планирование сетевой инфраструктуры.

6. Безопасность и контроль

   QoS ограничивает скорость передачи данных, что помогает снизить риск DoS-атак, исходящих из облака, а также лучше отслеживать аномальное поведение трафика.

Характеристика	Описание
Назначение	Контроль пропускной способности сети, ограничение скорости для портов инстансов.
Область применения	Назначается на порты сетевых интерфейсов.
Ограничения	Можно задать отдельные лимиты на: * исходящий трафик (egress) — от инстанса наружу; * входящий трафик (ingress) — к инстансу снаружи.
Примеры использования	Установить лимит 100 Мбит/с на инстансы разработчиков, чтобы они не мешали продакшн-трафику. Выделить гарантированный канал в 1 Гбит/с для инстансов с базой данных. Настроить минимальную скорость 50 Мбит/с для хранилища бэкапов.
Управление	Через веб-интерфейс или CLI.

На странице Политики Qos отображаются следующие вкладки:

Политики QoS

Политики QoS обладают следующими характеристиками:

• ID/Имя - Имя политики

• Описание - Описание политики

• Количество правил - Количество правил в политике

• Правила - это конкретные настройки внутри политики, которые определяют, какие ограничения или параметры применяются к сетевому порту.

Каждая политика QoS может содержать одно или несколько правил. Вот основные типы правил и их назначение:

Тип правила	Описание
Bandwidth Limit Rule	Ограничивает пропускную способность порта. Можно задать предел для входящего (ingress) и/или исходящего (egress) трафика в Мбит/с.
DSCP Marking Rule	Присваивает метку DSCP (Differentiated Services Code Point) IP-пакетам, позволяя задавать приоритет обработки трафика в сети.
Minimum Bandwidth Rule	Устанавливает гарантированную минимальную пропускную способность порта. Требуется поддержка со стороны гипервизора и сетевого оборудования.
Packet rate limit	Устанавливает верхний предел количества пакетов в секунду (pps), которые может обрабатывать порт. Может быть полезно для предотвращения перегрузки сетевых сервисов.
Minimum packet rate	Обеспечивает гарантированный минимум по количеству пакетов в секунду. Требует поддержки со стороны гипервизора и сети.

Bandwidth limit

DSCP marking

Minimum bandwidth

Packet rate limit

Minimum packet rate

• Общий - Тип политики:

Тип политики	Описание
Общая (shared)	Политика доступна для всех проектов. Может быть назначена на любой порт в облаке. Используется для унифицированных ограничений, задаваемых администратором.
Не общая (project-specific)	Политика доступна только в пределах проекта, где была создана. Применяется для специфических настроек QoS, необходимых отдельной команде или окружению.

• Политика по умолчанию - Используется ли по умолчанию

• Создано - Дата и и время создания

• Действие - Редактировать политику QoS

На вкладке доступны следующие действия:

Редактировать политику QoS	Изменение параметров политики QoS
Удалить	Удаление политики QoS

Создание политики QoS

Для создания политики QoS перейдите в Сеть > Политики QoS

1. Нажмите кнопку Создать политику QoS

2. В открывшемся окне заполните параметры:

• Имя политики - укажите название политики. Имя должно начинаться с заглавной буквы, строчной буквы и состоять из 1 до 128 символов, символы могут содержать только «0-9, a-z, A-Z, «-„_()[].».

• Проект - укажите проект, к которому будет относиться политика

• Описание - введите описание политики

• Общий - будет ли политика общей. Если включено — политика QoS становится доступной для всех проектов в облаке. Используется для централизованного управления качеством обслуживания, без необходимости дублировать политику в каждом проекте вручную.

• Политика по умолчанию - будет ли политика применяться по умолчанию. Если выбрана политика по умолчанию для сети, то она применяется ко всем портам инстанса. Всем портам новых сетей, созданных в рамках этого проекта, так же будет назначена выбранная политика, но если в процессе создания пользователь выберет отличающуюся политику для порта в этой сети, то выбранная политика будет иметь приоритет, даже если она более открытая чем политика сети.

3. Подтвердите действие

4. Политика QoS создана

Создание правила ограничения пропускной способности

Правило ограничения пропускной способности (Bandwidth Limit Rule) — это компонент политики QoS, который позволяет задать максимальную скорость передачи данных для входящего (ingress) и исходящего (egress) трафика на сетевом порту.

Зачем это нужно:

• Контроль нагрузки: ограничивает объём трафика, который может использовать виртуальная машина, чтобы избежать перегрузки сетевой инфраструктуры.

Для создания правила ограничения пропускной способности перейдите в Сеть > Политики QoS: 1. Выберите политику, в которой хотите настроить правило. 2. Наведите курсор на троеточие и кликните Создать правило ограничения пропускной способности 3. Заполните параметры:

• Лимит пропускной способности - максимальная скорость в мегабитах в секунду (Mbps)

• Лимит всплеска - допустимый кратковременный всплеск трафика (бурст), также в Mbps

• Направление - входящий или исходящий траффик

4. Подтвердите действие

5. Правило ограничения пропускной способности создано

При необходимости вы можете редактировать созданные правила. Сеть > Политики QoS > выбрать политику > … > Редактировать правило ограничения исходящей полосы пропускания

Создание правило маркировки DSCP

Правило DSCP-маркировки (DSCP Marking Rule) используется для управления качеством обслуживания (QoS) в сетевой инфраструктуре. Оно позволяет назначить определённое значение DSCP (Differentiated Services Code Point) для трафика, проходящего через порт виртуальной машины.

Назначение:

1. Маркировка DSCP (Differentiated Services Code Point) DSCP — это поле в IP-заголовке пакета, которое задаёт приоритет обработки трафика. Когда вы используете DSCP:

• Пакеты помечаются специальным значением.

• Это значение учитывается на внешнем сетевом оборудовании (маршрутизаторах, коммутаторах) вне облака moncloud.

• Такое оборудование (если поддерживает QoS и конфигурировано должным образом) будет обрабатывать трафик по-разному — например, давать приоритет VoIP или трафику с баз данных.

Пример: если трафик выходит из moncloud и помечен как DSCP EF (Expedited Forwarding), то корпоративный маршрутизатор отдаст ему приоритет перед обычным веб-трафиком.

2. Ограничения внутри moncloud (Ingress/Egress limits) Это правила, задаваемые на уровне самого облака, которые:

• Применяются непосредственно к портам и интерфейсам инстансов.

• Не требуют поддержки со стороны внешнего оборудования.

• Ограничивают скорость трафика (входящего и исходящего), например: «не более 100 Мбит/с на egress».

  Это особенно важно для чувствительных к задержкам сервисов, таких как:

  • голосовая связь (VoIP),

  • видеоконференции,

  • системный или управляющий трафик.

Для создания правила маркировки DSCP перейдите Сеть > Политики QoS

1. Выберите политику, в которой хотите создать правило.

2. Наведите курсор на троеточие и кликните Создать правило маркировки DSCP

3. Выберите значение

Классы DSCP и их значения

Значение DSCP	Обозначение	Назначение	Рекомендованное использование
0	CS0 (Default)	Обычный трафик без приоритета	Веб, почта, неважные приложения
8	CS1	Низкий приоритет (фоновые задачи)	Резервное копирование, обновления
10	AF11	Низкий приоритет с умеренной защитой	Низкоприоритетные данные
12	AF12	Средняя защита от потерь	Статистические отчёты, логи
14	AF13	Высокая вероятность сброса	Неважный поток данных
16	CS2	Трафик приложений	Интерфейс приложений, фоновые сервисы
18	AF21	Умеренно приоритетный трафик	Некритичные бизнес-приложения
20	AF22	Повышенный приоритет	Интерфейс API, базы данных
22	AF23	Высокая вероятность сброса, выше приоритет	Некритичный видео/аудио-трафик
24	CS3	Служебный трафик (VoIP-сигнализация)	SIP, H.323, VoIP-сигнализация
26	AF31	Приоритетный мультимедийный трафик	Видео по запросу
28	AF32	Повышенная защита от потерь	Видеотрансляции
30	AF33	Высший приоритет в AF3	Мультимедиа высокой важности
32	CS4	Интерактивные приложения	Игры, удалённые рабочие столы
34	AF41	Видеоконференции	Zoom, Teams, WebRTC
36	AF42	Повышенный приоритет, умеренный сброс	Качество видео без критичности
38	AF43	Максимальный приоритет в AF4	Корпоративное видео вещание
40	CS5	Важный трафик реального времени	Голос (VoIP), видео звонки
46	EF (Expedited Forwarding)	Критичный трафик, минимальная задержка	Телефония, голосовые вызовы
48	CS6	Управляющий трафик	Трафик управления сетью
56	CS7	Системный управляющий трафик	Сетевые сигналы, инфраструктура

4. Подтвердите действие

5. Правило маркировки DSCP создано

Маршрутизаторы

Маршрутизаторы в облачной инфраструктуре — это виртуальные устройства, которые обеспечивают передачу трафика между различными сетями: внутренними (internal), внешними (external) и подсетями внутри проекта.

