Общая информация о сетях облачной платформы
Сети облачной платформы работают на базе OpenStack Neutron. Подробнее в разделе Neutron документации OpenStack.
Работать с сетями облачной платформы можно в панели управления, с помощью OpenStack CLI или Terraform.
Решаемые задачи
В облачной платформе с помощью сетевых объектов можно:
- настраивать связность между устройствами в одном пуле и объединять в приватные подсети с помощью портов устройства: облачные серверы, балансировщики нагрузки, файловые хранилища, кластеры Managed Kubernetes и кластеры облачных баз данных;
- маршрутизировать трафик между приватными подсетями и настраивать доступ в интернет для устройств в приватной подсети с помощью облачных роутеров;
- подключать статические публичные IP-адреса к устройствам в приватных подсетях, чтобы настроить доступ к ним из интернета;
- подключать устройства к публичным подсетям для доступа в интернет и из интернета. К публичным подсетям можно подключить с помощью портов облачные серверы, балансировщики нагрузки и кластеры облачных баз данных;
- распределять входящий сетевой трафик между облачными серверами с помощью балансировщиков нагрузки;
- для организации сетевой связности между устройствами в разных пулах (в том числе, в разных проектах и аккаунтах) или между разными услугами приватные подсети можно подключать к глобальному роутеру;
- настраивать статические маршруты для подсетей.
Для ограничения трафика можно использовать:
- облачные файрволы — назначаются на порт облачного роутера, позволяют фильтровать трафик для приватных подсетей и публичных IP-адресов;
- группы безопасности — назначаются на порт облачного сервера, позволяют фильтровать весь трафик порта;
- разрешенные IP/MAC-адреса — настраиваются на порте облачного сервера, разрешают исходящий трафик порта только с определенных пар IP/MAC-адресов.
Для использования групп безопасности и разрешенных IP/MAC-адресов в сети должна быть включена фильтрация трафика (port security).
Пропускная способность
В сетевых объектах облачной платформы есть ограничения на полосу исходящего и входящего трафика.
Санкт-Петербург
Москва
Новосибирск
Ташкент
Алматы
Найроби
Список регионов, зон доступности и пулов можно посмотреть в таблице Инфраструктура Selectel.
Пропускную способность для устройств в приватных сетях можно повысить до 10 Гбит/с — создайте тикет.
Скорость на порте может сильно снизиться, например, до 0,1 Гбит/с, если ассоциированный IP-адрес заблокирован системой безопасности Selectel. Чтобы увеличить скорость, создайте тикет.
Фильтрация трафика (port security)
Фильтрация трафика (port security) — сетевая функция для защиты от несанкционированного доступа и атак. Фильтрация позволяет:
- использовать группы безопасности на портах облачных серверов;
- добавлять разрешенные IP\MAC-адреса для исходящего трафика с портов о блачных серверов;
- ограничивать доступ к балансировщику нагрузки.
Фильтрация трафика по умолчанию включена в приватных сетях и публичных подсетях, которые созданы:
- в пуле ru-8 после 15 мая 2025 года;
- в пуле uz-2 после 22 мая 2025 года;
- в пуле ru-9 после 26 мая 2025 года;
- в пуле ke-1 после 26 мая 2025 года;
- в пуле uz-1 после 27 мая 2025 года;
- в пуле kz-1 после 28 мая 2025 года.
В этих пулах нельзя вручную управлять фильтрацией — включать или выключать ее.
В пулах gis-1, ru-1, ru-2, ru-3, ru-7 фильтрация по умолчанию выключена в существующих и новых сетях, в них вы можете управлять фильтрацией.
Если в сети включена фильтрация трафика, то для каждого нового порта в сети:
- назначается группа безопасности по умолчанию, которая разрешает прохождение всего трафика через порт. Вы можете назначить другую группу безопасности;
- закрепляется одна разрешенная пара IP/MAC-адрес для исходящего трафика порта. Это блокируе т MAC/IP spoofing, работу VPN, VRRP и оверлейных сетей. Если вы используете решения на их основе, на порт нужно добавить разрешенные IP/MAC-адреса, которые могут использоваться для отправки трафика.
Состояние фильтрации в сети можно можно посмотреть в панели управления: в верхнем меню нажмите Продукты → Облачные серверы → Сеть → вкладка Приватные сети или Публичные сети. Сеть с включенной фильтрацией отмечена .
Заблокированные порты
В Selectel по умолчанию заблокированы некоторые TCP/UDP-порты, трафик через них заблокирован.
Стоимость
Публичные IP-адреса и публичные подсети оплачиваются по модели оплаты облачной платформы.
Стоимость можно посмотреть на selectel.ru.
Остальные сетевые ресурсы предоставляются бесплатно.