Облачные сети: что предлагает изолированный VPN

от автора

Поговорим о том, зачем нужен высокоскоростной изолированный VPN в экосистеме облачного провайдера. Вопрос актуален — согласно отчету Findstack к концу 2022 года в облаке окажутся 82% всех корпоративных нагрузок. С одной стороны, речь идет про обеспечение информационной безопасности. С другой — о взаимодействии между распределенными сервисами в облачных средах.

Изолированные соединения для работы в облачной инфраструктуре

При выборе облачного провайдера компании ориентируются на количество предлагаемых услуг, а также на финансовые аспекты — во сколько обойдется развертывание всех приложений и баз данных. Но после миграции появляется вопрос, как связать высокопроизводительные сервисы между собой в частную сеть, особенно в рамках распределенной или гибридной инфраструктуры.

Для публичного облака разница в скорости подключения через интернет и частную сеть не будет особо заметна. Но если мы говорим о сервисах блочного хранения, то задержки могут мешать работе.

OpenVPN, Direct Connect и Interconnect Services

Построить высокоскоростной VPN-канал между корпоративными площадками компания может самостоятельно на базе открытых решений вроде OpenVPN. Но как и у любого другого протокола, у OpenVPN есть свои плюсы и минусы.

Среди плюсов отметим следующее:

●      Поддержка Perfect Forward Secrecy — даже в случае взлома секретного серверного ключа злоумышленник не сможет расшифровать ранее перехваченный и записанный HTTPS-трафик.

●      Кроссплатформенность и совместимость с брандмауэром — решение будет работать на Linux, Windows, MacOS, iOS, Android, FreeBSD и других системах. OpenVPN может использовать любой порт TCP или UDP, даже при наличии блокировок на стороне брандмауэра.

●      Цена — клиент OpenVPN позволяет бесплатно подключаться к VPN-серверу, а также принимать входящие VPN-подключения.

У OpenVPN есть и недостатки. Один из ключевых минусов — сложная настройка. Развертка сервера OpenVPN требует соответствующей экспертизы. В каком-то смысле упрощают задачу поставщики VPN-сервисов, однако работать с ними бывает неудобно. Сторонние специалисты не всегда готовы погружаться в нюансы инфраструктуры, а настройка высокопроизводительных сервисов в частных сетях требует особого подхода.

Другой вариант решения проблемы — построить изолированный высокопроизводительный контур с помощью облачного провайдера. В нашем облаке есть сервис Direct Connect, с помощью которого можно установить соединение между локальным офисом и любой облачной инсталляцией по выделенным операторским каналам МТС.

Клиент получает маршрутизацию на уровне IP с высокой степенью безопасности между своими физическими и облачными сетями. Direct Connect увеличивает пропускную способность сети и обеспечивает более устойчивую работу, чем стандартное подключение. При этом уровень, на котором настраивается соединение, не принципиален (L2, L3).

Можно связать не только корпоративный дата-центр и облако, но и несколько облачных сервисов в рамках услуги Interconnect. Управлять подключениями можно самостоятельно в панели настроек. Благодаря возможностям экосистемы МТС можно организовать связность в облачных сервисах даже через 5G.

Для организации выделенного L3VPN с динамической маршрутизацией используется схема с VPN-хабами. Для обеспечения полносвязной схемы на всех удаленных площадках настраивается маршрутизация (static, BGP, OSPF) между виртуальными маршрутизаторами заказчика (или его ВМ) и РЕ-маршрутизаторами ISP.

Для включения в виртуальные маршрутизаторы заказчика L2VPN в виде VLAN подаётся в виртуальную инфраструктуру #CloudMTS и подключается как External Network (или напрямую в ВМ как directly connected network). На порту виртуального маршрутизатора клиента настраивается полоса, законтрактованная в соответствии с договором.

Кастомизация облачных решений

Еще одно преимущество высокоскоростного изолированного VPN облачного провайдера — аппаратная доступность. Если сеть зарезервирована, соединение не пропадет даже при разрыве оптических волокон в линках. Мы проложили геораспределенную зарезервированную транспортную сеть емкостью 100 Гб между всеми четырнадцатью ЦОД #CloudMTS и ММТС-9 (крупнейшая в Москве площадка российских и международных операторов связи).

Бывают случаи, когда клиенту не подходит стандартная схема подключения, и ему необходимо кастомизировать настройки выделенного VPN-соединения. Например, команда помогла настроить туннели, когда у клиента было пять инсталляций — развернуты ресурсы публичного облака и сервисы хранения данных в разных дата-центрах. Сложность задачи обусловлена разными архитектурными решениями, размещенными на разных физических площадках.

Решением подобных задач занимаются специалисты из подразделения Professional & Managed Services. Помогают не только с настройкой защищенных туннелей между сервисами, офисами и ЦОДами, но и с решением специфических кейсов — кастомизируют решение под пользователя с любой сложностью сценариев. 


ссылка на оригинал статьи https://habr.com/ru/company/cloud_mts/blog/668200/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *