Общая информация о сетях облачной платформы
Сети облачной платформы работают на базе OpenStack Neutron. Подробнее в разделе Neutron документации OpenStack.
Работать с сетями облачной платформы можно в панели управления, с помощью OpenStack CLI или Terraform.
Решаемые задачи
В облачной платформе с помощью сетевых объектов можно:
- настраивать связность между устройствами в одном пуле и объединять в приватные подсети с помощью портов устройства: облачные серверы, балансировщики нагрузки, файловые хранилища, кластеры Managed Kubernetes и кластеры облачных баз данных;
- маршрутизировать трафик между приватным и подсетями и настраивать доступ в интернет для устройств в приватной подсети с помощью облачных роутеров;
- подключать статические публичные IP-адреса к устройствам в приватных подсетях, чтобы настроить доступ к ним из интернета;
- подключать устройства к публичным подсетям для доступа в интернет и из интернета. К публичным подсетям можно подключить с помощью портов облачные серверы, балансировщики нагрузки и кластеры облачных баз данных;
- распределять входящий сетевой трафик между облачными серверами с помощью балансировщиков нагрузки;
- для организации сетевой связности между устройствами в разных пулах (в том числе, в разных проектах и аккаунтах) или между разными услугами приватные подсети можно подключать к глобальному роутеру;
- настраивать статические маршруты для подсетей.
Для ограничения трафика можно использовать:
- облачные файрволы — назначаются на порт облачного роутера, позволяют фильтровать трафик для приватных подсетей и публичных IP-адресов;
- группы безопасности — назначаются на порт облачного сервера, позволяют фильтровать весь трафик порта;
- разрешенные IP/MAC-адреса — настраиваются на порте облачного сервера, разрешают исходящий трафик порта только с определенных пар IP/MAC-адресов.
Для использования групп безопасности и разрешенных IP/MAC-адресов в сети должна быть включена фильтрация трафика (port security).
Пропускная способность
В сетевых объектах облачной платформы есть ограничения на полосу исходящего и входящего трафика.
Санкт-Петербург
Москва
Новосибирск
Ташкент
Алматы
Найроби
Список регионов, зон доступности и пулов можно посмотреть в таблице Инфраструктура Selectel.
Пропускную способность для устройств в приватных сетях можно повысить до 10 Гбит/с — создайте тикет.
Скорость на порте может сильно снизиться, например до 0,1 Гбит/с, если ассоциирова нный IP-адрес заблокирован системой безопасности Selectel. Чтобы увеличить скорость, создайте тикет.
Фильтрация трафика (port security)
Фильтрация трафика (port security) — сетевая функция для защиты от несанкционированного доступа и атак. Фильтрация позволяет:
- использовать группы безопасности на портах облачных серверов;
- добавлять разрешенные IP\MAC-адреса для исходящего трафика с портов облачных серверов;
- ограничивать доступ к балансировщику нагрузки.
Состояние фильтрации в сети можно можно посмотреть в панели управления: в верхнем меню нажмите Продукты → Облачные серверы → Сеть → вкладка Приватные сети или Публичные сети. Сеть с включенной фильтрацией отмечена .
Фильтрация трафика по умолчанию включена во всех новых приватных сетях и публичных подсетях, ее нельзя выключить. Если в сети включена фильтрация, то для каждого нового порта в этой сети:
- назначается группа безопасности по умолчанию, которая разрешает прохождение всего трафика через порт. Вы можете назначить другую группу безопасности;
- закрепляется одна разрешенная пара IP/MAC-адрес для исходящего трафика порта. Это блокирует MAC/IP-спуфинг, работу оверлейных сетей, VPN и VRRP. Если вы используете решения на их основе, на порт нужно добавить разрешенные IP/MAC-адреса, которые могут использоваться для отправки трафика.
Фильтрация выключена в приватных сетях и публичных подсетях, которые были созданы:
- в пуле ru-1 до 2 июня 2025 года;
- в пуле ru-2 до 3 июня 2025 года;
- в пуле ru-3 до 4 июня 2025 года;
- в пуле ru-7 до 5 июня 2025 года;
- в пуле ru-8 до 15 мая 2025 года;
- в пуле ru-9 до 26 мая 2025 года;
- в пуле gis-1 до 29 мая 2025 года;
- в пуле kz-1 до 28 мая 2025 года;
- в пуле uz-1 до 27 мая 2025 года;
- в пуле uz-2 до 22 мая 2025 года;
- в пуле ke-1 до 26 мая 2025 года.
В этих сетях нельзя включить фильтрацию. Если вам необходимо использовать группы безопасности, добавлять разрешенные IP\MAC-адреса или ограничивать доступ к балансировщику нагрузки, создайте новую приватную сеть или публичную подсеть и настройте адреса из нее на своих устройствах.
Заблокированные порты
В Selectel по умолчанию заблокированы н екоторые TCP/UDP-порты, трафик через них заблокирован.
Стоимость
Публичные IP-адреса и публичные подсети оплачиваются по модели оплаты облачной платформы.
Стоимость можно посмотреть на selectel.ru.
Остальные сетевые ресурсы предоставляются бесплатно.