Skip to content

Виртуальная машина с межсетевым экраном

В некоторых случаях может потребоваться использование специализированной виртуальной машины с межсетевым экраном (Firewall Appliance) от определенного поставщика (например, для соответствия требованиям сертификации).

  • Предподготовленные ВМ с межсетевым экраном от известных поставщиков можно найти в каталоге Compute.
  • В качестве альтернативы, ВМ с межсетевым экраном от конкретного поставщика можно загрузить с его веб-сайта в виде образа (OVA, QCOW2). Создайте запрос в Cлужбу поддержки для развертывания этого устройства в инфраструктуре аккаунта.

Виртуальная машина с межсетевым экраном (или маршрутизатор) может быть развернута в VPC-сетях по одной из двух схем:

  • ВМ межсетевого экрана с несколькими интерфейсами
  • Firewall-on-a-stick

Виртуальная машина межсетевого экрана с интерфейсами

Эта схема развертывания предполагает добавление сетевых интерфейсов (NIC) из всех сетей в виртуальную машину межсетевого экрана и маршрутизацию всего трафика между сетями через нее.

Шаги

  1. В приложении VPC > Networks создайте специальную транзитную сеть (router_net) для подключения ВМ межсетевого экрана к маршрутизатору VPC.
  2. В VPC > Networks добавьте сетевой интерфейс к ВМ межсетевого экрана для каждой сети.
  3. В VPC > Routes добавьте маршрут через IP-адрес межсетевого экрана в транзитной сети (router_net) для каждой подсети.
  4. Настройте маршрут по умолчанию на ВМ межсетевого экрана, указывая интернет-шлюз на маршрутизаторе VPC. Этот шаг зависит от поставщика ВМ с межсетевым экраном.
  5. В VPC > Routes измените маршрут по умолчанию (0.0.0.0/0), указав IP-адрес межсетевого экрана в транзитной сети (router_net).

Изменения, требующие запроса в Cлужбу поддержки

Для внесения следующих изменений необходимо создать запрос в Cлужбу поддержки:

  1. Настроить DHCP в каждой подсети, чтобы использовать IP-адрес межсетевого экрана в качестве шлюза по умолчанию.
  2. Отключить каждую подсеть от маршрутизатора VPC.
  3. Назначить основной IP-адрес виртуальной машины межсетевого экрана как плавающий IP (Floating IP).

Ограничения

Данная схема развертывания ограничена 16 сетевыми интерфейсами (NIC) на одну виртуальную машину межсетевого экрана. Таким образом, один межсетевой экран не может управлять более чем 15 сетями.

Высокая доступность

Для обеспечения высокой доступности рекомендуется развернуть как минимум 2 виртуальные машины с межсетевым экраном.
Первый IP-адрес в каждой подсети зарезервирован в DHCP для маршрутизатора. Используйте протоколы HSRP или VRRP для настройки виртуального IP-адреса на обеих виртуальных машинах.
Затем используйте этот виртуальный IP-адрес в качестве шлюза по умолчанию в настройках DHCP.