Интернет-шлюзы
In this article:
Интернет-шлюзы#
Общая информация#
Интернет-шлюз связывает VPC с интернет. Это позволяет предоставить доступ в интернет для облачных ресурсов и, наоборот, подключиться к ним извне. Например, вы можете подключиться к экземпляру в облаке с локального компьютера.
За исключением VPC по умолчанию, все остальные VPC создаются без интернет-шлюза.
Для обеспечения доступа VPC в интернет необходимо создать шлюз, присоединить его к VPC и настроить маршрутизацию.
В таблице маршрутизации должен быть указан маршрут (0.0.0.0/0) в интернет через шлюз.
Либо вы можете ограничить доступ конкретным диапазоном публичных IP-адресов, например, из вашей корпоративной сети.
Если подсети назначена таблица маршрутизации, в которой задан маршрут через интернет-шлюз, то такая сеть называется публичной. Если же назначенная таблица маршрутизации не содержит маршрута через интернет-шлюз, то такая сеть считается внутренней. Выход в интернет возможен для любых экземпляров в публичной сети независимо от того, есть ли у них публичный IP-адрес.
При доступе в интернет экземпляров с публичными IP-адресами применяется трансляция сетевых адресов (Network Address Translation, NAT). Для исходящего трафика внутренний IP-адрес экземпляра меняется на его внешний IP-адрес. Для входящего трафика, наоборот, внешний IP-адрес меняется на внутренний.
Для доступа в интернет экземпляров, у которых нет внешнего IP-адреса, применяется NAT с заменой адреса источника (Masquerade). Используемые для этого общедоступные IP-адреса выделяются облаком динамически, поэтому они могут меняться. Их не следует задавать при определении правил в ACL, группах безопасности и других сервисах, в том числе сторонних. NAT применяется, только когда пакеты передаются из VPC в интернет.
Управление интернет-шлюзами#
Создать интернет-шлюз#
Перейдите в раздел Виртуальные машины Сеть Интернет-шлюзы.
Нажмите Создать.
(Опционально) В открывшемся окне задайте имя шлюза (тег Name). Если необходимо задать другие теги, нажмите Добавить теги для перехода на следующий шаг. Теги можно также назначить после создания шлюза.
(Опционально) Чтобы добавить тег, нажмите Добавить тег и задайте ключ и значение тега.
Примечание
Если тег Name не был задан на предыдущем шаге, то вы можете его добавить, нажав Добавить тег Name и указав его значение.
После завершения настройки нажмите Создать.
Присоединить интернет-шлюз#
Интернет-шлюз можно присоединить только к VPC, у которого нет присоединённого шлюза.
Важно
Если вы присоединяете интернет-шлюз к VPC, от которого он был ранее отсоединён, то все маршруты через этот шлюз вновь станут активными.
Перейдите в раздел Виртуальные машины Сеть Интернет-шлюзы.
Выберите присоединяемый шлюз в списке ресурсов.
Нажмите Присоединить.
В открывшемся окне выберите VPC, к которому необходимо присоединить шлюз.
Нажмите Присоединить для завершения операции.
Отсоединить интернет-шлюз#
Интернет-шлюз можно отсоединить, только если в VPC нет ресурсов с публичными или Elastic IP-адресами.
Важно
После отсоединения все маршруты через интернет-шлюз в таблицах маршрутизации этого VPC станут тупиковыми (blackhole).
Перейдите в раздел Виртуальные машины Сеть Интернет-шлюзы.
Выберите отсоединяемый шлюз в списке ресурсов.
Нажмите Отсоединить.
В открывшемся окне нажмите Отсоединить для подтверждения действия.
Удалить интернет-шлюз#
Чтобы удалить интернет-шлюз, его необходимо сначала отсоединить.
Перейдите в раздел Виртуальные машины Сеть Интернет-шлюзы.
Выберите удаляемый шлюз в списке ресурсов.
Нажмите Удалить.
В открывшемся окне нажмите Удалить для подтверждения действия.
Настройка доступа в интернет#
Если у VPC нет присоединённого интернет-шлюз, то для настройки доступа в интернет потребуется проделать следующие действия:
Настроить маршрутизацию в интернет для подсети.
Важно
Если таблица маршрутизации назначена также другим подсетям, то доступ в интернет получат и другие подсети. Если вы хотите открыть доступ в интернет только из этой подсети, то создайте отдельную таблицу маршрутизации и назначьте её подсети.
Перейдите в раздел Виртуальные машины Сеть Таблицы маршрутизации.
Найдите в таблице ресурсов таблицу маршрутизации, которая назначена этой подсети, и нажмите на её идентификатор.
Откройте вкладку Маршруты.
Нажмите Добавить.
В открывшемся окне введите
0.0.0.0/0в поле Сеть для предоставления доступа ко всем адресам в интернет (либо укажите конкретную подсеть для ограничения доступа) и выберитеСтандартный шлюз в Интернетв поле Тип шлюза.Нажмите Добавить для завершения настройки.
После настройки маршрутизации проверьте, что ресурсы в подсети имеют доступ в интернет. Например, экземпляры имеют ELastic IP-адреса и назначенные им группы безопасности разрешают трафик в интернет и из интернета.
Информация об интернет-шлюзе#
Общую информацию обо всех имеющихся интернет-шлюзах можно посмотреть в таблице ресурсов в разделе Виртуальные машины Сеть Интернет-шлюзы. Для перехода на страницу конкретного интернет-шлюзах нажмите на ссылку с его идентификатором в таблице ресурсов.
На вкладке Информация отображаются основные характеристики интернет-шлюза:
имя интернет-шлюза (тег Name);
состояние интернет-шлюза;
VPC, к которому присоединён шлюз.
Здесь вы можете присоединить, отсоединить и удалить шлюз.
На вкладке Теги отображаются все теги, назначенные интернет-шлюзу. Здесь вы можете добавить новые, изменить существующие и удалить ненужные теги.