Utilizzare Public NAT con GKE
Questa pagina mostra come configurare una configurazione di NAT pubblico di esempio con Google Kubernetes Engine (GKE). Prima di configurare Public NAT, leggi la panoramica di Public NAT.
Prerequisiti
Prima di configurare il NAT pubblico, devi eseguire i seguenti passaggi.
Ottenere le autorizzazioni IAM
Il ruolo roles/compute.networkAdmin ti consente di creare un gateway NAT su router Cloud, prenotare e assegnare indirizzi IP NAT e specificare le sottoreti (subnet) il cui trafico deve utilizzare la Network Address Translation dal gateway NAT.
Configurare Google Cloud
Prima di iniziare, configura i seguenti elementi in Google Cloud.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Configurazione dell'esempio GKE
Utilizza questo esempio se vuoi vedere una semplice configurazione Public NAT in funzione con GKE.
Passaggio 1: crea una rete e una subnet VPC
Se hai già una rete e una sottorete, puoi saltare questo passaggio.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic su Crea rete VPC.
Inserisci un nome per
custom-network1
.In Subnet, imposta Modalità di creazione subnet su Personalizzata.
In Nuova subnet, inserisci
subnet-us-east-192
come Nome.In Regione, seleziona us-east4.
Inserisci un intervallo di indirizzi IP di
192.168.1.0/24
.Fai clic su Fine, quindi su Crea.
gcloud
Crea una nuova rete Virtual Private Cloud (VPC) in modalità personalizzata nel tuo progetto:
gcloud compute networks create custom-network1 \ --subnet-mode custom
Output:
NAME MODE IPV4_RANGE GATEWAY_IPV4 custom-network1 custom
Specifica il prefisso della subnet per la prima regione. In questo esempio, assegnamo
192.168.1.0/24
alla regioneus-east4
.gcloud compute networks subnets create subnet-us-east-192 \ --network custom-network1 \ --region us-east4 \ --range 192.168.1.0/24
Output:
NAME REGION NETWORK RANGE subnet-us-east-192 us-east4 custom-network1 192.168.1.0/24
Terraform
Puoi utilizzare un modulo Terraform per creare una rete e una subnet Virtual Private Cloud personalizzate.
Passaggio 2: crea un cluster privato
Console
Nella console Google Cloud, vai alla pagina Cluster Kubernetes.
Fai clic su Crea cluster.
In Nome, inserisci
nat-test-cluster
.Imposta il Tipo di località su A livello di zona.
Imposta Zona su us-east4-c.
Nel riquadro di navigazione, fai clic su Networking.
Seleziona Cluster privato.
Deseleziona la casella di controllo Accedi al control plane utilizzando l'indirizzo IP esterno.
Inserisci un intervallo IP del piano di controllo di
172.16.0.0/28
.Imposta Rete su
custom-network1
.Per creare e avviare il cluster, fai clic su Crea.
gcloud
gcloud container clusters create "nat-test-cluster" \ --zone "us-east4-c" \ --username "admin" \ --cluster-version "latest" \ --machine-type "e2-medium" \ --disk-type "pd-standard" \ --disk-size "100" \ --scopes "https://www.googleapis.com/auth/compute","https://www.googleapis.com/auth/devstorage.read_only","https://www.googleapis.com/auth/logging.write","https://www.googleapis.com/auth/monitoring","https://www.googleapis.com/auth/servicecontrol","https://www.googleapis.com/auth/service.management.readonly","https://www.googleapis.com/auth/trace.append" \ --num-nodes "3" \ --enable-private-nodes \ --enable-private-endpoint \ --master-ipv4-cidr "172.16.0.0/28" \ --enable-ip-alias \ --network "projects/PROJECT_ID/global/networks/custom-network1" \ --subnetwork "projects/PROJECT_ID/regions/us-east4/subnetworks/subnet-us-east-192" \ --max-nodes-per-pool "110" \ --enable-master-authorized-networks \ --addons HorizontalPodAutoscaling,HttpLoadBalancing \ --enable-autoupgrade \ --enable-autorepair
Terraform
Puoi utilizzare una risorsa Terraform per creare un cluster privato.
Passaggio 3: crea una regola firewall che consenta le connessioni SSH
Console
Nella console Google Cloud, vai alla pagina Criteri firewall.
Fai clic su Crea regola firewall.
Inserisci un nome per
allow-ssh
.Specifica una rete di
custom-network1
.Imposta Direzione del traffico su In entrata.
Imposta Azione in caso di corrispondenza su Consenti.
Imposta Destinazioni su Tutte le istanze nella rete.
Imposta Filtro di origine su Intervalli IPv4.
Imposta Intervalli IP di origine su
35.235.240.0/20
.Imposta Protocolli e porte su Protocolli e porte specificati.
Seleziona la casella di controllo tcp e inserisci la porta
22
.Fai clic su Crea.
gcloud
gcloud compute firewall-rules create allow-ssh \ --network custom-network1 \ --source-ranges 35.235.240.0/20 \ --allow tcp:22
Terraform
Puoi utilizzare una risorsa Terraform per creare una regola firewall.
Passaggio 4: crea le autorizzazioni SSH IAP per uno dei tuoi nodi
In un passaggio successivo, utilizza IAP per connetterti al tuo nodo.
Console
Nella console Google Cloud, vai alla pagina Identity-Aware Proxy.
