VK Private Cloud logo
Помощь
Обновлена 17 июля 2026 г. в 15:55

Вариативность проектирования

Основные подходы

Проектирование установки VK Private Cloud, как и любой сложной системы, состоящей из многих компонентов, допускает определенные возможности по изменению их состава, объединению их на тех или иных узлах, адаптации к требованиям условий эксплуатации или запросам заказчика.

Все потенциальные изменения можно условно разделить на:

  • Поддерживаемые — те, которые прошли процедуру тестирования на реализуемость, стабильность работы и соответствие предъявляемым требованиям.
  • Неподдерживаемые — которые теоретически возможны, но требуют проведения полноценной процедуры тестирования.

Ниже пойдет речь только о поддерживаемых вариантах или наиболее часто упоминаемых, но еще не прошедших тестирование вариантах.

Основных причин отхода от стандартной архитектуры платформы всего две:

  • Особые требования к информационной безопасности.
  • Необходимость экономии оборудования.

И при любой из них настоятельно рекомендуется оставаться в пределах поддерживаемых конфигураций.

Архитектура Keycloak

По умолчанию, Keycloak встроен в VK Private Cloud и выполняется на служебном кластере K8s в отказоустойчивой конфигурации. В ряде случаев заказчики предъявляют требования к отчуждению Keycloak в свою зону ответственности, за пределы VK Private Cloud.

Для выполнения данного требования поддерживаются два подхода:

  • Использование Keycloak, предоставленного и управляемого заказчиком (рекомендуется).
  • Настройка федерации Keycloak. При этом встроенный Keycloak становится ведомым относительно Keycloak заказчика (менее предпочтительный вариант).

При недоступности Keycloak возникают следующие проблемы:

  • Невозможно авторизоваться в VK Private Cloud — недоступны все управляющие действия: как через веб-портал, так и через CLI и API.
  • Возможны проблемы в работе PaaS-сервисов при обращении их к API Платформы.

Виртуализация отдельных компонентов установки

Несмотря на то, что тестовые стенды могут быть запущены целиком в виртуальной среде, для продуктивных инсталляций действуют строгие ограничения на виртуализацию компонентов, также предъявляются требования к среде виртуализации.

Следующие серверные роли могут быть размещены в виртуальной среде:

  • Deploy
  • Monitoring/Logging
  • RS

Виртуальная среда может быть представлена:

  • Специально выделенным сервером с установленным гипервизором (KVM, Standalone Hyper-V, ProxMox VE, VMware ESXi).
  • Имеющейся системой виртуализации корпоративного класса (VMware vSphere/vCenter).

В обоих случаях первоначальная настройка, поддержка и обеспечение отказоустойчивости находится в зоне ответственности заказчика.

Выделенный сервер

Вариант с использованием выделенного сервера (так называемого Сервисного гипервизора, Service Hypervisor) удобен для небольших инсталляций, где достаточно одного узла мониторинга — это позволяет разнести Deploy и Monitoring/Logging по двум виртуальным хостам, не увеличивая количество физических.

Также в тестовых инсталляциях можно разместить в ВМ на сервисном гипервизоре и роль RS (в единичном экземпляре). Для продуктивных инсталляций это недопустимо — не будет обеспечена отказоустойчивость RS.

Система виртуализации

Более сложным, но разумным подходом является размещение ВМ в имеющейся системе виртуализации. При этом будет обеспечена должная отказоустойчивость размещаемых сервисов, так как они не будут сконцентрированы на одном физическом узле.

Основным ограничивающим требованием в данном случае будет являться необходимость интеграции запускаемых ВМ в сетевую топологию облачной платформы. Строгим требованием является подача соответствующие VLAN напрямую к размещаемым ВМ (L2 связность). Только для узлов Monitoring/Logging допустима связность на уровне L3 с использованием маршрутизации.

VK Private Cloud и DMZ

Одной из частых задач VK Private Cloud является организация DMZ. В данном разделе не описываются рекомендации по отделению сервисов в DMZ от публичных сетей, но даются рекомендации по проектированию таких решений.

DMZ в рамках стандартной архитектуры

В случае, если требования ИБ разрешают использование Neutron для разделения трафика и в качестве межсетевого экрана, допустимо использовать стандартную архитектуру VK Private Cloud.

При этом будут использоваться две (или более) сети Cloud External, одна из которых будет являться «недоверенной». В проект добавляется одна из доступных внешних сетей, определяя отношение проекта к «доверенной» или «недоверенной» зоне. Для связи между проектами потребуется создание общей (shared) сети.

Межсетевой экран может быть реализован на основе Neutron (Security Groups) или с использованием внешних аппаратных решений (могут потребоваться дополнительные внешние сети), также возможно использование МСЭ в виде ВМ в VK Private Cloud (могут потребоваться дополнительные shared сети).

Данная архитектура является наиболее простым и экономичным решением для DMZ, но удовлетворяет лишь относительно простым требованиям ИБ.

Архитектура DMZ с отделенным Controlplane

В качестве дополнительного средства усиления безопасности возможно выделение управляющих узлов в подсеть, отделенную аппаратным МСЭ. Для отделения сетевого трафика от управляющих узлов потребуется выделение как минимум двух узлов для роли Networking. Схема решения будет выглядеть следующим образом:

Архитектура DMZ с отделенным Controlplane

Рисунок 1 — Архитектура DMZ с отделенным Controlplane

Такой вариант архитектуры более предпочтителен с точки зрения ИБ, но требует больший объем оборудования.

Выделение DMZ в отдельный регион/инсталляцию

Наиболее радикальным с точки зрения ИБ является выделение DMZ в отдельный регион или инсталляцию. При этом в качестве базовой схемы региона DMZ рекомендуется использовать вариант с отделенным МСЭ Controlplane.

Для связи доверенной зоны и DMZ будет использоваться сеть Cloud External Trusted, зоны должны быть разделены аппаратным МСЭ. В проектах будут добавляться две внешних сети, сетью со шлюзом по умолчанию должна быть Cloud External Untrusted.

Гиперконвергентные системы

К гиперконвергентным системам относят реализации VK Private Cloud, в которых узлы гипервизоров (Compute) используются также для размещения компонентов СХД. Такая СХД может быть как основной (единственной), так и дополнительной. Возможны реализации с использованием High-IOPS или Ceph.

Оба варианта на данный момент не являются поддерживаемыми.

High-IOPS

Интеграция High-IOPS и Compute на одном узле допустима, но на данный момент не является поддерживаемой конфигурацией.

ceph

Интеграция Ceph и Compute на одном узле допустима, но на данный момент не является поддерживаемой конфигурацией.