From 8d36597e0e4ed96d6d48933bd51ed6e27ecc4b81 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=D0=A0=D0=B5=D1=87=D0=BA=D0=B8=D0=BD=D0=B0=20=D0=95=D0=BB?= =?UTF-8?q?=D0=B5=D0=BD=D0=B0=20=D0=92=D0=B0=D0=BB=D0=B5=D1=80=D1=8C=D0=B5?= =?UTF-8?q?=D0=B2=D0=BD=D0=B0?= Date: Fri, 3 Oct 2025 10:18:17 +0000 Subject: [PATCH] start vm 2 --- src/.vitepress/config.mts | 1 + src/compute/compute-getting-started.md | 50 +++++-- .../compute-how-to/compute-connect-inside.md | 15 +- .../compute-network/compute-network-index.md | 3 + .../compute-network/compute-network-inside.md | 129 ++++++++++++++++++ src/compute/compute-overview.md | 10 +- 6 files changed, 187 insertions(+), 21 deletions(-) create mode 100644 src/compute/compute-how-to/compute-network/compute-network-inside.md diff --git a/src/.vitepress/config.mts b/src/.vitepress/config.mts index 60f1989..a3f7d05 100644 --- a/src/.vitepress/config.mts +++ b/src/.vitepress/config.mts @@ -196,6 +196,7 @@ export default defineConfig({ collapsed: true, items: [ { text: 'Настройка site-to-site VPN с помощью VyOS', link: '/compute/compute-how-to/compute-network/compute-vpn-vyos.md' }, + { text: 'Подключение ВМ закрытого контура к интернету', link: '/compute/compute-how-to/compute-network/compute-network-inside.md' }, ], }, ], diff --git a/src/compute/compute-getting-started.md b/src/compute/compute-getting-started.md index 04a31db..6c37f58 100644 --- a/src/compute/compute-getting-started.md +++ b/src/compute/compute-getting-started.md @@ -1,21 +1,29 @@ # Быстрый старт -В этой инструкции рассмотрен процесс создания ВМ с операционной системой Linux в зоне `DMZ`, подключение к ней и установка веб-сервера Ngnix. +В этой инструкции рассмотрен процесс создания ресурсов, настройки связанности ,. ## Перед началом работы - [Зарегистрируйтесь](../start/getting-started.md#1-регистрация-в-beeline-cloud) в личном кабинете Beeline Cloud. -## 1. Создать ВМ +## 1. Создать точку входа -На этом шаге создайте виртуальную машину в зоне `DMZ` и присвойте ей внешний IP-адрес. Чтобы ВМ без ограничений была доступна из интернета и получала доступ к ресурсам интернета, ВМ должен быть присвоен внешний IP-адрес, который сопоставлен с внутренним IP-адресом `10.0.0.10`. Значение внешнего IP-адреса указано в разделе **Виртуальные машины → IP-адреса** в поле **Имя**. +На этом шаге создайте виртуальную машину, которая будет являться точкой входа вашей организации в интернет. Чтобы ВМ была доступна из интернета и получала доступ к ресурсам интернета, ВМ создается: + +- в [зоне доступности](compute-overview.md#зоны-доступности) `DMZ`; +- с внешним IP-адресом, который сопоставлен с внутренним IP-адресом `10.0.0.10`; +- с образом операционной системы: + - Linux для реализации базовой сетевой функциональности; + - VyOS для реализации расширенной сетевой функциональности. 1. Войдите в [личный кабинет](https://lk.cloud.beeline.ru/). 2. На странице **Мой проект** нажмите кнопку **Создать ресурс → Виртуальная машина**. 3. В блоке **Имя и расположение** укажите имя и расположение ВМ: - **Имя машины**: введите название ВМ. - **Зона доступности**: выберите зону доступности, содержащую в названии `DMZ`. -4. В блоке **Выбор образа** выберите тип и версию операционной системы. +4. В блоке **Выбор образа** выберите тип и версию операционной системы: + - выберите образ операционной системы Linux для реализации базовой сетевой функциональности; + - выберите образ операционной системы VyOS для реализации расширенной сетевой функциональности. 