Обзор
Для связи виртуальных машин и их коммуникации с внешней инфраструктурой необходимо создать одну или несколько виртуальных сетей в зависимости от задач.
Общая информация
Виртуальная сеть — логическая сеть в инфраструктуре, которая обеспечивает соединение виртуальных машин и vApp с физическими ресурсами, между собой и с сетью Интернет.
Виртуальные сети позволяют создавать защищенные изолированные сегменты для выполнения задач внутри инфраструктуры. Вы можете программно перенастраивать виртуальные сети в зависимости от задач.
Настройки виртуальной сети включают определение маршрута на Edge Gateway и правил фильтрации трафика на межсетевом экране. Edge Gateway — программный маршрутизатор, виртуальный шлюз. Через него виртуальные машины получают доступ в сеть, в том числе в сеть Интернет. vApp Edge выполняет те же функции, только для vApp.
Типы виртуальных сетей
Публичная сеть
Публичная виртуальная сеть — это сеть с доступом в/из сети Интернет. Чтобы VM без ограничений была доступна из сети Интернет и получала доступ к ресурсам интернета, ей должен быть присвоен внешний (публичный) IP-адрес. Пользователь публичной сети обращается к этому адресу.
Схема публичной сети
На схеме: a.a.a.a — внешний IP-адрес.
Изолированная сеть
Изолированная виртуальная сеть — немаршрутизируемая приватная сеть. Такая сеть используется для создания изолированного сегмента сети. В таком случае VM имеют приватные IP-адреса, и будут недоступны за пределами изолированной сети.
Схема изолированной сети
На схеме:
Logical Switch– логический сетевой коммутатор;b.b.b.b/24иc.c.c.c/16— примеры адресов внутренних изолированных сетей.
Маршрутизируемая сеть
Маршрутизируемая виртуальная сеть — сеть организации, которая обеспечивает доступ к сетям вне VDC. Она подключается к виртуальному маршрутизатору с публичным интерфейсом. Это позволяет настроить маршруты трафика от VM в сеть Интернет и обратно. Для этого применяются правила преобразования адресов SNAT и DNAT.
Схема маршрутизируемой сети
На схеме:
a.a.a.a— внешний IP-адрес;Distributed Logical Router— распределенный логический маршрутизатор;Logical Switch— логический сетевой коммутатор;b.b.b.b/24иc.c.c.c/16— примеры адресов внутренних маршрутизируемых сетей.
Квоты и ограничения
См. Квоты и лимиты для сервиса Virtual Infrastructure.
Доступные операции
| Операция | Комментарий |
|---|---|
| Настройка маршрутизируемой сети | Чтобы настроить подключение к сетям вне виртуального дата-центра, вам нужно настроить маршрутизируемую сеть |
| Настройка Edge Gateway Firewall | Для соединения с внешними сетями необходимо установить правила прохождения трафика на Edge Gateway Firewall |
| Настройка доступа в интернет | Чтобы VM имели доступ к сети Интернет из сети организации, вам нужно настроить трансляцию внутренних адресов во внешние (SNAT) |
| Настройка доступа из интернета | Чтобы VM были доступны из сети Интернет, вам нужно настроить трансляцию внешних адресов во внутренние (DNAT) |
| Настройка Site-To-Site IPSec VPN | Для удаленного доступа к VM из вашей локальной сети нужно настроить IPsec VPN |
| Настройка безопасности VDC на Firewall | Для управления входящим и исходящим сетевым трафиком нужно создать правила прохождения трафика на Firewall |
| Сегментирование VM в VDC | Для управления доступом к объектам виртуального дата-центра вы можете создать группы безопасности и настроить правила прохождения трафика между ними |
| Настройка Load Balancer | Если необходимо повысить производительность и отказоустойчивость, вы можете настроить распределение входящего сетевого трафика между VM |
| Настройка Policy-based IPSec VPN | Вы можете настроить Policy-Based IPSec VPN, если требуется передавать трафик на основе предопределенных политик шифрования |
| Настройка Route-based IPSec VPN | Вы можете настроить Route-Based IPSec VPN, если требуется передавать трафик через VPN-туннель на основе таблицы маршрутизации |