Некоторые организации работают с чувствительными данными и обязаны соблюдать строгие нормы информационной безопасности. Использование стандартных подходов, при которых обращения к облачным хранилищам происходят через публичный интернет, создает риск утечки данных, компрометации конфиденциальности и даже нарушения норм регулирующих органов. Поэтому востребованным решением в таких кейсах становится изолированное подключение к S3-совместимым хранилищам через сервисную сеть.

Меня зовут Павел Зимин. Я системный инженер в команде Professional Services Cloud SaaS VK Cloud. В этой статье я расскажу, что такое сервисная сеть и зачем она нужна, а также покажу алгоритм настройки подключения к объектному хранилищу через сервисную сеть на примере Object Storage от VK Cloud.

Немного о сути задачи и предпосылках

В 2025 году объектные хранилища стали самым востребованным сегментом российского рынка СХД. 

Подобная популярность обусловлена широким перечнем преимуществ S3-совместимых хранилищ, среди которых:

  1. Высокая надежность. Как правило, данные в S3 реплицируются по нескольким зонам доступности, что повышает их защищенность на случай рисков.

  2. Масштабируемость из коробки. Объектные хранилища не накладывают ограничений на объем хранения: можно хранить петабайты. При этом масштабирование выполняется автоматически — без вмешательства.

  3. Гибкие классы хранения. В S3 можно организовать как «горячее», так и «холодное» хранение. Подходит оно и для долговременного хранения — например, когда нужно сохранить резервные копии или архивы.

  4. Версионирование и защита от удаления. При работе с объектными хранилищами можно использовать версионирование — в таком случае файлы будут не удаляться, а просто поменяться, как удаленные. 

  5. Низкая стоимость хранения. В S3-совместимых хранилищах используется недорогая инфраструктура с экономичным использованием пространства диска и эффективным управлением ресурсами. Данные хранятся в большом количестве объектов, позволяя масштабировать хранилище практически неограниченно и минимизировать затраты на эксплуатацию. Поэтому хранение в S3 дешевле, чем во многих других СХД.

В связи с этим компании активно используют S3-хранилища для разных задач и сценариев, в том числе для:

  • хранения файлов и бэкапов;

  • статического хостинга веб-сайтов;

  • хранения медиафайлов;

  • интеграции с приложениями (через API);

  • построения Data Lake и аналитики;

  • обмена файлами и миграции данных.

Вместе с тем не всегда бизнес может свободно работать с S3 через интернет: есть ряд ситуаций, когда обращение к хранилищу через публичные сети нежелательно. К таким случаям можно отнести ситуации, когда:

  • нужно надежное и стабильное подключение к хранилищу без риска обрывов;

  • команда строит закрытую ИТ-инфраструктуру в облаке;

  • нужно ускорить обмен данными между серверами и хранилищем;

  • есть аналитика и обработка больших данных;

  • используются CI/CD-процессы и артефакты сборок хранятся в объектном хранилище.

В таких случаях можно работать c S3-совместимыми хранилищами через сервисные сети.

О сервисной сети и ее назначении

Сервисная сеть — выделенная внутренняя сеть, предназначенная для частного и безопасного доступа к облачным сервисам, в том числе к S3-совместимым объектным хранилищам непосредственно из облачной инфраструктуры. То есть вместо того чтобы обращаться к хранилищу через интернет, запросы отправляются через специальную приватную подсеть, находящуюся внутри облака.

Основная цель сервисной сети — позволить серверам работать с облачным хранилищем без доступа в интернет.

Например, с сервисными сетями можно работать в S3-совместимом объектном хранилище Object Storage от VK Cloud. Используя их, можно:

  • хранить и получать файлы из Object Storage напрямую, минуя интернет;

  • подключать серверы, находящиеся в приватных сетях (например, защищенные системы), к хранилищу данных;

  • использовать сервисы VK Cloud, такие как сервис для организации выделенных подключений между локальной сетью клиента и облачной инфраструктурой Cloud Direct Connect, чтобы соединить свою локальную инфраструктуру с облаком безопасно и надежно.

Примечание: Выделенные подключения — физическое или логическое соединение между сетевым портом компании и сетевым портом VK Cloud в точке присутствия VK Cloud. Весь трафик между локальной инфраструктурой и облаком проходит не через интернет, а по изолированному каналу с гарантированными показателями скорости и задержек.

Использование сервисных сетей особенно важно, когда требуется:

  • повышенная безопасность данных — исключение внешнего доступа к данным защищает компанию от возможных попыток взлома или утечек данных;

  • полный контроль — можно изолировать критически важные системы, но сохранить доступ к нужным сервисам;

  • минимизация затрат на передачу данных — прямой доступ внутри облака позволяет передавать большие объемы данных без ограничений, характерных для публичной сети;

  • оптимизация производительности — за счет исключения задержек интернета скорость доступа к данным возрастает;

  • соблюдение строгих регламентов — прямое подключение к хранилищу предотвращает попадание данных в общедоступную сеть и снижает риск атак извне.

