Приватные подсети и сети

Последнее изменение: 17 декабря 2024

Приватные подсети и сети

Приватные сети — это L2-сегменты сети. В каждой приватной сети должна быть создана хотя бы одна приватная подсеть. Приватные подсети — это диапазоны приватных IP-адресов на уровне L3, ограниченные размером CIDR. Если устройства находятся в разных приватных подсетях одной приватной сети, они могут общаться напрямую.

Внутри разных приватных сетей могут быть подсети с одинаковыми префиксами (масками), но внутри одной сети префиксы подсетей должны быть разными. По умолчанию приватные сети и подсети не имеют доступа в интернет и из интернета, в них нельзя использовать публичную адресацию.

Чтобы приватные подсети из разных сетей могли общаться, их нужно подключить к одному облачному роутеру. Для организации сетевой связности на уровне L3 между устройствами в разных пулах (в том числе, в разных проектах и аккаунтах) или между разными услугами нужно подключить приватные подсети к глобальному роутеру. Адреса подсетей, подключенных к одному роутеру (облачному или глобальному), не должны пересекаться.

По умолчанию приватные сети и принадлежащие им подсети можно использовать только внутри одного проекта и одного пула. Можно настроить общий доступ к приватной сети в разных проектах внутри одного аккаунта.

Внутри приватных подсетей есть ограничения на объем трафика — пропускная способность. Ее можно посмотреть в таблице Пропускная способность.

Работать с приватными подсетями и сетями можно в панели управления, с помощью OpenStack CLI или Terraform.

Автоматические настройки приватной подсети⁠

В приватных подсетях указываются настройки по умолчанию: шлюз по умолчанию и DNS-серверы. Если вы добавляете устройство в существующую подсеть, настройки применяются к нему автоматически. Если вы изменили настройки подсети, в которой уже есть устройства, для применения настроек нужно обновить сетевые настройки на всех устройствах в подсети.

Шлюз по умолчанию⁠

При создании приватной подсети для шлюза по умолчанию резервируется первый свободный IP-адрес. Например, для подсети с CIDR 192.168.0.0/24 под шлюз будет зарезервирован 192.168.0.1. Шлюз по умолчанию можно изменить при создании подсети или изменить после создания.

DNS-серверы⁠

При создании приватной подсети на устройствах в подсети автоматически прописываются DNS-серверы Selectel. DNS-серверы можно изменить при создании подсети или изменить после создания.

Статические маршруты⁠

По умолчанию в подсетях не указаны статические маршруты. Для приватных подсетей можно настроить статические маршруты.

Создать приватную сеть⁠

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Сеть.
2. Откройте вкладку Приватные сети.
3. Нажмите Создать сеть.
4. Выберите пул, в котором будет создана приватная сеть.
5. Введите имя сети.
6. Опционально: введите комментарий для сети.
7. Введите CIDR подсети — диапазон IP-адресов, доступных в подсети.
8. Опционально: чтобы изменить IP-адрес шлюза по умолчанию, нажмите . Введите значение. Нажмите .
9. Опционально: чтобы изменить DNS-серверы, нажмите . Введите от одного до трех значений. Нажмите .
10. Опционально: чтобы включить DHCP, отметьте чекбокс Включить DHCP.
11. Опционально: чтобы добавить еще одну подсеть, нажмите Добавить подсеть и перейдите на шаг 7.
12. Нажмите Создать.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Создайте приватную сеть:

   openstack network create <network_name>

   Укажите <network_name> — имя приватной сети.

3. Добавьте подсеть в приватную сеть.

Добавить подсеть в приватную сеть⁠

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Сеть.
2. Откройте вкладку Приватные сети.
3. Откройте страницу сети → вкладка Подсети.
4. Нажмите Создать подсеть.
5. Введите CIDR подсети — диапазон IP-адресов, доступных в подсети.
6. Опционально: измените IP-адрес шлюза по умолчанию.
7. Опционально: измените DNS-серверы. Введите от одного до трех значений.
8. Опционально: чтобы включить DHCP, отметьте чекбокс Включить DHCP.
9. Нажмите .

OpenStack CLI

1. Откройте OpenStack CLI.

