12 лучших сетевых фильтров — Рейтинг 2021 года (Топ 12)

Сложно представить современную квартиру без единого сетевого фильтра. Сетевой фильтр поможет защитить технику от перепадов электричества, скачков напряжения, короткого замыкания и других проблем электросети. Лучшие сетевые фильтры (по отзывам экспертов-электриков и обычных покупателей) представлены в нашем рейтинге.

Оценивая сетевые фильтры с точки зрения энергоэффективности, нужно рассматривать три конструктивных подхода:

• единственный выключатель — оправданный вариант, если все питаемые устройства имеют собственный «рубильник»;
• общий + раздельные выключатели на каждую розетку — такой сетевой фильтр лучше всего подойдет для питания разрозненной техники;
• имеет функцию Master / Slave — такая модель удобна при наличии зависимого оборудования (компьютер / монитор, телевизор / тюнер, проигрыватель / колонки).

Рейтинг лучших сетевых фильтров 2021 года

На что обратить внимание при выборе сетевого фильтра?

Чтобы выбрать лучший сетевой фильтр для своей техники, прежде всего нужно определить основные проблемы, которые он призван решить. Качество электропитания может страдать по разным причинам, но все отклонения от нормы принято сводить к трем типам:

• продолжительные НЧ и ВЧ колебания небольшой амплитуды, которые возбуждаются в длинных проводниках, в том числе и линиях электропередач, работающими силовыми установками, электромоторами, передатчиками и т.п.;
• броски напряжения, вызываемые включением бытовой техники, а также инструментов с мощными электродвигателями в этом же сегменте сети;
• импульсы высокого напряжения, которые наводятся в линии электропередач при близком разряде молнии. От второго типа они отличаются величиной, скоростью нарастания и, возможно, количеством пиков.

Мы бы к этому списку добавили еще и аварийные отклонения напряжения в сети от номинала.

Классический способ защиты от помех — использование в цепи питания избирательного фильтра, пропускающего только колебания, близкие к 50 Гц. В реализациях попроще производители обходятся одними конденсаторами, но полная схема предполагает использование и нескольких катушек индуктивности на ферромагнитных сердечниках. В принципе, импульсные блоки питания современной техники уже содержат тот или иной вариант подобного фильтра, а дополнительная защита может потребоваться разве что в отдельных случаях.

Для борьбы с кратковременным повышением напряжения в сети принято использовать варисторы. Один ставится между фазовым и нулевым проводом, а еще два соединяют эти линии с заземлением. В нормальных условиях варисторы ничего не пропускают, но с приходом импульса высокого напряжения «открываются» и переходят в режим шунтирования. В результате даже кратковременного короткого замыкания выделяется много энергии, поэтому варисторы могут элементарно сгореть и прекратить защищать подключаемое оборудование. Избежать подобной ситуации помогают плавкие вставки, но есть один момент. Для того, чтобы предохранители успели разрушиться, варисторы должны «продержаться» некоторое время.

Степень их стойкости определяет показатель сетевого фильтра, называемый по-разному. Чаще всего — уровень поглощаемой энергии всплеска. Чем значение названной характеристики выше, тем лучше. Если варистор сгорает, а плавкая вставка еще держится, последствия будут печальными. Обязательность наличия хорошего заземления как раз и определяется особенностями работы такой защиты.

Импульсы грозового происхождения могут быть и очень высокими. В этом случае в работу вступает специальный разрядник. Разумеется, если он схемой защиты фильтра предусмотрен. Опять же, наличие заземления для срабатывания разрядника строго обязательно. Необходимо также отметить, что с прямым попаданием молнии должны бороться устройства совершенно иного класса.

Наконец, для защиты от периодических или аварийных отклонений сетевого напряжения от номинала лучше всего использовать специализированные приборы, причем ставить их непосредственно в квартирные щитки. С другой стороны, при частом срабатывании такого устройства, электропитание будет отключаться у всех потребителей, что может быть неприемлемо по различным соображениям. Компромиссным решением подобной дилеммы являются

мобильные реле напряжения. Кроме того, некоторые из них дополнительно обеспечивают и все вышеперечисленные типы защит.

Если обстоятельства вынуждают вас прибегнуть к защите своего электроимущества при помощи сетевого фильтра, не соблазняйтесь низкой ценой. Лучше сэкономьте на отказе от лишних функций. Обращайте внимание на вес фильтра, габариты и гарантийные обязательства производителя. Легкие и маленькие сетевые фильтры, скорее всего, имеют максимально упрощенную схемотехнику.

Удачного выбора!

Самый надежный из недорогих сетевых фильтров.

Описание Сетевого фильтра Pilot PRO 5м

Одна из “топовых” моделей всего ассортимента фильтров Pilot. Он обладает самой высокой степенью защиты от импульсных помех и грозового разряда и качественным индуктивно-емкостным фильтром высокочастотных помех. Как и все сетевые фильтры Pilot она имеет защиту от перегрузки и тока короткого замыкания. Специальная диагностическая схема сетевого фильтра Pilot Pro позволяет определять наличие заземления на контактах розеток изделия и оптимальную фазировку вилки. Сетевой фильтр Pilot Pro отвечает всем современным требованиям российских стандартов в области электромагнитной совместимости и безопасности. Корпус выполнен из ударопрочного трудногорючего пластика. Контактные шины сетевого фильтра Pilot Pro выполнены из высококачественного металла, что обеспечивает надежный и плотный контакт вилки в розетках изделия. Корпус сетевого фильтра Pilot Pro имеет пять розеток с заземляющим контактом и одну розетку без заземляющего контакта для подключения приборов с вилкой старого образца или крупных адаптеров. Для удобства укладки шнуров служит специальный съемный элемент. Сетевой фильтр Pilot Pro содержит электронный блок защиты. На верхней панели корпуса расположен выключатель пиания со световой индикацией включенного состояния. Для защиты изделия от перегрузки используется термобиметаллический предохранитель (термопрерыватель), расположенный в торце корпуса.

Сетевой фильтр Pilot Pro — это сочетание профессиональных возможностей и эргономичного дизайна.

У фильтра полупрозрачная пластмассовая черная крышка через которую видны сама плата и катушки на ней. На вид серьезная конструкция.

Этот фильтр у меня уже четвертый. Первый Pilot Pro покупал еще десять лет назад и он до сих пор исправно работает. Тех кто планирует использовать этот фильтр как удлинитель должен предупредить, что суммарная нагрузка фильтра 2,2 КВТ и подключить к нему одновременно стиралку и микроволновку или иную прожорливую технику не получится — будет вышибать предохранитель, который у него с торца сидит.

Однозначно советую всем приобрести этот фильтр !!

Тестируем сетевые фильтры, или нашествие умных удлинителей — Ferra.ru

В сегодняшнем обзоре мы решили обратиться к такой незначительной на первый взгляд категории электронных изделий, как сетевые фильтры питания. «В народе» их чаще именуют по старинке – «удлинители». Впрочем, в отдельных случаях эта формулировка оказывается гораздо более точной. О том, как отличить действительно фильтр питания от «удлинителя», мы сегодня и поговорим. А также о том, стоит ли вообще так заморачиваться на тему фильтрации.

Поскольку устройства эти по своей классификации относятся к разряду пассивных, то, строго говоря, и тестировать-то тут нечего. Единственное, на что следует обращать внимание с технической точки зрения, это именно степень подавления импульсной помехи. Сразу оговоримся: именно помехи, то есть кратковременного скачкообразного изменения номинала напряжения питающей сети. Под «кратковременным» будем понимать «длящееся не более 0,1 секунды». Нормализация же более длительных вариаций напряжения сети относится к обязанностям несколько более серьёзных устройств – стабилизаторов напряжения либо вообще бесперебойных источников питания. Мы рассказывали и о них на страницах нашего издания.

Возникает резонный вопрос: если те же бесперебойники могут сделать гораздо больше в плане усмирения питающей сети, так, может быть, имеет смысл применять их во всех случаях поголовно? И не тратиться ещё на какие-то «удлинители»? Да нет, не пройдёт этот номер. Дело в том, что тот же бесперебойник, или UPS, также являет собой электронное устройство, чувствительное к импульсному воздействию. Какому? Ну хотя бы – от сварочного аппарата, которым сосед по лестничной площадке решил воспользоваться в самое удачное, по его разумению, время – часов в 9-10 вечера. Что, скажете, не бывает такого? Ага…

Посему и из общих соображений, и из электротехнических сам напрашивается вывод: фильтры-удлинители и бесперебойные источники ни в коей мере не являются заменой друг другу, а исключительно – дополнением. Во имя нашего же спокойствия.

Следующий вопрос не заставит себя долго ждать: а какие фильтры из имеющихся в продаже имеет смысл покупать и все ли они одинаковые? А вот теперь посмотрим.

Для обзора мы отобрали дюжину фильтров питания – от простейших до навороченных:

Обзор умного сетевого фильтра с Wi-Fi — Rubetek RE-3310 | Сетевые фильтры | Обзоры

Для тех, кому мало одной умной розетки, компания Rubetek выпустила целый сетевой фильтр. Конечно, не менее умный, чем отдельная розетка. Встречайте — сетевой фильтр с Wi-Fi Rubetek RE-3310! Устройство имеет на борту 3 розетки и USB-концетратор на 4 порта, для зарядки различных гаджетов. Само собой, есть возможность взаимонезависимо включать и отключать розетки по команде через приложение (которое понимает даже голосовые команды), для этого вам потребуется только домашняя сеть Wi-Fi.

Максимальная мощность всех подключённых к сетевому фильтру устройств не должна превышать 2.5 кВт, что достаточно хороший показатель. Есть возможность гибкой настройки таймеров включения/отключения, что открывает широкие возможности для применения фильтра. Познакомимся с ним поближе, и разберёмся с управлением, особенностями и функциями.

Технические характеристики

Модель	Rubetek RE-3310
Выходы	4×USB, 3×AC розетки
Тип подключения	Wi-Fi 802.11 b/g/n, 2,4 ГГц
Напряжение	AC 90 — 265 В / 50-60 Гц
Выходное напряжение DC (на 1 USB-порт) Выходное напряжение DC (на 4 USB-порта)	5 В, 2. 4 А 5 В, 4 А
Поддержка операционных систем	Android 4.1 или выше, iOS 9 или выше
Максимальная мощность подключения	2500 Вт / 10 А
Габариты и вес	265 × 65 × 40 мм, 480 гр

Распаковка и комплектация

Сетевой фильтр поставляется в небольшой картонной коробке-пенале. Корпус фильтра по бокам защищён от царапин плёнкой. Вилка изолирована пластиковыми «ножнами».

На коробке есть вся основная информация об устройстве. Внутри следующая нехитрая комплектация:

• Сетевой фильтр Rubetek RE-3310 • Руководство пользователя и гарантийный талон

Руководство пользователя, несмотря на миниатюрный формат, содержит всю необходимую информацию: спецификацию и инструкцию подключения в простом пошаговом виде. Не забыли и QR-код приложения.

Внешний вид и конструкция

Вся верхняя часть корпуса умного фильтра представляет собой цельную деталь из толстого, плотного белого пластика. Поверхность полуглянцевая, при слабом освещении кажется полностью матовой. Материал корпуса кажется очень качественным, Rubetek RE-3310 выглядит достаточно стильно и дорого (насколько дорого вообще может выглядеть сетевой фильтр). Дизайн склонен к минималистичному, отдалённо ассоциируется с «яблочным».

На нижней плоскости имеются 6 силиконовых ножек, обеспечивающих нормальную фиксацию, и краткая информация об устройстве.

Rubetek RE-3310 оснащён тремя розетками AC под 220 В типа евро, с контактами заземления. Фильтр рассчитан на входное напряжение из диапазона 90 – 265 В, максимальный ток нагрузки подключённых потребителей – до 10 А.

Отдельной группой на корпусе расположены порты USB-концетратора. Их 4 штуки, при зарядке они могут выдавать до 2,4 А на один порт, или 4 А в сумме на все 4 порта. Это хорошая мощность, которая позволит вам быстро зарядить, к примеру, смартфон в режиме quick charge.

Вилка и шнур питания достаточно качественные, кабель в толстой изоляции и достаточно толщины для завяленной нагрузки 2. 5 кВт, перегреваться он точно не будет.

На месте входа кабеля в корпус фильтра стоит уплотнитель, защищающий от перегиба и истирания. Длина шнура – 1,8 метра.

У фильтра есть световая индикация. Включается он посредством кнопки с характерным символом, который подсвечен бледно-зелёным цветом. Также есть световые «маячки» — точки у каждой из AC-розеток и у группы USB-разъёмов. Такая подсветка приятно выглядит и помогает быстро определить работающие розетки.

Первое подключение, мобильное приложение

Поскольку управление основной функцией Rubetek RE-3310, удалённым управлением, осуществляется с помощью приложения, необходимо перед первым включением установить его на смартфон. QR код из руководство поможет сделать это быстро. Приложение Rubetek поддерживает iOS 9 и выше, или Android 4.1 и выше. Для iOS также есть поддержка HomeKit (пароль указан в настройках устройства).

После скачивания и регистрации по номеру телефона мы попадаем в меню умного дома Rubetek. Нам нужно добавить новое устройство, после этого выбрать в списке его тип.

Следуя подсказкам на экране, нужно нажать на фильтре кнопку включения и удерживать в течении 6 секунд для перехода в режим сопряжения. При этом смартфон должен быть подключен к вашей домашней сети Wi-Fi. Стоит учитывать, что сети 5 ГГц не поддерживаются, поэтому понадобится сеть стандартной частоты 2.4 ГГц.

В режиме сопряжения индикатор кнопки начнёт часто мигать зелёным, после чего мы можем подключиться к фильтру в приложении. Удобно, что есть возможность дать устройству уникальное имя и задать расположение (комнату), чтобы в дальнейшем не путаться. Приложение рассчитано на работу с множеством разных устройств одновременно, а также может создавать между ними взаимосвязанные сценарии поведения.

Итак, подключившись к сетевому фильтру, мы видим, что можем интерактивно управлять питанием на розетках и USB портах. Реакция почти моментальная, слышно лёгкое пощёлкивание при сменах режима. Для Android есть возможность управления через приложение голосовыми командами, их полный список есть в меню настроек.

Есть также возможность установки таймеров. Порадовала возможность задать сценарий сразу на неделю вперёд, чтобы определённые розетки включались в нужное время и нужные дни. Такой таймер можно сохранить и в дальнейшем быстро включить одним кликом.

Заключение

После эксплуатации сетевого фильтра Rubetek RE-3310 не выявилось каких-то значимых недостатков – все функции работают отлично, не было проблем также и с фирменным мобильным приложением. В качестве пожеланий, можно сказать, что не помешала бы ещё одна розетка, а также не помешали бы две отдельных группы USB-разъёмов, которыми можно управлять отдельно. Жаль, что нет поддержки сетей 5 ГГц — это добавило бы удобства (хотя для wi-fi фильтра это не очень-то оправданно).

Индикация работающих розеток реализована хорошо, но не лишней была бы подобная индикация и на боковой панели фильтра, потому что, если он находится, например, на столе – на уровне груди/глаз, эту подсветку уже не видно.

В остальном, устройство приятно в эксплуатации. Приложение интуитивно понятное, с возможностями настройки таймеров и сценариев и удобным управлением. Отдельно хочется отметить качество сборки и материалов – Rubetek RE-3310 будет хорошо смотреться в интерьере. Поэтому, если не брать во внимание достаточно высокую стоимость (впрочем, как и у всех подобных устройств на данный момент), можно рекомендовать данное устройство к покупке.

Достоинства

• Качество сборки и материалов • Удобное приложение • Управление голосом • Гибкая настройка таймеров • Максимальная нагрузка 2,5 кВт • Ток отдачи на USB до 2,4 А • Поддержка HomeKit для iOS

Недостатки

• Достаточно высокая стоимость

выбираем сетевые фильтры и стабилизаторы / Блог компании М.Видео-Эльдорадо / Хабр

Причины, по которым старое доброе электричество в домашней розетке выходит за пределы допустимых отклонений, бывают разные. Порой это временные скачки напряжений и всплески помех, иногда это систематические отклонения за пределы ГОСТов. В конечном итоге за это расплачивается домашняя техника, мгновенно или медленно умирая от «электрической интоксикации».

