Что такое подсети (subnets) в облаке?

Что такое подсети (subnets) в облаке

Подсеть (subnet) — это логический сегмент внутри виртуальной сети (VPC), которому выделен диапазон IP-адресов. Она служит для организации, изоляции и управления сетевыми ресурсами: инстансами, контейнерами, балансировщиками и т.д. Подсети обычно распределяются по зонам доступности (AZ) для обеспечения отказоустойчивости.

Основные функции и зачем нужны

  • Сегментация сети: разделяют трафик по ролям (веб, приложение, БД, админский доступ), уменьшая поверхность атаки и упрощая управление доступом.

  • Маршрутизация: каждая подсеть связана с таблицей маршрутизации, которая определяет, куда уходит трафик (внутрь VPC, в интернет через Internet Gateway, в приватные сервисы через NAT/VPN).

  • Контроль доступа: на уровне подсети применяются сетевые ACL, а на уровне ресурсов — security groups; вместе они создают многоуровневую защиту.

  • Размещение по AZ: подсети в разных AZ повышают доступность — ресурсы одного сервиса размещают в нескольких подсетях для устойчивости к сбоям.

Типы подсетей (по назначению)

  • Публичная: имеет маршрут к интернет-шлюзу (Internet Gateway) — инстансы с публичными IP становятся доступными извне.

  • Приватная: без прямого маршрута в интернет; исходящие соединения идут через NAT, входящие — через балансировщик или VPN.

  • Изолированная/внутренняя: полностью закрыта от внешних сервисов, доступна только внутри сети (для баз данных, секретов).

Взаимосвязанные элементы

  • CIDR-диапазон: каждый subnet получает часть общего CIDR VPC; планирование адресов критично, чтобы избежать перекрытий при peering/Direct Connect.

  • Route table: управляет маршрутами для подсети. Разные подсети могут использовать разные таблицы.

  • Network ACL: stateless фильтр на уровне подсети (allow/deny правил).

  • Security Groups: stateful фильтр на уровне инстанса — дополняет NACL.

Архитектурные практики

  • Разделять публичные и приватные роли по подсетям.

  • Дублировать подсети по AZ для HA.

  • Планировать CIDR с запасом и избегать пересечений с on-prem сетями.

  • Использовать VPC Endpoints/PrivateLink, чтобы сервисы в приватных подсетях получали доступ к облачным сервисам без выхода в интернет.

  • Минимизировать правила в NACL и Security Groups, применять принцип наименьших привилегий.

Проблемы и подводные камни

  • Перекрывающиеся CIDR при соединении сетей — частая причина проблем.

  • Неправильно настроенные маршруты или health checks могут сделать подсеть недоступной.

  • Переадресация / NAT и egress-трафик влияют на безопасность и стоимость.

Подсети — базовый строительный блок облачной сети: они задают границы, управляют маршрутами и являются основой для безопасного и масштабируемого построения инфраструктуры.

14-08-2025
Easy 5 просмотров