Виртуальные сети, связность с локальной и внешней инфраструктурой

Все в облаке — это сервис. Это значит, что при создании виртуальной машины облако обращается к сервису ВМ, дисков, сетей и так далее и собирает инфраструктуру из разных элементов как конструктор. Такой подход помогает сделать облако более надежным и гибким в управлении, а также повысить скорость развертывания сетей и применения настроек.

Виртуальная сеть создается по умолчанию, чтобы новая ВМ имела возможность взаимодействовать со внутренними ресурсами облака. Например, с контроллером облака, который передает запросы к виртуальной машине и отслеживает ее состояние.

Эта виртуальная сеть — служебная. Через нее проходит только сервисный трафик, и пользователь не имеет к ней доступа. Помнить о ее наличии важно и нужно, но нас больше интересует то, к чему у нас есть доступ.

Фактически облачная виртуальная сеть оперирует теми же терминами, что и классическая. Каждая сеть делится на подсети, используемые для логического разделения и изоляции ресурсов. К примеру, одна подсеть может быть задействована под ВМ с веб-сервером, другая — под приложение.

В иных случаях принцип подсетей может использоваться для разделения команд. Допустим, к одной подсети есть доступ через интернет извне, а у второй — нет. Ресурсы в виртуальной сети будут адресоваться по стандартным немаршрутизируемым извне диапазонам: 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. В этих диапазонах используются внутренние IP-адреса. Они закрепляются за ресурсами на время их существования, поэтому при перезапуске могут поменяться (если выбран автоматический режим).

Ресурс также может иметь публично-доступный IP-адрес. По умолчанию он динамический, но можно выбрать статический. IP-адреса — это тоже сервис, и в VK Cloud есть квоты на их количество.

Еще один сервис — группы безопасности. Это программно-определяемый файрвол. Он содержит правила получения и отправки трафика. По умолчанию сервис руководствуется политикой zero trust — запрещает все, что не разрешено в явном виде. Правило включает протокол, IP-адрес и исходящие-входящие порты. В стандартном разрешенном наборе самые популярные сценарии — HTTP и другие.

Правильная настройка групп безопасности, сетевой связности и маршрутов внутри ВМ — ключ к успешному функционированию виртуальной машины.

Часто в ВМ нужно изменять сетевые настройки, например, чтобы установить собственную VPN. Обычно при этом требуется прописывать специфичные маршруты. В таком случае нужно обязательно смоделировать поведение сети — иначе можно полностью потерять подключение к ВМ.

Давайте посмотрим, какова логика создания виртуальной сети. Поскольку сеть создается по умолчанию, мы создадим новую и посмотрим, что можно настроить для существующей.

Над виртуальной сетью может находиться балансировщик нагрузки. Этот сервис оптимизирует использование ресурсов в кластере. Если к одному вашему веб-сервису подключено несколько виртуальных машин, балансировщик поможет равномерно распределить клиентские запросы между ними. Также балансировщик проверяет состояние ресурсов, раз в несколько секунд направляя к ним запросы.

VPN позволяет обеспечить связность между разными сетями в облаке и на железной инфраструктуре. В облаке VPN можно развернуть как готовый сервис или же сконфигурировать собственное соединение. В первом случае сервис преднастроен и полностью готов к использованию. Во втором необходимо самостоятельно настроить VPN, а также учесть, как новые маршруты будут влиять на уже существующие.