Теперь перейдем от теории к практике.

Как настроить подключение к Object Storage через сервисную сеть

В качестве примера рассмотрим алгоритм настройки сервисной сети для доступа к Object Storage из виртуальной машины. При этом для простоты настройки ВМ будет подключена к публичной сети, чтобы иметь доступ по SSH. 

Примечание: Подключение к сервисной сети может быть настроено и без доступа по SSH — в этом случае все настройки производятся через VNC-консоль.

Весь алгоритм настройки сводится к нескольким этапам.

Подготовка

  1. Обращаемся в техническую поддержку для добавления сервисной сети в свой проект. Записываем имя и IP-адрес сети — например, s3-ephn и 198.18.0.0/20.

  2. Подключаем сервисную сеть к ВМ, из которой планируется работа с Object Storage. В этом примере — s3-ephn. Остальные параметры оставляем по умолчанию.

Примечание: Подробнее о подключении сети к виртуальной машине в VK Cloud  — здесь.

  1. На вкладке «Сети» смотрим IP-адрес и MAC-адрес подключения сервисной сети к ВМ и записываем их. Например — 198.18.14.1 и fa:16:3e:d8:86:43.

  2. После подключения сервисной сети к ВМ у нее появится новый сетевой интерфейс. В сервисной сети нет DHCP, поэтому интерфейс нужно настроить вручную.

Настройка подключения к сервисной сети

На следующим этапе настраиваем сетевой интерфейс ВМ, направленный в сервисную сеть.

  1. Открываем сессию терминала с ВМ и получаем права Root-пользователя:

sudo bash

  1. Проверяем список сетевых интерфейсов ВМ:

ip a

В списке находим интерфейс, MAC-адрес которого совпадает с MAC-адресом интерфейса подключения к сервисной сети в личном кабинете.

Пример ответа:

ens7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether fa:16:3e:d8:86:43 brd ff:ff:ff:ff:ff:ff
altname enp0s7

  1. Создаем новый файл конфигурации сетевого интерфейса для Netplan:

nano /etc/netplan/service.yaml

  1. Указываем и сохраняем следующие сетевые настройки в файле конфигурации:

network:
version: 2
ethernets:
    ens7:
        addresses:
        - 198.18.14.1/20
        match:
            macaddress: fa:16:3e:d8:86:43
        mtu: 1500
        set-name: ens7

Здесь:

  • ens7 — название интерфейса ВМ, который направлен в сервисную сеть;

  • addresses — IP-адрес сервисной сети;

  • macaddress — MAC-адрес сервисной сети.

  1. Принимаем настройки:

netplan apply

  1. Перенаправляем трафик Object Storage через сервисную сеть, указывая соответствие между доменом сервиса и его IP-адресом в сервисной сети. Для этого открываем файл hosts:

nano /etc/hosts

Добавляем в файл строку и сохраняем изменения:

198.18.0.1 hb.ru-msk.vkcloud-storage.ru

  1. Проверяем, что подключение к Object Storage устанавливается через сервисную сеть:

curl hb.ru-msk.vkcloud-storage.ru -v

В ответе должна быть строка:

Connected to hb.ru-msk.vkcloud-storage.ru (198.18.0.1) port 80 (#0)

После этого сервер сможет обращаться к облачному хранилищу так, будто оно находится рядом, даже если физически все происходит в дата-центре.

Примечание: Подробнее о настройке подключения к Object Storage без интернета — в официальной документации VK Cloud.

Примечание: Важно понимать, что использование сервисной сети для доступа к Object Storage связано с рисками и требует внимательной настройки безопасности. Поскольку Object Storage — публичное хранилище и все данные в бакетах хранятся на публичных серверах, а сервисная сеть только дает локальный доступ к ним из проекта VK Cloud, важно иметь правильную политику доступа к бакетам — например, использовать Access Key, Secret Key и ACL списки доступа.  

Что в итоге

Облачные провайдеры выстраивают комплексную защиту как самой платформы, так и пользовательских окружений, а S3-объектные хранилища из коробки обеспечивают высокую надежность хранения данных. Вместе с тем, если и подобных мер недостаточно, можно прибегнуть к использованию сервисных сетей для доступа в S3.

Безусловно, подключение к Object Storage через сервисную сеть — не «серебряная пуля» и не отменяет требований к наличию многоуровневой системы безопасности облачного окружения компании. При этом во многих ситуациях изолированное обращение к хранилищу важно для бизнеса, поэтому VK Cloud предоставляет пользователям простой и прозрачный механизм настройки такого подключения.