В этом посте мы расскажем о простых и недорогих способах «электрической гигиены» в зависимости от типа проблем в вашей электросети.

Зачем все это нужно

Лишь в идеальном мире ток в электрической розетке имеет только два состояния: он есть или его нет. В реальности «поведение» электрического питания имеет «аналоговый» непредсказуемый характер, неприятно удивляющий каждый раз, когда этого ждешь меньше всего.

Существует множество причин, по которым «питание от сети» может отклониться от нормы и даже выйти за пределы стандартных отклонений. Так, вечернее напряжение в сети – когда в каждой розетке каждой квартиры по включенному чайнику, телевизору или компьютеру — значительно отличается от напряжения в ночные или дневные часы с минимальной нагрузкой.

Другой пример: гражданин подключил к домашней сети промышленный сварочный аппарат, и все соседи по подъезду или дому наслаждаются импульсными помехами в виде полосок на экранах и треска в акустике.

В большинстве случаев снижение качества электропитания непредсказуемо и неизбежно из-за внешнего характера источника – как, например, импульсные скачки напряжения во время грозы. Иногда проблема известна очень даже хорошо – например, мощный фен, чайник или старинный холодильник, периодически рассылающие «электроикоту» по хлипкой домашней или офисной электропроводке, избавиться от которой выше наших сил, хотя в некоторых случаях вопрос решается простой подтяжкой контактов на всем пути.

Список возможных источников проблем с электричеством можно продолжить и дальше. Но будь то искрящие контакты в подъезде или регулярные перепады на подстанции – для владельца «внезапно» сгоревшей не по гарантии техники итог один.

Фильтр фильтру рознь

В самом названии устройства – «сетевой фильтр» — заложен ключевой принцип защиты: путем пассивной фильтрации входного напряжения. Простейшие недорогие варианты могут фильтровать высокочастотные помехи с помощью встроенных индуктивно-емкостных элементов (LC-фильтров) или бороться с импульсными помехами с помощью варисторных фильтров.

Более дорогие экземпляры включают в себя оба вида фильтров.

Входное сетевое напряжение с высокочастотными и импульсными помехами

Напряжение после фильтрации импульсных помех варисторами

Выходное напряжение после LC-фильтрации высокочастотных помех

В действительно хорошем сетевом фильтре есть дополнительные средства защиты. Например, автоматический предохранитель, отключающий питание при определенной токовой перегрузке. Или специальные метал-оксидные варисторы, срабатывающие при экстремальных пиках напряжения во время грозы или в случае короткого замыкания.  

ЭРА SF-6es-2m-B: типичный сетевой фильтр

Некоторые сетевые фильтры предлагают дополнительные «сопутствующие услуги», например, обеспечивают фильтрацию и защиту для телефонной линии / факса, Ethernet-сети и телевизионной антенны. Возникновение подобных помех — не такая уж большая редкость в старых зданиях, кабельная разводка в которых за многие годы эксплуатации превратилась в многослойное и порой даже хаотичное переплетение силовых и сигнальных проводов с ветхими и проржавевшими контактами.

Функции подобной фильтрации с равным успехом могут быть востребованы как в офисе, так и в домашних условиях.

Стабилизатор: полет нормальный

В отличие от сетевого фильтра, сглаживающего импульсные и высокочастотные искажения (помехи) пассивными средствами, сетевой стабилизатор активно воздействует на ключевой параметр электропитания – напряжение, компенсируя его отклонения.

До недавнего времени в России нормой для однофазной сети считалось напряжение 220 В ±10% (ГОСТ 5651-89), то есть нормальным считалось любое напряжение переменного тока в пределах от 198 до 244 вольт. С недавнего времени в силу вступил приведенный к европейским нормам межгосударственный стандарт ГОСТ 29322-2014 (IEC 60038:2009), по которому стандартным считается сетевое напряжение 230 В ±10%, или от 207 до 253 В. Старые добрые 220 В, впрочем, пока никто не отменял – стандарты действуют параллельно, так что в целом можно учитывать примерный диапазон 200-250 В.

Почти вся современная компьютерная и бытовая электроника оснащается импульсными блоками питания, которые сами себе — прекрасные стабилизаторы и способны работать в широком диапазоне питающих напряжений. Так, например, подавляющее большинство компьютерных блоков питания – как встраиваемых в ПК, так и внешних, для ноутбуков и планшетов — рассчитаны на глобальное использование в большинстве стран мира с номинальным напряжением сети от 110 В до 240 В. В некоторых случаях такая техника «запускается» даже при напряжении всего 90-100 В. Соответственно, снижение напряжения в розетке по любым причинам для них не помеха, повышающая компенсация происходит автоматически.

Defender AVR Typhoon 1000: компактный стабилизатор на 320 Вт и 2 розетки

С повышенным напряжением немного сложнее: даже самая современная электроника рассчитана максимум на 250-260 В, но если такое напряжение в питающей сети почему-то стало нормой (в городских условиях в это трудно поверить), конечно же, лучше его стабилизировать внешними средствами.

Вне зависимости от повышенного или пониженного напряжения в особую группу риска попадают все любители теплого лампового звука – раритетных виниловых вертушек, плееров, усилителей и другой старинной техники. В этом случае применение стабилизаторов, как говорится, не обсуждается.

В настоящее время наиболее популярными и многочисленными представителями класса бытовых стабилизаторов напряжения являются электронные, где входящий ток с частотой 50 Гц преобразуется в высокочастотные импульсы с частотой в десятки килогерц и управляется с помощью широтно-импульсной модуляции (ШИМ). Из существенных минусов таких стабилизаторов можно отметить лишь то, что синусоида на выходе таких стабилизаторов далека от идеала. Список плюсов гораздо длиннее: компактность, небольшой вес, огромный рабочий диапазон, универсальность, устойчивость к перегрузкам, и, главное, невероятно доступная цена.

Помимо этого, в рознице изредка также можно встретить «классику»: внушительных размеров блоки, ступенчато снижающие или поднимающие выходное напряжение за счет электронного или релейного переключения обмоток размещенного внутри полноценного автотрансформатора. Такие стабилизаторы громоздки, имеют изрядный вес, но при этом практически не искажают синусоиду входного тока. Как правило, стабилизаторы этого класса ориентированы на питание целого дома или выполнение специфической задачи – вроде питания газового котла, однако при определенных условиях именно такое устройство может оказаться идеальным выбором аудиофила.

PowerCom TCA-2000: стабилизатор на 2000 ВА (1000 Вт) и 4 розетки

Хороший стабилизатор, как правило, оснащается всеми пассивными фильтрами, характерными для сетевых фильтров, а также имеет все мыслимые виды защиты, в том числе от перенапряжения, перегрузки, перегрева, короткого замыкания и т.д.

Что надо знать при выборе сетевого фильтра

При выборе любого промежуточного сетевого устройства – удлинителя, сетевого фильтра, стабилизатора или источника бесперебойного питания, прежде всего следует помнить главное правило: «электротехника – наука о контактах». Красивые надписи, громкие имена брендов, многочисленные индикаторы и USB-порты не должны отвлекать от главной проблемы: включая что-либо между сетью и устройством, мы добавляем лишние контакты в и без того длинную и неравномерную цепь.

• Даже самые совершенные схемотехнические решения для стабилизации, фильтрации и защиты попросту бессмысленны, если контакты в розетках вырезаны из консервной банки и болтаются по чем зря, а пайка разъемов сделана некачественно. В таких условиях любые перепады нагрузки в сети будут автоматически создавать многочисленные помехи.
  Сетевой фильтр Power Cube PRO

  При покупке надо обратить внимание на качество исполнения розеток, вилок, кабелей и контактов. Вилки должны максимально плотно входить в розетки, кабель устройства, если имеется, должен быть надежным, из многожильного провода, с качественной изоляцией, рассчитанным на достаточно большую пиковую силу тока в синфазном режиме. Очень хорошо, если розетки устройства оснащены защитными шторками, это внесет дополнительную безопасность в доме с дошкольниками.
  

• Просчитайте заранее количество необходимых розеток для подключения техники, чтобы впоследствии не пришлось городить огород ненужных дополнительных контактов из удлинителей и других переходников.

  Хороший сетевой фильтр или стабилизатор может обладать индикацией наличия заземления или режима перегрузки, это полезный бонус. Что касается встроенного в сетевой фильтр зарядного устройства с одним или несколькими портами USB – это, скорее, приятная мелочь, несколько влияющая на цену, но никак не связанная с основной функцией устройства.
  

• В процессе выбора сетевого фильтра важно обратить внимание на суммарную энергию пиковых выбросов паразитного напряжения (в джоулях), которую устройство теоретически в состоянии отфильтровать и погасить в каждый момент времени без саморазрушения. Впрочем, максимальное число джоулей в спецификации фильтра – тоже не истина в последней инстанции, поскольку правильно спроектированный фильтр способен «заземлять» часть энергии через варисторы. Тем не менее, в процессе выбора маркировку фильтра в джоулях не стоит сбрасывать со счетов.
  

• Следующий важный параметр – максимальный ток помехи, на который рассчитан фильтр, в амперах. В дополнение, сетевой фильтр также может быть промаркирован по максимальной нагрузке, при этом она может быть указана как в амперах, так и в ваттах.
  

• Некоторые производители также добавляют в список характеристик сетевых фильтров максимально допустимое напряжение (в вольтах) уровень ослабления высокочастотных помех для разных частот (в децибелах) и наличие защиты от перегрузки – например, от перегрева.
  Наконец, ряд параметров фильтра, определяющий его выбор в каждом отдельном случае: длина кабеля, количество розеток, возможность настенного монтажа, наличие дополнительных фильтров для телефонной линии и витой пары, наличие портов USB и так далее.
  

Вариант 1: новостройка

Рассмотрим для начала наиболее оптимистичный сценарий: только что сданная в эксплуатацию новостройка с новенькой подстанцией; проводка выполнена исключительно медью с идеальным монтажом, высококачественными, еще не окислившимися контактами и автоматическими предохранителями на соответствующий ток.

Казалось бы, напряжение в розетке должно быть максимально близким к идеальной синусоиде. Увы, даже такую идиллию легко может испортить на пару месяцев приглашенная соседом на ремонт гоп-группа с раздолбанным инструментом: каждый электродвигатель в каждой помирающей болгарке, дрели или отбойнике будет искрить из последних сил до финальной своей черты, рассылая по проводке дома «импульсы смерти».

Это еще цветочки: наиболее активные и неугомонные жильцы периодически будут подключать к домашней сети промышленные сварочные аппараты, чтобы все соседи по подъезду или дому смогли «насладиться» импульсными помехами в виде полосок на экранах ТВ и ПК и забористым треском в колонках и наушниках.

Итак, даже жители относительно новых микрорайонов в крупных городах и мегаполисах с относительно новой инфраструктурой не защищены от импульсных и высокочастотных помех силового питания – по крайней мере, локального происхождения.

Как минимум, несколько первых лет жизни нового дома неизбежно будут посвящены различным ремонтам и перестройкам. В такой ситуации, возможно, покупка самого «мощного» сетевого фильтра не нужна, но совсем без фильтрации силового напряжения никак не обойтись.
Из недорогих вариантов можно присмотреться к сетевым фильтрам отечественной компании «Эра». В ее ассортименте много моделей, отличающихся по уровню защиты и наличию дополнительных функций.

Наиболее доступным и простым решением для фильтрации сетевого напряжения можно назвать недорогой сетевой фильтр ЭРА SF-5es-2m-I. Устройство выполнено в пожаробезопасном корпусе, имеет кабель длиной 2 м и оснащено пятью розетками формата EURO с заземляющим контактом.

Максимальная нагрузка фильтра составляет 2200 Вт (10 А), максимальный ток помехи заявлен на уровне 7000 А, а максимальная рассеивающая энергия – на уровне 300 Дж при максимальном отклонении напряжения нагрузки 275 В.

Сетевой фильтр ЭРА SFU-5es-2m-W

Этот фильтр оснащен индикатором включения, фильтром импульсных помех, защитой от короткого замыкания и перегрева. В дополнение устройство ослабляет высокочастотные помехи (0,1 – 10 МГц) на 10-40 дБ.

Те, кому высокочастотная фильтрация некритична, могут обратить внимание на сетевой фильтр ЭРА USF-5es-1.5m-USB-W: при схожих характеристиках по нагрузке, максимальному току (за вычетом ВЧ-фильтра) это устройство оснащено выключателем и обеспечивает максимальное рассеивание энергии до 125 Дж, а также оснащено двумя встроенными портами USB для зарядки портативной техники и имеет настенный крепеж.

Несколько более дорогой вариант – сетевой фильтр ЭРА SFU-5es-2m-B, объединяет все преимущества двух названных выше фильтров, включая ВЧ-фильтр, порты USB, настенный монтаж, выключатель и максимальное рассеивание энергии до 300 Дж, но при этом выполнен в надежном корпусе из поликарбоната стильного черного цвета.

Тем, кому необходимы длинные кабеля, есть смысл присмотреться к сетевым фильтрам серии Sven Optima на шесть розеток, поставляемым в розницу с 1,8-метровым, 3-метровым или 5-метровым сетевым кабелем. Эти фильтры рассчитаны на максимальную нагрузку до 2200 Вт, максимальный ток помехи до 2500 А и максимальное рассеивание энергии до 150 Дж при отклонении напряжения нагрузки до 250 В.

Несмотря на небольшую цену они оснащены встроенным выключателем, индикатором включения, фильтром импульсных помех, защитой от короткого замыкания и автоматической защитой от перегрузки.

К этому же классу устройств можно отнести сетевой фильтр Pilot L 1,8 m от ZIS Company. Особенностью этого фильтра является наличие пяти розеток стандарта EURO плюс одной дополнительной розетки российского образца, а также поддержка максимального тока помехи до 2500 А и максимальной рассеиваемой энергии до 800 Дж.

Особняком в ряду сетевых фильтров стоят однорозеточные решения, которые сегодня присутствуют в ассортименте большинства производителей. На эти фильтры в обязательном порядке стоит обратить внимание владельцам Hi-Fi и Hi-End техники, особенно той, что выпущена 20 и более лет назад. «Индивидуальный» сетевой фильтр позволит оградить слушателя от щелчков и других фоновых звуков, а любимые усилители, вертушки, фонокорректоры и деки – от преждевременного старения без того уже «не молодых» компонентов.

Сетевой фильтр Pilot S-Max

Например, однорозеточный сетевой фильтр Pilot BIT S с максимальной нагрузкой до 3500 Вт, максимальным током помехи до 10000 А и рассеиваемой энергией до 150 Дж обеспечит полную защиту техники с помощью фильтра импульсных помех, защиты от короткого замыкания и перегрузки.

Еще одно интересное однорозеточное решение – сетевой фильтр APC Surge Arrest P1-RS от компании Schneider Electric, несмотря на свои компактные размеры, гарантирует максимальную нагрузку до 16 А, максимальный ток помехи до 26000 А и рассеивание энергии до 903 Дж. Такая мощная защита с успехом может использоваться в качестве фильтра-переходника на обычный многорозеточный удлинитель.

Сетевой фильтр APC P1-RS

Вариант 2: для дачи

От «почти идеальных» условий городских новостроек перейдем к менее удачливым примерам – домам с видавшей виды проводкой, офисам, пригородным домам и другим случаям с нестабильным электропитанием. В особой «группе риска» здесь оказываются именно офисы, поскольку ко всевозможным источникам помех, типичным для домашних пользователей, в офисах добавляются помехи от мощных промышленных кондиционеров, а в некоторых случаях — от промышленных холодильников и другого силового оборудования с огромными импульсными выбросами пусковых токов.

У того же APC для таких случаев имеются сетевые фильтры на четыре или пять розеток, такие как APC P43-RS или APC PM5-RS из серии Essential. При максимальной нагрузке до 10 А, они обеспечивают напряжение отключения нагрузки до 300 В при максимальном токе помехи до 36000 А и максимальной рассеиваемой энергии до 918 Дж.

Сетевой фильтр APC SurgeArrest PM5B-RS

В дополнение к пожаробезопасному корпусу, фильтрации импульсных помех и защите от короткого замыкания, эти фильтры оснащены выключателями и евро-розетками с механической защитой.

Интересным решением вопроса фильтрации и защиты также может стать сетевой фильтр Sven Platinum 1,8 м Black. Уникальность этого фильтра в том, что, помимо общего механического выключателя, каждая из его пяти розеток оборудована индивидуальным выключателем с индикатором работы. Устройство рассчитано на нагрузку до 2200 Вт, максимальный ток помехи до 2500 А и максимальную рассеиваемую энергию до 350 Дж.

Сетевой фильтр Sven Platinum 1,8 м Black

Для перфекционистов сегодня в России доступны уникальные сетевые фильтры компании Monster. Цена на изделия этой марки в два-три раза выше схожих предложений от других брендов, однако применение керамических варисторов, технология Clean Power для снижения электромагнитного излучения, цепи дополнительной защиты и уникальный внешний вид вполне компенсируют эту разницу.

Самый универсальный сетевой фильтр Monster – Core Power 800 USB, оснащен восемью евро-розетками, двумя портами USB для зарядки портативной техники, а также входом и выходом LAN для дополнительной защиты Ethernet-кабеля от импульсных помех. Он держит нагрузку до 16 А и обеспечивает рассеивание помех с энергией до 1440 Дж. Фильтр имеет индикацию включения и заземления, защиту от короткого замыкания и перегрузки, а также механическую защиту розеток.

Сетевой фильтр Monster Core Power 800 USB

«Ближайший родственник» этой модели — сетевой фильтр Monster Core Power 600 USB, рассчитан на шесть розеток и не имеет LAN-фильтра, но при этом обеспечивает максимальное рассеивание энергии помех до 1836 Дж.

Список достойных сетевых фильтров можно продолжить несколькими заслуживающими доверия торговыми марками – такими как InterStep, Uniel, Ippon, IEK, Defender, Powercom, ExeGate и др.

При выборе фильтра самое главное – правильно оценить ситуацию с качеством электропитания в вашем доме или офисе, а также определиться с потребностями и количеством электроники и бытовой техники, которая будет подключена к фильтру. Например, тем, кто получает в дом интернет по оптике или витой паре, совершенно не нужен фильтр для телефонной линии, чего не скажешь о тех, кто подключен к Сети по ADSL.

В любом случае выбор сетевого фильтра заслуживает особого внимания, поскольку от этого, казалось бы, малозначительного устройства иногда зависит срок службы техники, цена которой в десятки и сотни раз превышает стоимость этого фильтра.

Выбираем стабилизатор напряжения

Сетевой стабилизатор — устройство специфическое и значительно более сложное, нежели сетевой фильтр, поэтому и список производителей значительно короче.

Тем не менее, имена наиболее популярных торговых марок здесь практически те же, а выбор несколько упрощается благодаря тому, что ключевых параметров для определения наиболее подходящего решения значительно меньше.

Да, большинство сетевых стабилизаторов содержат встроенные фильтры помех и также могут быть промаркированы по максимальной энергии рассеивания, но наиболее важными параметрами при выборе все же являются максимальная нагрузка и диапазон стабилизации входных напряжений.

Классифицировать сетевые стабилизаторы лучше всего по максимально допустимой нагрузке, и уже после этого смотреть диапазон стабилизации напряжений.

В России допустимая максимальная нагрузка обычно нормируется в ваттах (Вт) или киловаттах (кВт), в других странах – в частности, в Китае, принята маркировка в вольт-амперах (ВА) или киловольт-амперах (кВА).

Ватты активной мощности и вольт-амперы полезной мощности – величины отнюдь не тождественные, последние для достижения примерного равенства необходимо умножать на так называемый коэффициент мощности, который у бытовой техники и электроники колеблется в пределах 0,6-1,0.

На практике обычно просчитывают примерную суммарную мощность нагрузки, и затем, чтобы узнать искомую полезную мощность в вольт-амперах, умножают ее на 1,4. И наоборот: при необходимости выяснить примерную нагрузку стабилизатора в ваттах полезную мощность умножают на коэффициент 0,7.

И еще один полезный практический совет: высчитав суммарную максимальную мощность предполагаемой нагрузки стабилизатора, добавьте к результату еще 25%, небольшой запас позволит не только избежать перегрузки в будущем, при подключении новых устройств, но также избавит стабилизатор от работы в предельном режиме, где у него заметно падает КПД.

Выбирая стабилизатор, также стоит обратить внимание на наличие «умного» режима Bypass («обход»): при номинальном напряжении сети такое устройство не будет попусту расходовать энергию и включится в работу только тогда, когда в этом действительно появится необходимость.

Определяясь с максимально допустимой мощностью нагрузки сетевого стабилизатора напряжения, следует смотреть на его характеристики, а не на название: совсем не факт, что цифры в наименовании имеют хоть какое-либо практическое отношение к мощности устройства.

Для стабилизации сетевого напряжения при относительно небольшой нагрузке — в пределах до 300 Вт — есть очень интересные решения у Sven. Компактные стабилизаторы выполнены в необычном «кубическом» дизайне и имеют достаточно широкий диапазон стабилизации напряжения – как правило, в пределах от 150 до 280-295 В.

Здесь как раз тот случай, когда не следует доверять цифрам в названии и особо внимательно читать характеристики: у стабилизатора Sven VR-V 600 максимальная нагрузка составляет 200 Вт, у Sven Neo R 600 — не более 300 Вт.

Оба «кубика» имеют защиту от перегрузки и короткого замыкания, рассчитаны на максимальный ток помехи до 6500 А и рассеиваемую энергию до 220 Дж, и оба оснащены розетками с механической защитой.

Для более мощных нагрузок компания выпускает стабилизатор Sven VR-V1000, обеспечивающий подключение техники мощностью до 500 Вт. К такому «кубику» уже можно подключить не только домашнюю аудиосистему, но также дополнительные устройства, такие как телевизор, игровая приставка, персональный компьютер.

Стабилизатор напряжения Sven VR-V1000

В модельном ряду стабилизаторов напряжения производства Schneider Electric представлены две популярные модели APC LS1000-RS Line-R и APC LS1500-RS Line-R, рассчитанные на нагрузку до 500 Вт и 750 Вт, соответственно. Оба стабилизатора работают с входными напряжениями в диапазоне 184-248 В, оснащены индикаторами рабочего напряжения и перегрузки, фильтрами импульсных помех, защитой от короткого замыкания и перегрузки.

Стабилизатор напряжения APC LS1000-RS Line-R

Не поленитесь перед покупкой также проверить максимальное рабочее напряжение стабилизатора — если этот параметр действительно критичен для вашей сети. Так, например, стабилизатор APC LS1500-RS Line-R рассчитан на диапазон входных рабочих напряжений 184-248 В, в то время как модель APC Line-R 600VA Auto, хоть и рассчитана на меньшую мощность, до 600 Вт, в то же время обеспечивает значительно более широкий диапазон стабилизации входных напряжений, от 150 до 290 В, чем, в частности, и объясняется его более высокая цена.

Стабилизатор напряжения APC Line-R 600VA Auto

Стабилизаторы напряжения от 1000 Вт (1 кВт) и выше следует выделять в отдельную категорию, рассчитанную на обслуживание мощной офисной техники, бытового оборудования для домов (например, для отопительных котлов) или стабилизации напряжения во всем доме. Для таких целей часто применяют мощные системы с автотрансформаторами.

Sven — одна из немногих компаний, кто производит и продает в России стабилизаторы с автотрансформатором, рассчитанные на значительную нагрузку и при этом обладающие доступной ценой. Так, например, модель Sven AVR PRO LCD 10000 справляется с нагрузкой до 8 кВт в диапазоне стабилизации от 140 до 260 В — отличный выбор для подключения всего загородного жилого дома.

Стабилизатор напряжения Sven AVR PRO LCD 10000

Очень большой ассортимент мощных компактных стабилизаторов выпускает ранее упомянутая «Эра».

Стабилизатор напряжения ЭРА СНК-1000-М

Обратите внимание на маркировку ее изделий: в названии стабилизаторов, как правило, указывается полезная мощность в ватт-амперах. Например, стабилизатор ЭРА СНК-1000-М рассчитан на 1000 ВА, то есть, с ним можно смело закладывать максимальную активную нагрузку до 700 Вт.

Стабилизатор напряжения ЭРА STA-3000

Для питания мощной домашней нагрузки – от 3000 Вт и более, также отлично подходят стабилизаторы с релейной регулировкой нагрузки. Они доступны по цене, компактны, обладают широким диапазоном стабилизации – от 140 до 270 В и оснащены всеми мыслимыми видами защиты.

Стабилизатор напряжения ЭРА STA-3000

Наиболее доступная модель этой серии – ЭРА STA-3000 — выдержит нагрузку до 3 кВт, при этом автоматически отключится при длительном стабильном напряжении сети. Вдобавок, устройство оснащено многоцветным ЖК-дисплеем для наглядной индикацией текущего режима работы.

По сути мы прошлись по всем основным проблемным случаям, связанным с электропитанием, и подобрали модели для каждого из них. Надеемся, с ее помощью вы сможете выбрать наиболее подходящий именно вам вариант защиты.

Как выбрать сетевой фильтр: 4 этапа подбора

Покупка нового ПК или другой техники сопровождается приобретением сопутствующих аксессуаров. Без них – обеспечивающих безопасную работу устройств – тоже никак не обойтись. К ним, среди прочего, относятся сетевые фильтры, которые заботятся о нужных и дорогостоящих электронных приборах. Но только в том случае, если правильно выбрать подходящую модель. Что это такое, какие пилоты бывают и какой из них стоит купить – расскажет статья.

Что такое сетевой фильтр?

В разговорной речи приспособление еще называют «пилотом». Сетевой фильтр вроде 2Е 3xSchuko помогает защитить электронные устройства от разного рода помех:

• в компьютерной сети, когда сетевые элементы – ненадлежащего качества или же в помещении с нестабильной подачей электричества;
• импульсных, подразумевающих кратковременное отклонения в напряжении;
• высокочастотных и низкочастотных.

Разбираемся: В чем разница между сетевым фильтром и удлинителем – сравниваем устройства по 4 критериям 

Устройство состоит из корпуса и шнура. Детали, которые выполняют защитные функции, находятся внутри корпуса. Внешняя же часть – это розетки и кнопка включения-выключения прибора. Количество розеток варьируется – от одной до восьми.

Для чего нужен сетевой фильтр?

Многие пользователи впервые узнают о существовании сетевого фильтра при покупке настольного ПК. Продавцы-консультанты не зря настаивают на приобретении аксессуара вроде Belkin 2м. При этом не каждый правильно и понятно объясняет, для чего и зачем он нужен.

В тему: Что лучше, ноутбук или компьютер (ПК): 5 советов, как выбрать технику для своих нужд

Дело в том, что подключение стандартных компонентов персонального компьютера – системника, монитора, колонок, да даже принтера – требует наличия нескольких розеток. Можно воспользоваться и стандартным удлинителем, где их несколько. Но он не поможет защитить устройства в случае колебаний напряжения.

Так, на каждом приборе производитель указывает параметры входного напряжения. На системниках вроде ARTLINE Home h47, как правило, указано 220-230 В при частоте 50-60 Герц. Эти показатели соответствуют заявленным характеристикам электросети. Но скачки и перепады от перегрузок – не учитываются. Нормализовать напряжение тока, поступающее к прибору, и является задачей пилота. Также важна предельная потребляемая мощность устройств (измеряется в Ваттах). Она не должна превышать показатель, пропускаемой фильтром. Это значит, что сумма потреблямой мощности приборов, подключенных через него, не может быть больше указанного в документации к пилоту параметра. Так, модель вроде Maxxtro 5, рассчитанный на 1,8 кВт, с успехом справится с одновременной работой системника на 400 Вт, моника VN279QLB на 35 Вт, колонок Genius SP-HF на 40 Вт и роутера вроде RT-AC66U.

Подбираем домой: Какой музыкальный центр купить: 4 параметра выбора

Виды сетевых фильтров

Выбирая сетевой фильтр, необходимо учитывать их отличительные особенности и параметры. Так, в зависимости от назначения и уровня защиты, различают такие виды:

• для бытовых нужд. Эти приборы также называют базовыми – за простоту устройства и минимальный набор защитных показателей. Визуально отличаются малым числом розеток, компактными габаритами и коротким шнуром. Оптимальны для домашнего применения;
• для продвинутых пользователей. Практичный и надежный аксессуар, который оптимален для подключения одного-двух ПК или лэптопов. Пригодны и для домашней, и для офисной установки. Длинный кабель и значительное количество розеток придают моделям этого типа немного массивный и неуклюжий вид;

Когда пригодится пилот: Как подсоединить 2 монитора к ПК+ настройка и софт для работы с двумя мониторами

• профессиональные приборы. Обязательны для дорогой и чувствительной техники. Они способны обезопасить подобное оборудование на высшем уровне. Узнать их можно по очень длинному шнуру и добавленным трехфазным розеткам.

Советы по выбору

Выбрать хороший, качественный сетевой фильтр для компьютера или других приборов – несложно, если следовать этим рекомендациям:

1. Обратить внимание на габариты изделия. Небольшой, плоский аксессуар может быть подделкой без защитных функций. Есть сомнения – следует попросить у продавца прилагаемую документацию. Если в ней указаны технические особенности и параметры модели, опасаться нечего. Известное имя бренда, как у экземпляра Legrand 4XSchuko, станет дополнительным преимуществом.

2. Отдать предпочтение устройству с входным штекером евро-типа. Оно совместимо с различными приборами, тогда как еврокомпакт подойдет только для техники малой мощности. UPS же (компьютерный штекер) предназначен для ИБП и не совместим с обычными бытовыми розетками.

3. Дополнительный комфорт пользователя обеспечат как розетки в достаточном количестве, так и наличие порта USB. К примеру, в Surge Protectors их целых два.

Лучший выбор: Как собрать игровой компьютер, какие комплектующие купить: 3 варианта на выбор

4. Выключатель бывает общим на все розетки или индивидуальным на каждую в пилоте. Также существуют модели с пультом дистанционного управления. Индивидуальные более удобны для повседневного использования. С пультом – пригодятся тем, у кого нет желания или возможности управлять устройством вручную.

Лучшие модели:

Сетевой фильтр – нужное и полезное устройство, которое убережет ценную технику. А выбрать подходящий – не так уж и трудно. Если же есть сомнения в собственной компетенции, можно спросить совета у специалистов-консультантов, почитать отзывы на авторитетных интернет-ресурсах. Когда нравится 2-3 варианта, оптимальный выход – сравнение функциональных показателей моделей и стоимости. На основе выводов из точной информации сделать выбор будет проще.

Рейтинг лучших сетевых фильтров для дома

Для защиты электронных приборов от скачков напряжения и гармонических помех нужен качественный сетевой фильтр. Такое устройство может быть достаточно компактным, включаясь в розетку и выступая в роли переходника. Есть модели с креплением на стену. Удобны фильтры с несколькими розетками. На рынке пользователю предлагается огромное количество моделей, и непонятно, какой именно фирмы купить решение для защиты бытовой техники. Отзывы пользователей позволяют сузить диапазон поиска, чтобы приобрести удобный фильтр с usb портами или влагозащищенный аппарат для использования на открытом воздухе.

В топ сетевых фильтров вошли:

• компактные решения для бытовой техники;
• устройства, которые рекомендуется выбрать для компьютера;
• фильтры с несколькими розетками;
• решения с настраиваемым таймером;
• простые модели, подходящие для холодильника или другой нетребовательной техники.

В рейтинге также представлены топовые решения с пультом дистанционного управления, комбинированным набором розеток и многое другое.

10. Pilot Single

Данная модель, несмотря на простоту функционала и внешнего вида, обеспечивает наглядную индикацию состояния сети и качественный фильтр гармонических помех. Предлагается отсечка подключенного оборудования при превышении максимальной мощности потребления, а также защита от короткого замыкания и возможность подключения к заземлению. Прибор может работать в однофазной сети с напряжением до 380 В.

