Поговорим о том, зачем нужен высокоскоростной изолированный VPN в экосистеме облачного провайдера. Вопрос актуален — согласно отчету Findstack к концу 2022 года в облаке окажутся 82% всех корпоративных нагрузок. С одной стороны, речь идет про обеспечение информационной безопасности. С другой — о взаимодействии между распределенными сервисами в облачных средах.
Изолированные соединения для работы в облачной инфраструктуре
При выборе облачного провайдера компании ориентируются на количество предлагаемых услуг, а также на финансовые аспекты — во сколько обойдется развертывание всех приложений и баз данных. Но после миграции появляется вопрос, как связать высокопроизводительные сервисы между собой в частную сеть, особенно в рамках распределенной или гибридной инфраструктуры.
Для публичного облака разница в скорости подключения через интернет и частную сеть не будет особо заметна. Но если мы говорим о сервисах блочного хранения, то задержки могут мешать работе.
OpenVPN, Direct Connect и Interconnect Services
Построить высокоскоростной VPN-канал между корпоративными площадками компания может самостоятельно на базе открытых решений вроде OpenVPN. Но как и у любого другого протокола, у OpenVPN есть свои плюсы и минусы.
Среди плюсов отметим следующее:
● Поддержка Perfect Forward Secrecy — даже в случае взлома секретного серверного ключа злоумышленник не сможет расшифровать ранее перехваченный и записанный HTTPS-трафик.
● Кроссплатформенность и совместимость с брандмауэром — решение будет работать на Linux, Windows, MacOS, iOS, Android, FreeBSD и других системах. OpenVPN может использовать любой порт TCP или UDP, даже при наличии блокировок на стороне брандмауэра.
● Цена — клиент OpenVPN позволяет бесплатно подключаться к VPN-серверу, а также принимать входящие VPN-подключения.
У OpenVPN есть и недостатки. Один из ключевых минусов — сложная настройка. Развертка сервера OpenVPN требует соответствующей экспертизы. В каком-то смысле упрощают задачу поставщики VPN-сервисов, однако работать с ними бывает неудобно. Сторонние специалисты не всегда готовы погружаться в нюансы инфраструктуры, а настройка высокопроизводительных сервисов в частных сетях требует особого подхода.
Другой вариант решения проблемы — построить изолированный высокопроизводительный контур с помощью облачного провайдера. В нашем облаке есть сервис Direct Connect, с помощью которого можно установить соединение между локальным офисом и любой облачной инсталляцией по выделенным операторским каналам МТС.
Клиент получает маршрутизацию на уровне IP с высокой степенью безопасности между своими физическими и облачными сетями. Direct Connect увеличивает пропускную способность сети и обеспечивает более устойчивую работу, чем стандартное подключение. При этом уровень, на котором настраивается соединение, не принципиален (L2, L3).
Можно связать не только корпоративный дата-центр и облако, но и несколько облачных сервисов в рамках услуги Interconnect. Управлять подключениями можно самостоятельно в панели настроек. Благодаря возможностям экосистемы МТС можно организовать связность в облачных сервисах даже через 5G.
Для организации выделенного L3VPN с динамической маршрутизацией используется схема с VPN-хабами. Для обеспечения полносвязной схемы на всех удаленных площадках настраивается маршрутизация (static, BGP, OSPF) между виртуальными маршрутизаторами заказчика (или его ВМ) и РЕ-маршрутизаторами ISP.
Для включения в виртуальные маршрутизаторы заказчика L2VPN в виде VLAN подаётся в виртуальную инфраструктуру #CloudMTS и подключается как External Network (или напрямую в ВМ как directly connected network). На порту виртуального маршрутизатора клиента настраивается полоса, законтрактованная в соответствии с договором.
Кастомизация облачных решений
Еще одно преимущество высокоскоростного изолированного VPN облачного провайдера — аппаратная доступность. Если сеть зарезервирована, соединение не пропадет даже при разрыве оптических волокон в линках. Мы проложили геораспределенную зарезервированную транспортную сеть емкостью 100 Гб между всеми четырнадцатью ЦОД #CloudMTS и ММТС-9 (крупнейшая в Москве площадка российских и международных операторов связи).
Бывают случаи, когда клиенту не подходит стандартная схема подключения, и ему необходимо кастомизировать настройки выделенного VPN-соединения. Например, команда помогла настроить туннели, когда у клиента было пять инсталляций — развернуты ресурсы публичного облака и сервисы хранения данных в разных дата-центрах. Сложность задачи обусловлена разными архитектурными решениями, размещенными на разных физических площадках.
Решением подобных задач занимаются специалисты из подразделения Professional & Managed Services. Помогают не только с настройкой защищенных туннелей между сервисами, офисами и ЦОДами, но и с решением специфических кейсов — кастомизируют решение под пользователя с любой сложностью сценариев.
ссылка на оригинал статьи https://habr.com/ru/company/cloud_mts/blog/668200/
Добавить комментарий