В чем цель создания локальной сети
Если ваш проект предусматривает использование более одного сервера, то при планировании топологии инфраструктуры может быть оптимальным решением создание отдельной локальной сети между серверами. Основных причин тому две:
- Безопасность. Если «изолировать» ваш сервер от «общедоступного» Интернета, вы тем самым значительно повысите его безопасность, потому что потенциальному злоумышленнику нужно будет так или иначе проникнуть «за периметр», прежде чем будет возможен доступ именно к серверу.
- Оптимизация затрат. Сейчас уже не осталось свободных подсетей IPv4, на IPv6, так и не получивший еще широкого распространения, надежды тоже мало. Поэтому стоимость IP-адресов растет все время, и если использовать меньше публичных IP-адресов, можно существенно сэкономить.
Как создать локальную сеть vStack
В рамках данной статьи при помощи личного кабинета Serverspace мы создадим маршрутизируемую сеть, автоматически перенаправляющую запросы к нужному серверу при помощи механизма трансляции сетевых адресов (NAT). Порядок действий такой:
Первым делом требуется создать собственно локальную сеть. Войдите в личный кабинет, нажмите кнопку vStack Cloud > Networks > Add Network.
Выберите тип сети Isolated, укажите имя сети и выберите регион размещения. Учтите, что регион должен совпадать с дата-центром, где установлены остальные узлы проекта. Внутреннюю адресацию можно отдать на откуп автоматике или указать собственный диапазон.
Далее снова перейдите в раздел vStack Cloud > Networks, снова нажмите Add Network, выберите вариант Routed и создайте узел-шлюз. Укажите пропускную способность создаваемой сети, регион размещения и имя шлюза, после чего “присоедините” шлюз к созданной ранее «внутренней» сети.
Запомните выданный «белый» адрес, он будет нужен для входа в вашу сеть извне.
Затем нужно подключить сервер (или серверы) к созданной локальной сети. Перейдите в свойства конкретного сервера и добавьте к нему сетевой интерфейс частной сети.
Для пущей безопасности можно удалить с сервера «публичный» интерфейс или как минимум заблокировать доступ с него «встроенным» файрволлом сервера. Также запомните назначенный серверу «внутренний» IP, он понадобится на следующем шаге.
Вернитесь обратно к настройкам «шлюза» и добавьте правила переадресации трафика обеспечивающие доступ с внешнего IP сети к серверу внутри периметра.
Если сделать как в указанном примере, вы сможете подключиться по выданному вашей сети IP-адресу и порту 222, запрос будет переадресован на «внутренний» IP сервера и порт 22.
Заключение
В этой статье я описал, как при помощи функций личного кабинета Serverspace организовать локальную сеть vStack с одним «белым» IP-адресом, и организовать «проброс» портов для доступа к серверу внутри этой сети.