Всем привет! А можно ли создать api gateway, который бы

отвечал только на запросы с определённых внешних IP (небольшой список подсетей)?

Нет

А как можете порекомендовать в Облаке сделать апстримы, в которые будет ходить AntiDDOS-вендор? Они должны быть защищены от трафика из любых других подсетей, кроме вендорских. Я опасаюсь, что если вывесить несколько VM (с условным nginx) с публичным IP, то вредоносный трафик может приземлиться на них, и, хотя бы он и фильтровался этим nginx, он может забить ресурсы Облака, что приведёт как к отказам, так и к непредсказуемой тарификации. Есть ли какое-нибудь решение по фильтрации трафика на более ранней стадии? UPD. Впрочем, можно же фильтровать его не nginx, а на уровне ОС этих машин. Но всё равно он будет проходить по сетям Облака, чего хотелось бы избежать.

А статически IP с включенной защитой от DDOS - это не то, что нужно?

Разве что Cloud Interconnect замутить между Anti-DDOS провайдером и вашими VM. А так, все внешние адреса (не под Anti-DDOS) стараются пропустить всеь трафик

Security Group это случайно не то что нужно?

Группы безопасности: Не предназначены для защиты от DDoS. Для фильтрации больших объемов нежелательного трафика используйте сервис защиты от DDoS-атак. https://cloud.yandex.ru/docs/vpc/concepts/security-groups

можно секурити группы за кураторским айпишником

Очень похоже, спасибо! А если на VM в секурити группе прилетит много плохого трафика — за него придётся платить? Если внутри Облака antiDDOS не подключался.

понятия не имею, лучше в саппорте спросить

Благодарю! Теоретически, этот айпишник не должон быть известен тому, кто злоумышляет против нашего домена, поэтому прилетит разве что из общих соображений, а это другое.

В облаке тарифицирутеся только исходящий трафик https://cloud.yandex.ru/docs/vpc/pricing#prices-traffic

Нет. Входящи отчищенный от DDoS тоже тарифицируется.

Подразумевалось, что сервис защиты от DDoS не используется.