Связать сервер в А-ЦОД с выделенным сервером в другом пуле

Последнее изменение: 29 мая 2026

Вы можете объединить сервер в А-ЦОД и выделенный сервер, которые находятся в разных пулах. Связность организуется по приватной сети через глобальный роутер Selectel.

Принцип работы

Выделенный сервер в А-ЦОД подключается к глобальному роутеру через межсетевой экран. Для этого межсетевой экран, за которым находится сервер, должен быть подключен к коммутаторам приватной сети.

Выделенный сервер в другом пуле также подключается к глобальному роутеру. Выделенные серверы, кроме некоторых серверов Chipcore Line, подключены к коммутаторам приватной сети по умолчанию.

Связать сервер в А-ЦОД с выделенным сервером в другом пуле по приватной сети

1. Подключите межсетевой экран в приватную сеть.
2. Создайте глобальный роутер.
3. Подключите к роутеру сеть и подсеть до VLAN выделенного сервера вне А-ЦОД.
4. Подключите к роутеру сеть и подсеть до А-ЦОД.
5. Настройте межсетевой экран в А-ЦОД.
6. Настройте выделенный сервер вне А-ЦОД.

1. Подключить межсетевой экран в приватную сеть

1. Создайте тикет для подключения межсетевого экрана в А-ЦОД в приватную сеть. В тикете укажите:

   • номер межсетевого экрана в А-ЦОД, можно посмотреть в панели управления: в верхнем меню нажмите Продукты → Межсетевые экраны → страница межсетевого экрана;
   • номер порта на межсетевом экране для подключения к коммутатору приватной сети.

2. Дождитесь ответа сотрудника Selectel о том, что межсетевой экран в А-ЦОД подключен в приватную сеть.

2. Создать глобальный роутер

1. В панели управления в верхнем меню нажмите Продукты и выберите Глобальный роутер.
2. Нажмите Создать роутер. Для каждого аккаунта установлен лимит в пять глобальных роутеров.
3. Введите имя роутера.
4. Нажмите Создать.
5. Если роутер создался со статусом ERROR или завис в одном из статусов, создайте тикет.

3. Подключить к роутеру сеть и подсеть до VLAN выделенного сервера вне А-ЦОД

Вы можете подключить к роутеру новую сеть или существующую сеть, если она еще не подключена к любому из глобальных роутеров аккаунта.

1. В панели управления в верхнем меню нажмите Продукты и выберите Глобальный роутер.

2. Откройте страницу роутера → вкладка Сети.

3. Нажмите Создать сеть.

4. Введите имя сети. Оно будет использоваться только в панели управления.

5. Выберите услугу Серверы и оборудование.

6. Выберите локацию сети.

7. Выберите или введите VLAN.

8. Если вы хотите создать сеть до внутреннего сегмента (Q-in-Q), укажите его тег — число от 2 до 4094. Если до VLAN уже есть сеть, обязательно укажите Q-in-Q-сегмент этого VLAN.

9. Введите имя подсети. Оно будет использоваться только в панели управления.

10. Введите CIDR — IP-адрес и маску приватной подсети. Можно ввести новую подсеть либо существующую приватную подсеть сервера, если она еще не добавлена на любой из глобальных роутеров в аккаунте. Подсеть должна соответствовать условиям:

    • принадлежать диапазону приватных адресов по RFC 1918: 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16;
    • иметь размер не меньше /29, так как три адреса будут заняты сетевым оборудованием Selectel;
    • не пересекаться с другими подсетями, добавленными на этот роутер, — в подсетях одного роутера не должно быть одинаковых IP-адресов;
    • если в сеть глобального роутера будет включен кластер Managed Kubernetes на облачных серверах, подсеть не должна пересекаться с диапазонами 10.10.0.0/16, 10.96.0.0/12, 10.250.0.0/16 и 10.251.0.0/24. Если в сеть будет включен кластер на выделенных серверах — с диапазонами 10.10.0.0/16, 10.222.0.0/16, 10.250.0.0/16, 10.251.0.0/24 и 172.250.0.0/14. Эти подсети участвуют во внутренней адресации Managed Kubernetes, их использование может привести к конфликтам в сети глобального роутера.

11. Введите IP шлюза или оставьте первый адрес из подсети, который назначается по умолчанию. Не назначайте этот адрес на свои устройства, чтобы не нарушить работу сети.

12. Введите служебные IP или оставьте последние адреса из подсети, которые назначаются по умолчанию. Не назначайте эти адреса на свои устройства, чтобы не нарушить работу сети.

13. Нажмите Создать сеть.

14. Опционально: проверьте топологию сети на глобальном роутере. В панели управления в верхнем меню нажмите Продукты → Глобальный роутер → страница роутера → Карта сети.

15. Если на шаге 8 вы указали тег Q-in-Q, нужно включить технологию Q-in-Q на порту коммутатора и настроить сетевой интерфейс приватной сети, которую вы указали на шаге 10. Подробнее в подразделе Настроить Q-in-Q инструкции Q-in-Q.

4. Подключить к роутеру сеть и подсеть до А-ЦОД

1. В панели управления в верхнем меню нажмите Продукты и выберите Глобальный роутер.

2. В разделе Глобальный роутер Selectel откройте страницу роутера → вкладка Сети.

3. Нажмите Создать сеть.

4. Введите имя сети. Оно будет использоваться только в панели управления.

5. Выберите услугу Серверы и оборудование.

6. Выберите пул.