Устройство выполнено в формате переходника для розетки, может использоваться для автомагнитолы, для ЖК телевизора и другого оборудования, работающего в широком диапазоне рабочего напряжения. Фильтр после включения тестирует состояние сети, затем цветом индикатора показывает ее параметрику. Уровень напряжения в сети, токи потребления и прочие рабочие характеристики устройства контролируются встроенным микропроцессором.

• компактный;
• можно подключить к заземлению;
• индикация состояния сети и потребителя;
• микропроцессорный контроль.

• в роли фильтра помех выступает конденсаторная связка;
• нет многоразового предохранителя;
• нагревается при длительной работе;
• отсутствуют защитные шторки для вилки.

Pilot Single на Яндекс Маркете

9. APC by Schneider Electric PM5-RS

Данная модель предлагает минимальный уровень защиты. Это оптимальный выбор, хороший сетевой фильтр для включения нескольких устройств одновременно. Прибор способен предотвратить аварийные ситуации быстрым срабатыванием плавкого предохранителя. Качество фильтрации напряжения позволяет нейтрализовать помехи при эксплуатации аудио оборудования.

Предусмотрен индикатор превышения допустимой нагрузки. Выключатель снабжен собственной подсветкой кнопки. Высокая безопасность при использовании обеспечивается шторками на отверстиях для вилки.

• 5 розеток;
• качество фильтрации;
• материалы;
• вилки держатся плотно.

• нет варисторной защиты от значительных перепадов напряжения;
• кабель в нижних прорезях корпуса практически не фиксируется;
• минимальный функционал;
• кабель питания достаточно жесткий.

APC by Schneider Electric PM5-RS на Яндекс Маркете

8. Pilot BIT

Данное устройство — не просто фильтр сетевых помех. Оснащенный группой из шести варисторов и разрядников, Pilot BIT способен защитить оборудование от последствий грозовых помех. Такая особенность изделия делает его незаменимым для питания роутеров и другой компьютерной техники.

Выполненный в форме переходника в евро розетку, Pilot BIT позволяет пользоваться кабелями с плоской вилкой. Предусмотрено их включение с разными углами поворота для максимальной универсализации применения. Корпус модели из прочного пластика легко выдерживает падение с небольшой высоты.

Важно! В серии Pilot BIT два исполнения. Черный корпус означает, что фильтр предназначен для сетей с заземлением. Белая окраска модификации S показывает, что прибор пригоден для устаревшей или не имеющей заземления проводки. Серия специально адаптирована к особенностям сетей Российской Федерации и стран бывшего СССР.

• очень качественная фильтрация напряжения;
• защита от грозы;
• несколько уровней защиты;
• гарантия производителя.

• индикатор на корпусе очень яркий;
• необходимо выбирать исполнение в соответствии с характеристиками сети;
• незначительно нагревается под нагрузкой;
• высокая цена.

Pilot BIT на Яндекс Маркете

7. Xiaomi Mi Power Strip 3 sockets

Изделие самого быстрорастущего китайского бренда ориентировано на максимальную безопасность использования. У фильтра есть шторки мест установки штырей розетки. Случайно коснуться контактов просто невозможно. Предлагается функция дифференциальной защиты. Это означает, что при повреждении проводки или детектировании неисправности подключенного прибора фильтр отключится автоматически.

Заявлена пожаробезопасность при температуре корпуса до 750 градусов Цельсий. Для удобства пользователя предлагается 3 порта USB для зарядки гаджетов или подключения устройств с низковольтным питанием. Кроме этого, аппарат достаточно универсальный, может работать с тремя типами вилок.

• универсальность;
• надежность;
• продуманная безопасность;
• порты низкого напряжения.

• вилки не фиксируются утапливанием;
• порты низкого напряжения не поддерживают режим быстрой зарядки;
• индикатора включения нет;
• близко расположенные розетки.

Xiaomi Mi Power Strip 3 sockets на Яндекс Маркете

6. MOST ERG

Данная модель понравится тем, у кого есть потребность часто включать и отключать приборы от сети. Снабженный пятью розетками с отдельными выключателями, MOST ERG позволит делать это быстро и безопасно. Предусмотрена базовая система фильтрации помех, присутствует защита от перегрузки, есть блокировка питания в случае короткого замыкания.

Устройство оснащено многоразовым предохранителем. Основной выключатель — двухконтактный, прерывает фазу и ноль. Конфигурация розеток позволяет включать как классические евро вилки с заземлением, так и круглые формата CEE 7/16. Кабель питания гибкий, в дополнительной оплетке для предотвращения механических повреждений.

• выключатели каждой розетки;
• надежность питающего кабеля;
• подсветка выключателей;
• качество материалов и сборки.

• нет защитных шторок;
• нет крепления на стену;
• выключатели розеток мелкие;
• кнопка предохранителя расположена в зоне легкого доступа.

MOST ERG на Яндекс Маркете

5. APC PM6U-RS

Данное устройство — оптимальный выбор для квартиры. Предлагается 6 розеток для ЖК телевизора, приставок, компьютера и другой техники. Есть два порта низкого напряжения для зарядки мобильных телефонов. Корпус устройства имеет настенное крепление для удобства размещения как по горизонтали, так и по вертикали. Еще удобнее устанавливать фильтр в нужном месте благодаря системе фиксации кабеля с одной или другой стороны.

Три розетки в торце и три по фронту, а также форма корпуса позволяют легко подключить домашнюю технику без запутывания проводов. Фильтр оснащен системой индикации, показывающей состояние защиты, заземления, наличие перегрузки.

Важно! Владельцы отмечают очень качественную нейтрализацию помех, при использовании для автомагнитолы фоновый шум полностью устраняется.

• качество сборки;
• продуманный корпус и расположение розеток;
• порты для гаджетов;
• качество фильтрации.

• короткий кабель питания;
• только белое исполнение корпуса;
• нет защитных шторок;
• хотелось бы больше мощности.

APC PM6U-RS на Яндекс Маркете

4. Universal U10-026 IP-44 PVS

Данная модель — фильтр с влагозащитой, предназначенный для подключения аудио и видеоаппаратуры, другого оборудования на открытом воздухе. Предлагается 5 розеток, защищенных крышками. Аналогично изолирован и выключатель питания. Данный фильтр может считаться самым мощным. Показатель максимального тока составляет 16А. Это соответствует потреблению мощности в 3.5 кВт.

Устройство обладает крайне высокой надежностью. Кабель подвода — это мощная трехжильная структура, каждый из проводников имеет сечение в полтора квадрата. Уровень фильтрации помех соответствует назначению, при помощи данного изделия можно избавиться от наводок для аудиоаппаратуры.

• длина питающего кабеля 10 метров;
• защищен от воды;
• прочность корпуса;
• стоимость.

• стандартный набор уровней защиты;
• рассчитан на использование только с евро вилками;
• нет защитных шторок;
• нет возможности изменить точку выхода кабеля.

Universal U10-026 IP-44 PVS на Яндекс Маркете

3. LDNIO SE3631

Если нужна идеальная работа техники в очень плохой электросети — LDNIO SE3631 решит поставленную задачу. Это фильтр со стабилизатором напряжения по портам для низковольтных потребителей. Он не только демпфирует импульсные и гармонические помехи, но и обеспечивает стабильные параметры питания для подключенных по порту USB приборов.

Устройство рассчитано на рабочее напряжение от 100 до 250В, токи до 10А (2.2 кВт мощности). Пользователей предлагается целая серия портов USB в количестве 6 штук для гаджетов или низковольтного оборудования. Одновременно с этим розеток всего три. Модель оснащена центральным выключателем. По заявлениям производителя, он обладает крайне высокой надежностью и выдерживает до 5000 нажатий.

• внешний вид;
• качество фильтрации и защиты;
• стабилизация напряжения;
• надежный выключатель.

• нет изменения положения кабеля;
• шнур короткий;
• только 3 розетки;
• нет защитных шторок.

LDNIO SE3631 на Яндекс Маркете

2. Belkin Conserve

Данная модель, кроме повышенной надежности, позиционируется как решение для экономии электроэнергии. Фильтр с пультом дистанционного управления позволяет отключать и включать целую группу подключенных устройств. Предлагается 8 розеток, на две из которых напряжение подается постоянно, вне зависимости от команд пульта.

Дистанционное управление действует по радиоканалу. Для надежной работы их можно настраивать, предлагается 8 частотных характеристик. Предусмотрена индикация состояния защиты, блока управляемых розеток.

• надежность;
• качество фильтрации;
• дальность действия пульта;
• защита розеток от детей.

• стоимость;
• кнопка пульта механическая;
• нет защиты от воды и пыли для пульта;
• розетки не повернуты под углом 45 градусов.

Belkin Conserve на Яндекс Маркете

1. InterStep SP-206T

Данная модель станет желанным приобретением для большой аудитории потребителей. Это крайне функциональный фильтр. Помимо решения основной задачи нейтрализации помех, защиты от аварийных ситуаций, устройство способно улучшать качество телефонной связи и трансляции телевизионного сигнала.

Кроме этого, InterStep SP-206T — это модель с таймером. Настройка расписания включения и выключения доступна раздельно для каждого из двух блоков по три розетки. На корпусе фильтра расположен достаточно большой дисплей и кнопки управления. Принцип настройки таймеров приводится в инструкции и не представляет сложности.

Совет! Функционал включения приборов по расписанию пригодится дачникам. Имитация присутствия людей на территории или в доме зажиганием света поможет предотвратить кражи. С помощью InterStep SP-206T в частных хозяйствах легко автоматизировать полив, освещение участка, другие операции.

• качество фильтрации;
• защитные шторки розеток;
• таймер раздельно для каждого из блоков;
• порты USB 2А.

• нет защиты от воды;
• время таймера только в 12 часовом формате;
• гнезда для фильтрации ТВ сигнала не защищены, выступают из корпуса;
• скромный диапазон рабочего напряжения, 100-240В.

InterStep SP-206T на Яндекс Маркете

Заключение

В рейтинг сетевых фильтров вошли только устройства, полностью соответствующие критериям к классу защиты. Здесь нет дешевых удлинителей с предохранителем. В лучшие сетевые фильтры включены исключительно устройства с защитой от короткого замыкания, от перепада напряжения, которые лучше купить для дома. Рассматриваются только решения 220 вольт, как самые востребованные рядовым потребителем.

Межсетевой экран с фильтрацией пакетов — обзор

5.1.2 Оценка правильного типа межсетевого экрана (ов) для вашего предприятия

Основная функция межсетевого экрана — защита внутренних конфиденциальных данных от внешнего мира. Существует три основных типа межсетевых экранов, используемых для защиты интрасети предприятия, но любое устройство, которое контролирует трафик, проходящий через сеть по соображениям безопасности, может считаться межсетевым экраном. Три основных типа межсетевых экранов используют разные методы для достижения одного и того же — защиты внутренней сети.Самый простой тип межсетевого экрана — это устройство фильтрации пакетов, также известное как экранирующий маршрутизатор. Межсетевые экраны с фильтрацией пакетов — это маршрутизаторы, которые работают на нижних уровнях стека сетевых протоколов. На более высоком уровне находятся шлюзы прокси-серверов, которые выполняют прокси-сервисы для внутренних клиентов, регулируя входящий внешний сетевой трафик, а также отслеживая и обеспечивая контроль трафика исходящих внутренних пакетов. Третий тип межсетевого экрана, известный как шлюз на уровне схемы, основан на методах проверки с отслеживанием состояния.«Stateful Inspection» — это метод фильтрации, который требует компромисса между производительностью и безопасностью. Давайте посмотрим на три основных типа межсетевых экранов.

Межсетевые экраны с фильтрацией пакетов

Межсетевые экраны с фильтрацией пакетов позволяют фильтровать IP-адреса одним из двух основных методов:

1.

Разрешение доступа к известным IP-адресам

2.

Запрет доступа к IP-адресам и портам

Разрешив доступ к известным IP-адресам, например, вы можете разрешить доступ только к распознанным, установленным IP-адресам или запретить доступ ко всем неизвестным или нераспознанным IP-адресам.

Запретив доступ к IP-адресам или портам, например, вы можете запретить доступ к порту 80 посторонним. Поскольку большинство HTTP-серверов работают на порту 80, это фактически блокирует любой внешний доступ к HTTP-серверу.

Согласно отчету CERT, наиболее выгодно использовать методы фильтрации пакетов, чтобы в максимально возможной степени разрешать только утвержденный и известный сетевой трафик. Использование фильтрации пакетов может быть очень экономичным средством добавления контроля трафика к уже существующей инфраструктуре маршрутизатора.

Фильтрация IP-пакетов тем или иным образом выполняется всеми межсетевыми экранами. Обычно это делается через маршрутизатор с фильтрацией пакетов. Маршрутизатор будет фильтровать или проверять пакеты, проходящие через интерфейсы маршрутизатора, которые работают в соответствии с политикой межсетевого экрана, установленной предприятием. Пакет — это часть информации, которая передается по сети. Маршрутизатор с фильтрацией пакетов проверяет путь, по которому идет пакет, и тип информации, содержащейся в пакете.Если пакет проходит тесты политики брандмауэра, ему разрешается продолжить свой путь. Информация, которую ищет маршрутизатор с фильтрацией пакетов, включает (1) IP-адрес источника пакета и порт источника TCP / UDP и (2) IP-адрес назначения и порт назначения TCP / UDP пакета.

Некоторые брандмауэры с фильтрацией пакетов могут фильтровать только IP-адреса, но не исходный порт TCP / UDP, но наличие фильтрации TCP или UDP в качестве функции может обеспечить гораздо большую маневренность, поскольку трафик может быть ограничен для всех входящих подключений, кроме тех. выбранный предприятием.

Межсетевые экраны с фильтрацией пакетов обычно запускаются либо на компьютерах общего назначения, которые действуют как маршрутизаторы, либо на маршрутизаторах специального назначения. У обоих есть свои преимущества и недостатки. Основное преимущество компьютера общего назначения состоит в том, что он предлагает неограниченную функциональную расширяемость, тогда как недостатками являются средняя производительность, ограниченное количество интерфейсов и слабые места операционной системы. Преимущества маршрутизатора специального назначения заключаются в большем количестве интерфейсов и повышенной производительности, тогда как недостатками являются ограниченная функциональная расширяемость и более высокие требования к памяти.

Хотя брандмауэры с фильтрацией пакетов менее дороги, чем другие типы, и поставщики улучшают свои предложения, они считаются менее желательными с точки зрения ремонтопригодности и конфигурируемости. Они полезны для контроля и ограничения пропускной способности, но им не хватает других функций, таких как возможности ведения журнала. Если политика брандмауэра не ограничивает определенные типы пакетов, пакеты могут оставаться незамеченными до тех пор, пока не произойдет инцидент. Предприятиям, использующим брандмауэры с фильтрацией пакетов, следует искать устройства, которые могут обеспечивать подробное ведение журнала, упрощенную настройку и проверку политик брандмауэра.

Прокси-сервер или шлюз приложений

Прокси-серверы, также известные как прокси приложений или шлюз приложений, используют тот же метод, что и фильтр пакетов, поскольку они проверяют, куда направляется пакет и тип информации, содержащейся в пакете. Прокси приложения, однако, не просто позволяет пакету продолжать путь к месту назначения; он доставляет пакет за вас.

Брандмауэр прокси приложения — это серверная программа, которая понимает тип передаваемой информации, например HTTP или FTP.Он функционирует на более высоком уровне в стеке протоколов, чем брандмауэры с фильтрацией пакетов, тем самым предоставляя больше возможностей для мониторинга и контроля доступности. При отправке сообщений от внутренних клиентов во внешний мир шлюз приложений действует во многом как распространитель и изменяет идентификацию источника клиентских пакетов. Это выполняет две цели: во-первых, он маскирует внутреннего клиента для остальной части Интернета, а во-вторых, он действует как прокси-агент для клиента в Интернете.

Сокрытие адресов всех внутренних компьютеров снижает риск сбора хакерами информации о внутренних данных предприятия. В прошлом использование прокси-серверов приводило к снижению производительности и прозрачности доступа к другим сетям. Однако в новых моделях некоторые из этих проблем решены.

