Связать S3 с другими продуктами

Последнее изменение: 10 июня 2026

к сведению

Связать S3 с другими продуктами по приватной сети можно только в определенных пулах: в пулах ru-3 и ru-7 — с серверами в России, в пуле uz-2 — с серверами в Узбекистане.

Для связи S3 с другими продуктами по приватной сети используется глобальный роутер.

1. Если у вас еще нет глобального роутера, создайте роутер.
2. Подключите подсеть другого продукта к глобальному роутеру.
3. Создайте стыковочную подсеть для связи S3 с глобальным роутером.
4. Пропишите статический маршрут к S3 на серверах в другом продукте.
5. Настройте обращение к приватному эндпоинту S3 на серверах в другом продукте.

1. Создать глобальный роутер

1. В панели управления в верхнем меню нажмите Продукты и выберите Глобальный роутер.
2. Нажмите Создать роутер. Для каждого аккаунта установлен лимит в пять глобальных роутеров.
3. Введите имя роутера.
4. Нажмите Создать.
5. Если роутер создался со статусом ERROR или завис в одном из статусов, создайте тикет.

2. Подключить подсеть другого продукта к глобальному роутеру

Выделенный сервер

Вы можете подключить к роутеру новую сеть или существующую сеть, если она еще не подключена к любому из глобальных роутеров аккаунта.

1. В панели управления в верхнем меню нажмите Продукты и выберите Глобальный роутер.

2. Откройте страницу роутера → вкладка Сети.

3. Нажмите Создать сеть.

4. Введите имя сети. Оно будет использоваться только в панели управления.

5. Выберите услугу Серверы и оборудование.

6. Выберите локацию сети.

7. Выберите или введите VLAN.

8. Если вы хотите создать сеть до внутреннего сегмента (Q-in-Q), укажите его тег — число от 2 до 4094. Если до VLAN уже есть сеть, обязательно укажите Q-in-Q-сегмент этого VLAN.

9. Введите имя подсети. Оно будет использоваться только в панели управления.

10. Введите CIDR — IP-адрес и маску приватной подсети. Можно ввести новую подсеть либо существующую приватную подсеть сервера, если она еще не добавлена на любой из глобальных роутеров в аккаунте. Подсеть должна соответствовать условиям:

    • принадлежать диапазону приватных адресов по RFC 1918: 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16;
    • иметь размер не меньше /29, так как три адреса будут заняты сетевым оборудованием Selectel;
    • не пересекаться с другими подсетями, добавленными на этот роутер, — в подсетях одного роутера не должно быть одинаковых IP-адресов;
    • если в сеть глобального роутера будет включен кластер Managed Kubernetes на облачных серверах, подсеть не должна пересекаться с диапазонами 10.10.0.0/16, 10.96.0.0/12, 10.250.0.0/16 и 10.251.0.0/24. Если в сеть будет включен кластер на выделенных серверах — с диапазонами 10.10.0.0/16, 10.222.0.0/16, 10.250.0.0/16, 10.251.0.0/24 и 172.250.0.0/14. Эти подсети участвуют во внутренней адресации Managed Kubernetes, их использование может привести к конфликтам в сети глобального роутера.

11. Введите IP шлюза или оставьте первый адрес из подсети, который назначается по умолчанию. Не назначайте этот адрес на свои устройства, чтобы не нарушить работу сети.

12. Введите служебные IP или оставьте последние адреса из подсети, которые назначаются по умолчанию. Не назначайте эти адреса на свои устройства, чтобы не нарушить работу сети.

13. Нажмите Создать сеть.

14. Опционально: проверьте топологию сети на глобальном роутере. В панели управления в верхнем меню нажмите Продукты → Глобальный роутер → страница роутера → Карта сети.

15. Если на шаге 8 вы указали тег Q-in-Q, нужно включить технологию Q-in-Q на порту коммутатора и настроить сетевой интерфейс приватной сети, которую вы указали на шаге 10. Подробнее в подразделе Настроить Q-in-Q инструкции Q-in-Q.

Облачный сервер или кластер Managed Kubernetes

Вы можете подключить к роутеру новую сеть или существующую сеть, если она еще не подключена к любому из глобальных роутеров аккаунта.