Маршрутизатор позволяет:

• Организовать доступ инстансов из внутренней сети в интернет (через внешний шлюз и NAT);

• Обеспечить связность между разными подсетями внутри проекта;

• Настроить статические маршруты для управления трафиком;

Пример:

Если у вас есть внутренняя сеть, в которой работают инстансы, но нужно обеспечить им выход в интернет, вы создаёте маршрутизатор, подключаете его к этой сети и задаёте внешний шлюз.

Если нужно соединить две изолированные подсети внутри одного проекта, маршрутизатор обеспечит передачу данных между ними.

Доступны следующие действия: просмотр, редактирование описания и удаление маршрутизаторов.

Плавающие IP-адреса

Плавающий IP (Floating IP) — это внешний IP-адрес, который не закреплён жёстко за конкретным инстансом. Его можно динамически назначать или отвязывать от инстансов в облаке. Он позволяет инстансу быть доступным из внешней сети (например, интернета) независимо от внутренней IP-адресации.

Плавающий IP нужен, если:

• Инстанс должен быть доступен из интернета или внешней сети;

• Требуется публичный IP-адрес для тестирования, развёртывания или эксплуатации сервиса;

• Нужно обеспечить отказоустойчивость: IP можно быстро переназначить другому инстансу;

• Важно сохранить стабильный IP при замене, миграции или обновлении инстанса;

• Нужна гибкость в управлении внешним доступом к ресурсам облака.

Важно

Плавающий IP назначается только инстансу, подключённому к маршрутизатору с выходом в внешнюю сеть (external network). Управление доступом осуществляется через правила групп безопасности.

Доступны следующие действия: выделение IP-адресов или их освобождение.

Выделение плавающего IP

Для выделения плавающего IP перейдите в Сеть > Плавающие IP

1. Кликните кнопку «Выделить IP-адрес»

2. В открывшемся окне введите параметры:

• Сеть - сеть, в которой будет выделен адрес

• Проект - проект для которого выделяется адрес

• Пакетное выделение — это процесс, при котором сразу несколько плавающих IP-адресов резервируются в облаке за одну операцию.

• • Вы заранее резервируете пул внешних адресов, чтобы потом быстро назначать их инстансам.

• • Это удобно для проектов, где разворачиваются десятки сервисов, и нужен быстрый доступ из интернета.

• • Уменьшается административная нагрузка: не нужно запрашивать каждый IP вручную.

• Описание - введите описание

• Политика QOS - выберите политику для адреса

3. Подтвердите действие

4. Адрес выделен, пользователь может через свой интерфейс привязать адрес к инстансу.

Освобождение адреса

Освобождение адреса осуществляется через кнопку Освободить на странице Плавающие IP

Группы безопасности

Группы безопасности — это набор правил, определяющих, какой сетевой трафик разрешён или запрещён для инстансов в облаке. По сути, это межсетевой экран (фаервол) на уровне виртуального порта.

Зачем нужны группы безопасности:

• Ограничить доступ к инстансам из интернета (например, разрешить только SSH или HTTPS).

• Изолировать инстансы внутри проекта (например, разрешить доступ только между определёнными сервисами).

• Минимизировать угрозы — закрыть неиспользуемые порты, чтобы уменьшить поверхность атаки.

• Упростить управление безопасностью — вы можете назначить одну группу безопасности сразу нескольким инстансам.

Как это работает:

• Группу безопасности можно назначить порту, к которому подключён инстанс.

• Внутри группы определяются правила безопасности — например, разрешить входящие подключения на порт 22 (SSH) только с определённого IP-адреса.

• При включённой защите порта инстанс будет фильтровать входящий и исходящий трафик в соответствии с этими правилами.

Пример:

• Вы создаёте группу безопасности web-servers, в которую входят правила:

• Входящие подключения на порт 80 (HTTP) — разрешены всем.

• Входящие подключения на порт 22 (SSH) — разрешены только с IP вашего офиса.

• Остальные подключения — по умолчанию запрещены.

• Эту группу вы назначаете всем инстансам с веб-серверами — и они автоматически получают одинаковую защиту.

Важно

Обратите внимание: если отключить безопасность порта, то группа безопасности применяться не будет.

Доступны следующие действия: просмотр и удаление групп безопасности, просмотр правил групп безопасности.

Просмотр и удаление групп безопасности, просмотр правил групп безопасности осуществляется на странице Группы безопасности.

• Для просмотра группы кликните название группы на странице;

• Для удаления группы выделите группу чек-боксом и кликните кнопку Удалить;

• Для просмотра правил группы безопасности кликните Правила безопасности. Список правил откроется в окне поверх страницы.