สร้าง IP ขาออกเดียวสำหรับเครือข่ายที่กำหนด


12

ฉันกำลังพยายามหาวิธีที่ดีที่สุดใน GCP เพื่อกำหนดที่อยู่ IP ภายนอกเดียวสำหรับปริมาณการใช้งาน OUTBOUND กรณีการใช้งานของฉัน: ฉันต้องให้ IP แบบคงที่แก่บุคคลที่สามเพื่อให้พวกเขาสามารถอนุญาตรายการนั้นเพื่อให้อินสแตนซ์ของฉันสามารถเข้าถึง API ของพวกเขาได้ เนื่องจากฉันอาจเพิ่มหรือลบอินสแตนซ์ GCE ในอนาคตฉันไม่ต้องการให้ IP คงที่หลายรายการซึ่งอาจเปลี่ยนแปลงได้

ฉันพบคำถามที่คล้ายกันที่นี่แต่ไม่แน่ใจว่าตรงกับกรณีการใช้ของฉันหรือไม่

ฉันมีเครือข่าย GCP มาตรฐานแล้ว ไม่มี VPN และ VM ทั้งหมดมี IP ภายนอกที่ไม่ซ้ำกัน ฉันชอบวิธีนี้มากเพราะฉันต้องสามารถใช้ SSH กับ VMs ได้ แต่จาก VMs ของฉันไปยังอินเทอร์เน็ตฉันต้องการปริมาณข้อมูลที่ปรากฏว่ามาจาก IP เดียว ความคิดทันทีที่มาถึงหัวของฉันและเอกสารแนะนำที่สร้างอินสแตนซ์ NAT จากนั้นกำหนดเส้นทางทราฟฟิกขาออกผ่านสิ่งนั้น ปัญหาเล็กน้อยเกี่ยวกับวิธีการดังกล่าว:

  1. ฉันต้องตั้งค่าและบำรุงรักษากล่องเพื่อจุดประสงค์ของ NAT เท่านั้น
  2. มันไม่ใช่ HA; หากอินสแตนซ์หรือโซนความพร้อมใช้งานนั้นตายอินสแตนซ์อื่นของฉันจะไม่สามารถกำหนดเส้นทางการจราจรภายนอก
  3. ดูเหมือนจะไม่สามารถทำซ้ำได้มากหากฉันต้องสร้างการกำหนดค่าใหม่ในอนาคต

โดยเฉพาะฉันใช้ GKE / Kubernetes สำหรับโครงการนี้ มีวิธีปฏิบัติที่ดีที่สุดเพื่อให้บรรลุกรณีการใช้นี้คือ HA การบำรุงรักษาต่ำและทำซ้ำได้หรือไม่?


ฉันเชื่อว่าตัวเลือกที่ดีที่สุดสำหรับคุณคือการติดตั้ง VPN ซึ่งจะช่วยในขณะที่ใช้ GKE เช่นกัน ตัวอย่างเช่น: serverfault.com/questions/750389/gke-pod-connecting-via-vpnและคุ้มค่า
จอร์จ

@ George ฉันไม่คิดว่า VPN จะใช้งานได้เพราะฉันไม่ได้ควบคุมด้านอื่น ๆ ในขณะที่ฉันจะไม่สร้าง VPN กับบุคคลที่สาม; ฉันจำเป็นต้องกำหนดเส้นทางการรับส่งข้อมูลผ่านอินเทอร์เน็ต
rob-cng

1
ดังนั้นการมี NAT Gateway ควรทำ แต่สิ่งนี้จะทำให้เกิดความล้มเหลวเพียงจุดเดียว สิ่งหนึ่งที่อยู่ในใจเช่นกันการมี IP แบบคงที่สำหรับอินสแตนซ์ของคุณและให้อีกฝ่ายอยู่ในรายการที่อนุญาต หากคุณต้องการลบอินสแตนซ์ใด ๆ IP จะยังคงถูกสงวนไว้ซึ่งคุณสามารถแนบกับอินสแตนซ์ที่สร้างขึ้นใหม่ได้ และตราบใดที่มีการใช้งาน IP (เชื่อมต่อกับอินสแตนซ์) ก็ไม่มีค่าใช้จ่าย
จอร์จ

ใช่ฉันคิดว่าเราจะต้องแก้ไขปัญหานี้จนกว่า GCP จะออกมาพร้อมกับ NAT เหมือนกับบริการที่คล้ายกับ AWS ขอบคุณ
rob-cng

1
คุณเคยสามารถแก้ปัญหานี้ได้หรือไม่? ถ้าเป็นเช่นนั้นโปรดพิจารณาโพสต์คำตอบด้วยตนเองเพื่อชุมชนจะได้ประโยชน์
Faizan

คำตอบ:



3

Google Cloud ในขณะนี้ให้บริการการจัดการ NAT Gateway - เมฆ NAT

เกตเวย์นี้สามารถใช้กับคลัสเตอร์ GKE ซึ่งมอบ IP egress สาธารณะที่มีเสถียรภาพให้กับพ็อดทั้งหมดที่อยู่ภายในซึ่งช่วยให้พวกเขาสามารถได้รับการอนุญาตจากผู้ให้บริการบุคคลที่สาม

ตัวอย่างการใช้งาน Cloud NAT กับ GKE มีให้ที่นี่ - https://cloud.google.com/nat/docs/gke-example

นอกจากนี้เนื่องจากเป็นซอฟต์แวร์ที่จัดการด้วย NAT แบนด์วิดท์และความพร้อมใช้งานจะไม่ได้รับผลกระทบ

สิ่งนี้ยังคงต้องการโฮสต์ของป้อมปราการเพื่อให้สามารถเข้าไปยังอินสแตนซ์ของคุณได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.