为公共GKE集群设置云NAT [英] Setup Cloud NAT for public GKE clusters

问题描述

我希望使用Cloud NAT设置NAT网关，以便公共GKE群集中的VM/Pod使用静态IP地址。

我面临的问题是，似乎只有在VM没有其他选择时才使用NAT网关，即：

仅当通信没有其他匹配的路由或路径时，GCP才使用云NAT转发通信。

但在公共GKE群集的情况下，虚拟机具有临时外部IP，因此它们不使用网关。

根据文件：

如果您在VM的接口上配置外部IP[...]不会对此类数据包执行NAT。但是，分配给接口的别名IP范围仍然可以使用NAT，因为它们不能使用外部IP访问Internet。

和

使用此配置，您可以通过SSH直接连接到GKE虚拟机，同时让GKE实例/容器使用云NAT访问互联网。

这就是我想要的，但我看不出到底要在这里设置什么。

alias IP ranges assigned to the interface can still use NAT表示什么以及如何设置？

推荐答案

这里的想法是，如果您的集群使用本地私有网络(IP别名)，your pods will not use SNAT when routing out of the cluster。如果没有SNAT，则实例不会使用节点的外部IP，因此应该使用云NAT。

不幸的是，目前情况并非如此。虽然云NAT仍处于Beta版，但某些设置尚未完全到位，因此即使使用IP别名，Pod仍在使用SNAT。由于节点IP的SNAT，实例不会使用云NAT。

话虽如此，为什么不使用私有集群呢？它更安全，可以与云NAT配合使用。您不能直接通过SSH连接到节点，但A)您可以在项目中创建一个SSH using the internal IP flag堡垒VM实例，B)在大多数情况下，您通常不需要通过SSH连接到节点。

这篇关于为公共GKE集群设置云NAT的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！