Приватная сеть — сеть на IP-адресах RFC 1918, невидимых из интернета. Маршрутизаторы провайдеров не пересылают пакеты с такими адресами в глобальную сеть. Приватные адреса используются для внутренней коммуникации между серверами, виртуальными машинами и устройствами внутри одной инфраструктуры.
Как работает
RFC 1918 зарезервировал три диапазона: 10.0.0.0/8 (16 777 216 адресов), 172.16.0.0/12 (1 048 576 адресов), 192.168.0.0/16 (65 536 адресов). Маршрутизаторы с фильтрами не пропускают пакеты с этими адресами наружу. Для выхода в интернет устройства с приватными IP используют NAT/PAT.
В хостинге приватная сеть используется для: подключения к базам данных (MySQL на 10.0.0.x — недоступен из интернета, только для своих серверов), репликации данных между серверами без шифрования (трафик не покидает ЦОД), внутреннего мониторинга и бэкапов. Это сокращает стоимость трафика (внутренний трафик часто бесплатный) и повышает безопасность.
В облаках (Hetzner, Selectel, Yandex Cloud) приватная сеть создаётся как виртуальная сеть между серверами проекта. Серверы получают и публичный IP (для доступа из интернета), и приватный (для внутреннего взаимодействия). Трафик через приватную сеть не тарифицируется.
История
RFC 1918 (1996) закрепил три диапазона приватных адресов. До этого их использование было неформальной практикой. Диапазоны выбраны из ранних экспериментальных пространств ARPANET, которые никогда не распределялись публично.
На что обращать внимание
Не путайте приватные IP с серым IP за CGNAT провайдера. В хостинге приватная сеть настраивается администратором и явно изолирована. Убедитесь, что между серверами в приватной сети нет лишних открытых сервисов: Redis на приватном IP без пароля — всё равно уязвимость, если другой сервер в той же сети скомпрометирован.
Диапазоны частных адресов (RFC 1918)
Зарезервированные диапазоны по RFC 1918: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. Пакеты с частными адресами не маршрутизируются в интернете — на границе сети их заменяет NAT. В ЦОД сети 10.x.x.x — для internal-трафика между серверами.
Частная сеть в VPS-хостинге
Большинство хостеров предоставляют VPS с двумя интерфейсами: публичным и частным (10.x.x.x). Трафик между VPS одного хостера в частной сети не тарифицируется и работает со скоростью 10–25 Гбит/с. Для баз данных, кэшей и репликации используйте частную сеть — без расхода публичного трафика.
Изоляция и безопасность частных сетей
В облаках (AWS VPC, Yandex VPC) частные сети изолируют через Virtual Private Cloud: разные клиенты не могут видеть трафик друг друга. Изоляция реализуется через Overlay Network (VXLAN). Для дополнительной безопасности между серверами — iptables-правила или шифрованный туннель через WireGuard.
Микросегментация в облаках
Микросегментация: каждый сервис в своей подсети. Firewall-правила: БД-сервер принимает только от app-серверов. В AWS VPC Security Groups: stateful фаервол на уровне VM. В Yandex Cloud: Security Groups аналогично. Принцип Zero Trust: нет доверия по умолчанию внутри сети.
Частная сеть для репликации БД
Репликация MySQL Master→Slave через приватную сеть (10.x.x.x): не тратит публичный трафик, задержка 0.1–1 мс внутри ЦОД. То же для Elasticsearch cluster nodes, Ceph OSD traffic, Redis replication. Важно: TLS для репликации даже в приватной сети — защита от компрометации одного узла.