Шлюзы приложений устранили некоторые слабые места, связанные с устройствами фильтрации пакетов, в отношении приложений, которые пересылают и фильтруют соединения для таких служб, как Telnet и FTP.Однако шлюзы приложений и устройства фильтрации пакетов не должны использоваться независимо. Совместное использование межсетевых экранов шлюза приложений и устройств фильтрации пакетов может обеспечить более высокий уровень безопасности и гибкости, чем использование любого из них по отдельности. Примером этого может быть веб-сайт, который использует брандмауэр с фильтрацией пакетов, чтобы блокировать все входящие соединения Telnet и FTP и перенаправлять их на шлюз приложений. Посредством использования шлюза приложений исходный IP-адрес входящих пакетов Telnet и FTP может быть аутентифицирован и зарегистрирован, и если информация, содержащаяся в пакетах, проходит критерии приема шлюза приложений, создается прокси и разрешается соединение между шлюз и выбранный внутренний хост.Шлюз приложений будет пропускать только те соединения, для которых был создан прокси. Эта форма системы брандмауэра позволяет передавать во внутренние системы предприятия только те службы, которые считаются заслуживающими доверия, и предотвращает прохождение служб, которым не доверяют, без наблюдения и контроля системных администраторов брандмауэра.

Шлюзы приложений предоставляют множество преимуществ. Скрывая исходный IP-адрес клиента от внешних систем, обеспечивается дополнительная защита от любопытных глаз хакеров, намеревающихся извлечь информацию из ваших внутренних систем. Использование функций регистрации и аутентификации служит для идентификации и авторизации внешних служб, пытающихся войти в вашу внутреннюю сеть. Нежелательных и нежеланных гостей можно распознать и не пускать. Это также очень рентабельный подход, поскольку любые сторонние устройства для аутентификации и ведения журнала должны быть расположены только на шлюзе приложений. Шлюзы приложений также позволяют использовать более простые правила фильтрации. Вместо того, чтобы направлять трафик приложений в несколько разных систем, его нужно только направить на шлюз приложений; весь другой трафик может быть отклонен.

Многие типы шлюзов приложений также поддерживают электронную почту и другие службы в дополнение к Telnet и FTP. Поскольку шлюзы приложений направляют многие формы трафика приложений, они включают политики безопасности, основанные не только на IP-адресах и службах источника и назначения, но также могут быть оценены фактические данные, содержащиеся в пакетах приложений.

В случае шлюза приложений, который собирает и направляет электронную почту между интрасетью, экстранет и Интернет будут просматривать всех внутренних пользователей в форме, основанной на имени шлюза приложения электронной почты, например [электронная почта protected] Шлюз приложения электронной почты будет маршрутизировать почту из экстрасети или Интернета по внутренней сети. Внутренние пользователи могут отправлять почту извне либо напрямую со своих хостов, либо через шлюз приложения электронной почты, который направляет почту на хост назначения. Шлюзы приложений также могут отслеживать и отсеивать пакеты электронной почты, содержащие вирусы и другие нежелательные формы коммерческой электронной почты, от проникновения во внутренние области вашего бизнеса.

Как и в случае межсетевых экранов с фильтрацией пакетов, шлюзы приложений обычно запускаются либо на компьютерах общего назначения, которые действуют как маршрутизаторы, либо на специализированных прокси-серверах.

Устройства фильтрации пакетов в целом работают быстрее, чем шлюзы приложений, но, как правило, им не хватает безопасности, предлагаемой большинством прокси-сервисов.

Учитывая дополнительную сложность шлюзов приложений по сравнению с межсетевыми экранами с фильтрацией пакетов, при оценке потребностей предприятия в межсетевых экранах следует учитывать дополнительные вычислительные ресурсы и стоимость поддержки такой системы. Например, в зависимости от ваших требований, хост может поддерживать от сотен до тысяч процессов прокси для всех одновременных сеансов, используемых в вашей сети.Как и в случае с большинством бизнес-решений, чем выше требуемая производительность, тем выше затраты, которые будут понесены для достижения этой дополнительной производительности.

Шлюзы на уровне схемы

Шлюз на уровне схемы похож на шлюз приложений, за исключением того, что ему не нужно понимать тип передаваемой информации. Например, серверы SOCKS могут выступать в качестве шлюзов на уровне каналов. «SOCKS» — это протокол, который сервер использует для приема запросов от клиента во внутренней сети, чтобы он мог отправлять их через Интернет.SOCKS использует сокеты для отслеживания отдельных подключений.

Шлюзы на уровне схемы выполняют проверку с отслеживанием состояния или динамическую фильтрацию пакетов для принятия решений о фильтрации. Хотя шлюзы на уровне каналов иногда группируются со шлюзами приложений, они относятся к отдельной категории, поскольку они не выполняют дополнительной оценки данных в пакете, кроме утвержденных соединений между внешним миром и внутренней сетью.

Проверка с отслеживанием состояния — это функция шлюза на уровне канала, которая обеспечивает более надежную фильтрацию, чем та, которую предлагают устройства фильтрации пакетов, поскольку для принятия решений о фильтрации используются как содержимое пакета, так и предыдущая история пакетов.Эта проверка является «дополнительной» функцией, поэтому устройство шлюза на уровне схемы также служит маршрутизатором.

Эта дополнительная функция обеспечивает повышенную производительность по сравнению с прокси-серверами приложений за счет компромисса между производительностью и критериями безопасности.

Таким образом, шлюзы на уровне цепей предлагают расширенные возможности мониторинга безопасности по сравнению с брандмауэрами с фильтрацией пакетов, но все же полагаются на хорошо продуманную структуру базовой маршрутизации и, как прокси приложений, могут быть настроены для определения расширенных возможностей принятия решений .

Фильтр пакетов — обзор

8.

1.1.4 Обработка на уровне пользователя

Некоторые аспекты обработки однонаправленных каналов EPS на уровне пользователя были представлены в главе 6. В частности, было показано, как используются фильтры пакетов в UE и GW. чтобы определить, какие IP-потоки должны передаваться по определенному каналу передачи EPS. Теперь, после описания механизмов, доступных для управления QoS в E-UTRAN, полезно взглянуть на обработку на уровне пользователя и то, как функции QoS и параметры QoS, описанные выше, распределяются между различными узлами в сети.На рисунке 8.2 показаны различные функции QoS на уровне пользователя для E-UTRAN / EPS.

Рисунок 8.2. Обзор функций QoS на уровне пользователя для E-UTRAN / EPS.

Функциональное распределение для PDN GW предназначено для S5 / S8 на основе GTP. Для S5 / S8 на основе PMIP функции, связанные с переносом, перемещаются в обслуживающий GW.

UE и GW (PDN GW для S5 / S8 на основе GTP и обслуживающий GW для S5 / S8 на основе PMIP) выполняют фильтрацию пакетов восходящей и нисходящей линий связи соответственно, чтобы отображать потоки пакетов на предполагаемый носитель.

GW и eNB могут реализовывать функции, связанные с контролем допуска и упреждающей обработкой (т. Е. Управлением перегрузкой), чтобы позволить этим узлам ограничивать и контролировать возлагаемую на них нагрузку. Эти функции могут принимать значение ARP в качестве входных данных, чтобы различать обработку различных каналов передачи данных в этих функциях, как описано в разделе ARP выше.

GW и eNB дополнительно реализуют функции, связанные с контролем скорости. Эти функции преследуют двоякую цель: защитить сеть от перегрузки и гарантировать, что службы отправляют данные в соответствии с указанными максимальными скоростями передачи данных (AMBR и MBR).Для однонаправленных каналов, отличных от GBR, PDN GW выполняет политику скорости на основе значения (значений) APN-AMBR как для восходящего, так и для нисходящего трафика, в то время как eNB выполняет политику скорости на основе значения UE-AMBR как для восходящего, так и для нисходящего трафика. Для однонаправленных каналов GBR контроль MBR выполняется в GW для трафика нисходящей линии связи и в eNB для трафика восходящей линии связи.

В версии 10 была введена поддержка однонаправленных каналов GBR со значением MBR, превышающим значение GBR. До выпуска 10 поддерживался только MBR, равный GBR.Как обсуждалось выше, преимущество MBR больше, чем GBR, состоит в том, что он позволяет лучше использовать адаптивные кодеки, которые способны автоматически переключаться между разными скоростями кодека. При MBR, превышающем GBR, минимальная скорость передачи данных гарантируется сетью (GBR), в то время как дополнительная полоса пропускания может использоваться приложением, если оно доступно (MBR). Однако возникает вопрос, как приложение должно определять, есть ли пропускная способность, превышающая доступный GBR, и соответствующим образом корректировать свою скорость.Одна из возможностей состоит в том, чтобы инициировать снижение скорости кодека в терминале просто на основании того факта, что пакеты отбрасываются сетью. Однако это не считается подходящим механизмом, поскольку он может ухудшить взаимодействие с пользователем. Вместо этого 3GPP согласовал механизм явной обратной связи, при котором сеть (например, eNodeB) может инициировать снижение скорости кодека. Механизм, представленный в версии 9, использует явное уведомление о перегрузке (ECN) на основе IP, указанное в IETF RFC 3168. ECN — это 2-битное поле в сквозном IP-заголовке, которое может использоваться для индикации перегрузки.Он используется в качестве «схемы предварительного предупреждения о перегрузке», с помощью которой сеть может предупреждать конечные точки о зарождающейся перегрузке, чтобы конечная точка-отправитель могла снизить скорость отправки. Чтобы обеспечить достаточное время для адаптации скорости сквозного кодека, радиосеть должна пытаться сохранить характеристики QoS и не отбрасывать никакие пакеты на однонаправленном канале в течение льготного периода после того, как он указал перегрузку. Период отсрочки по умолчанию составляет 500 мс. После льготного периода радиосеть может поддерживать резервирование ресурсов только для GBR.Предоставляя это предварительное предупреждение на основе ECN и льготный период перед отбрасыванием пакетов, кодек может более плавно регулировать скорость по сравнению со сценариями, в которых снижение скорости основано только на отброшенных пакетах. В версии 9 схема ECN уровня IP применима только для доступа к E-UTRAN и для голосовой среды (служба мультимедийной телефонии для IMS), тогда как в версии 10 эта функция была расширена и теперь включает доступ к UTRAN, а также видеоуслуги. Также можно отметить, что 3GPP не указал какой-либо явной обратной связи от сети для запуска увеличения скорости кодека.Вместо этого кодек может оставаться на значении GBR до конца вызова, или конечные точки могут проверять соединение, чтобы выяснить, возможно ли увеличение скорости.

На рисунке 8.3 показано, как выполняется обработка ECN для восходящего трафика. На шаге 1 сеанс SIP согласовывается с полным набором скоростей кодека, но без учета перегрузки сетевого уровня. После успешного согласования ECN для медиапотока отправитель помечает каждый IP-пакет как транспорт с поддержкой ECN.Это показано на этапах 2 и 3. Затем eNB может пометить IP-пакеты, чтобы указать, что возникла перегрузка (этапы 4 и 5). В ответ на индикацию возникшей перегрузки принимающая сторона запускает снижение скорости кодека (шаги 6 и 7).

Рисунок 8.3. ECN-обработка восходящего трафика.

Чтобы распределить ресурсы радиосети (ресурсы радиосвязи и обработки) между установленными однонаправленными каналами, eNB реализует функции планирования восходящей и нисходящей линий связи.Функция планирования в значительной степени отвечает за выполнение характеристик QoS, связанных с различными однонаправленными каналами.

eNB отвечает за настройку протоколов нижнего уровня (уровни 1 и 2) радиосоединения однонаправленного канала в соответствии с характеристиками QoS, связанными с однонаправленным каналом. Среди прочего, это включает в себя настройку протоколов контроля ошибок (модуляция, кодирование и повторные передачи на канальном уровне) так, чтобы выполнялись характеристики QoS, бюджет задержки пакета и потеря ошибок пакета.Для получения дополнительных сведений об обработке QoS в E-UTRAN см. Dahlman (2011).

На транспортном уровне, т. Е. Базовом IP-транспорте между объектами сети EPC (включая промежуточные транспортные объекты в пакетных ядрах, таких как обычные IP-маршрутизаторы), нет информации о носителях EPS, и вместо этого выполняется управление очередью и обработка пересылки пакетов в соответствии с механизмом транспортного уровня, таким как DiffServ. Объекты EPC сопоставляют QCI канала-носителя EPS со значениями DiffServ Code Point (DSCP), которые используются транспортной сетью.

Следует отметить, что существуют также функции управления QoS с учетом служб, работающие с более высокой степенью детализации, чем канал-носитель EPS. Эти функции определены как часть архитектуры управления политикой и зарядкой (PCC) и описаны в разделе PCC этой главы.

Фильтрация сетевого трафика — учебное пособие — портал Azure

• 06.03.2021
• Читать 8 минут

В этой статье

Вы можете использовать группу безопасности сети для фильтрации входящего и исходящего сетевого трафика из подсети виртуальной сети.

Группы безопасности сети содержат правила безопасности, которые фильтруют сетевой трафик по IP-адресу, порту и протоколу. Правила безопасности применяются к ресурсам, развернутым в подсети.

Из этого руководства вы узнаете, как:

• Создание группы безопасности сети и правил безопасности
• Создайте виртуальную сеть и свяжите группу безопасности сети с подсетью
• Развертывание виртуальных машин (ВМ) в подсети
• Фильтры тестового трафика

Если у вас нет подписки Azure, прежде чем начать, создайте бесплатную учетную запись.

Предварительные требования

Войти в Azure

Войдите на портал Azure по адресу https://portal.azure.com.

Создать виртуальную сеть

1. Выберите Создайте ресурс в верхнем левом углу портала.

2. В поле поиска введите Виртуальная сеть . Выберите Virtual Network в результатах поиска.

3. На странице Virtual Network выберите Create .

4. В Создайте виртуальную сеть , введите или выберите эту информацию на вкладке Основы :

   Настройка	Значение
   Описание проекта
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите Создать новый . Введите myResourceGroup . Выберите ОК .
   Сведения об экземпляре
   Имя	Введите myVNet .
   Регион	Выберите (США) Восток США .

5. Выберите вкладку Review + create или нажмите синюю кнопку Review + create внизу страницы.

6. Выберите Создать .

Создание групп безопасности приложений

Группа безопасности приложений позволяет группировать серверы со схожими функциями, например веб-серверы.

1. Выберите Создайте ресурс в верхнем левом углу портала.

2. В поле поиска введите Группа безопасности приложений . В результатах поиска выберите Группа безопасности приложений .

3. На странице Группа безопасности приложений выберите Создать .

4. В Создайте группу безопасности приложения , введите или выберите эту информацию на вкладке Основы :

   Настройка	Значение
   Описание проекта
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите myResourceGroup .
   Сведения об экземпляре
   Имя	Введите myAsgWebServers .
   Регион	Выберите (США) Восток США .

5. Выберите вкладку Review + create или нажмите синюю кнопку Review + create внизу страницы.

6. Выберите Создать .

7. Повторите шаг 4 еще раз, указав следующие значения:

   Настройка	Значение
   Описание проекта
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите myResourceGroup .
   Сведения об экземпляре
   Имя	Введите myAsgMgmtServers .
   Регион	Выберите (США) Восток США .

8. Выберите вкладку Review + create или нажмите синюю кнопку Review + create внизу страницы.

9. Выберите Создать .

Создать группу безопасности сети

Группа безопасности сети защищает сетевой трафик в вашей виртуальной сети.

1. Выберите Создайте ресурс в верхнем левом углу портала.

2. В поле поиска введите Группа безопасности сети . Выберите Группа безопасности сети в результатах поиска.

3. На странице Группа безопасности сети выберите Создать .

4. В Создать группу безопасности сети введите или выберите эту информацию на вкладке Основы :

   Настройка	Значение
   Описание проекта
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите myResourceGroup .
   Сведения об экземпляре
   Имя	Введите myNSG .
   Расположение	Выберите (США) Восток США .

5. Выберите вкладку Review + create или нажмите синюю кнопку Review + create внизу страницы.

