Маршрутизация трафика (NAT)

NAT (network address translation) — это механизм преобразования адресов, который позволяет подменять приватный адрес сервиса на публичный IP при обращении во внешнюю сеть. 

Пакеты, отправляемые с сервисов, проходят через устройство маршрутизации трафика, которое анализирует адрес назначения. Если адрес локальный — пакет пересылается внутри сети по локальному адресу. Если внешний — маршрутизатор заменяет локальный IP сервиса на публичный IP шлюза и отправляет пакет «наружу».

При использовании NAT отпадает необходимость выдавать сервисам уникальные публичные IP для выхода во внешнюю сеть — вы можете использовать один внешний IP для всех сервисов внутри приватной сети. Сервисы, не имеющие собственного публичного IP, будут выходить в интернет через IP-адрес шлюза.

Обратите внимание, что это касается именно исходящих запросов во внешнюю сеть. Если вам нужно обращаться к сервису из интернета (например, подключаться к базе данных через phpMyAdmin), необходимо, чтобы у него был свой публичный адрес.

Если для сети еще не назначен публичный IP, то при включении NAT вы сможете выбрать один из свободных публичных IP на аккаунте (IP должен быть создан в той же зоне доступности, что и приватная сеть) либо создать новый. Стоимость публичного IP — 150 рублей в месяц. 

Если в дальнейшем NAT перестанет быть нужен, IP можно будет отвязать от сети и использовать для других сервисов на аккаунте или удалить.

Работа с NAT в полном объеме сейчас доступна только через панель управления. Управление NAT с помощью инструментов автоматизации (API, Terraform, CLI) будет реализовано в ближайшее время.

Включение и отключение NAT

Включить или отключить NAT можно:

• При создании новой OVN-сети

• В настройках существующей сети

Если к сети еще не привязан публичный IP-адрес, его будет нужно привязать при включении NAT. Вы сможете выбрать один из свободных публичных IP на аккаунте (IP должен быть создан в той же зоне доступности, что и приватная сеть) либо создать новый. Стоимость публичного IP — 150 рублей в месяц.

NAT будет включен автоматически, если одному из сервисов в приватной сети включить правило маршрутизации «Только исходящий».

При отключении NAT:

• Все сервисы в приватной сети, для которых включено правило маршрутизации трафика «Только исходящий», потеряют доступ в интернет и будут доступны только внутри приватной сети. 

• Публичный IP будет отвязан от приватной сети, но останется на вашем аккаунте. При повторном включении NAT вы сможете при необходимости выбрать тот же самый IP. Если публичный IP для приватной сети больше не нужен, его можно привязать к другому сервису или удалить. 

Правила маршрутизации трафика

Для сервисов могут быть установлены следующие правила маршрутизации трафика: 

• Входящий и исходящий

Разрешен входящий и исходящий трафик в/из внешней сети. У сервиса есть собственный публичный IP, через который он выходит в интернет.

При отключении правила «Входящий и исходящий», публичный IP-адрес будет отвязан от сервиса. При повторном включении вы сможете выбрать один из существующих публичных адресов или создать новый IP.

• Только исходящий

Разрешен исходящий трафик во внешнюю сеть, входящий трафик из интернета запрещен. У сервиса нет собственного публичного IP, он работает за NAT и может выходить в сеть через публичный IP шлюза.

При включении правила «Только исходящий» для одного из сервисов в приватной сети, для сети будет автоматически включен NAT и выдан внешний IP шлюза.

При отключении NAT все сервисы с правилом «Только исходящий» потеряют доступ в интернет и правило изменится на «Только в приватной сети».

• Только в приватной сети 

Разрешен только трафик внутри приватной сети, весь внешний трафик запрещен. У сервиса нет собственного публичного IP.

Правило маршрутизации «Только исходящий» в настоящий момент недоступно в приватных BGP-сетях.

Настройка правил

Настраивать правила маршрутизации трафика вы можете:

• На странице приватной сети

Для этого кликните на иконку с текущим значением правила маршрутизации и выберите новое.

• На странице сервиса на вкладке «Сеть»

Для облачных серверов — кликните «Настроить» в пункте «Правила маршрутизации (NAT)». На следующей странице вы сможете выбрать новое правило маршрутизации и сохранить изменения.

Для баз данных — включите или выключите опцию «Разрешить доступ по публичному IP-адресу». Разрешенный доступ означает правило маршрутизации «Входящий и исходящий». Если доступ запрещен, используется правило «Только в приватной сети».

Оплата

Опция NAT бесплатна, но для ее работы требуется публичный IP-адрес, который используется в качестве внешнего адреса приватной сети. Стоимость публичного IP — 150 рублей в месяц.

Оплата за публичный IP списывается, пока он существует на аккаунте, даже если NAT уже отключен. Чтобы прекратить списания, IP-адрес нужно удалить — это можно сделать в разделе «Сети» — «Публичные IP».