2. Создайте подсеть в приватной сети:

   openstack subnet create \
     --subnet-range <cidr> \
     [--dhcp  | --no-dhcp] \
     --gateway <gateway> \
     --network <network> \
     <subnet_name>

   Укажите:

   • <cidr> — CIDR приватной подсети, например 192.168.0.0/24;
   • опцию DHCP:
     • --dhcp — включить DHCP;
     • --no-dhcp — отключить DHCP;
   • <gateway> — IP-адрес шлюза по умолчанию, например 192.168.0.2;
   • <network> — ID или имя приватной сети, можно посмотреть с помощью команды openstack network list
   • <subnet_name> — имя приватной подсети.

Настроить доступ к приватной сети в разных проектах⁠

По умолчанию приватную сеть можно использовать только внутри одного проекта и одного пула. Вы можете настроить общий доступ к приватной сети в разных проектах внутри одного аккаунта. Сеть так же будет доступна только внутри одного пула.

У приватной сети появится тег Кросспроектная. Управлять сетью можно будет только в проекте, в котором находится подсеть.

Если необходимо объединить приватные сети из разных пулов (в том числе, в разных проектах и аккаунтах), подключите приватную сеть к глобальному роутеру.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа.
2. Скопируйте ID проекта-получателя, с которым нужно поделиться сетью. Для этого откройте меню проектов (название текущего проекта) и в строке нужного проекта нажмите .
3. Убедитесь, что вы находитесь в проекте, в котором находится сеть. Для этого откройте меню проектов (название текущего проекта) и выберите исходный проект.
4. Перейдите в раздел Облачная платформа → Сеть.
5. Откройте вкладку Приватные сети.
6. Откройте страницу сети → вкладка Проекты.
7. Нажмите Добавить проект.
8. Вставьте ID проекта-получателя, который вы скопировали на шаге 2.
9. Нажмите .

Включить DHCP в приватной подсети⁠

Протокол DHCP можно использовать для автоматической настройки сети на устройствах. Он позволяет автоматически получать для устройств в приватной подсети IP-адреса, маску подсети, шлюз по умолчанию, адреса DNS-серверов, статические маршруты. Устройства в подсети с включенным DHCP будут автоматически запрашивать настройки у DHCP-сервера: при включении сетевого интерфейса или истечении срока аренды адреса (по умолчанию — 24 часа).

При включении DHCP в подсети будут созданы два порта для DHCP-серверов: для основного и резервного. Для портов будут зарезервированы два первых свободных IP-адреса в подсети. Например, для подсети с CIDR 192.168.0.0/24 будут зарезервированы 192.168.0.2 и 192.168.0.3

DHCP в приватной подсети можно включить при создании приватной сети, добавлении подсети в сеть или для существующей приватной подсети.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Сеть.
2. Откройте вкладку Приватные сети.
3. Откройте страницу приватной сети → вкладка Подсети.
4. В карточке подсети разверните блок Автоматические сетевые настройки.
5. Включите тумблер DHCP-сервер.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Включите DHCP в приватной подсети:

   openstack subnet set --dhcp <subnet>

   Укажите <subnet> — ID или имя приватной подсети, можно посмотреть с помощью команды openstack subnet list

Отключить DHCP в приватной подсети⁠

При отключении DHCP в приватной подсети освобождаются два IP-адреса, которые были зарезервированы для DHCP-серверов.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Сеть.
2. Откройте вкладку Приватные сети.
3. Откройте страницу приватной сети → вкладка Подсети.
4. В карточке подсети разверните блок Автоматические сетевые настройки.
5. Выключите тумблер DHCP-сервер.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Отключите DHCP в приватной подсети:

   openstack subnet set --no-dhcp <subnet>

   Укажите <subnet> — ID или имя приватной подсети, можно посмотреть с помощью команды openstack subnet list

Изменить шлюз по умолчанию в приватной подсети⁠

При создании приватной подсети для шлюза по умолчанию резервируется первый свободный IP-адрес. Например, для подсети с CIDR 192.168.0.0/24 будет зарезервирован 192.168.0.1

