Перейти к основному содержанию

Сеть

Локальная сеть

Все серверы клиента работают в одной локальной сети. У каждого клиента своя локальная сеть. Серверу при запуске выделяется внутренний IP-адрес, доступный в локальной сети и недоступный из сети интернет. Отключить сервер от локальной сети можно только через командную строку сервера вручную. Ширина канала в локальной сети — 1 Гбит/с.

Локальная сеть предоставляется бесплатно.

Использование NAT

Для локальной (внутренней) сети проекта CLO есть возможность подключить виртуальный роутер с внешним IP-адресом. Это позволяет серверам проекта, не имеющим внешнего адреса, получить доступ к сети Интернет.

Примечание. На данный момент IP-адрес для виртуального роутера выбирается сервисом произвольно. Управлять этим выбором нельзя.

Для управления доступом серверов к внешней сети с помощью виртуального роутера используется принцип динамического переопределения адресов (NAT). Используя виртуальный роутер, различные серверы проекта получают доступ во внешнюю сеть под одним общим IP-адресом.

Ограничения виртуального роутера

Услуга виртуального роутера имеет следующие ограничения:

  • нельзя пробрасывать порты через виртуальный роутер
  • инициатор соединения с сетью Интернет должен находиться во внутренней сети проекта

Подключение виртуального роутера

На главной странице проекта нажмите ссылку Добавить на плашке Локальные сети.  В открывшемся модальном окне нажмите кнопку Добавить роутер с внешним IP.

Включение и выключение виртуального роутера

Нажмите выключатель в строке с информацией о виртуальном роутере.

Примечание. Если вы выключаете роутер, его внешний IP-адрес сохранится и будет вновь доступен при повторном включении NAT.

Удаление виртуального роутера

На странице виртуального роутера нажмите Удалить →  Удалить роутер и адрес.

Внимание! При удалении виртуального роутера внешний IP-адрес, который использовался этим роутером, будет безвозвратно утерян!

Доступ в Интернет

Доступ в Интернет есть у любого сервера с внешним адресом. Серверы подключены к Интернету по каналу 1 Гбит/сек. Бесплатно для каждого сервера предоставляется 32 Тб трафика в месяц.

Внешние адреса

Внешний IP-адрес — это сетевой адрес, по которому сервер (балансировщик) получает доступ в сеть Интернет.

Внимание! Без внешнего адреса у сервера или балансировщика нет прямого доступа к сети Интернет.

К одному серверу подключается до пяти внешних IP-адресов. Подробнее см. в разделе Лимиты.

Сеть проекта CLO по умолчанию использует инкапсуляцию уровня L3 OSI. Для настройки режима работы локальной сети на уровне L2 необходимо обратиться в поддержку. Кроме того, потребуется отключить скрипт netconfig и самостоятельно настроить внутренние IP-адреса для каждого из серверов.

Примечание. Облачные базы данных и балансировщики нагрузок не работают на уровне L2. Также нельзя перевести на уровень L2 связь проекта с сетью Интернет.

Основной IP-адрес

Один из внешних IP-адресов может быть назначен основным. Основной IP-адрес — это адрес, через который по умолчанию идут все исходящие запросы в Интернет. Если приложение не указывает сетевой интерфейс или IP-адрес явно, оно использует для обмена с сетью основной IP-адрес.

Основной адрес назначается автоматически:

  • При создании нового сервера с внешним IP-адресом
  • При подключении внешнего IP-адреса к серверу без внешних адресов
  • При отключении действующего основного IP-адреса от сервера. При этом новый основной адрес автоматически выбирается из списка подключенных внешних IP-адресов

Веб-консоль (VNC)

VNC — это эмуляция физического экрана и клавиатуры, подключенных к серверу. Если что-то пойдет не так, то сервер всегда доступен по VNC, даже если у сервера нет сетевых подключений.

Обратная запись (PTR)

Обратная запись, или обратная зона DNS — указывает обратное соответствие адреса доменному имени, т.е. позволяет узнать какой домен располагается на IP-адресе. Чаще всего используется для настройки почтового сервера. Задается обратная запись на странице конкретного IP-адреса — чтобы попасть на нее кликните по конкретному адресу. Либо выберите «Изменить PTR-запись» в выпадающем меню адреса.

Защита от DDoS

К серверу или балансировщику можно подключить дополнительную услугу защиты от DDoS-атак на уровнях 3 (сеть), 4 (транспорт) и 7 (приложения). Защита очищает трафик на соответствующих уровнях от вредоносных запросов, позволяя избежать простоев из-за перегрузки сетевого адреса.

Защита от DDoS на уровнях L3-L4

Угрозы на 3-4 уровне модели OSI чаще всего представляют собой флуд-атаки, связанные с насыщением полосы пропускания.