Подключить новую сеть

1. В панели управления в верхнем меню нажмите Продукты и выберите Глобальный роутер.

2. Откройте страницу роутера → вкладка Сети.

3. Нажмите Создать сеть.

4. Введите имя сети. Оно будет использоваться только в панели управления.

5. Выберите услугу Облачная платформа.

6. Выберите локацию сети.

7. Выберите проект.

8. Введите имя подсети. Оно будет использоваться только в панели управления.

9. Введите CIDR — IP-адрес и маску подсети. Подсеть должна соответствовать условиям:

   • принадлежать диапазону приватных адресов по RFC 1918: 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16;
   • иметь размер не меньше /29, так как три адреса будут заняты сетевым оборудованием Selectel;
   • не пересекаться с другими подсетями, добавленными на этот роутер, — в подсетях одного роутера не должно быть одинаковых IP-адресов;
   • если в сеть глобального роутера будет включен кластер Managed Kubernetes на облачных серверах, подсеть не должна пересекаться с диапазонами 10.10.0.0/16, 10.96.0.0/12, 10.250.0.0/16 и 10.251.0.0/24. Если в сеть будет включен кластер на выделенных серверах — с диапазонами 10.10.0.0/16, 10.222.0.0/16, 10.250.0.0/16, 10.251.0.0/24 и 172.250.0.0/14. Эти подсети участвуют во внутренней адресации Managed Kubernetes, их использование может привести к конфликтам в сети глобального роутера.

10. Введите IP шлюза или оставьте первый адрес из подсети, который назначается по умолчанию. Не назначайте этот адрес на свои устройства, чтобы не нарушить работу сети.

11. Введите служебные IP или оставьте последние адреса из подсети, которые назначаются по умолчанию. Не назначайте эти адреса на свои устройства, чтобы не нарушить работу сети.

12. Нажмите Создать сеть.

13. Опционально: проверьте топологию сети на глобальном роутере. В панели управления в верхнем меню нажмите Продукты → Глобальный роутер → страница роутера → Карта сети.

Подключить существующую сеть

1. Убедитесь, что сеть еще не добавлена на любой из глобальных роутеров аккаунта. В панели управления в верхнем меню нажмите Продукты → Облачные серверы → Сеть → вкладка Приватные сети → проверьте, что в карточке сети нет тега Глобальный роутер.

2. Убедитесь, что подсеть соответствует условиям:

   • принадлежит диапазону приватных адресов по RFC 1918: 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16;
   • имеет размер не меньше /29, так как три адреса будут заняты сетевым оборудованием Selectel;
   • не пересекается с другими подсетями, добавленными на этот роутер: IP-адреса каждой подсети на роутере не должны совпадать с IP-адресами других подсетей на нем;
   • если в сеть глобального роутера будет включен кластер Managed Kubernetes на облачных серверах, подсеть не должна пересекаться с диапазонами 10.10.0.0/16, 10.96.0.0/12, 10.250.0.0/16 и 10.251.0.0/24. Если в сеть будет включен кластер на выделенных серверах — с диапазонами 10.10.0.0/16, 10.222.0.0/16, 10.250.0.0/16, 10.251.0.0/24 и 172.250.0.0/14. Эти подсети участвуют во внутренней адресации Managed Kubernetes, их использование может привести к конфликтам в сети глобального роутера.

3. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

4. Перейдите в раздел Сеть → вкладка Приватные сети.

5. В меню сети выберите Подключить к глобальному роутеру.

6. Выберите глобальный роутер.

7. Для каждой из подсетей сети введите IP-адрес, который будет назначен на роутер, или оставьте первый свободный адрес из подсети, который назначается по умолчанию. Не назначайте этот адрес на свои устройства, чтобы не нарушить работу сети. Два последних свободных адреса подсети будут зарезервированы в качестве служебных.

8. Нажмите Подключить. Не закрывайте окно, пока не появится сообщение о том, что сеть подключена. После этого в панели управления:

   • сеть появится в разделе Глобальный роутер Selectel на странице роутера, к которому вы ее подключили;
   • в разделе Облачные серверы → Сеть → на вкладке Приватные сети у сети появится тег Глобальный роутер.