5. В блоке **Конфигурация** выберите количество vCPU и RAM. 6. В блоке **Диски** настройте загрузочный диск: - **Загрузочный диск**: выберите тип диска и укажите размер загрузочного диска. @@ -28,9 +36,17 @@ Виртуальная машина отобразится на странице **Виртуальные машины**. Выполняется сборка виртуальной машины. После окончания сборки виртуальная машина перейдет в статус `Включена`. -Далее [создайте](./compute-how-to/compute-servers-create.md#создать-виртуальную-машину) виртуальные машины в зонах `Inside` или `DMZ`. +## 2. Создать ВМ -## 2. Подключиться к ВМ +На этом шаге создайте виртуальные машины в зонах `Inside` или `DMZ` и присвойте им внутренние IP-адреса. + +1. На странице **Виртуальные машины** нажмите кнопку **Создать виртуальную машину**. +2. [Заполните](./compute-how-to/compute-servers-create.md#создать-виртуальную-машину) параметры ВМ. +3. Нажмите **Создать виртуальную машину**. + +Виртуальная машина отобразится на странице **Виртуальные машины**. Выполняется сборка виртуальной машины. После окончания сборки виртуальная машина перейдет в статус `Включена`. + +## 3. Подключиться к ВМ :::: tabs = по внешнему IP-адресу @@ -50,14 +66,16 @@ ssh <логин>@<внешний_IP> Если ВМ создана в зоне `Inside` или `DMZ` и ей присвоен внутренний IP-адрес, то для подключения к ВМ используйте один из вариантов: -- [настроить site-to-site VPN c помощью VyOS](./compute-how-to/compute-network/compute-vpn-vyos.md); -- [через промежуточную виртуальную машину (джамп-хост)](./compute-how-to/compute-connect-inside.md). +- [через промежуточную виртуальную машину (джамп-хост)](https://docs.cloud.dfcloud.ru/compute/compute-how-to/compute-connect-inside.html#_3-%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B3%D1%83%D1%80%D0%B0%D1%86%D0%B8%D1%8F-ssh); +- [настроить site-to-site VPN c помощью VyOS](./compute-how-to/compute-network/compute-vpn-vyos.md). :::: ## 3. Проверить доступность из ВМ в интернет -Перед проверкой доступности ВМ убедитесь, что: +Проверки доступность из ВМ в интернет возможно только для ВМ, созданных в зоне доступности `DMZ`. ВМ, созданные в зоне `Inside` не подразумевают доступ в интернет. + +Перед проверкой доступности ВМ убедитесь: - у ВМ с внешним IP-адресом есть доступ в интернет, протокол ICMP не заблокирован на Firewall; - в случае VPN вы находитесь в сети организации и имеется доступ до шлюза VPN-туннеля, и на VYOS/в организации настроена маршрутизация в интернет. @@ -66,11 +84,16 @@ ssh <логин>@<внешний_IP> curl ifconfig.me ``` -В результате команды придет внешний IP-адрес ВМ, с которого осуществляется выход в интернет. +В результате команды отобразится внешний IP-адрес ВМ, с которого осуществляется выход в интернет. ## 4. Установка ПО на ВМ -Когда ВМ создана и проверен доступ из ВМ к ресурсам интернета, установите на ВМ программное обеспечение. Рассмотрим установку веб-сервера Nginx. +После создания и подключения к ВМ установите на ВМ программное обеспечение. + +:::: tabs += ВМ в зоне доступности DMZ + +Рассмотрим установку веб-сервера Nginx на ВМ, созданной в зоне доступности `DMZ`. 1. Установите докер: @@ -96,3 +119,8 @@ curl localhost ```sh docker rm -f nginx ``` += ВМ в зоне доступности Inside + +Установка ПО на ВМ, созданных в зоне доступности `Inside`, рассмотрена в [инструкции](././compute-how-to/compute-network/compute-network-inside.md#подключение-вм-закрытого-контура-к-интернету). + +:::: \ No newline at end of file diff --git a/src/compute/compute-how-to/compute-connect-inside.md b/src/compute/compute-how-to/compute-connect-inside.md index 1c2e23c..1a9c9a5 100644 --- a/src/compute/compute-how-to/compute-connect-inside.md +++ b/src/compute/compute-how-to/compute-connect-inside.md @@ -4,13 +4,18 @@ ## Перед началом работы -- Проверьте, создана ли ВМ с внутренним IP-адресом в зоне `Inside` или `DMZ`, к которой планируется подключаться из интернета. +Перед подключением проверьте выполнение условий и наличие данных: + +- Статус виртуальной машины — `Включена`. +- Виртуальной машине [назначен](../compute-how-to/compute-ip.md#внутренние-ip-адреса) внутренний IP-адрес. +- Имя пользователя для входа на ВМ. - Подготовлена ключевая пара для подключения к ВМ по SSH: - приватный ключ сохранен на компьютере, с которого выполняется подключение; - публичный ключ [добавлен](../../admin/ssh.md#добавить-ssh-ключ) в профиль пользователя в личном кабинете Beeline Cloud. -- Отключен VPN. -- Разрешен удаленный доступ по протоколу SSH (TCP-порт 22). -- Протокол ICMP не заблокирован на Firewall. +- На компьютере, с которого выполняется подключение к ВМ: + - разрешен удаленный доступ по протоколу SSH (TCP-порт 22). + - протокол ICMP не заблокирован на Firewall. + - если VPN блокирует доступ в интернет, то отключите его. Если вы используете разные SSH-ключи для подключения к ВМ по внутреннему IP-адресу и к промежуточной ВМ с внешним IP-адресом, то добавьте оба публичных ключа в профиль пользователя в личном кабинете Beeline Cloud. @@ -88,7 +93,7 @@ host myhost ProxyJump jumphost ``` -## 4. Подключиться к ВМ закрытого контура +## 4. Подключиться к ВМ по внутреннему IP-адресу 1. Откройте терминал. 2. Выполните команду: diff --git a/src/compute/compute-how-to/compute-network/compute-network-index.md b/src/compute/compute-how-to/compute-network/compute-network-index.md index ce3fc9e..5826518 100644 --- a/src/compute/compute-how-to/compute-network/compute-network-index.md +++ b/src/compute/compute-how-to/compute-network/compute-network-index.md @@ -3,6 +3,9 @@ section_links: - title: Настройка site-to-site VPN с помощью VyOS link: /compute/compute-how-to/compute-network/compute-vpn-vyos.md description: Создание IPSEC-туннеля между частной сетью и Beeline Cloud с использованием VyOS 1.4.0 + - title: Подключение ВМ закрытого контура к интернету + link: /compute/compute-how-to/compute-network/compute-network-inside.md + description: Настройка доступа в интернет для ВМ, созданных в зоне доступности Inside, и установка ПО на ВМ --- # Сети diff --git a/src/compute/compute-how-to/compute-network/compute-network-inside.md b/src/compute/compute-how-to/compute-network/compute-network-inside.md new file mode 100644 index 0000000..42d226f --- /dev/null +++ b/src/compute/compute-how-to/compute-network/compute-network-inside.md @@ -0,0 +1,129 @@ +# Подключение ВМ закрытого контура к интернету + +В зависимости от доступов ВМ в Интернет или VPN настройте DNS, NTP и другие службы (пакетный менеджер) для начала установки ПО. + +## Пример конфигурации для службы обновления пакетов + +1. Настройте сервис веб-прокси один из способов: + +:::: tabs += VyOS + +1. Перейдите в режим конфигурирования: + +```sh +configure +``` +2. Включите слушание запросов (по умолчанию используется порт 3128): + +```sh +set service webproxy listen-address 10.0.0.10 disable-transparent +``` +3. Проверьте корректность конфигурации: + +```sh +show service webproxy +``` +4. Сохраните конфигурацию: + +```sh +save +``` +5. Примените конфигурацию: + +```sh +commit +``` += Ubuntu + +1. Обновление списка пакетов: + +```sh +sudo apt update +``` +2. Установка Tinyproxy: + +```sh +sudo apt install tinyproxy +``` +3. По умолчанию Tinyproxy может разрешать