Tạo một IP bên ngoài duy nhất cho một mạng nhất định

Tôi đang cố gắng xác định cách tốt nhất trong GCP để chỉ định một địa chỉ IP bên ngoài cho lưu lượng OUTBOUND. Trường hợp sử dụng của tôi: Tôi cần cung cấp IP tĩnh cho bên thứ 3 để họ có thể đưa nó vào danh sách trắng để các phiên bản của tôi có thể truy cập API của họ. Vì tôi có thể thêm hoặc bớt các trường hợp GCE trong tương lai, tôi không muốn cung cấp cho họ nhiều IP tĩnh có thể thay đổi.

Tôi tìm thấy một câu hỏi tương tự ở đây nhưng không chắc nó giải quyết trường hợp sử dụng của tôi.

Tôi có một mạng GCP tiêu chuẩn được thiết lập; không có VPN và tất cả các máy ảo đều có IP bên ngoài duy nhất. Tôi thực sự thích nó theo cách này vì tôi cần có khả năng SSH tới VM. Nhưng từ máy ảo của tôi đến internet, tôi muốn lưu lượng truy cập xuất hiện rằng tất cả đều đến từ một IP duy nhất. Ý nghĩ ngay lập tức xuất hiện trong đầu tôi và rằng các tài liệu gợi ý về việc tạo ra một thể hiện NAT, sau đó định tuyến lưu lượng truy cập đi qua đó. Một vài vấn đề với cách tiếp cận đó:

Tôi phải thiết lập và duy trì một hộp chỉ dành cho mục đích của NAT
Đó không phải là HA; nếu trường hợp hoặc vùng khả dụng đó chết, các phiên bản khác của tôi sẽ không thể định tuyến lưu lượng truy cập ra bên ngoài
Nó dường như không lặp lại nếu tôi phải tạo lại cấu hình trong tương lai

Cụ thể, tôi đang sử dụng GKE / Kubernetes cho dự án này. Có cách thực hành tốt nhất để thực hiện trường hợp sử dụng này là HA, bảo trì thấp và lặp lại không?

google-cloud-platform

— cướp-cng
nguồn

Tôi tin rằng tùy chọn tốt nhất cho bạn là thiết lập VPN, điều này cũng sẽ giúp ích trong khi sử dụng GKE. Ví dụ: serverfault.com/questions/750389/gke-pod-connecting-via-vpn và nó có hiệu quả về chi phí.

— George

@George Tôi không nghĩ VPN sẽ hoạt động vì điều này, vì tôi không kiểm soát phía bên kia. Như trong, tôi sẽ không thiết lập VPN với bên thứ 3; Tôi cần định tuyến giao thông qua internet.

— rob-cng

Vì vậy, có NAT Gateway nên làm điều đó, nhưng điều này sẽ gây ra một điểm thất bại duy nhất. Một điều cũng xuất hiện trong đầu, có IP tĩnh cho các phiên bản của bạn và có bên khác đưa chúng vào danh sách trắng. Nếu bạn muốn xóa bất kỳ trường hợp nào, IP sẽ vẫn được bảo lưu mà bạn có thể đính kèm vào các phiên bản mới được tạo. Và miễn là IP đang được sử dụng (được đính kèm với một ví dụ), nó miễn phí.

— George

Có, tôi nghĩ rằng chúng ta sẽ phải giải quyết vấn đề này cho đến khi GCP ra mắt với NAT như một dịch vụ tương tự AWS. Cảm ơn

— rob-cng

Bạn đã bao giờ có thể giải quyết vấn đề này? Nếu vậy, hãy xem xét việc tự trả lời để cộng đồng có thể hưởng lợi

— Faizan

Bạn có thể làm điều này bằng cách định tuyến tất cả lưu lượng truy cập của mình thông qua một phiên bản duy nhất NAT cho các phiên bản khác. Google có một hướng dẫn để thực hiện việc này tại https://cloud.google.com/compute/docs/networking#natgateway

— David
nguồn

Google Cloud hiện cung cấp dịch vụ NAT Gateway được quản lý - Cloud NAT .

Cổng này có thể được sử dụng với cụm GKE, cung cấp IP đầu ra công cộng ổn định cho tất cả các nhóm bên trong nó, cho phép chúng được các nhà cung cấp dịch vụ bên thứ ba đưa vào danh sách trắng.

Việc triển khai ví dụ để sử dụng Cloud NAT với GKE được cung cấp tại đây - https://cloud.google.com/nat/docs/gke-example

Ngoài ra, vì đây là phần mềm được quản lý dựa trên NAT, băng thông và tính khả dụng sẽ không bị ảnh hưởng.

Điều này vẫn cần một máy chủ pháo đài để có thể ssh vào các thể hiện của bạn.

— Dù lượn
nguồn