3. Создать стыковочную подсеть для связи S3 с глобальным роутером

1. Создайте тикет. В тикете укажите:

   • ID глобального роутера, можно посмотреть в панели управления: в верхнем меню нажмите Продукты → Глобальный роутер Selectel → страница роутера → под именем роутера скопируйте ID;
   • желаемый CIDR подсети размером не менее /28, которая будет использоваться в качестве стыковочной подсети от глобального роутера до S3. Подсеть должна принадлежать диапазону приватных адресов по RFC 1918: 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16. Подсеть не должна пересекаться с другими подсетями, добавленными на этот роутер, — в подсетях одного роутера не должно быть одинаковых IP-адресов;
   • эндпоинт — приватный IP-адрес с маской /32, на который будет отправляться трафик в S3. Этот IP-адрес не должен входить в выбранную стыковочную подсеть.

2. Дождитесь ответа сотрудника Selectel о том, что связность от S3 до глобального роутера организована. Созданная стыковочная сеть не будет отображаться в глобальном роутере в панели управления. Если вам нужно изменить настройки связности на стороне S3, создайте тикет.

4. Прописать статические маршруты к S3

На каждом сервере, который вы связываете с S3, нужно прописать статический маршрут в стыковочную подсеть через глобальный роутер.

Если глобальный роутер используется на серверах в качестве шлюза по умолчанию, то маршруты прописывать не нужно.

Если нет, на серверах, которые нужно связать с S3, пропишите статический маршрут:

• в качестве подсети назначения укажите CIDR стыковочной подсети, которую указали в тикете на этапе 3;
• в качестве шлюза укажите адрес из подсети, в которую добавлен соответствующий сервер и который используется как шлюз глобального роутера.

Выделенный сервер, облако на базе VMware

Ubuntu

1. Подключитесь к серверу.

2. Откройте файл конфигурации сети:

   vi /etc/netplan/01-netcfg.yaml

3. В конце блока с данными нужного сетевого интерфейса добавьте маршрут:

   routes:
     - to: <ip_address>/<mask>
       via: <gateway>

   Укажите:

   • <ip_address>/<mask> — подсеть, до которой нужен маршрут, с указанием маски, например 192.168.0.0/28;
   • <gateway> — шлюз для подсети текущего сервера, который указан на глобальном роутере.

4. Если вам нужно прописать несколько маршрутов, добавьте их последовательно в том же блоке, например:

   routes:
   - to: 192.168.0.0/28
       via: 172.16.0.1
   - to: 192.168.1.0/28
       via: 172.16.0.1

5. Сохраните файл.

6. Проверьте настройки:

   sudo netplan try

7. Примените изменения:

   netplan apply

Debian

1. Подключитесь к серверу.

2. Откройте файл конфигурации сети:

   vi  /etc/network/interfaces

3. В конце блока с данными соответствующего сетевого интерфейса добавьте нужный маршрут:

   up route add -net <ip_address> netmask <mask> gw <gateway>
   down route del -net <ip_address> netmask <mask> gw <gateway>

   Укажите:

   • <ip_address> — подсеть, до которой нужен маршрут, например 192.168.0.0;
   • <mask> — маску подсети, до которой нужен маршрут, например 255.255.255.0;
   • <gateway> — шлюз для подсети текущего сервера, который указан на глобальном роутере.

4. Если вам нужно прописать несколько маршрутов, добавьте их последовательно в том же блоке.

5. Сохраните файл.

6. Перезапустите сеть:

   sudo /etc/init.d/networking restart

CentOS

1. Подключитесь к серверу.

2. Создайте и заполните файл для настройки статических маршрутов:

   echo "<ip_address>/<mask> via <gateway>" >> /etc/sysconfig/network-scripts/route-<eth_name>

   Укажите:

   • <ip_address>/<mask> — подсеть, до которой нужен маршрут, с указанием маски, например 192.168.1.0/28;
   • <gateway> — шлюз для подсети текущего сервера, который указан на глобальном роутере;
   • <eth_name> — имя соответствующего интерфейса локальной сети.