доступ только с локальной машины (127.0.0.1). Необходимо разрешить доступ устройствам из вашей локальной сети. + + - откройте конфигурационный файл: + + ```sh + sudo nano /etc/tinyproxy/tinyproxy.conf + ``` + - настройте разрешение доступа с необходимых вам сетей, закомментировав (#) все остальные строки: + + ```sh + Allow 10.0.0.5/24 + Allow 0.0.0.0/0 - разрешает доступ из любой сети + ``` + - установите порт (по умолчанию 8888): + + ```sh + Port 3128 + ``` + - сохраните конфигурационный файл (Ctrl+O, Enter) и выйдите (Ctrl+X). +4. Запуск и проверка сервиса: + +перезапустите сервис для применения новых настроек: +``` +sudo systemctl restart tinyproxy +``` +включите автозапуск (чтобы сервис прокси запускался после перезагрузки сервера): +``` +sudo systemctl enable tinyproxy +``` +проверьте статус (убедитесь, что он active (running)): +``` +sudo systemctl status tinyproxy +``` + +:::: + +2. Настройка конфигурации (клиентская часть) на ВМ с ОС Ubuntu в зоне Inside: + + - Создайте или отредактируйте конфигурационный файл для apt: + ``` + sudo nano /etc/apt/apt.conf.d/proxy.conf + ``` + - Добавьте следующие строки. Обратите внимание на синтаксис, который отличается от синтаксиса переменных окружения: + + - Без аутентификации: + ``` + Acquire::http::Proxy "http://10.0.0.10:3128/"; + Acquire::https::Proxy "http://10.0.0.10:3128/"; + ``` + - С аутентификацией: + ``` + Acquire::http::Proxy "http://user:password@10.0.0.10:3128/"; + Acquire::https::Proxy "http://user:password@10.0.0.10:3128/"; + ``` +3. Сохраните и закройте файл. Теперь `sudo apt update` будет работать через прокси. + +## Пример конфигурации для использования стороннего DNS-сервера на ВМ c ОС Ubuntu в Inside + +Если вы измените DNS-серверы через конфигурационный файл Netplan (sudo nano/etc/netplan/*.yaml), эти настройки СОХРАНЯТСЯ после перезагрузки. + +1. Отредактируйте файл *.yaml и добавьте блоки dhcp4-overrides и nameservers: +``` +network: + version: 2 + ethernets: + enp3s0: + dhcp4: true + set-name: "enp3s0" + dhcp4-overrides: # <--- Добавьте этот блок + use-dns: false # <--- Клиент не будет использовать DNS-сервера, полученные от DHCP-сервера + nameservers: + addresses: [CORP_DNS_IP] # <--- укажите IP-адрес требуемого DNS-сервера +``` +2. Примените настройки: +``` +sudo netplan apply +``` +3. Проверьте корректность конфигурации: +``` +resolvectl status +``` \ No newline at end of file diff --git a/src/compute/compute-overview.md b/src/compute/compute-overview.md index 31b2876..1c98260 100644 --- a/src/compute/compute-overview.md +++ b/src/compute/compute-overview.md @@ -19,16 +19,16 @@ | Зона доступности |Дата-центр | |---|---| |`msk-dc-1`|[Останкино](https://dc.ostankino.ru/)| -|`msk-dc-3`|[Oxygen](https://o2dc.ru/)| + -Зона доступности предоставляет на выбор сетевой периметр, в котором можно создать виртуальную машину. Доступны сетевые периметры: +Доступны сетевые периметры: -- `Inside` — закрытый контур, не подразумевает доступ из интернета к виртуальным машинам. -- `DMZ` — демилитаризованная зона, подразумевает доступ из интернета к виртуальным машинам. +- `Inside` — закрытый контур, не подразумевает доступ из интернета к виртуальным машинам. По умолчанию все ВМ в зоне `Inside` имеют маршруты до сетей `Inside` и `DMZ`. +- `DMZ` — демилитаризованная зона, подразумевает доступ из интернета к виртуальным машинам. По умолчанию все ВМ в зоне `DMZ` с внутренним IP-адресом имеют доступ в интернет через служебный внешний IP-организации организации, недоступный пользователям для управления ## Шаблоны конфигурации ВМ