Estoy tratando de determinar la mejor manera en GCP para asignar una única dirección IP externa para el tráfico OUTBOUND. Mi caso de uso: necesito proporcionar una IP estática a un tercero para que pueda incluirla en la lista blanca, para que mis instancias puedan acceder a su API. Como puedo agregar o restar instancias de GCE en el futuro, no quiero darles múltiples IP estáticas que podrían cambiar.
Encontré una pregunta similar aquí, pero no estaba seguro de que aborde mi caso de uso.
Tengo una red GCP estándar configurada; no hay VPN y todas las máquinas virtuales tienen IP externas únicas. De hecho, me gusta de esta manera porque necesito poder SSH a las máquinas virtuales. Pero desde mis máquinas virtuales hasta Internet, me gustaría que pareciera que el tráfico proviene de una sola IP. La idea inmediata que se me ocurre y que los documentos sugieren es crear una instancia de NAT, luego enrutar el tráfico saliente a través de eso. Algunos problemas con ese enfoque:
- Tengo que configurar y mantener una caja únicamente con el propósito de NAT
- No es HA; si esa instancia o zona de disponibilidad muere, mis otras instancias no podrán enrutar el tráfico externamente
- No parece muy repetible si tengo que recrear la configuración en el futuro
Específicamente, estoy usando GKE / Kubernetes para este proyecto. ¿Existe una mejor práctica para lograr este caso de uso que sea HA, de bajo mantenimiento y repetible?
fuente
Respuestas:
Puede hacer esto enrutando todo su tráfico a través de una sola instancia que hace NAT para las otras instancias. Google tiene una guía para hacerlo en https://cloud.google.com/compute/docs/networking#natgateway
fuente
Google Cloud ahora ofrece un servicio administrado de Gateway NAT: Cloud NAT .
Esta puerta de enlace se puede usar con un clúster GKE, que proporciona una IP de salida pública estable a todos los pods dentro de ella, lo que les permite ser incluidos en la lista blanca por proveedores de servicios externos.
La implementación de ejemplo para usar Cloud NAT con GKE se proporciona aquí: https://cloud.google.com/nat/docs/gke-example
Además, dado que se trata de un software administrado basado en NAT, el ancho de banda y la disponibilidad no se verán afectados.
Sin embargo, esto todavía necesita un servidor bastión para poder ingresar a sus instancias.
fuente