Seleziona la scheda Risorse SSH e TCP.
Seleziona la casella di controllo accanto al primo nodo nell'elenco in Tutte le risorse tunnel > us-east4-c. Il nome sarà simile a
gke-nat-test-cluster-default-pool-b50db58d-075t
.Prendi nota del nome del nodo, che utilizzerai in seguito per testare la connettività.
Nel riquadro a destra, fai clic su Aggiungi entità.
Per concedere a utenti, gruppi o account di servizio l'accesso alle risorse, specifica i relativi indirizzi email nel campo Nuove entità.
Se stai solo testando questa funzionalità, puoi inserire il tuo indirizzo email.
Per concedere alle entità l'accesso alle risorse tramite la funzionalità di inoltro TCP di Cloud IAP, nell'elenco a discesa Ruolo, seleziona Cloud IAP > Utente del tunnel con protezione IAP.
Fai clic su Salva.
gcloud
Per questo passaggio, segui le istruzioni della console.
Passaggio 5: accedi al nodo e verifica che non riesca a raggiungere internet
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Trova il nodo per cui hai creato le autorizzazioni SSH IAP. Nella colonna Connetti, fai clic sulla freccia del menu a discesa SSH e seleziona Apri nella finestra del browser.
Se è la prima volta che ti connetti all'istanza, Google Cloud genera le chiavi SSH per te.
Dal prompt di Node, trova l'ID processo del contenitore
kube-dns
:pgrep '^kube-dns$'
Accedi al contenitore:
sudo nsenter --target PROCESS_ID --net /bin/bash
Da
kube-dns
, prova a connetterti a internet:curl example.com
Non dovresti ottenere alcun risultato. In questo caso, potresti non aver creato il cluster come cluster privato o potrebbe esserci un altro problema. Per risolvere il problema, consulta Le VM possono raggiungere internet in modo imprevisto senza NAT pubblico.
Per terminare il comando, potresti dover inserire
Ctrl+C
.
gcloud
Trova il nome di uno dei nodi del cluster:
gcloud compute instances list
Un nome di nodo ha il seguente aspetto:
gke-nat-test-cluster-default-pool-1a4cbd06-3m8v
. Prendi nota del nome del nodo e utilizzalo ogni volta che vediNODE_NAME
nei comandi seguenti.Connettiti al nodo:
gcloud compute ssh NODE_NAME \ --zone us-east4-c \ --tunnel-through-iap
Dal prompt di Node, trova l'ID processo del contenitore
kube-dns
:pgrep '^kube-dns$'
Accedi al contenitore:
sudo nsenter --target PROCESS_ID --net /bin/bash
Da
kube-dns
, prova a connetterti a internet:curl example.com
Non dovresti visualizzare alcun risultato.Per terminare il comando, potresti dover inserire
Ctrl+C
.
Passaggio 6: crea una configurazione NAT utilizzando il router Cloud
Devi creare il router Cloud nella stessa regione delle istanze che utilizzano la traduzione NAT pubblica. La traduzione NAT pubblica viene utilizzata solo per inserire le informazioni sulla traduzione NAT nelle VM. Non viene utilizzato all'interno del gateway NAT effettivo.
Questa configurazione consente a tutte le istanze della regione di utilizzare la traduzione NAT pubblica per tutti gli intervalli IP principali e di alias. Inoltre, alloca automaticamente gli indirizzi IP esterni per il gateway NAT. Per altre opzioni, consulta la documentazione di Google Cloud CLI.
Console
Nella console Google Cloud, vai alla pagina Cloud NAT.
Fai clic su Inizia o Crea gateway NAT.
Inserisci un nome gateway di
nat-config
.Imposta la rete VPC su
custom-network1
.Imposta Regione su us-east4.
In Router Cloud, seleziona Crea nuovo router.
- Inserisci un nome per
nat-router
. - Fai clic su Crea.
- Inserisci un nome per
Fai clic su Crea.
gcloud
Crea un router Cloud:
gcloud compute routers create nat-router \ --network custom-network1 \ --region us-east4
Aggiungi una configurazione al router:
gcloud compute routers nats create nat-config \ --router-region us-east4 \ --router nat-router \ --nat-all-subnet-ip-ranges \ --auto-allocate-nat-external-ips
Terraform
Puoi utilizzare una risorsa Terraform per creare un router Cloud.
Puoi utilizzare un modulo Terraform per creare una configurazione NAT.
Passaggio 7: prova a riconnetterti a internet
La propagazione della configurazione NAT potrebbe richiedere fino a tre minuti. Attendi almeno un minuto prima di riprovare ad accedere a internet.
Se non hai ancora eseguito l'accesso a kube-dns
, riconnettiti utilizzando la procedura descritta nel passaggio 5. Dopo aver eseguito l'accesso, esegui di nuovo il comando curl
:
curl example.com
Dovresti vedere un output contenente i seguenti contenuti:
<html> <head> <title>Example Domain</title> ... ... ... </head> <body> <div> <h1>Example Domain</h1> <p>This domain is established to be used for illustrative examples in documents. You can use this domain in examples without prior coordination or asking for permission.</p> <p><a href="http://www.iana.org/domains/example">More information...</a></p> </div> </body> </html>
Passaggi successivi
- Configura un gateway Public NAT.
- Crea una configurazione Compute Engine di esempio.