Использование стороннего межсетевого экрана для очистки трафика сетей VPC

В этом разделе описано, как использовать сторонний межсетевой экран для очистки трафика между сетями VPC, соединенными с помощью VPC Peering Connection.

VPC — это сервис для управления виртуальными сетями и облачными ресурсами в них. VPC позволяет создавать и настраивать изолированные виртуальные частные сети, добавлять подсети, определять диапазон IP-адресов и настраивать таблицы маршрутизации.

VPC Peering Connection — это сетевое соединение, позволяющее направлять трафик между двумя разными VPC.

В этом примере сервисы развернуты в VPC-A, VPC-B и VPC-C, а межсетевой экран развернут в VPC-X. Эти VPC соединены друг с другом через VPC Peering Connection. Трафик между VPC-A, VPC-B и VPC-C должен проходить через межсетевой экран в VPC-X.

../_images/schm__third-party-firewall.svg

VPC, подсети и маршрутизация

Между подсетями VPC всегда есть доступ друг к другу через встроенный виртуальный роутер. В таблице маршрутизации VPC все подсети являются connected networks.

Чтобы перенаправить трафик из подсетей VPC в другое устройство, необходимо вынести эти подсети в отдельные VPC.

../_images/schm__vpc-routing.svg

VPC Peering и маршрутизация

Маршруты до сетей из разных VPC в качестве маршрутизатора используют VPC Peering Connection, что приводит к тому, что трафик сначала попадает в таблицу маршрутизации VPC по умолчанию. Если в этой таблице маршрутизации есть маршруты в другие VPC, то трафик по умолчанию будет направлен через виртуальные маршрутизаторы облака.

Чтобы трафик проходил через сторонний межсетевой экран, необходимо использовать пользовательские таблицы маршрутизации для маршрутов через VPC Peering Connection.

../_images/schm__vpc-peering-routing.svg

Direct Connect и маршрутизация

При настройке Direct Connect маршруты до удаленных сетей попадают в таблицу маршрутизации по умолчанию. Если в этой таблице маршрутизации есть маршруты в другие VPC, то трафик по умолчанию будет направлен через виртуальные маршрутизаторы облака.

Чтобы перенаправить трафик из подсетей VPC в другое устройство, необходимо вынести Direct Connect Virtual Interface отдельно от других VPC.

../_images/schm__dc-routing.svg

Планирование ресурсов

Перед началом работы нужно создать VPC, виртуальные машины ECS и VPC Peering Connection. Подробная информация о необходимых ресурсах представлена в Таблице 1.

Примечание

Приведенные ниже сведения о планировании ресурсов являются лишь примерами. Планировать ресурсы необходимо на основе фактических требований.

Таблица 1. Требуемые ресурсы

Ресурс

Описание

VPC

В Таблице 2 приведены подробные сведения о необходимых VPC.

В этом примере нужны четыре VPC: в двух развернуты сервисы, в одной развернут межсетевой экран и в одной подключен Direct Connect.

Сервисы развернуты в VPC-A, VPC-B, Direct Connect — в VPC-C, межсетевой экран — в VPC-X. Эти VPC соединены друг с другом через VPC Peering Connections.

Подсети VPC-A, VPC-B, VPC-C используют таблицы маршрутизации по умолчанию. Подсеть VPC-X использует таблицу маршрутизации по умолчанию и пользовательскую таблицу маршрутизации.

Таблица маршрутизации по умолчанию управляет входящим трафиком в VPC-X. Пользовательская таблица маршрутизации контролирует исходящий трафик из VPC-X.

Внимание

CIDR-блоки подсетей VPC, которые должны взаимодействовать друг с другом через VPC Peering Connection, не должны пересекаться.

ECS

В Таблице 3 приведены подробные сведения о необходимых ECS.

Три ECS находятся в разных VPC.

Если ECS находятся в разных группах безопасности, добавьте правила в группы безопасности, чтобы разрешить им доступ друг к другу.

VPC Peering Connection

В Таблице 4 приведены сведения о необходимых VPC Peering Connection. Нужно создать три VPC Peering Connection:

  1. Peering-AX: соединяет VPC-A и VPC-X.

  2. Peering-BX: соединяет VPC-B и VPC-X.

  3. Peering-CX: соединяет VPC-C и VPC-X.

Соединения VPC Peering являются транзитивными. После настройки маршрутов VPC-A, VPC-B и VPC-C могут взаимодействовать друг с другом через VPC-X.
Таблица 2. Информация о VPC