6. Выберите Создать .

Связать группу безопасности сети с подсетью

В этом разделе мы свяжем группу безопасности сети с подсетью виртуальной сети, которую мы создали ранее.

1. В поле Search resources, services и docs вверху портала начните вводить myNsg . Когда myNsg появится в результатах поиска, выберите его.

2. На странице обзора myNSG выберите Подсети в Настройки .

3. На странице настроек выберите Связать :

4. В Associate subnet выберите Virtual network , а затем выберите myVNet .

5. Выберите Подсеть , выберите по умолчанию , а затем выберите OK .

Создать правила безопасности

1. В настройках из myNSG выберите Правила безопасности для входящего трафика .

2. В правилах безопасности входящего трафика выберите + добавьте :

3. Создайте правило безопасности, которое разрешает порты 80 и 443 входить в группу безопасности приложений myAsgWebServers . В Добавить правило безопасности для входящего трафика введите или выберите следующую информацию:

   Настройка	Значение
   Источник	Оставьте значение по умолчанию Любое .
   Диапазон портов источника	Оставьте значение по умолчанию (*)
   Пункт назначения	Выберите Группа безопасности приложений .
   Группа безопасности целевого приложения	Выберите myAsgWebServers .
   Сервис	Оставьте значение по умолчанию Custom .
   Диапазон портов назначения	Введите 80,443 .
   Протокол	Выберите TCP .
   Действие	Оставьте значение по умолчанию Разрешить .
   Приоритет	Оставьте значение по умолчанию 100 .
   Имя	Введите Allow-Web-All .

4. Выполните шаг 2 еще раз, используя следующие значения:

   Настройка	Значение
   Источник	Оставьте значение по умолчанию Любое .
   Диапазон портов источника	Оставьте значение по умолчанию (*)
   Пункт назначения	Выберите Группа безопасности приложений .
   Группа безопасности целевого приложения	Выберите myAsgMgmtServers .
   Сервис	Оставьте значение по умолчанию Custom .
   Диапазон портов назначения	Введите 3389 .
   Протокол	Выберите TCP .
   Действие	Оставьте значение по умолчанию Разрешить .
   Приоритет	Оставьте значение по умолчанию 110 .
   Имя	Введите Allow-RDP-All .

   Осторожно

   В этой статье RDP (порт 3389) доступен в Интернете для виртуальной машины, которая назначена группе безопасности приложений myAsgMgmtServers .

   Для производственных сред вместо того, чтобы открывать порт 3389 для Интернета, рекомендуется подключаться к ресурсам Azure, которыми вы хотите управлять, с помощью VPN, подключения к частной сети или Azure Bastion.

   Дополнительные сведения об Azure Bastion см. В разделе Что такое Azure Bastion ?.

После выполнения шагов 1–3 просмотрите созданные правила. Ваш список должен выглядеть как список в следующем примере:

Создание виртуальных машин

Создайте две виртуальные машины в виртуальной сети.

Создайте первую ВМ

1. Выберите Создайте ресурс в верхнем левом углу портала.

2. Выберите Compute , затем выберите Virtual machine .

3. В Создайте виртуальную машину , введите или выберите эту информацию на вкладке Основы :

   Настройка	Значение
   Описание проекта
   Подписка	Выберите подписку.
   Группа ресурсов	Выберите myResourceGroup .
   Сведения об экземпляре
   Имя виртуальной машины	Введите myVMWeb .
   Регион	Выберите (США) Восток США .
   Варианты наличия	Оставьте значение по умолчанию: резервирование не требуется.
   Изображение	Выберите Windows Server 2019 Datacenter — Gen1 .
   Спотовый экземпляр Azure	Не устанавливайте флажок по умолчанию.
   Размер	Выберите Standard_D2s_V3 .
   Учетная запись администратора
   Имя пользователя	Введите имя пользователя.
   Пароль	Введите пароль.
   Подтвердите пароль	Введите пароль еще раз.
   Правила входящего порта
   Общедоступные входящие порты	Выбрать Нет .

4. Выберите вкладку Сеть .

5. На вкладке Networking введите или выберите следующую информацию:

   Настройка	Значение
   Сетевой интерфейс
   Виртуальная сеть	Выберите myVNet .
   Подсеть	Выберите по умолчанию (10.0,0.0 / 24) .
   Общедоступный IP	Оставьте значение по умолчанию для нового общедоступного IP-адреса.
   Группа безопасности сети NIC	Выбрать Нет .

6. Выберите вкладку Review + create или нажмите синюю кнопку Review + create внизу страницы.

7. Выберите Создать .

Создайте вторую ВМ

Снова выполните шаги 1-7, но на шаге 3 назовите виртуальную машину myVMMgmt .На развертывание виртуальной машины уходит несколько минут.

Не переходите к следующему шагу, пока виртуальная машина не будет развернута.

Свяжите сетевые интерфейсы с ASG

Когда портал создал виртуальные машины, он создал сетевой интерфейс для каждой виртуальной машины и подключил сетевой интерфейс к виртуальной машине.

Добавьте сетевой интерфейс для каждой виртуальной машины в одну из ранее созданных групп безопасности приложений:

1. В поле Search resources, services и docs вверху портала начните вводить myVMWeb .Когда виртуальная машина myVMWeb появится в результатах поиска, выберите ее.

2. В Settings выберите Networking .

3. Перейдите на вкладку Группы безопасности приложений , затем выберите Настроить группы безопасности приложений .

4. В Настройте группы безопасности приложений , выберите myAsgWebServers . Выберите Сохранить .

5. Выполните шаги 1 и 2 еще раз, найдите виртуальную машину myVMMgmt и выберите myAsgMgmtServers ASG.

Тестовые фильтры трафика

1. Подключитесь к myVMMgmt VM. Введите myVMMgmt в поле поиска вверху портала. Когда myVMMgmt появится в результатах поиска, выберите его. Нажмите кнопку Connect .

2. Выберите Загрузить файл RDP .

3. Откройте загруженный файл rdp и выберите Connect . Введите имя пользователя и пароль, которые вы указали при создании виртуальной машины.

4. Выбрать ОК .

5. Вы можете получить предупреждение о сертификате во время процесса подключения. Если вы получили предупреждение, выберите Да или Продолжить , чтобы продолжить подключение.

   Соединение установлено успешно, поскольку порт 3389 разрешен для входящих из Интернета в группу безопасности приложений myAsgMgmtServers .

   Сетевой интерфейс для myVMMgmt связан с группой безопасности приложений myAsgMgmtServers и разрешает соединение.

6. Откройте сеанс PowerShell на myVMMgmt . Подключитесь к myVMWeb , используя следующий пример:

     mstsc / v: myVmWeb
     

   RDP-соединение от myVMMgmt до myVMWeb завершается успешно, поскольку виртуальные машины в одной сети могут обмениваться данными с каждым через любой порт по умолчанию.

   Невозможно создать RDP-соединение с виртуальной машиной myVMWeb из Интернета. Правило безопасности для myAsgWebServers запрещает подключения к порту 3389, входящие из Интернета. По умолчанию входящий трафик из Интернета запрещен для всех ресурсов.

7. Чтобы установить Microsoft IIS на виртуальной машине myVMWeb , введите следующую команду из сеанса PowerShell на виртуальной машине myVMWeb :

     Install-WindowsFeature -name Web-Server -IncludeManagementTools
     

8. После завершения установки IIS отключитесь от виртуальной машины myVMWeb , после чего останется подключение к удаленному рабочему столу виртуальной машины myVMMgmt .

9. Отключитесь от myVMMgmt VM.

10. В поле Search resources, services и docs в верхней части портала Azure начните вводить со своего компьютера myVMWeb . Когда myVMWeb появится в результатах поиска, выберите его. Обратите внимание на публичный IP-адрес для вашей виртуальной машины. В следующем примере показан адрес 23.96.39.113, но ваш адрес другой:

    .

11. Чтобы убедиться, что вы можете получить доступ к веб-серверу myVMWeb из Интернета, откройте Интернет-браузер на своем компьютере и перейдите по адресу http: // .

Вы видите экран приветствия IIS, поскольку для порта 80 разрешен входящий трафик из Интернета в группу безопасности приложений myAsgWebServers .

Сетевой интерфейс, подключенный к myVMWeb , связан с группой безопасности приложения myAsgWebServers и разрешает соединение.

Очистить ресурсы

Когда больше не требуется, удалите группу ресурсов и все ресурсы, которые она содержит:

1. Введите myResourceGroup в поле Search в верхней части портала.Когда вы увидите myResourceGroup в результатах поиска, выберите его.
2. Выберите Удалить группу ресурсов .
3. Введите myResourceGroup для Введите ИМЯ ГРУППЫ РЕСУРСОВ: и выберите Удалить .

Следующие шаги

В этом руководстве вы:

• Создал группу безопасности сети и связал ее с подсетью виртуальной сети.
• Созданы группы безопасности приложений для Интернета и управления.
• Создал две виртуальные машины.
• Протестировал сетевую фильтрацию группы безопасности приложения.

Дополнительные сведения о группах безопасности сети см. В разделах Обзор группы безопасности сети и Управление группой безопасности сети.

По умолчанию Azure маршрутизирует трафик между подсетями. Вместо этого вы можете выбрать маршрутизацию трафика между подсетями через виртуальную машину, выступающую, например, в качестве брандмауэра.

Чтобы узнать, как создать таблицу маршрутов, перейдите к следующему руководству.

Виртуальная сеть Azure | Документы Microsoft

• 03.12.2020
• Читать 5 минут

В этой статье

Виртуальная сеть Azure (VNet) — это фундаментальный строительный блок для вашей частной сети в Azure. Виртуальная сеть позволяет многим типам ресурсов Azure, таким как виртуальные машины Azure (ВМ), безопасно обмениваться данными друг с другом, с Интернетом и локальными сетями.Виртуальная сеть похожа на традиционную сеть, в которой вы работаете в собственном центре обработки данных, но дает дополнительные преимущества инфраструктуры Azure, такие как масштабирование, доступность и изоляция.

Зачем нужна виртуальная сеть Azure?

Виртуальная сеть

Azure позволяет ресурсам Azure безопасно обмениваться данными друг с другом, с Интернетом и локальными сетями. Ключевые сценарии, которые вы можете выполнить с помощью виртуальной сети, включают: обмен данными между ресурсами Azure с Интернетом, обмен данными между ресурсами Azure, обмен данными с локальными ресурсами, фильтрацию сетевого трафика, маршрутизацию сетевого трафика и интеграцию со службами Azure.

Общайтесь с Интернетом

По умолчанию все ресурсы в виртуальной сети могут исходить из Интернета. Вы можете подключиться к ресурсу, назначив общедоступный IP-адрес или общедоступный балансировщик нагрузки. Вы также можете использовать общедоступный IP-адрес или общедоступный балансировщик нагрузки для управления исходящими подключениями. Дополнительные сведения об исходящих подключениях в Azure см. В разделах Исходящие подключения, общедоступные IP-адреса и Балансировщик нагрузки.

Примечание

При использовании только внутреннего стандартного балансировщика нагрузки исходящее подключение недоступно, пока вы не определите, как исходящие подключения будут работать с общедоступным IP-адресом уровня экземпляра или общедоступным балансировщиком нагрузки.

Обмен данными между ресурсами Azure

Ресурсы Azure безопасно обмениваются данными друг с другом одним из следующих способов:

• Через виртуальную сеть : вы можете развернуть виртуальные машины и несколько других типов ресурсов Azure в виртуальной сети, например среды службы приложений Azure, службу Azure Kubernetes (AKS) и масштабируемые наборы виртуальных машин Azure. Чтобы просмотреть полный список ресурсов Azure, которые можно развернуть в виртуальной сети, см. Интеграция службы виртуальной сети.
• Через конечную точку службы виртуальной сети : Расширьте пространство частных адресов виртуальной сети и удостоверение виртуальной сети до ресурсов службы Azure, таких как учетные записи хранилища Azure и База данных SQL Azure, через прямое соединение. Конечные точки службы позволяют защитить критически важные ресурсы службы Azure только в виртуальной сети. Дополнительные сведения см. В разделе Обзор конечных точек службы виртуальной сети.
• Через пиринг виртуальных сетей : вы можете подключать виртуальные сети друг к другу, позволяя ресурсам любой виртуальной сети взаимодействовать друг с другом с помощью пиринга виртуальных сетей.Виртуальные сети, которые вы подключаете, могут находиться в одном или разных регионах Azure. Чтобы узнать больше, см. Пиринг виртуальных сетей.

Обмен данными с локальными ресурсами

Вы можете подключить свои локальные компьютеры и сети к виртуальной сети, используя любую комбинацию следующих параметров:

• Виртуальная частная сеть типа «точка-сеть» (VPN): Устанавливается между виртуальной сетью и одним компьютером в вашей сети. Каждый компьютер, который хочет установить соединение с виртуальной сетью, должен настроить свое соединение.Этот тип подключения отлично подходит, если вы только начинаете работать с Azure, или для разработчиков, потому что он требует незначительных изменений или совсем не требует изменений в вашей существующей сети. Обмен данными между вашим компьютером и виртуальной сетью осуществляется через зашифрованный туннель через Интернет. Дополнительные сведения см. В разделе VPN «точка-сеть».
• Site-to-site VPN: Устанавливается между вашим локальным VPN-устройством и VPN-шлюзом Azure, развернутым в виртуальной сети. Этот тип подключения позволяет любому локальному ресурсу, которому вы разрешаете, получить доступ к виртуальной сети.Связь между вашим локальным VPN-устройством и VPN-шлюзом Azure передается через зашифрованный туннель через Интернет. Чтобы узнать больше, см. Site-to-site VPN.
• Azure ExpressRoute: Устанавливается между вашей сетью и Azure через партнера ExpressRoute. Это частное соединение. Трафик не проходит через Интернет. Чтобы узнать больше, см. ExpressRoute.

Фильтр сетевого трафика

Вы можете фильтровать сетевой трафик между подсетями, используя один или оба следующих параметра:

• Группы безопасности сети: Группы безопасности сети и группы безопасности приложений могут содержать несколько правил безопасности для входящего и исходящего трафика, которые позволяют фильтровать входящий и исходящий трафик по IP-адресу, порту и протоколу источника и назначения.Дополнительные сведения см. В разделах Группы безопасности сети или Группы безопасности приложений.
• Сетевые виртуальные устройства: Сетевое виртуальное устройство — это виртуальная машина, которая выполняет сетевую функцию, например межсетевой экран, оптимизацию WAN или другую сетевую функцию. Чтобы просмотреть список доступных сетевых виртуальных устройств, которые можно развернуть в виртуальной сети, см. В Azure Marketplace.

Маршрут сетевого трафика

По умолчанию Azure маршрутизирует трафик между подсетями, подключенными виртуальными сетями, локальными сетями и Интернетом.Вы можете реализовать один или оба из следующих параметров, чтобы переопределить маршруты по умолчанию, создаваемые Azure:

• Таблицы маршрутов: Вы можете создавать собственные таблицы маршрутов с маршрутами, которые определяют, куда направляется трафик для каждой подсети. Узнайте больше о таблицах маршрутов.
• Маршруты протокола пограничного шлюза (BGP): Если вы подключаете виртуальную сеть к локальной сети с помощью VPN-шлюза Azure или подключения ExpressRoute, вы можете распространить локальные маршруты BGP на свои виртуальные сети.Подробнее об использовании BGP с VPN-шлюзом Azure и ExpressRoute.

Интеграция виртуальной сети для служб Azure

Интеграция служб Azure в виртуальную сеть Azure обеспечивает частный доступ к службе с виртуальных машин или вычислительных ресурсов в виртуальной сети. Вы можете интегрировать службы Azure в свою виртуальную сеть с помощью следующих параметров:

• Развертывание выделенных экземпляров службы в виртуальной сети. После этого к службам можно будет получить частный доступ в виртуальной сети и из локальных сетей.
• Использование частной ссылки для частного доступа к определенному экземпляру службы из вашей виртуальной сети и из локальных сетей.
• Вы также можете получить доступ к службе с помощью общедоступных конечных точек, расширив виртуальную сеть до службы через конечные точки службы. Конечные точки службы позволяют защитить ресурсы службы в виртуальной сети.

Ограничения виртуальной сети Azure

Существуют определенные ограничения на количество ресурсов Azure, которые вы можете развернуть. Большинство сетевых ограничений Azure имеют максимальные значения.Однако вы можете увеличить определенные сетевые ограничения, как указано на странице ограничений виртуальной сети.

Стоимость

За использование виртуальной сети Azure плата не взимается, это бесплатно. За ресурсы, такие как виртуальные машины (ВМ) и другие продукты, взимается стандартная плата. Чтобы узнать больше, см. Цены на виртуальную сеть и калькулятор цен Azure.

Следующие шаги

Обзор переадресации на основе фильтров

| Руководство пользователя политик маршрутизации, фильтров межсетевого экрана и ограничителей трафика

Фильтры межсетевого экрана могут использоваться для блокировки определенных пакетов.Их также можно использовать, чтобы повлиять на то, как пересылаются определенные пакеты.

Фильтры, которые классифицируют пакеты или направляют их в экземпляры маршрутизации

Только для трафика IPv4 или IPv6 можно использовать межсетевой экран без сохранения состояния фильтры в сочетании с классами пересылки и экземплярами маршрутизации для управления перемещением пакетов в сети. Это называется пересылкой на основе фильтра (FBF).

Вы можете определить термин фильтрации, который соответствует входящим пакетам на основе адреса источника, а затем классифицирует совпадающие пакеты для указанной пересылки. учебный класс.Этот тип фильтрации может быть настроен для предоставления определенных типов предпочтительной обработки трафика или для улучшения балансировки нагрузки. Чтобы настроить брандмауэр без сохранения состояния отфильтруйте , чтобы классифицировать пакеты по классу пересылки, сконфигурируйте термин с неопределенным действием класс пересылки имя класса .

Вы также можете определить термин фильтрации, который направляет совпадающие пакеты в указанный экземпляр маршрутизации. Этот тип фильтрации можно настроить для маршрутизации определенные типы трафика через брандмауэр или другое устройство безопасности, прежде чем трафик продолжит свой путь.Чтобы настроить фильтр брандмауэра без сохранения состояния на направить трафик к экземпляру маршрутизации, настроить термин с завершающим действием экземпляра маршрутизации имя-экземпляра маршрутизации <топология имя-топологии > для укажите экземпляр маршрутизации, которому будут перенаправлены совпадающие пакеты.

Примечание. Проверка перенаправления одноадресного обратного пути (uRPF)

совместима с действиями FBF. Проверка uRPF обрабатывается для проверки адреса источника перед любыми действиями FBF включены для статических и динамических интерфейсов.Это относится как к семействам IPv4, так и к IPv6.

Для перенаправления трафика на главный экземпляр маршрутизации укажите по умолчанию для экземпляра маршрутизации в конфигурации брандмауэра, как показано здесь:

 [изменить брандмауэр]
family inet {
    filter test {
        срок 1 {
            потом {
                маршрут-экземпляр по умолчанию;
            }
        }
    }
}
 

Примечание:

Не ссылайтесь на хозяин экземпляра маршрутизации . Это не работает.

Входная фильтрация для классификации и пересылки пакетов в маршрутизаторе или коммутаторе

Вы можете настроить фильтры для классификации пакетов на основе адреса источника и указать путь пересылки пакетов в маршрутизаторе или коммутаторе. настройка фильтра на входящем интерфейсе.

Например, вы можете использовать этот фильтр для приложений, чтобы различать трафик от двух клиентов, которые имеют общий уровень доступа (например, уровень 2 switch), но подключены к разным интернет-провайдерам (ISP). Когда применяется фильтр, маршрутизатор или коммутатор могут различать два трафика. потоки и направить каждый в соответствующую сеть. В зависимости от типа носителя, который использует клиент, фильтр может использовать исходный IP-адрес для пересылки трафик в соответствующую сеть через туннель.Вы также можете настроить фильтры для классификации пакетов на основе типа протокола IP или битов приоритета IP.

Фильтрация вывода для пересылки пакетов в другую таблицу маршрутизации

Вы также можете пересылать пакеты на основе выходных фильтров, настроив фильтр на исходящих интерфейсах. В случае зеркалирования портов , Это полезно для распределения пакетов с зеркальным отображением порта на несколько PIC мониторинга и сбора PIC на основе шаблонов в заголовках пакетов. FBF о зеркалировании портов выходной интерфейс должен быть настроен.

Пакеты, перенаправленные на выходной фильтр, прошли по крайней мере один поиск маршрута, когда фильтр FBF настроен на выходном интерфейсе. После пакет классифицируется на исходящем интерфейсе фильтром FBF, он перенаправляется в другую таблицу маршрутизации для дальнейшего поиска маршрута.

Ограничения для применения пересылки на основе фильтров

Интерфейс, настроенный с пересылкой на основе фильтров, не поддерживает сопоставление фильтров использования исходного класса (SCU) или исходный класс и класс назначения учет использования (SCU / DCU).

17,14. Применение сетевой фильтрации Red Hat Enterprise Linux 7

Этот пример демонстрирует, как создать фильтр, аналогичный приведенному выше, но расширяет список требований с помощью ftp-сервера, расположенного внутри гостевой виртуальной машины. Требования к этому фильтру:

• предотвращает подмену MAC-, IP- и ARP-адресов на интерфейс гостевой виртуальной машины

• открывает только TCP-порты 22 и 80 в интерфейсе гостевой виртуальной машины

• позволяет гостевой виртуальной машине отправлять ping-трафик с интерфейса, но не позволяет гостевой виртуальной машине проверять связь с интерфейсом

• позволяет гостевой виртуальной машине выполнять поиск DNS (UDP на порт 53)

• включает ftp-сервер (в активном режиме), чтобы он мог работать внутри гостевой виртуальной машины

Дополнительное требование, позволяющее запускать FTP-сервер внутри гостевой виртуальной машины, соответствует требованию обеспечения доступности порта 21 для управляющего трафика FTP, а также разрешения гостевой виртуальной машине устанавливать исходящее TCP-соединение, исходящее из гостевой виртуальной машины. TCP-порт 20 устройства обратно к FTP-клиенту (активный режим FTP).Есть несколько способов написания этого фильтра, и в этот пример включены два возможных решения.

Первое решение использует атрибут состояния протокола TCP, который обеспечивает привязку к структуре отслеживания соединений физической машины хоста Linux. Для инициированного гостевой виртуальной машиной FTP-соединения для передачи данных (активный режим FTP) состояние СВЯЗАНО используется для включения обнаружения того, что инициированное гостевой виртуальной машиной FTP-соединение для передачи данных является следствием (или « имеет отношение ») существующего элемента управления FTP. соединение, тем самым позволяя ему передавать пакеты через брандмауэр.Однако состояние RELATED действительно только для самого первого пакета исходящего TCP-соединения для пути данных FTP. После этого состояние УСТАНОВЛЕНО, которое затем применяется в равной степени как для входящего, так и для исходящего направления. Все это связано с трафиком данных FTP, исходящим из TCP-порта 20 гостевой виртуальной машины. Это приводит к следующему решению:

<имя фильтра = 'test-eth0'>
   чистого трафика  для предотвращения спуфинга MAC, IP и ARP.Не предоставляя параметр IP-адреса, libvirt определит IP-адрес, который использует гостевая виртуальная машина. - ->
  

  
  
    
  

  
  
    
  

  
  
    
  

  
  
    
  

  
  
    
  

  
  
    
  

  
  
    
  

  
  
    <все />
  


 

Перед тем, как опробовать фильтр, использующий состояние RELATED, вы должны убедиться, что соответствующий модуль отслеживания соединений загружен в ядро ​​физической машины хоста.В зависимости от версии ядра вы должны выполнить одну из следующих двух команд, прежде чем будет установлено FTP-соединение с гостевой виртуальной машиной:

Если протоколы, отличные от FTP, используются вместе с состоянием RELATED, должен быть загружен их соответствующий модуль. Доступны модули для протоколов: ftp, tftp, irc, sip, sctp и amanda.

Второе решение использует флаги состояния соединений больше, чем предыдущее решение.Это решение использует тот факт, что НОВОЕ состояние соединения действительно при обнаружении самого первого пакета потока трафика. Впоследствии, если будет принят самый первый пакет потока, поток становится соединением и, таким образом, переходит в состояние ESTABLISHED. Таким образом, можно написать общее правило, разрешающее пакетам УСТАНОВЛЕННЫХ подключений достигать гостевой виртуальной машины или отправляться гостевой виртуальной машиной. Это делается путем написания определенных правил для самых первых пакетов, идентифицированных состоянием NEW, и определяет порты, для которых данные являются приемлемыми.Все пакеты, предназначенные для портов, которые не принимаются явно, отбрасываются, таким образом не достигая состояния ESTABLISHED. Все последующие пакеты, отправленные с этого порта, также отбрасываются.

<имя фильтра = 'test-eth0'>
   чистого трафика  для предотвращения спуфинга MAC, IP и ARP. Если не указать параметр IP-адреса, libvirt определит IP-адрес, который использует виртуальная машина. - ->
  

  
  
    
  

  
  
    
  

  
  
    
  

  
  
    
  

  
  
    
  

  
  
    
  

  
  
    <все />
  


 

Обзор сети | Документация по Kubernetes Engine | Google Cloud

На этой странице представлен обзор основных аспектов Google Kubernetes Engine. сети.Эта информация пригодится тем, кто только начинает с Kubernetes, а также опытные операторы кластера или приложения разработчикам, которым нужно больше знаний о сетях Kubernetes, чтобы лучше разрабатывать приложения или настраивать рабочие нагрузки Kubernetes.

Kubernetes позволяет декларативно определять, как развертываются ваши приложения, как приложения взаимодействуют друг с другом и с элементом управления Kubernetes plane и как клиенты могут получить доступ к вашим приложениям. На этой странице также представлены информация о том, как GKE настраивает сервисы Google Cloud, где это имеет отношение к сети.

Когда вы используете Kubernetes для оркестровки своих приложений, важно изменить ваше отношение к дизайну сети ваших приложений и их хосты. С Kubernetes вы думаете о том, как поды, сервисы и внешние клиенты общаться, а не думать о том, как подключены ваши хосты или виртуальные машины.

Расширенная программно-определяемая сеть (SDN) Kubernetes обеспечивает маршрутизацию пакетов и пересылка для модулей, служб и узлов в разные зоны в одной и той же региональный кластер.Kubernetes и Google Cloud также динамически настраиваются Правила фильтрации IP, таблицы маршрутизации и правила брандмауэра на каждом узле, в зависимости от на декларативной модели ваших развертываний Kubernetes и вашего кластера конфигурация в Google Cloud.

Предупреждение: Не вносите изменения в узлы вручную, потому что они переопределены GKE, и ваш кластер может работать некорректно. Единственный Причина прямого доступа к узлу — отладить проблемы с вашей конфигурацией.

Предварительные требования

На этой странице используется терминология, относящаяся к Транспорт, Интернет и Приложение слои Протокол Интернета люкс, в том числе HTTP, и DNS, но ты не нужно быть экспертом по этим темам.

Кроме того, этот контент может быть легче понять, если у вас есть базовый понимание концепций управления сетью Linux и утилит, таких как iptables правила и маршрутизация.

Сетевая модель Kubernetes сильно зависит от IP-адресов. Услуги, Модули, контейнеры и узлы обмениваются данными с помощью IP-адресов и порты. Kubernetes предоставляет разные типы нагрузки балансировка для направления трафика на правильные поды. Все эти механизмы описаны более подробно позже в этом разделе.Держать при чтении вы будете иметь в виду следующие термины:

• ClusterIP: IP-адрес, назначенный службе. В других документах это может быть называется «IP-адрес кластера». Этот адрес стабилен в течение всего срока службы Сервис, как описано в разделе «Сервисы» в этом разделе.
• IP-адрес модуля: IP-адрес, назначенный данному модулю. Это эфемерно, так как обсуждается в разделе «Модули» в этой теме.
• IP-адрес узла: IP-адрес, назначенный данному узлу.

Сеть внутри кластера

В этом разделе обсуждаются сети в кластере Kubernetes, поскольку это относится к Распределение IP-адресов, модули и службы.

Назначение IP-адресов

Kubernetes использует различные диапазоны IP-адресов для назначения IP-адресов узлам, модулям и модулям. Услуги.

• Каждому узлу назначен IP-адрес из виртуальной частной сети кластера. Облачная (VPC) сеть. Этот IP-адрес узла обеспечивает подключение из-под контроля такие компоненты, как kube-proxy и kubelet , на сервер Kubernetes API.Этот IP-адрес является соединением узла с остальной частью кластера.

• Каждый узел имеет пул IP-адресов, который GKE назначает подам. работает на этом узле (a / 24 блок CIDR по умолчанию). Вы можете дополнительно указать диапазон IP-адресов, когда вы создаете кластер. В Функция гибкого диапазона CIDR Pod позволяет уменьшить размер диапазона IP-адресов Pod для узлов в заданном пул узлов.

  Примечание: Для стандартных кластеров вы можете запустить максимум 110 модулей на узел с диапазоном / 24, а не 256, как вы могли ожидать.Это обеспечивает буфер чтобы модули не перестали планироваться из-за временного отсутствия IP-адреса. адреса в диапазоне IP-адресов Pod для данного узла. Для диапазонов меньше / 24 можно запланировать примерно половину количества модулей, равных IP-адресам в диапазоне. Кластеры автопилота могут запускать максимум 32 модуля на узел.

• Каждому модулю назначен один IP-адрес из диапазона CIDR модуля его узла. Этот IP-адрес используется всеми контейнерами, работающими внутри модуля, и соединяет их с другими модулями, работающими в кластере.

• Каждая служба имеет IP-адрес, называемый ClusterIP, назначаемый из сеть VPC кластера. При желании вы можете настроить сеть VPC, когда создать кластер.

Примечание: Кластеры используют MTU базовой сети VPC, которая обычно составляет 1460 байт. Чтобы использовать сеть 1500 MTU, необходимо выполнить все перечисленные ниже действия. должно быть правдой:

• версия кластера должна быть GKE 1.15 или выше, и
• внутриузловая видимость должен быть включен для кластера, а
• сеть VPC кластера должна быть настроена на использование MTU 1500 байт.

Для получения дополнительной информации о сетях VPC 1500 MTU см. Максимальный блок передачи в VPC документация.

Для получения дополнительной информации посетите Создание кластеров VPC с использованием псевдонимов IP.

капсулы

В Kubernetes Pod — самый простой развертываемый модуль в кластере Kubernetes. Под запускает один или несколько контейнеров. На узле работает ноль или более модулей. Каждый узел в кластере является частью пул узлов. В GKE, эти узлы представляют собой виртуальные машины, каждая из которых работает как экземпляр в Compute Engine.

Модули

также можно подключать к томам внешнего хранилища и другим настраиваемым ресурсам. На этой схеме показан один узел с двумя модулями, каждый из которых подключен к двум томам.

Когда Kubernetes планирует запуск пода на узле, он создает сетевое пространство имен для Pod в ядре Linux узла. Это сетевое пространство имен соединяет физический сетевой интерфейс узла, такой как eth0 , при этом Pod использует виртуальный сетевой интерфейс, чтобы пакеты могли поступать в модуль и из него.Связанный виртуальный сетевой интерфейс в корневом сетевом пространстве имен узла подключается к Мост Linux, обеспечивающий связь между модулями на одном узле. Стручок может также отправлять пакеты за пределы узла, используя тот же виртуальный интерфейс.

Kubernetes назначает IP-адрес (IP-адрес пода) виртуальному сетевому интерфейсу. в пространстве имен сети Pod из диапазона адресов, зарезервированных для Pod на узел. Этот диапазон адресов является подмножеством диапазона IP-адресов, назначенного cluster for Pods, которую вы можете настроить при создании кластера.

Контейнер, работающий в модуле, использует сетевое пространство имен модуля. Из с точки зрения контейнера, Pod выглядит как физическая машина с одним сетевой интерфейс. Все контейнеры в модуле видят один и тот же сетевой интерфейс. Каждый контейнер localhost подключен через Pod к узлу физический сетевой интерфейс, например eth0 .

