GKE'de giden bağlantılar için kararlı genel IP veya IP aralığı

21

Google Kubernetes Engine'i talep kapsüllerinde çalıştırmak için kullanıyorum. Her bölme, bir nodeport hizmeti kullanılarak halka açık olarak internete maruz kalır.

GKE'de giden bağlantılar için tek bir IP veya IP aralığı almanın, onları beyaz listeye eklemek için üçüncü taraf API'lara vermenin bir yolunu arıyorum.

GKE düğümü IP'leri, düğümler otomatik ölçeklendiğinde veya bunları yükselttiğimde yönetilemez. Istikrarlı bir giden IP korumak için bir yol gerekir.

Kubernetes düğümlerine ( buradan örneği kullanarak) basit bir NAT Ağ Geçidi kullanarak denedim ve bu, NAT Ağ Geçidi'ne giden bağlantıları yönlendirirken, bağlantı noktalarına bırakıldıklarından baklalara giden trafiği (Nodeport servisi) kesiyor NAT ağ geçidi.

  • Beyaz listeye (veya) üçüncü tarafa sağlayabileceğim bir google bulut bölgesi için varsayılan bir IP aralığı var mı?

  • GKE, önceden ayrılmış statik IP listesinden (veya) düğüm harici IP'leri seçmek için bir yol sağlıyorsa

  • Tek bir statik IP'ye veya kapsüllerdeki giden trafiği temsil eden bir IP aralığına sahip olmanın başka bir yolu var mı

Ben gibi benzer sorular bulduk bu , ancak bölmeleri dıştan bağlanabilen olması gerektiği gibi bir NAT kullanırken hangi sonları onlar, benim sorunu çözmek değil.

google-cloud-platform  google-kubernetes-engine 
Parag
kaynak

Yanıtlar:

7

Google Cloud artık yönetilen bir NAT Ağ Geçidi hizmeti sunuyor - Cloud NAT .

Bu ağ geçidi, içindeki tüm bölmelere sabit bir genel çıkış IP'si sağlayan ve üçüncü taraf hizmet sağlayıcıları tarafından beyaz listeye alınmalarını sağlayan bir GKE kümesi ile kullanılabilir.

Cloud NAT'ı GKE ile kullanmak için örnek uygulama burada sunulmaktadır - https://cloud.google.com/nat/docs/gke-example

Parag
kaynak
Kümenin özel olması gerekiyor mu?
Gajus
3
Evet, küme özel olmalı, ancak yönetici herkese açık olabilir. Hizmetlerinizin de herkese açık olması gerekiyorsa, bunlar bir yük dengeleyici tarafından görülebilir.
Parag
@Parag Kümenin özel olması zorunlu mu? Bir yol var mı, Düğüm IP'leri herkese açıksa kullanabilirim.
Suhas Chikkanna
1
@SuhasChikkanna CloudNAT ile no. Düğümlerin harici IP'lere sahip olmasını istiyorsanız, ancak tek bir giden IP istiyorsanız, Squid kullanarak kendi NAT ağ geçidi örneğinizi oluşturabilir ve dahili sunucularınızı doğrudan örneklere yönlendirecek koşullu yönlendirmeye sahip olabilirsiniz, ancak dışarıdan gelen trafik gelir NAT aracılığıyla. Bu, kullanıcılarınıza tek bir giden IP verirken, düğümlerinizi seçilen IP kaynaklarına erişilebilir hale getirir.
Parag
@Parag Kulağa hoş geliyor! Kesinlikle denemek istiyorum. Thanks a lot :)
Suhas Chikkanna
1

Bu çözümü deneyebilirsiniz:

https://cloud.google.com/solutions/using-a-nat-gateway-with-kubernetes-engine

Normal şartlar altında, Google Kubernetes Engine düğümleri tüm çıkış trafiğini düğüm kümeleriyle ilişkili internet ağ geçidi üzerinden yönlendirir. İnternet ağ geçidi bağlantısı da, düğüm kümesiyle ilişkili Compute Engine ağı tarafından tanımlanır. Kümedeki her düğümün geçici bir harici IP adresi vardır. Otomatik ölçeklendirme sırasında düğümler oluşturulduğunda ve yok edildiğinde, yeni düğüm IP adresleri otomatik olarak atanır.

Varsayılan ağ geçidi davranışı normal koşullar altında iyi çalışır. Bununla birlikte, aşağıdakiler için geçici harici IP adreslerinin nasıl dağıtılacağını değiştirmek isteyebilirsiniz:

  • Üçüncü taraf bir hizmete tutarlı bir harici IP adresi sağlayın.
  • Google Kubernetes Engine kümesinden çıkış trafiğini izleyin ve filtreleyin.
alphayax
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.