7. Выберите VLAN.

8. Если вы хотите создать сеть до внутреннего сегмента VLAN (Q-in-Q), укажите его тег — число от 2 до 4094.

9. Введите имя подсети. Оно будет использоваться только в панели управления.

10. Введите CIDR — IP-адрес и маску приватной подсети. Подсеть должна соответствовать условиям:

    • принадлежать диапазону приватных адресов по RFC 1918: 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16;
    • иметь размер не меньше /29, так как три адреса будут заняты сетевым оборудованием Selectel;
    • не пересекаться с другими подсетями, добавленными на этот роутер, — в подсетях одного роутера не должно быть одинаковых IP-адресов;
    • если в сеть глобального роутера будет включен кластер Managed Kubernetes на облачных серверах, подсеть не должна пересекаться с диапазонами 10.10.0.0/16, 10.96.0.0/12, 10.250.0.0/16 и 10.251.0.0/24. Если в сеть будет включен кластер на выделенных серверах — с диапазонами 10.10.0.0/16, 10.222.0.0/16, 10.250.0.0/16, 10.251.0.0/24 и 172.250.0.0/14. Эти подсети участвуют во внутренней адресации Managed Kubernetes, их использование может привести к конфликтам в сети глобального роутера.

11. Введите IP шлюза или оставьте первый адрес из подсети, который назначается по умолчанию. Не назначайте этот адрес на свои устройства, чтобы не нарушить работу сети.

12. Введите служебные IP или оставьте последние адреса из подсети, которые назначаются по умолчанию. Не назначайте эти адреса на свои устройства, чтобы не нарушить работу сети.

13. Нажмите Создать сеть.

14. Опционально: проверьте топологию сети на глобальном роутере. В панели управления в верхнем меню нажмите Продукты → Глобальный роутер → страница роутера → Карта сети.

15. Если на шаге 8 вы указали тег Q-in-Q, убедитесь, что настроили Q-in-Q. При настройке используйте подсеть, которую указали на шаге 10.

5. Настроить межсетевой экран в А-ЦОД

FortiGate

1. Подключитесь к FortiGate через графический интерфейс.

2. Создайте и настройте приватный интерфейс с выделенной подсетью:

   2.1. Перейдите в раздел Network → Interfaces.

   2.2. Нажмите Create New → Interface.

   2.3. В поле Address введите IP-адрес из приватной подсети, которую вы подключили к глобальному роутеру до А-ЦОД, например 192.168.100.2/28.

3. Добавьте статический маршрут в подсеть, которую вы подключили к глобальному роутеру до VLAN выделенного сервера вне А-ЦОД:

   3.1. Перейдите в раздел Network → Static Routes.

   3.2. Нажмите Create New → IPv4 Static Route.

   3.3. В поле Destination введите подсеть назначения — подсеть, которую вы подключили к глобальному роутеру до VLAN выделенного сервера вне А-ЦОД.

   3.4. В поле Gateway Address введите шлюз — IP-адрес, который вы назначили на глобальный роутер при подключении сети до А-ЦОД на шаге 11.

   3.5. В поле Interface укажите локальный интерфейс, который вы создали на шаге 2.

4. Настройте политику безопасности, которая будет разрешать трафик от выделенного сервера вне А-ЦОД к выделенному серверу в А-ЦОД:

   4.1. Перейдите в раздел Policy & Objects → Firewall Policy.

   4.2. Нажмите Create New.

   4.3. Введите имя политики.

   4.4. В поле Incoming Interface выберите интерфейс, для которого настроили IP-адрес на шаге 2.

   4.5. В поле Outgoing Interface выберите интерфейс, к которому подключен выделенный сервер в А-ЦОД.

   4.6. В поле Source введите другой IP-адрес из той же приватной подсети, которую настроили на межсетевом экране на шаге 2. Этот адрес будет использоваться на выделенном сервере вне А-ЦОД.

   4.7. В поле Destination введите IP-адрес выделенного сервера в А-ЦОД.

   4.8. Нажмите Save.

5. Настройте политику безопасности, которая будет разрешать трафик от выделенного сервера вне А-ЦОД к выделенному серверу в А-ЦОД:

   5.1. Перейдите в раздел Policy & Objects → Firewall Policy.

   5.2. Нажмите Create New.

   5.3. Введите имя политики.

   5.4. В поле Incoming Interface выберите интерфейс, к которому подключен выделенный сервер в А-ЦОД.

   5.5. В поле Outgoing Interface выберите интерфейс, для которого настроили IP-адрес на шаге 2.

   5.6. В поле Source введите IP-адрес выделенного сервера в А-ЦОД.

   5.7. В поле Destination введите IP-адрес, который будет использоваться на выделенном сервере вне А-ЦОД.

   5.8. Нажмите Save.

6. Настроить выделенный сервер вне А-ЦОД

1. На интерфейс приватной сети назначьте IP-адрес из подсети, которую вы подключили к глобальному роутеру до VLAN выделенного сервера вне А-ЦОД. Используйте подраздел Настроить сетевой интерфейс приватной сети инструкции Настроить сетевой интерфейс на сервере.

2. Пропишите статический маршрут на сетевом интерфейсе, который настроили на шаге 1. В маршруте укажите:

   • подсеть назначения — подсеть, которую вы подключили к глобальному роутеру для А-ЦОД;
   • шлюз — IP-адрес на глобальном роутере из подсети, которую вы подключили к глобальному роутеру для сервера вне А-ЦОД.