Как организована сеть в облаке «ИТ-ГРАД»

IT-инфраструктура
12.05.2020
946
10 min

Как организована сеть в облаке «ИТ-ГРАД»

#провайдер #сети
Каждый клиент «ИТ-ГРАД», приобретая услугу IaaS, получает не просто виртуальные машины в нашем облаке, а настоящий виртуальный дата-центр, где можно организовать сетевую связность согласно требованиям вашего проекта.

 Сегодня мы хотим подробнее рассказать о том, как устроена сеть внутри нашей виртуальной инфраструктуры, какие возможности получают наши клиенты, и какие существуют способы подключения к облаку.

Как организована сеть в облаке «ИТ-ГРАД»

Все начинается с аренды виртуальной инфраструктуры. Каждый наш клиент на старте получает внешнюю маршрутизируемую сеть и пять белых IP-адресов. Далее идет процесс кастомизации под задачи конкретного проекта. В ключе организации сети у нас есть следующие возможности:

  • предоставление внешней маршрутизируемой сети с большим количеством адресов;
  • предоставление изолированной сети;
  • различные комбинации двух вариантов выше.

Иными словами, наши возможности могут быть ограничены исключительно запросами и потребностями клиентов. Давайте рассмотрим около 5 базовых сценариев.

Сценарий #1

После подключения услуги по размещению ВМ в виртуальной инфраструктуре «ИТ-ГРАД» вы получаете не только ресурсы, но и сеть с пятью белыми IP. После базовой настройки по инструкции ваша машина успешно работает.

Но вдруг вам понадобилась еще одна ВМ, например, для нового веб-приложения или другого проекта. В этом случае вам совершенно не обязательно арендовать еще одну ВМ. Достаточно просто добавить еще один адрес.

Сценарий #2:

Вы занимаетесь разработкой и не стесняетесь использовать консоль VMware. Перед вами стоит задача по организации тестовой среды для разрабатываемого проекта. Для этого необходимо просто загрузить ВМ в наше облако и подключить их к внутренней сети. К тому же, во внутренней сети вы можете использовать абсолютно любую адресацию.

Сценарий #3

Вам необходимо разместить в виртуальной инфраструктуре веб-сервер и БД, с которой он будет взаимодействует. Из соображений безопасности, доступ к базе из интернета должен быть закрыт. Реализовать это можно, исключив возможность взаимодействия с БД из интернета, а значит, и контакт с потенциальными злоумышленниками, на уровне 2 модели OSI. Благодаря наличию 5 белых IP-адресов и безграничной внутренней сети, можно реализовать следующую топологию. Для подключения веб-сервера к двум разным сетям используем, соответственно, два разных адаптера, а сервер БД подключаем только ко внутренней сети внутри облака. Схематично результат выглядит так:

Помните: подобная топология действительно повышает уровень защищенности сервера БД, однако это лишь вершина айсберга. При разработке сайта или веб-приложения уделяйте внимание фронтенду, через который многие злоумышленники и атакуют серверы БД.

Сценарий #4

Раньше в виртуальной инфраструктуре на базе решений VMware в качестве шлюза использовалась ВМ vShield Edge. Она позволяла в соответствии с требованиями безопасности настроить большое количество сетевых функций. Например, правила NAT и Firewall, по которым ВМ будут общаться с «внешним» интернетом. Однако vCNS, в составе которого был vShield, ушел в отставку, а на смену ему пришло решение VMware NSX Edge. Там есть все те же полезные функции и еще несколько новых.

Как и ранее, в NSX Edge доступны широкие возможности настройки правил Firewall по отношению к IP-адресам, сетям, ВМ и интерфейсам шлюза. Определить, как ваши ВМ будут общаться в интернетом поможет NAT, а именно — настройка правил SNAT и DNAT. Реализовать это можно без NSX Edge, используя решение другого вендора.

Как подключиться к облаку «ИТ-ГРАД»

Вопрос подключения к облаку актуален сейчас как никогда. Сотрудники разошлись из офисов на удаленку, сервисы остались в виртуальной инфраструктуре провайдера, а значит, необходимо решить вопрос безопасного доступа к ним. Сейчас мы предлагаем три способа подключения к облаку «ИТ-ГРАД».

Защищенный VPN-канал через Интернет

Использование защищенного VPN-канала решает сразу две задачи:

  • объединение локальной инфраструктуры и облака в единую виртуальную сеть;
  • организация удаленного доступа к сервисам в облаке «ИТ-ГРАД»;
  • организация удаленного доступа к сервисам, расположенным в другом облаке.

Здесь нам на помощь опять приходит NSX Edge, с помощью которого и реализовано безопасное туннелирование. Платить за него не надо — для клиентов IaaS «ИТ-ГРАД» он абсолютно бесплатен. Для организации туннеля, объединяющего виртуальную инфраструктуру и локально расположенные ресурсы, используется надежное шифрование IPsec:

Для подключения удаленных пользователей используется SSL VPN:

Если необходим общий широковещательный домен, настраивается туннель для создания защищенного соединения с другим облаком:

Подключение к оборудованию «ИТ-ГРАД» в точках обмена трафиком

Наши ЦОД соединены с крупнейшими точками обмена трафиком, через которые вы можете получить доступ к облаку, и подключены более чем к Х провайдерам.

Выделенный канал для связи с ЦОД

Соединить ваш офис с дата-центром можно с помощью выделенного канала от провайдера. Выбор провайдера ограничивается тем, что оператор должен присутствовать на обоих концах канала. По желанию вы можете выбрать нескольких провайдеров.



Екатерина Юдина
Профильный эксперт

Наш сайт использует cookie

Информацию о cookie, целях их использования и способах отказа от таковых, можно найти в «Политике использования файлов «cookie». Продолжая использовать наш Сайт, Вы выражаете согласие на обработку файлов «cookie», а также подтверждаете факт ознакомления с «Политикой использования файлов «cookie». Если Вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.