Шлюз по умолчанию можно изменить при создании приватной сети, добавлении подсети в сеть или для существующей приватной подсети.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Сеть.
2. Откройте вкладку Приватные сети.
3. Откройте страницу приватной сети → вкладка Подсети.
4. В карточке подсети разверните блок Автоматические сетевые настройки.
5. В поле Шлюз подсети нажмите .
6. Введите новое значение IP-адреса шлюза по умолчанию.
7. Нажмите .
8. Примените изменения. Для этого обновите сетевые настройки на устройствах в подсети.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Удалите существующий пул выделенных IP-адресов в приватной подсети и добавьте новый пул без IP-адреса шлюза по умолчанию:

   openstack subnet set \
     --no-allocation-pool \
     --allocation-pool start=<first_pool_ip_address>,end=<last_pool_ip_address> \
     <subnet>

   Укажите:

   • <first_pool_ip_address> — первый IP-адрес нового пула;
   • <last_pool_ip_address> — последний IP-адрес нового пула. Можно добавить несколько пулов — каждый пул добавляется с помощью опции --allocation-pool start=<first_pool_ip_address>,end=<last_pool_ip_address>
   • <subnet> — ID или имя приватной подсети, можно посмотреть с помощью команды openstack subnet list

3. Укажите новый IP-адрес шлюза по умолчанию:

   openstack subnet set --gateway <gateway> <subnet>

   Укажите <gateway> — IP-адрес шлюза по умолчанию, например 192.168.0.5.

   Пример изменения IP-адреса шлюза на 192.168.0.5:

   openstack subnet set \
     --no-allocation-pool \
     --allocation-pool start=192.168.0.1,end=192.168.0.4 \
     --allocation-pool start=192.168.0.6,end=192.168.0.254 \
     --gateway 192.168.0.5 \
     1c6e70ea-db7e-4d2f-bf76-4cab8f0cf52a

4. Примените изменения. Для этого обновите сетевые настройки на устройствах в подсети.

Изменить DNS-серверы в приватной подсети⁠

При создании приватной подсети на устройствах в подсети автоматически прописываются рекурсивные DNS-серверы Selectel. DNS-серверы можно изменить при создании приватной подсети и добавлении подсети в сеть или для существующей приватной подсети.

Для изменения DNS-серверов в подсети глобального роутера создайте тикет.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Сеть.
2. Откройте вкладку Приватные сети.
3. Откройте страницу приватной сети → вкладка Подсети.
4. В карточке подсети разверните блок Автоматические сетевые настройки.
5. В поле Адреса DNS-серверов нажмите .
6. Введите от одного до трех значений.
7. Нажмите .
8. Примените изменения. Для этого обновите сетевые настройки на устройствах в подсети.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Если вам нужно полностью заменить список DNS-серверов, удалите IP-адреса указанных DNS-серверов и добавьте новые:

   openstack subnet set \
     --no-dns-nameservers \
     --dns-nameserver <dns_server> \
     <subnet>

   Укажите:

   • <dns_server> — IP-адрес DNS-сервера. Можно добавить несколько DNS-серверов — каждый добавляется с помощью опции --dns-nameserver <dns_server>;
   • <subnet> — ID или имя приватной подсети, можно посмотреть с помощью команды openstack subnet list

   Пример изменения DNS-серверов по умолчанию на 192.0.2.3 и 192.0.2.4:

   openstack subnet set \
     --no-dns-nameservers \
     --dns-nameserver 192.0.2.3 \
     --dns-nameserver 192.0.2.4 \
     <subnet>

3. Если вам нужно дополнить список DNS-серверов, добавьте IP-адреса новых DNS-серверов:

   openstack subnet set \
     --dns-nameserver <dns_server> \
     <subnet>

   Укажите:

   • <dns_server> — IP-адрес DNS-сервера. Можно добавить несколько DNS-серверов — каждый добавляется с помощью опции --dns-nameserver <dns_server>;
   • <subnet> — ID или имя приватной подсети, можно посмотреть с помощью команды openstack subnet list

4. Примените изменения. Для этого обновите сетевые настройки на устройствах в подсети.

