允许与 App Engine 防火墙进行 Cloud NAT 通信 [关闭]

【问题标题】:Allow Cloud NAT communication with App Engine firewall [closed]允许与 App Engine 防火墙进行 Cloud NAT 通信 [关闭]
【发布时间】:2019-02-11 10:14:49
【问题描述】:

我有一个使用 GCP 在 Kubernetes 上运行的集群,以及一些在 App Engine 上运行的服务,我试图在它们之间进行通信,但无法从外部访问 App Engine。

我创建了一个带有特定子网的私有 Kubernetes 集群,我将此子网链接到 Cloud NAT 以拥有一个可以将其列入白名单的唯一出口 IP,并且我在 App Engine 防火墙规则中允许此 IP。

但是,当我从集群请求我的应用引擎时,我收到了 403 响应,因为它没有通过防火墙。但是,如果我连接到我的 Kubernetes pod 并尝试请求一个站点知道我的 IP,我会得到我在 Cloud NAT 中设置的 IP。

我在 Cloud NAT 文档中发现,内部 IP 的转换是在应用防火墙规则之前实现的 (https://cloud.google.com/nat/docs/overview#firewall_rules)。

有没有办法检索这个内部 IP?还是另一种保护服务的方式?

【问题讨论】:

  • 更新:我尝试在防火墙规则中允许 0.0.0.0,它的工作原理大约是 5 次中的 3 次。

标签: google-app-engine firewall nat


【解决方案1】:

Cloud NAT 绝不适用于发送到 Google API 和服务的公共 IP 地址的流量。发送到 Google API 和服务的请求从不使用为 Cloud NAT 配置的外部 IP 作为其来源。

我建议你部署一个Internal load Balancer。内部 TCP/UDP 负载平衡使集群外部的应用程序可以访问集群的服务,这些应用程序使用相同的 VPC 网络并位于相同的 GCP 区域。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2016-02-01
    • 2012-10-22
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-04-18
    • 2011-05-05
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode