Merge branch 'feature/start-vm-2' into 'main'

start vm 2 See merge request common/vega/beecloud-docs!42
2025-10-03 10:18:17 +00:00
parent cbca88ec9d 8d36597e0e
commit 4e44140183
6 changed files with 187 additions and 21 deletions
@@ -196,6 +196,7 @@ export default defineConfig({
          collapsed: true,
          items: [
            { text: 'Настройка site-to-site VPN с помощью VyOS', link: '/compute/compute-how-to/compute-network/compute-vpn-vyos.md' },
            { text: 'Подключение ВМ закрытого контура к интернету', link: '/compute/compute-how-to/compute-network/compute-network-inside.md' },
          ],
        },
      ],
@@ -1,21 +1,29 @@
 # Быстрый старт
-В этой инструкции рассмотрен процесс создания ВМ с операционной системой Linux в зоне `DMZ`, подключение к ней и установка веб-сервера Ngnix.
+В этой инструкции рассмотрен процесс создания ресурсов, настройки связанности ,.
 ## Перед началом работы
 - [Зарегистрируйтесь](../start/getting-started.md#1-регистрация-в-beeline-cloud) в личном кабинете Beeline Cloud.
-## 1. Создать ВМ
+## 1. Создать точку входа
-На этом шаге создайте виртуальную машину в зоне `DMZ` и присвойте ей внешний IP-адрес. Чтобы ВМ без ограничений была доступна из интернета и получала доступ к ресурсам интернета, ВМ должен быть присвоен внешний IP-адрес, который сопоставлен с внутренним IP-адресом `10.0.0.10`. Значение внешнего IP-адреса указано в разделе **Виртуальные машины → IP-адреса** в поле **Имя**.
+На этом шаге создайте виртуальную машину, которая будет являться точкой входа вашей организации в интернет. Чтобы ВМ была доступна из интернета и получала доступ к ресурсам интернета, ВМ создается:
 - в [зоне доступности](compute-overview.md#зоны-доступности) `DMZ`;
 - с внешним IP-адресом, который сопоставлен с внутренним IP-адресом `10.0.0.10`;
 - с образом операционной системы:
  - Linux для реализации базовой сетевой функциональности;
  - VyOS для реализации расширенной сетевой функциональности.
 1. Войдите в [личный кабинет](https://lk.cloud.beeline.ru/).
 2. На странице **Мой проект** нажмите кнопку **Создать ресурс → Виртуальная машина**.
 3. В блоке **Имя и расположение** укажите имя и расположение ВМ:
   - **Имя машины**: введите название ВМ.
   - **Зона доступности**: выберите зону доступности, содержащую в названии `DMZ`.
-4. В блоке **Выбор образа** выберите тип и версию операционной системы.
+4. В блоке **Выбор образа** выберите тип и версию операционной системы:
   - выберите образ операционной системы Linux для реализации базовой сетевой функциональности;
   - выберите образ операционной системы VyOS для реализации расширенной сетевой функциональности.
 5. В блоке **Конфигурация** выберите количество vCPU и RAM.
 6. В блоке **Диски** настройте загрузочный диск:
    - **Загрузочный диск**: выберите тип диска и укажите размер загрузочного диска.
@@ -28,9 +36,17 @@
 Виртуальная машина отобразится на странице **Виртуальные машины**. Выполняется сборка виртуальной машины. После окончания сборки виртуальная машина перейдет в статус `Включена`.
-Далее [создайте](./compute-how-to/compute-servers-create.md#создать-виртуальную-машину) виртуальные машины в зонах `Inside` или `DMZ`.
+## 2. Создать ВМ
-## 2. Подключиться к ВМ
+На этом шаге создайте виртуальные машины в зонах `Inside` или `DMZ` и присвойте им внутренние IP-адреса.
 1. На странице **Виртуальные машины** нажмите кнопку **Создать виртуальную машину**.
 2. [Заполните](./compute-how-to/compute-servers-create.md#создать-виртуальную-машину) параметры ВМ.
 3. Нажмите **Создать виртуальную машину**.
 Виртуальная машина отобразится на странице **Виртуальные машины**. Выполняется сборка виртуальной машины. После окончания сборки виртуальная машина перейдет в статус `Включена`.
 ## 3. Подключиться к ВМ
 :::: tabs
 = по внешнему IP-адресу
@@ -50,14 +66,16 @@ ssh <логин>@<внешний_IP>
 Если ВМ создана в зоне `Inside` или `DMZ` и ей присвоен внутренний IP-адрес, то для подключения к ВМ используйте один из вариантов:
- [настроить site-to-site VPN c помощью VyOS](./compute-how-to/compute-network/compute-vpn-vyos.md);
+- [через промежуточную виртуальную машину (джамп-хост)](https://docs.cloud.dfcloud.ru/compute/compute-how-to/compute-connect-inside.html#_3-%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B3%D1%83%D1%80%D0%B0%D1%86%D0%B8%D1%8F-ssh);
- [через промежуточную виртуальную машину (джамп-хост)](./compute-how-to/compute-connect-inside.md).
+- [настроить site-to-site VPN c помощью VyOS](./compute-how-to/compute-network/compute-vpn-vyos.md).
 ::::
 ## 3. Проверить доступность из ВМ в интернет
-Перед проверкой доступности ВМ убедитесь, что:
+Проверки доступность из ВМ в интернет возможно только для ВМ, созданных в зоне доступности `DMZ`. ВМ, созданные в зоне `Inside` не подразумевают доступ в интернет.
 Перед проверкой доступности ВМ убедитесь:
 - у ВМ с внешним IP-адресом есть доступ в интернет, протокол ICMP не заблокирован на Firewall;
 - в случае VPN вы находитесь в сети организации и имеется доступ до шлюза VPN-туннеля, и на VYOS/в организации настроена маршрутизация в интернет.
@@ -66,11 +84,16 @@ ssh <логин>@<внешний_IP>
 curl ifconfig.me
 ```
-В результате команды придет внешний IP-адрес ВМ, с которого осуществляется выход в интернет.
+В результате команды отобразится внешний IP-адрес ВМ, с которого осуществляется выход в интернет.
 ## 4. Установка ПО на ВМ
-Когда ВМ создана и проверен доступ из ВМ к ресурсам интернета, установите на ВМ программное обеспечение. Рассмотрим установку веб-сервера Nginx.
+После создания и подключения к ВМ установите на ВМ программное обеспечение.
 :::: tabs
 = ВМ в зоне доступности DMZ
 Рассмотрим установку веб-сервера Nginx на ВМ, созданной в зоне доступности `DMZ`.
 1. Установите докер:
@@ -96,3 +119,8 @@ curl localhost
 ```sh
 docker rm -f nginx
 ```
 = ВМ в зоне доступности Inside
 Установка ПО на ВМ, созданных в зоне доступности `Inside`, рассмотрена в [инструкции](././compute-how-to/compute-network/compute-network-inside.md#подключение-вм-закрытого-контура-к-интернету).
 ::::
@@ -4,13 +4,18 @@
 ## Перед началом работы
- Проверьте, создана ли ВМ с внутренним IP-адресом в зоне `Inside` или `DMZ`, к которой планируется подключаться из интернета.
+Перед подключением проверьте выполнение условий и наличие данных:
 - Статус виртуальной машины — `Включена`.
 - Виртуальной машине [назначен](../compute-how-to/compute-ip.md#внутренние-ip-адреса) внутренний IP-адрес.
 - Имя пользователя для входа на ВМ.
 - Подготовлена ключевая пара для подключения к ВМ по SSH:
  - приватный ключ сохранен на компьютере, с которого выполняется подключение;
  - публичный ключ [добавлен](../../admin/ssh.md#добавить-ssh-ключ) в профиль пользователя в личном кабинете Beeline Cloud.
- Отключен VPN.
+- На компьютере, с которого выполняется подключение к ВМ:
- Разрешен удаленный доступ по протоколу SSH (TCP-порт 22).
+  - разрешен удаленный доступ по протоколу SSH (TCP-порт 22).
- Протокол ICMP не заблокирован на Firewall.
+  - протокол ICMP не заблокирован на Firewall.
  - если VPN блокирует доступ в интернет, то отключите его.
 Если вы используете разные SSH-ключи для подключения к ВМ по внутреннему IP-адресу и к промежуточной ВМ с внешним IP-адресом, то добавьте оба публичных ключа в профиль пользователя в личном кабинете Beeline Cloud.
@@ -88,7 +93,7 @@ host myhost
        ProxyJump jumphost
 ```        
-## 4. Подключиться к ВМ закрытого контура
+## 4. Подключиться к ВМ по внутреннему IP-адресу
 1. Откройте терминал.
 2. Выполните команду:
@@ -3,6 +3,9 @@ section_links:
  - title: Настройка site-to-site VPN с помощью VyOS
    link: /compute/compute-how-to/compute-network/compute-vpn-vyos.md
    description: Создание IPSEC-туннеля между частной сетью и Beeline Cloud с использованием VyOS 1.4.0
  - title: Подключение ВМ закрытого контура к интернету
    link: /compute/compute-how-to/compute-network/compute-network-inside.md
    description: Настройка доступа в интернет для ВМ, созданных в зоне доступности Inside, и установка ПО на ВМ
 ---  
 # Сети
@@ -0,0 +1,129 @@
 # Подключение ВМ закрытого контура к интернету
 В зависимости от доступов ВМ в Интернет или VPN настройте DNS, NTP и другие службы (пакетный менеджер) для начала установки ПО.
 ## Пример конфигурации для службы обновления пакетов
 1. Настройте сервис веб-прокси один из способов:
 :::: tabs
 = VyOS
 1. Перейдите в режим конфигурирования:
 ```sh
 configure
 ```
 2. Включите слушание запросов (по умолчанию используется порт 3128):
 ```sh
 set service webproxy listen-address 10.0.0.10 disable-transparent
 ```
 3. Проверьте корректность конфигурации:
 ```sh
 show service webproxy
 ```
 4. Сохраните конфигурацию:
 ```sh
 save
 ```
 5. Примените конфигурацию:
 ```sh
 commit
 ```
 = Ubuntu
 1. Обновление списка пакетов:
 ```sh
 sudo apt update
 ```
 2. Установка Tinyproxy:
 ```sh
 sudo apt install tinyproxy
 ```
 3. По умолчанию Tinyproxy может разрешать доступ только с локальной машины (127.0.0.1). Необходимо разрешить доступ устройствам из вашей локальной сети.
 - откройте конфигурационный файл:
  ```sh
  sudo nano /etc/tinyproxy/tinyproxy.conf
  ```
 - настройте разрешение доступа с необходимых вам сетей, закомментировав (#) все остальные строки:
  ```sh
  Allow 10.0.0.5/24
  Allow 0.0.0.0/0 - разрешает доступ из любой сети
  ```
 - установите порт (по умолчанию 8888):
  ```sh
  Port 3128
  ```
 - сохраните конфигурационный файл (Ctrl+O, Enter) и выйдите (Ctrl+X).
 4. Запуск и проверка сервиса:
 перезапустите сервис для применения новых настроек:
 ```
 sudo systemctl restart tinyproxy
 ```
 включите автозапуск (чтобы сервис прокси запускался после перезагрузки сервера):
 ```
 sudo systemctl enable tinyproxy
 ```
 проверьте статус (убедитесь, что он active (running)):
 ```
 sudo systemctl status tinyproxy
 ```
 ::::
 2. Настройка конфигурации (клиентская часть) на ВМ с ОС Ubuntu в зоне Inside:
   - Создайте или отредактируйте конфигурационный файл для apt:
     ```
     sudo nano /etc/apt/apt.conf.d/proxy.conf
     ```
  - Добавьте следующие строки. Обратите внимание на синтаксис, который отличается от синтаксиса переменных окружения:
     - Без аутентификации:
     ```
     Acquire::http::Proxy "http://10.0.0.10:3128/";
     Acquire::https::Proxy "http://10.0.0.10:3128/";
     ```
     - С аутентификацией:
     ```
     Acquire::http::Proxy "http://user:password@10.0.0.10:3128/";
     Acquire::https::Proxy "http://user:password@10.0.0.10:3128/";
     ```
 3. Сохраните и закройте файл. Теперь `sudo apt update` будет работать через прокси.
 ## Пример конфигурации для использования стороннего DNS-сервера на ВМ c ОС Ubuntu в Inside
 Если вы измените DNS-серверы через конфигурационный файл Netplan (sudo nano/etc/netplan/*.yaml), эти настройки СОХРАНЯТСЯ после перезагрузки.
 1. Отредактируйте файл *.yaml и добавьте блоки dhcp4-overrides и nameservers:
 ```
 network:
  version: 2
  ethernets:
    enp3s0:
      dhcp4: true
      set-name: "enp3s0"
      dhcp4-overrides: # <--- Добавьте этот блок
        use-dns: false  # <--- Клиент не будет использовать DNS-сервера, полученные от DHCP-сервера
      nameservers:
        addresses: [CORP_DNS_IP] # <--- укажите IP-адрес требуемого DNS-сервера
 ```
 2. Примените настройки:
 ```
 sudo netplan apply
 ```
 3. Проверьте корректность конфигурации:
 ```
 resolvectl status
 ```
@@ -19,16 +19,16 @@
 | Зона доступности |Дата-центр |
 |---|---|
 |`msk-dc-1`|[Останкино](https://dc.ostankino.ru/)|
-|`msk-dc-3`|[Oxygen](https://o2dc.ru/)|
+<!--|`msk-dc-3`|[Oxygen](https://o2dc.ru/)|
 |`msk-dc-5`|[Филанко](https://datahouse.ru/datacenter/nagornaya/)|
 |`ytc-dc-1`|[ЯТЦ Модуль 3](../platform/zones.md#доступные-центры-обработки-данных)|
 |`ytc-dc-2`|[ЯТЦ Модуль 5](../platform/zones.md#доступные-центры-обработки-данных)|
-|`ytc-dc-3`|[ЯТЦ Модуль 6](../platform/zones.md#доступные-центры-обработки-данных)|
+|`ytc-dc-3`|[ЯТЦ Модуль 6](../platform/zones.md#доступные-центры-обработки-данных)|-->
-Зона доступности предоставляет на выбор сетевой периметр, в котором можно создать виртуальную машину. Доступны сетевые периметры:
+Доступны сетевые периметры:
- `Inside` — закрытый контур, не подразумевает доступ из интернета к виртуальным машинам.
+- `Inside` — закрытый контур, не подразумевает доступ из интернета к виртуальным машинам. По умолчанию все ВМ в зоне `Inside` имеют маршруты до сетей `Inside` и `DMZ`.
- `DMZ` — демилитаризованная зона, подразумевает доступ из интернета к виртуальным машинам.
+- `DMZ` — демилитаризованная зона, подразумевает доступ из интернета к виртуальным машинам. По умолчанию все ВМ в зоне `DMZ` с внутренним IP-адресом имеют доступ в интернет через служебный внешний IP-организации организации, недоступный пользователям для управления
 ## Шаблоны конфигурации ВМ