Название VPC

CIDR-блок VPC

Название подсети

CIDR-блок подсети

Таблица маршрутизации

Развернутые ресурсы

VPC-A

10.1.0.0/16

subnet-A01

10.1.0.0/24

Таблица маршрутизации по умолчанию

Сервисы

VPC-B

10.2.0.0/16

subnet-B01

10.2.0.0/24

Таблица маршрутизации по умолчанию

Сервисы

VPC-C

172.16.0.0/16

subnet-C01

172.16.0.0/24

Таблица маршрутизации по умолчанию

Direct Connect

VPC-X

10.255.0.0/24

subnet-X01

10.255.0.0/24

Пользовательская таблица маршрутизации

Межсетевой экран
Таблица 3. Информация о ECS

Название ECS

Название VPC

Название подсети

Развернутые ресурсы

ecs-A01

VPC-A

subnet-A01

Сервисы

ecs-B01

VPC-B

subnet-B01

Сервисы

ecs-X01

VPC-X

subnet-X01

Межсетевой экран
Таблица 4. Информация о VPC Peering Connection

Название соединения

Local VPC

Peer VPC

peer-AX

VPC-A

VPC-X

peer-BX

VPC-B

VPC-X

peer-CX

VPC-C

VPC-X

Настройка маршрутов

Чтобы обеспечить взаимодействие между VPC и очистку трафика через межсетевой экран, нужно добавить маршруты в таблицы маршрутизации VPC. Подробная информация о таблицах маршрутизации в Таблице 5.

Примечание

Приведенные ниже маршруты являются лишь примерами. Планировать маршруты необходимо на основе фактических требований.

Таблица 5. Таблицы маршрутизации

Таблица маршрутизации

Описание

Таблицы маршрутизации сетей VPC с сервисами и Direct Connect

В Таблице 6 приведены подробные сведения о маршрутах VPC, в которых развернуты сервисы.

В таблицах маршрутизации по умолчанию сетей VPC-A, VPC-B и VPC-C есть маршруты до других подсетей через next hop VPC Peering Connection.

Таблицы маршрутизации сети VPC с межсетевым экраном

В Таблице 6 показана подробная информация о таблицах маршрутизации межсетевого экрана VPC-X.

В таблицу маршрутизации по умолчанию VPC-X:

  • если межсетевой экран развернут на одной виртуальной машине ECS, добавьте маршрут с пунктом назначения 0.0.0.0/0 и next hop Firewall;

  • если межсетевой экран развернут на двух виртуальных машинах ECS и они взаимодействуют с внешними системами через виртуальный IP-адрес, который переключается между виртуальными машинами при отказе основной. В этом сценарии добавьте маршрут с пунктом назначения 0.0.0.0/0 и виртуальный IP-адресом в качестве next hop.

В этом примере межсетевой экран развернут на ECS. Трафик между VPC-A, VPC-B и VPC-C должен проходить через VPC-X и направляться на межсетевой экран для очистки.

В пользовательскую таблицу маршрутизации vpc-X добавьте маршруты с назначением на CIDR-блоки VPC-A, VPC-B и VPC-C и next hop, установленными на VPC Peering Connection.
Таблица 6. Информация о таблицах маршрутизации VPC

Название VPC

Таблица маршрутизации

Назначение

Тип Next Hop

Next Hop

Функция маршрута

VPC-A

Таблица маршрутизации по умолчанию rtb-vpc-A

10.2.0.0/24

VPC Peering Connection

peer-AX

Соединяет subnet-A01 VPC-A с subnet-B01 VPC-B

172.16.0.0/24

VPC Peering Connection

peer-AX

Соединяет subnet-A01 VPC-A с сетями, подключенными через Direct Connect

VPC-B

Таблица маршрутизации по умолчанию rtb-vpc-B

10.1.0.0/24

VPC Peering Connection

peer-BX

Соединяет subnet-B01 VPC-B с subnet-A01 VPC-A

172.16.0.0/24

VPC Peering Connection

peer-BX

Соединяет subnet-B01 VPC-B с сетями, подключенными через Direct Connect

VPC-C

Таблица маршрутизации по умолчанию rtb-vpc-C

10.1.0.0/24

VPC Peering Connection

peer-CX

Соединяет сети, подключенные через Direct Connect c subnet-A01 VPC-A

10.2.0.0/24

VPC Peering Connection

peer-CX

Соединяет сети, подключенные через Direct Connect c subnet-B01 VPC-B

172.16.0.0/24

Direct Connect Gateway

DC GW

Соединяет сети, подключенные через Direct Connect
Таблица 7. Информация о таблицах маршрутизации VPC с межсетевым экраном

Название VPC

Таблица маршрутизации

Назначение

Тип Next Hop

Next Hop

Функция маршрута

VPC-X

Таблица маршрутизации по умолчанию: rtb-vpc-X

0.0.0.0/0

Сервер

Firewall

Направляет входящий трафик VPC-X на межсетевой экран.