   Если вам нужно добавить несколько маршрутов, укажите их в одной команде. Каждый маршрут указывайте с новой строки, например:

   echo "192.168.0.0/28 via 172.16.0.1
   192.168.1.0/28 via 172.16.0.1" >> /etc/sysconfig/network-scripts/route-eno2

3. Перезапустите сеть:

   systemctl restart network

Windows

1. Подключитесь к серверу по RDP или через KVM-консоль.

2. Добавьте необходимые маршруты по одному:

   route -p ADD <ip_address> MASK <mask> <gateway> METRIC <x>

   Укажите:

   • <ip_address> — подсеть, до которой нужен маршрут, например 192.168.0.0;
   • <mask> — маска подсети, до которой нужен маршрут, например 255.255.255.0;
   • <gateway> — шлюз для подсети текущего сервера, который указан на глобальном роутере;
   • <x> — параметр, определяющий приоритет указанного шлюза, 1 — наивысший приоритет.

Облачная платформа

Чтобы прописать статические маршруты для облачного сервера, кластера облачных баз данных или кластера Managed Kubernetes, необходимо настроить статические маршруты в приватной подсети, где находится сервер или кластер.

5. Настроить обращение к приватному эндпоинту S3 на серверах в другом продукте

По умолчанию обращение к S3 происходит по публичному домену. Если запрос поступает на приватный IP-адрес, то в ответе будет возвращаться ошибка о несовпадении сертификата.

Чтобы избежать ошибки, необходимо задать соответствие приватного IP-адреса, который вы указали в качестве эндпоинта на этапе 3, и домена S3 API в нужном пуле (ru-3, ru-7 или uz-2).

Настройка зависит от того, есть ли в вашей инфраструктуре собственный DNS-рекурсор.

Есть свой DNS-рекурсор

Добавьте на рекурсоре A-записи:

storage.selcloud.ru. IN A <endpoint_ip_address>
<s3_domain>. IN A <endpoint_ip_address>

Укажите:

• <endpoint_ip_address> — приватный IP-адрес эндпоинта, который вы указали при создании стыковочной подсети на этапе 3;
• <s3_domain> — домен S3 API в нужном пуле (ru-3, ru-7 или uz-2). Если вы настраиваете связность для S3 в нескольких пулах, укажите каждый в отдельной записи.

Нет своего DNS-рекурсора

Выполните настройки на каждом сервере или в кластере Managed Kubernetes, которые нужно связать с S3.

Выделенный или облачный сервер

На сервере добавьте запись в файле /etc/hosts/:

<endpoint_ip_address> storage.selcloud.ru. <s3_domain>

Укажите:

• <endpoint_ip_address> — приватный IP-адрес эндпоинта, который вы указали при создании стыковочной подсети на этапе 3;
• <s3_domain> — домен S3 API в нужном пуле (ru-3, ru-7 или uz-2). Если вы настраиваете связность для S3 в нескольких пулах, укажите их домены через пробел.

Кластер Managed Kubernetes

Добавьте зону в конфигурации CoreDNS в кластере с использованием ConfigMap:

1. Создайте манифест для ConfigMap. Укажите имя coredns-custom и пространство имен kube-system. Имя файла, который создается через ConfigMap, должно заканчиваться постфиксом .custom. Пример манифеста:

   apiVersion: v1
   kind: ConfigMap
   metadata:
       name: coredns-custom
       namespace: kube-system
   data:
       s3-private-proxy.custom: |
           storage.selcloud.ru {
               hosts {
                   <endpoint_ip_address> storage.selcloud.ru
                   <endpoint_ip_address> <s3_domain>
                   fallthrough
               }
               cache 60
               forward . 188.93.17.19 188.93.16.19
               log
           }

   Укажите:

   • <endpoint_ip_address> — приватный IP-адрес эндпоинта, который вы указали при создании стыковочной подсети на этапе 3;
   • <s3_domain> — домен S3 API в нужном пуле (ru-3, ru-7 или uz-2). Если вы настраиваете связность для S3 в нескольких пулах, для каждого из них добавьте отдельную строку.

2. Примените конфигурацию для кластера:

   kubectl apply -f coredns-s3-pp.yaml

3. Перезапустите поды CoreDNS:

   kubectl -n kube-system delete pods -l k8s-app=kube-dns