Створіть єдиний вихідний IP для даної мережі

12

Я намагаюся визначити найкращий спосіб у GCP призначити єдину зовнішню IP-адресу для трафіку OUTBOUND. Мій випадок використання: мені потрібно надати статичну IP-адресу третій стороні, щоб вони могли дозволити її, щоб мої екземпляри мали доступ до свого API. Оскільки я можу в майбутньому додавати або віднімати екземпляри GCE, я не хочу надавати їм кілька статичних IP-адрес, які можуть змінюватися.

Я знайшов аналогічне питання тут , але не був упевнений , що він звертається мій випадок використання.

У мене встановлена ​​стандартна мережа GCP; немає VPN, і всі VM мають унікальні зовнішні IP-адреси. Мені це справді подобається, тому що мені потрібно мати змогу передавати SSH до віртуальних машин. Але з моїх віртуальних машин до Інтернету я хотів би, щоб трафік з'явився, що це все відбувається з одного IP-адреси. Безпосередня думка, яка приходить мені в голову, і на яку натякають документи, це створити NAT-примірник, а потім прокласти маршрут вихідного трафіку через це. Кілька питань із таким підходом:

  1. Я повинен встановлювати та підтримувати коробку виключно з метою NAT
  2. Це не HA; якщо цей примірник або зона доступності гине, інші мої екземпляри не зможуть маршрутизувати трафік зовні
  3. Це не здається повторюваним, якщо мені доведеться відтворити конфігурацію в майбутньому

Зокрема, я використовую GKE / Kubernetes для цього проекту. Чи є найкраща практика для використання цього випадку використання, це HA, низьке обслуговування та повторюваний?

google-cloud-platform 
rob-cng
джерело
Я вважаю, що найкращим варіантом для вас є налаштування VPN, що допоможе і під час використання GKE. Наприклад: serverfault.com/questions/750389/gke-pod-connecting-via-vpn , і це економічно вигідно .
Джордж
@George Я не думаю, що VPN буде працювати для цього, тому що я не контролюю іншу сторону. Як і в, я б не встановлював VPN з третьою стороною; Мені потрібно маршрутизувати трафік через Інтернет.
rob-cng
1
Отже, маючи NAT Gateway, слід це зробити, але це спричинить єдиний момент відмови. Одне, що вам прийшло в голову, також мати статичні IP-адреси для ваших примірників та додати їх до списку іншої сторони. Якщо ви хочете видалити будь-який із примірників, IP все одно буде зарезервований, який ви можете приєднати до новостворених примірників. І поки IP використовується (додається до екземпляра), це безкоштовно.
Джордж
Так, я думаю, що нам доведеться піти з цим рішенням, поки GCP не вийде з NAT як службою, подібною до AWS. Дякую
rob-cng
1
Вам вдалося вирішити це питання? Якщо так, будь ласка, подумайте над публікацією самовідповіді, щоб спільнота
отримала

Відповіді:

3

Тепер Google Cloud надає керовану послугу шлюзу NAT - Cloud NAT .

Цей шлюз може використовуватися з кластером GKE, який забезпечує стабільну IP-адресу загального доступу до всіх стручків, що знаходяться всередині нього, що дає можливість їх дозволити стороннім постачальникам послуг.

Приклад реалізації для використання Cloud NAT з GKE наведено тут - https://cloud.google.com/nat/docs/gke-example

Крім того, оскільки це NAT, керований програмним забезпеченням, пропускну здатність та доступність не матимуть впливу.

Для цього все ще потрібен хост бастіону, щоб мати змогу вторгнутись у ваші екземпляри.

Параг
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.