Пользовательская таблица маршрутизации rtb-vpc-custom-X

10.1.0.0/24

VPC Peering Connection

peer-AX

Соединяет subnet-X01 VPC-X с subnet-A01 VPC-A

10.2.0.0/24

VPC Peering Connection

peer-BX

Соединяет subnet-X1 VPC-X с subnet-B01 VPC-B

172.16.0.0/24

VPC Peering Connection

peer-CX

Соединяет subnet-X01 VPC-X с сетями, подключенными через Direct Connect

Процесс

  1. Создайте VPC-A, VPC-B, VPC-C, VPC-X и их подсети.

    См.также

    Подробнее о VPC и их подсетях смотрите в Таблице 2.

    Создание сети и подсети

  2. Создайте пользовательскую таблицу маршрутизации в VPC-X.

  3. Свяжите subnet-X01 с созданной пользовательской таблицей маршрутизации.

  4. Создайте виртуальные машины ECS в VPC-A, VPC-B и VPC-X.

    См.также

    Создание виртуальной машины ECS

  5. Настройте Direct Connect: создайте виртуальный шлюз и виртуальный интерфейс в VPC-X.

    Примечание

    В настройках виртуального шлюза в блоке Subnet CIDR Block укажите все облачные подсети, до которых необходимо предоставить доступ через Direct Connect.

  6. Настройте NIC ecs-X и установите сторонний межсетевой экран на ecs-X.

    • Отключите проверку source/destination check для NIC ecs-X.

      ../_images/source-destination-check.jpg

    • Установите сторонний межсетевой экран на ecs-X.

      Примечание

      Сетевой драйвер динамически регулирует количество очередей сетевых карт в зависимости от количества виртуальных ядер ECS. Для некоторых ОС в настройках образа необходимо включить поддержку Multi-Queue на уровне образа IMS. Для этого:

      1. После загрузки образа нажмите Modify, чтобы изменить его настройки.

      2. В поле NIC Multi-Queue выберите Supported.

      ../_images/modify-image.jpg

  7. (Опционально) Настройте виртуальный IP-адрес для ВМ.

    Можно создать две ВМ в VPC-X и привязать их к одному виртуальному IP-адресу, чтобы они могли работать в активном и резервном режиме. Если активная ВМ неисправна и не может предоставлять услуги, виртуальный IP-адрес будет динамически переключен на резервный ECS для продолжения предоставления услуг. Пропустите этот шаг, если ECS, на котором развернут межсетевой экран, не нуждается в работе в активном/резервном режиме.

    • Назначьте виртуальный IP-адрес в подсети VPC-X.

    • Привяжите виртуальный IP-адрес к активному и резервному ECS, на которых развернут межсетевой экран.

  8. Создайте три VPC Peering Connection и настройте маршруты.

    • Создайте три соединения VPC Peering.

      См.также

      Подробнее о соединениях VPC Peering смотрите в Таблице 4. Создание VPC Peering Connection

    • В таблицах маршрутизации по умолчанию трех VPC с развернутыми ВМ добавьте маршруты с назначением на три другие сети VPC и с next hop, установленным на VPC Peering Connection.

      В этом примере добавьте маршруты, запланированные в Таблице 6, в таблицы маршрутизации VPC-A, VPC-B и VPC-C.

    • Добавьте маршруты в таблицу маршрутизации по умолчанию и пользовательскую таблицу маршрутизации VPC с межсетевым экраном.

      В этом примере добавьте маршруты, запланированные в Таблице 7, в таблицу маршрутизации по умолчанию и пользовательскую таблицу маршрутизации VPC-X.

  9. Войдите в ВМ, чтобы проверить работу межсетевого экрана.

    В этом примере для входа в ECS используется VNC, предоставляемый на консоли управления.

  10. Войдите в ecs-A01 и проверьте соединение между VPC-A и VPC-B.

    ping Private IP address of ecs-B01

    Пример команды:

    ping 10.2.0.10

    Если отображается следующая информация, две сети VPC соединены друг с другом.

    [root@ecs-A01 ~]# ping 10.2.0.10
PING 10.2.0.10 (10.2.0.10) 56(84) bytes of data.
64 bytes from 10.2.0.10: icmp_seq=1 ttl=64 time=0.849 ms
64 bytes from 10.2.0.10: icmp_seq=2 ttl=64 time=0.455 ms
64 bytes from 10.2.0.10: icmp_seq=3 ttl=64 time=0.385 ms
64 bytes from 10.2.0.10: icmp_seq=4 ttl=64 time=0.372 ms
...
--- 10.2.0.10 ping statistics ---

  11. Повторите пункт 8, чтобы проверить связь между другими VPC.

Запустили Evolution free tier
для Dev & Test
Получить