Подключить подсеть к облачному роутеру⁠

Чтобы приватные подсети могли общаться между собой, их нужно подключить к одному облачному роутеру. Подсети должны иметь разные CIDR.

Чтобы настроить доступ в интернет и из интернета для устройств в приватных подсетях с помощью облачного роутера, используйте инструкцию Настроить доступ в интернет и из интернета.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Сеть.

2. Откройте вкладку Облачные роутеры.

3. Откройте карточку роутера.

4. Нажмите Добавить подсеть.

5. Выберите приватную подсеть или подсеть глобального роутера.

6. Введите IP-адрес роутера. IP-адрес облачного роутера должен совпадать с шлюзом по умолчанию приватной подсети. Посмотреть шлюз по умолчанию в приватной подсети можно на вкладке Приватные сети → страница сети → вкладка Подсети → карточка подсети → блок Автоматические сетевые настройки → поле Шлюз подсети.

   Если вы подключаете подсеть глобального роутера, IP-адрес облачного роутера должен совпадать со шлюзом по умолчанию подсети глобального роутера и отличаться от IP-адреса глобального роутера, IP-адресов устройств в сети и служебных адресов .253 и .254.

7. Нажмите Добавить подсеть.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Подключите подсеть к облачному роутеру:

   openstack router add subnet <router> <subnet>

   Укажите:

   • <router> — ID или имя облачного роутера, можно посмотреть с помощью команды openstack router list;
   • <subnet> — ID или имя приватной подсети, можно посмотреть с помощью команды openstack subnet list

Отключить подсеть от облачного роутера⁠

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Сеть.
2. Откройте вкладку Облачные роутеры.
3. Откройте карточку роутера.
4. В меню приватной подсети выберите Удалить порт.
5. Нажмите Удалить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Отключите подсеть от облачного роутера:

   openstack router remove subnet <router> <subnet>

   Укажите:

   • <router> — ID или имя облачного роутера, можно посмотреть с помощью команды openstack router list;
   • <subnet> — ID или имя подсети, можно посмотреть с помощью команды openstack subnet list

Подключить приватную сеть к глобальному роутеру⁠

При подключении приватной сети к глобальному роутеру к нему будут подключены все подсети, принадлежащие этой сети. Все подсети будут общаться на L3-уровне.

У приватной сети появится тег Глобальный роутер. Управлять сетью и подсетями глобального роутера можно будет только в панели управления в разделе Сетевые сервисы → Глобальный роутер Selectel.

В подсети глобального роутера автоматически создадутся три служебных порта для сетевого оборудования.

Панель управления

1. Убедитесь, что подсети в приватной сети соответствуют условиям:

   • принадлежат диапазону приватных адресов по RFC 1918: 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16;
   • имеют размер не меньше /29, так как три адреса будут заняты сетевым оборудованием Selectel;
   • не пересекаются с другими сетями и подсетями, которые подключены к этому глобальному роутеру (IP-адреса в подсетях не должны совпадать);
   • если к сети глобального роутера будут подключены ноды кластера Managed Kubernetes, подсети не пересекаются с диапазонами 10.250.0.0/16, 10.10.0.0/16 и 10.96.0.0/12. Эти подсети участвуют во внутренней адресации Managed Kubernetes, их использование может привести к конфликтам в сети глобального роутера.

2. В панели управления перейдите в раздел Облачная платформа → Сеть.

3. Откройте вкладку Приватные сети.

4. В меню сети выберите Подключить к глобальному роутеру.

5. Выберите существующий глобальный роутер или создайте новый.

6. Для каждой подсети введите IP-адрес шлюза, который будет назначен на глобальный роутер. Не назначайте этот адрес на устройства, чтобы не нарушить работу сети.

7. Опционально: измените служебные IP-адреса, которые назначаются автоматически для резервирования глобального роутера.

8. Нажмите Подключить. Не закрывайте окно, пока сеть не будет подключена.

Отключить приватную сеть от глобального роутера⁠

1. В панели управления перейдите в раздел Облачная платформа → Сеть.
2. Откройте вкладку Приватные сети.
3. В меню сети выберите Отключить от глобального роутера.
4. Введите имя сети для подтверждения отключения.
5. Нажмите Отключить. Не закрывайте окно, пока сеть не будет отключена.

