В панели управления сервиса 1cloud появилась возможность создавать маршрутизируемые сети (routed networks). В каких случаях ее использовать и в чем ее удобство для пользователя, читайте ниже.
Допустим, у вас есть web-сервер с важным контентом или база данных, к которой этот сервер обращается. База данных должна быть недоступна со стороны интернета, потому как через него базу можно украсть или взломать. Самый простой вариант защиты – оградить сервер от интернета на уровне маршрутизатора.
Фактически маршрутизируемая сеть — это изолированная сеть на 256 IP-адресов. Три адреса — служебные, то есть для активного использования остается 253 IP.
На одном из служебных адресов стоит шлюз Edge Gateway, который выполняет пять основных функций: разрешает или запрещает определенные подключения (Firewall), контролирует сессии VPN, выполняет сетевую трансляцию адресов (NAT), позволяет настроить статическую маршрутизацию (Static Routing), а также выполняет балансировку нагрузки (Load Balancing).
Первые три функции вшиты в панель управления сервиса 1cloud, что позволяет их настроить в несколько кликов. Добавление в панель Static Routing запланировано на первый квартал 2019 года. Решение по внедрению Load Balancing пока остается в разработке.
Маршрутизируемая сеть позволяет спрятать данные в изолированной сети, но иметь к ним ограниченный доступ через интернет. Возможности использования маршрутизируемых сетей огромны. Через нее можно настроить логирование, работать над программами, исследованиями, разработками, которые составляют коммерческую тайну и требуют дополнительные меры по защите в интернет-пространстве.
Ранее для получения функциональности маршрутизируемой сети клиенты 1cloud использовали изолированную сеть, а для настройки правил доступа разворачивали отдельный сервер с pfSense (дистрибутив для создания роутеров на базе FreeBSD).
Системному администратору с пониманием специфики pfSense для выполнения этой задачи требовалось около часа, а пользователю без этих знаний — как минимум полдня, чтобы разобраться в нюансах, обратиться в техподдержку. Теперь для получения того же результата нужно не более 10 минут.