Чтобы подключить защиту от DDoS-атак, воспользуйтесь одним из следующих вариантов:

  • при создании сервера или балансировщика отметьте пункт Подключить защиту от DDoS
  • добавьте к серверу или балансировщику новый внешний IP-адрес с защитой от DDoS

Примечание. Защищённый адрес можно отключить от сервера или балансировщика и, при необходимости, подключить к другому серверу (балансировщику).

После подключения защищённого IP-адреса сервис отслеживает используемую на этом адресе ширину канала. Учитываются все виды сетевого трафика:

  • внутренний, направленный на другие ресурсы сервиса CLO
  • внешний, связанный со сторонними сетевыми ресурсами

Примечание. Учитывается только ширина канала, занятого белым трафиком. Паразитный трафик игнорируется.

Чтобы исключить кратковременные пики нагрузки, 5% максимальных нагрузок на канал отбрасываются. Оставшееся значение считается уровнем использования канала в течение суток, именно оно и оплачивается.

  • Минимальный оплачиваемый уровень использования 5 Мбит/с, то есть, все значения ниже этого уровня округляются до 5 Мбит/с. Значения свыше 5 Мбит/с учитываются целиком, со среднесуточным округлением почасового трафика до 100 бит/с
  • Суточная стоимость оплаты канала шириной 1 Мбит/с вычисляется обратно пропорционально количеству дней в месяце (цена услуги за сутки равна цене за месяц, поделенной на количество дней в месяце)

Защита от DDoS-атак на уровне L7

DDoS-атаки на уровне 7 OSI, называемые также атаками на уровне приложения, нацелены на нарушение работы приложений путем перегрузки сервера штатными запросами. Этот тип атаки представляет особую опасность, так как трудно отличить вредоносные запросы от обычных.

Чтобы включить защиту от DDoS-атак на седьмом уровне, выполните следующие действия:

Шаг 1. Запросите подключение защиты на уровне L7. Через Личный кабинет CLO обратитесь в техподдержку, указав доменное имя и IP-адрес защищаемого ресурса. Сообщите, если поддомены сайта также нуждаются в защите.

Если домен использует защищенное соединение, то нужно также выполнить одно из действий:

  • приложить к запросу ваш полный SSL-сертификат, а именно: сам сертификат для вашего домена, приватный ключ, цепочку промежуточных сертификатов
  • использовать сертификат, выданный провайдером услуги защиты от DDoS-атак

Это необходимо, чтобы сотрудники поддержки выполнили настройку на стороне сервиса защиты от DDoS-атак.

Шаг 2. Настройте веб-сервер, чтобы сетевые службы распознавали реальный IP-адрес сервера, а не адрес, предоставляемый службой защиты от DDoS-атак.

Если вы используете веб-сервер nginx, необходимо чтобы он был скомпилирован с опцией --with-http_realip_module (по умолчанию поддержка уже есть во всех популярных дистрибутивах). В файле /etc/nginx/nginx.conf в секцию http необходимо добавить опции конфигурации следующим образом:

  • Через ssh-клиент подключитесь к серверу, введите в консоль:
nano /etc/nginx/nginx.conf
  • В раздел http добавьте:
set_real_ip_from 186.2.160.0/24;
real_ip_header X-Real-IP;
  • Затем нажмите Ctrl+O, Enter, далее Ctrl+X.

186.2.160.0/24 — это служебная подсеть DDoS-Guard. Вышеприведенная команда позволит передать из неё новый защищенный IP на сервер.

  • Если вы используете веб-сервер Apache, и при этом не установлен nginx, то в нём должна быть включена поддержка модуля remote_ip (по умолчанию включена во всех популярных дистрибутивах). Введите:
nano /etc/httpd/conf/httpd.conf — в CentOS
nano /etc/apache2/apache2.conf — в Debian / Ubuntu
  • в открывшемся файле добавьте:
RemoteIPHeader X-Real-IP
RemoteIPInternalProxy 186.2.160.0/24
  • Далее нажмите Ctrl+O, Enter и Ctrl+X.

Шаг 3. Настройте файервол. Это необязательно, но данный шаг закроет доступ к портам веб-сервера для всех IP не из защищенной сети, и, как следствие, повысит защищенность. Данная настройка выполняется после подключения защищенного канала к серверу.

Добавьте правила для фаервола через утилиту iptables или iptables-nft (если используется nftables), чтобы открыть доступ к серверу через порты 80 и 443 только для подсетей DDoS-Guard 186.2.160.0/24 и 77.220.207.192/27

  • Убедитесь в наличии на сервере утилиты iptables командой:
iptables -V
  • Если iptables не установлена, то выполните:
yum install iptables-services
systemctl enable iptables
systemctl start iptables
  • Далее введите в консоль следующие значения:
iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 443 -j ACCEPT
Назад к базе знаний