Обратите внимание, что эта возможность подключения сильно различается в зависимости от того, используете ли вы Собственный контейнерный сетевой интерфейс (CNI) GKE или выберите использовать реализацию Calico, включив сетевую политику при создании кластера.

• Если вы используете CNI GKE, один конец виртуального Ethernet Пара устройств (veth) прикреплена к модулю в его пространстве имен, а другая — подключено к устройству моста Linux cbr0 . ¹ В этом случае следующие команда показывает MAC-адреса различных модулей, прикрепленные к cbr0 :

    arp -n
    

  Кроме того, вызов следующего в контейнере панели инструментов показывает конец корневого пространства имен каждой пары veth, присоединенной к cbr0 :

    brctl счет cbr0
    

• Если сетевая политика включена, один конец пары veth подключается к Под и другой на eth0 .В этом случае следующая команда показывает MAC-адреса разных подов, привязанные к разным veth-устройствам.

    arp -n
    

  Кроме того, вызов следующего в контейнере набора инструментов показывает, что нет устройства моста Linux с именем cbr0 :

    brctl показать
    

Правила iptables, облегчающие пересылку внутри кластера, различаются от одного сценария к другому. Важно иметь это различие в помните во время подробного устранения проблем с подключением.

По умолчанию каждый модуль имеет неограниченный доступ ко всем другим модулям, работающим на всех узлов кластера, но вы можете ограничить доступ между подами. Kubernetes регулярно срывает и воссоздает Pods. Это происходит, когда пул узлов обновляется, при изменении Декларативная конфигурация пода или изменение образа контейнера, или когда узел становится недоступным. Следовательно, IP-адрес Pod является деталью реализации, и полагаться на них не стоит. Kubernetes предоставляет стабильные IP-адреса, используя Услуги.

Услуги

В Kubernetes вы можете назначать произвольные пары ключ-значение, называемые ярлыки на любые Ресурс Kubernetes. Kubernetes использует метки для группировки нескольких связанных модулей в логическая единица, называемая Сервисом. Сервис имеет стабильный IP-адрес и порты, и обеспечивает балансировку нагрузки между набором модулей, метки которых соответствуют всем ярлыки, которые вы определяете в селектор ярлыков при создании Сервиса.

Примечание: Сервисы в Kubernetes полностью не связаны с сервисами в Docker.А Docker-сервис ближе к Kubernetes Pod.

На следующей диаграмме показаны две отдельные службы, каждая из которых состоит из несколько стручков. Каждый из модулей на схеме имеет метку app = demo , но их другие ярлыки различаются. Сервис «frontend» соответствует всем модулям с обоими app = demo и component = frontend , в то время как Service «users» сопоставляет все модули с приложение = демо и компонент = пользователи . Модуль клиента не соответствует ни одной из служб. селектор, поэтому он не является частью службы.Однако клиентский модуль может взаимодействовать с любой из Служб, поскольку работает в одном кластере.

Kubernetes назначает стабильный и надежный IP-адрес каждой вновь созданной Службе. (ClusterIP) из пула доступных сервисных IP-адресов кластера адреса. Kubernetes также назначает имя хоста для ClusterIP, добавив Запись DNS. ClusterIP и имя хоста уникальны в кластере и не меняются. на протяжении всего жизненного цикла Сервиса. Kubernetes выпускает только ClusterIP и имя хоста, если Сервис удален из конфигурации кластера.Ты можешь достичь работоспособного Pod, на котором запущено ваше приложение, с помощью ClusterIP или имя хоста Сервиса.

На первый взгляд Служба может показаться единственной точкой отказа для ваши приложения. Однако Kubernetes распределяет трафик максимально равномерно. через полный набор модулей, работающих на многих узлах, поэтому кластер может выдерживать сбой в работе одного или нескольких (но не всех) узлов.

Кубе-Прокси

Kubernetes управляет связью между подами и службами с помощью kube-proxy компонент.По умолчанию он развертывается как статический модуль на каждом узле. Любой Кластер GKE 1.16 или более поздней версии будет иметь kube-proxy DaemonSet. Это выберет только узлы, на которых запущен Версия GKE от 1.16.0 до 1.16.8-gke.13. Если кластер не имеет узлов, на которых запущены эти версии, ожидается, что для этого DaemonSet показывает 0 подов.

kube-proxy , который является не встроенным прокси, а исходящей загрузкой. балансирующий контроллер, наблюдает за сервером Kubernetes API и постоянно сопоставляет ClusterIP к работоспособным модулям путем добавления и удаления правил NAT назначения (DNAT) в подсистема узла iptables .Когда контейнер, работающий в модуле, отправляет трафик к ClusterIP службы, узел выбирает Pod случайным образом и направляет трафик к этому поду.

Когда вы настраиваете службу, вы можете при желании переназначить ее порт прослушивания, определение значений для порта и targetPort .

• Порт — это то место, где клиенты достигают приложения.
• targetPort — это порт, на котором приложение фактически прослушивает трафик внутри контейнера.

kube-proxy управляет переназначением этого порта, добавляя и удаляя правила iptables на узле.

Эта диаграмма иллюстрирует поток трафика от клиентского модуля к серверному модулю. на другом узле. Клиент подключается к Сервису по номеру 172.16.12.100:80 . Сервер API Kubernetes поддерживает список модулей, на которых запущено приложение. В kube-proxy процесс на каждом узле использует этот список для создания правила iptables для направлять трафик в соответствующий Pod (например, 10.255.255.202: 8080 ). Клиент Поду не нужно знать топологию кластера или какие-либо детали. об отдельных контейнерах или контейнерах внутри них.

Сеть вне кластера

В этом разделе объясняется, как трафик извне кластера достигает приложений. работает в кластере Kubernetes. Эта информация важна, когда проектирование приложений и рабочих нагрузок вашего кластера.

Вы уже читали о том, как Kubernetes использует Сервисы для предоставления стабильные IP-адреса для приложений, работающих в Pods.По умолчанию, Поды не предоставляют внешний IP-адрес, потому что kube-proxy управляет всеми трафик на каждом узле. Стручки и их контейнеры могут общаются свободно, но подключения за пределами кластера не могут получить доступ к Обслуживание. Например, на предыдущей иллюстрации клиенты за пределами кластера не может получить доступ к веб-интерфейсу через свой ClusterIP.

GKE предоставляет три различных типа балансировщиков нагрузки для контролировать доступ и распределять входящий трафик по кластеру так же равномерно, как возможно.Вы можете настроить одну службу для использования нескольких типов балансировщиков нагрузки. одновременно.

• Внешние балансировщики нагрузки управляют приходящим трафиком извне кластера и вне вашего виртуального частного облака Google Cloud Облачная (VPC) сеть. Они используют правила пересылки, связанные с Сеть Google Cloud для маршрутизации трафика на узел Kubernetes.
• Внутренние балансировщики нагрузки управляют приходящим трафиком из той же сети VPC. Как и внешние балансировщики нагрузки, они используют правила переадресации, связанные с сетью Google Cloud для маршрутизации трафик на узел Kubernetes.
• Балансировщики нагрузки HTTP (S) являются специализированными внешними балансировщики нагрузки, используемые для HTTP (S) трафика. Они скорее используют ресурсы Ingress. чем правило переадресации для маршрутизации трафика на узел Kubernetes.

Когда трафик достигает узла Kubernetes, он обрабатывается одинаково, независимо от того, типа балансировщика нагрузки. Балансировщик нагрузки не знает, какие узлы в кластере работают модули для своей службы. Вместо этого он балансирует трафик на всех узлах кластера, даже на тех, на которых не запущен соответствующий Pod.На региональный кластер, нагрузка распределяется по всем узлам во всех зонах для регион кластера. Когда трафик направляется к узлу, узел направляет трафик. в Pod, который может работать на том же или другом узле. Узел перенаправляет трафик на случайно выбранный под, используя правила iptables что kube-proxy управляет на узле.

На следующей схеме балансировщик сетевой нагрузки направляет трафик в средний узел, и трафик перенаправляется на Pod на первом узле.

Когда балансировщик нагрузки отправляет трафик на узел, трафик может быть перенаправлен в модуль на другом узле. Это требует дополнительных сетевых переходов. Если хочешь чтобы избежать лишних переходов, вы можете указать, что трафик должен поступать в Pod, который находится на том же узле, который изначально получает трафик.

Чтобы указать, что трафик должен поступать в Pod на том же узле, установите externalTrafficPolicy — Локальный в манифесте службы:

apiVersion: v1
вид: Сервис
метаданные:
  имя: my-lb-service
спецификация:
  тип: LoadBalancer
  externalTrafficPolicy: Local
  селектор:
    приложение: демо
    компонент: пользователи
  порты:
  - протокол: TCP
    порт: 80
    targetPort: 8080
 

При установке externalTrafficPolicy на Local балансировщик нагрузки отправляет трафик только к узлам, у которых есть работоспособный модуль, принадлежащий Службе.Балансировщик нагрузки использует проверку работоспособности, чтобы определить, какие узлы имеют соответствующие стручки.

Внешний балансировщик нагрузки

Если ваша служба должна быть доступна извне кластера и за пределами вашего Сеть VPC, вы можете настроить свой Сервис как LoadBalancer, установив в поле Service type значение Loadbalancer при определении Обслуживание. GKE затем предоставляет Балансировщик сетевой нагрузки перед Сервисом. Балансировщик сетевой нагрузки знает обо всех узлах в вашем кластере и настраивает правила брандмауэра вашей сети VPC, разрешающие подключения к Сервису из вне сети VPC, используя внешний IP-адрес Сервиса.Вы можете назначить статический внешний IP-адрес Сервиса. Визит Настройка доменных имен со статическими IP-адресами за дополнительной информацией.

Чтобы узнать больше о правилах брандмауэра, см. Автоматически созданные правила брандмауэра.

Технические характеристики

При использовании внешнего балансировщика нагрузки поступающий трафик изначально направляется на узел, использующий правило переадресации, связанное с сетью Google Cloud. После того, как трафик достигает узла, узел использует свою таблицу NAT iptables для выберите Pod. kube-proxy управляет правилами iptables на узле.

Внутренний балансировщик нагрузки

Для трафика, который должен доходить до вашего кластера из той же сети VPC, вы можете настроить свою Службу для предоставления внутреннего балансировщика нагрузки. Внутренний балансировщик нагрузки выбирает IP-адрес из подсети VPC вашего кластера. вместо внешнего IP-адреса. Приложения или сервисы в VPC сеть может использовать этот IP-адрес для связи со Службами внутри кластер.

Технические характеристики

Функциональность внутренней балансировки нагрузки обеспечивается Google Cloud. Когда трафик достигает заданного узла, этот узел использует свою таблицу NAT iptables для выберите модуль, даже если он находится на другом узле. kube-proxy управляет правилами iptables на узле.

Для получения дополнительной информации о внутренних балансировщиках нагрузки посетите Документация по внутреннему балансировщику нагрузки.

Балансировщик нагрузки HTTP (S)

Многие приложения, такие как API-интерфейсы веб-служб RESTful, обмениваются данными с помощью HTTP (S).Вы можете разрешить клиентам, внешним по отношению к вашей сети VPC, получить доступ к этому типу приложение с использованием Kubernetes Ресурс Ingress. Ресурс Ingress позволяет отображать имена хостов и пути URL-адресов для Сервисы внутри кластера. При использовании балансировщика нагрузки HTTP (S) вы должны настроить Сервис для использования NodePort, а также ClusterIP. Когда трафик обращается к Сервису на IP-адресе узла NodePort, GKE направляет трафик к работоспособному модулю для службы. Вы можете указать NodePort или разрешить GKE назначать случайный неиспользуемый порт.

При создании ресурса Ingress GKE подготавливает балансировщик нагрузки HTTP (S). в проекте Google Cloud. Балансировщик нагрузки отправляет запрос узлу IP-адрес в NodePort. После того, как запрос достигает узла, узел использует его iptables Таблица NAT для выбора Pod. kube-proxy управляет правилами iptables на узле.

Это определение Ingress направляет трафик для demo.example.com в службу с именем интерфейс на 80 порту и демонстрационный сервер .example.com в службу с именем пользователей на порту 8080.

apiVersion: network.k8s.io/v1
вид: Ingress
метаданные:
  имя: демо
спецификация:
  правила:
  - хост: demo.example.com
    http:
      пути:
      - бэкэнд:
          служба:
            имя: интерфейс
            порт:
              номер: 80
  - хост: demo-backend.example.com
    http:
      пути:
      - бэкэнд:
          служба:
            имя: пользователи
            порт:
              номер: 8080
 

Посетите GKE Ingress для балансировки нагрузки HTTP (S) за дополнительной информацией.

Технические характеристики

Когда вы создаете объект Ingress, контроллер GKE Ingress настраивает балансировщик нагрузки Google Cloud HTTP (S) в соответствии с правилами в манифест Ingress и связанные с ним манифесты службы. Клиент отправляет запрос к балансировщику нагрузки HTTP (S). Балансировщик нагрузки — это настоящий прокси; Это выбирает узел и перенаправляет запрос на этот узел NodeIP : NodePort комбинация. Узел использует свою таблицу NAT iptables для выбора пода. kube-proxy управляет правилами iptables на узле.

Ограничение связи между узлами

Создание входящих или исходящих правил брандмауэра, нацеленных на узлы в вашем кластере, может иметь побочные эффекты. Например, применение правил отказа на выходе к узлам в вашем cluster может нарушить такие функции, как NodePort и kubectl exec .

Ограничение возможности подключения к модулям и службам

По умолчанию все модули, работающие в одном кластере, могут свободно обмениваться данными.Однако вы можете ограничить возможность подключения внутри кластера по-разному, в зависимости от ваших потребностей.

Ограничение доступа между подами

Вы можете ограничить доступ между модулями, используя сетевая политика. Сетевая политика определения позволяют ограничить вход и выход модулей на основе произвольной комбинации меток, диапазонов IP-адресов и номеров портов. По умолчанию сетевая политика отсутствует, поэтому весь трафик между модулями в кластере разрешено. Как только вы создадите первую сетевую политику в пространстве имен, все другой трафик запрещен.

Посетите Политику сети, чтобы узнать больше подробности о том, как указать саму политику.

После создания сетевой политики необходимо явно включить ее для кластера. Посетите Настройка сетевых политик для приложений. за дополнительной информацией.

Ограничение доступа к внешнему балансировщику нагрузки

Если ваша служба использует внешний балансировщик нагрузки, трафик с любого внешнего IP-адреса может получить доступ к вашему Сервису по умолчанию. Ты можешь ограничить диапазоны IP-адресов, которые могут получить доступ к конечным точкам в вашем кластере, с помощью настройка параметра loadBalancerSourceRanges при настройке Службы.Вы можете указать несколько диапазонов, и вы можете обновить конфигурацию работающий Сервис в любое время. Экземпляр kube-proxy , работающий на каждом узле настраивает правила iptables этого узла, чтобы запретить весь трафик, который не соответствует указанный loadBalancerSourceRanges . Правило брандмауэра VPC не создается.

Ограничение доступа к балансировщику нагрузки HTTP (S)

Если ваша служба использует балансировщик нагрузки HTTP (S), вы можете используйте политику безопасности Google Cloud Armor, чтобы ограничить, какие внешние IP-адреса могут получить доступ к вашей службе и какие ответы на вернуть, когда доступ запрещен из-за политики безопасности.Вы можете настроить Cloud Logging для регистрации информации об этих взаимодействия.

Если политика безопасности Google Cloud Armor недостаточно детализирована, вы можете включите Identity-Aware Proxy на ваших конечных точках для реализации на основе пользователей аутентификация и авторизация для вашего приложения. Посетить подробное руководство по настройке IAP за дополнительной информацией.

Известные проблемы

Узел с поддержкой Containerd не может подключиться к диапазону 172,17 / 16

Узловая виртуальная машина с включенным Containerd не может подключиться к узлу с IP-адресом. в пределах 172.17/16. Дополнительные сведения см. В разделе «Известные проблемы Containerd».

Что дальше

.