Удалить приватную сеть или подсеть⁠

Устройства, запрещающие удаление сети или подсети⁠

Приватную сеть или приватную подсеть нельзя удалить, если сеть подключена к глобальному роутеру, в подсети включен DHCP или есть устройства, запрещающие удаление:

• облачный роутер, который получает трафик для публичного IP-адреса одного из устройств в сети;
• облачный роутер, который использует порт подсети в статических маршрутах;
• кластер баз данных;
• кластер Managed Kubernetes;
• файловое хранилище;
• облачный балансировщик нагрузки.

При удалении подсети или сети через панель управления нужно удалить эти устройства, отключить подсеть от глобального роутера и отключить DHCP. При удалении через OpenStack CLI нужно удалить все порты сети или подсети.

Удалить приватную подсеть⁠

При удалении приватной подсети нужно удалить все порты в ней.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Сеть.

2. Откройте вкладку Приватные сети.

3. Если в карточке приватной сети есть тег Глобальный роутер, отключите ее от глобального роутера:

   3.1. В меню сети выберите Отключить от глобального роутера.

   3.2. Введите имя сети для подтверждения отключения.

   3.3. Нажмите Отключить. Не закрывайте окно, пока сеть не будет отключена.

4. Если в подсети включен DHCP, выключите его:

   4.1. Откройте страницу приватной сети → вкладка Подсети.

   4.2. В карточке подсети разверните блок Автоматические сетевые настройки.

   4.3. Выключите тумблер DHCP-сервер.

5. Откройте страницу приватной сети → вкладка Порты.

6. Удалите все порты подсети. Для этого в строке каждого порта нажмите .

7. Если в карточке порта неактивна кнопка , к порту подключено устройство, запрещающее удаление. Удалите это устройство и вернитесь на шаг 1.

   Для удаления устройства используйте инструкции:

   • удалить облачный роутер;
   • удалить кластер Managed Kubernetes;
   • удалить файловое хранилище;
   • удалить балансировщик нагрузки.

8. Откройте вкладку Подсети.

9. В карточке подсети нажмите .

10. Нажмите Удалить.

11. Подтвердите удаление.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Удалите все порты в приватной подсети:

   openstack port delete <port>

   Укажите <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list

3. Удалите приватную подсеть:

   openstack subnet delete <subnet>

   Укажите <subnet> — ID или имя приватной подсети, можно посмотреть с помощью команды openstack subnet list

Удалить приватную сеть⁠

Вместе с сетью будут удалены созданные в ней подсети.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Сеть.

2. Откройте вкладку Приватные сети.

3. Если в карточке сети есть тег Глобальный роутер, отключите ее от глобального роутера:

   3.1. В меню сети выберите Отключить от глобального роутера.

   3.2. Введите имя сети для подтверждения отключения.

   3.3. Нажмите Отключить. Не закрывайте окно, пока сеть не будет отключена.

4. Если в подсети включен DHCP, выключите его:

   4.1. Откройте страницу сети → вкладка Подсети.

   4.2. В карточке подсети разверните блок Автоматические сетевые настройки.

   4.3. Выключите тумблер DHCP-сервер.

5. Убедитесь, что в сети нет устройств, запрещающих удаление сети:

   5.1. Откройте страницу сети → вкладка Порты.

   5.2. Если в карточке порта неактивна кнопка , к порту подключено устройство, запрещающее удаление сети. Удалите это устройство и вернитесь на шаг 1.

   Для удаления устройства используйте инструкции:

   • удалить облачный роутер;
   • удалить кластер Managed Kubernetes;
   • удалить файловое хранилище;
   • удалить балансировщик нагрузки.

6. Перейдите в раздел Облачная платформа → Сеть.

7. Откройте вкладку Приватные сети.

8. В меню сети выберите Удалить сеть.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Удалите все порты в подсетях, принадлежащих сети:

   openstack port delete <port>

   Укажите <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list

3. Удалите приватную сеть:

   openstack network delete <network>

   Укажите <network> — ID или имя приватной сети, можно посмотреть с помощью команды openstack network list