Настройка доступа из интернета

Для подключения к виртуальной машине из сети Интернет требуется трансляция сетевых адресов DNAT (Destination Network Address Translation).

Создание правила DNAT

Примечание

Описанные настройки доступны, если вы используете версию 10.5.

DNAT транслирует внешний адрес во внутренний, а также перенаправляет порты для доступа, например, по RDP или SSH.

Публичный адрес можно назначить одной виртуальной машине или нескольким виртуальным машинам одновременно. При назначении адреса нескольким виртуальным машинам они должны предоставлять сервис в интернет через разные TCP/UDP порты.

1. Перейдите в Data Centers и выберите виртуальный дата-центр.
2. Перейдите в Edges и выберите Edge Gateway.
3. Перейдите в Services > NAT > Нажмите NEW.
4. Откроется окно Add NAT Rule. Заполните поля.
5. Name — введите имя правила.
6. Description — введите описание.
7. NAT Action — выберите тип правила DNAT.
8. External IP — введите публичный IP-адрес Edge Gateway или диапазон адресов в формате CIDR: xxx.x.xxx.xxx.
9. External Port — введите порт подключения по публичному адресу тенанта: xxxxx.
   В целях безопасности рекомендуется использовать для трансляции внешний порт, отличный от транслируемого, и явно указывать его при подключении на стороне клиента. Например: для SHH - 2222 –> 22, для RDP - 53389 –> 3389 и тд.
10. Internal IP — введите приватный IP-адрес VM: xx.x.x.x.
    Виртуальная машина с этим адресом будет получать трафик из внешней сети.
11. Application — укажите протокол и порт Translated Port, на который будет отправлен запрос на VM:

    • откройте редактирование;
    • включите опцию Choose a specific application;
    • выберите протокол и порт.
12. Расширенные настройки Advanced Settings оставьте без изменений.
13. Нажмите SAVE.

Важно

Для разрешения доступа из сети Интернет к внутреннему порту виртуальной машины требуется разрешение в Firewall.

Создание правила DNAT в версии 10.4

1. Перейдите в Data Centers и выберите виртуальный дата-центр.
2. Перейдите в Edges и выберите Edge Gateway.
3. Нажмите Services.
4. Перейдите в NAT, в блоке NAT44 Rules нажмите DNAT RULE.
5. Откроется окно Add DNAT Rule. Заполните поля.
6. Applied on — выберите внешнюю сеть. Как правило, имя этой сети имеет окончание ExternalNetwork.
7. Original IP/Range — введите публичный IP-адрес Edge Gateway или диапазон адресов в формате CIDR: xxx.x.xxx.xxx.
8. Original Port — введите порт подключения по публичному адресу тенанта: xxxxx.
   В целях безопасности рекомендуется использовать для трансляции внешний порт, отличный от транслируемого, и явно указывать его при подключении на стороне клиента. Например: для SHH - 2222 –> 22, для RDP - 53389 –> 3389 и тд.
9. Translated IP/Range — введите приватный IP-адрес VM: xx.x.x.x.
   Виртуальная машина с этим адресом будет получать трафик из внешней сети.
10. Translated Port — укажите порт, на который будет отправлен запрос на VM.
    Указывается порт сервиса для подключения.
11. Source IP Address и Port оставьте пустыми.
12. Description — введите описание правила.
13. Включите опцию Enabled.
14. (опционально) Если необходимо регистрировать преобразование адресов, включите опцию Enable logging.
15. Нажмите KEEP и затем Save changes.

Важно

Для разрешения доступа из сети Интернет к внутреннему порту виртуальной машины требуется разрешение в Firewall.

Примеры конфигурации правил

Original IP	Original port	Translated IP	Translated port	Protocol	Description
176.109.67.71	5432	192.168.100.101	5432	TCP	Postgres
176.109.67.71	1022	192.168.100.100	22	TCP	SSH 100
176.109.67.71	80	192.168.100.100	80	TCP	80
176.109.67.67	7022	192.168.100.7	22	TCP	SSH for GitLab