如何从内部部署到Google Cloud VPC设置VPN

Question

我们希望能够从我们的google cloud kubernetes连接到我的内部部署数据库。

我们目前正试图通过在谷歌控制台中使用“创建VPN连接”来实现这一目的。

在字段IP地址中，我被迫创建（或从现有中挑选）“外部IP地址”。

我能够将单个VM实例链接到此外部IP地址。但我希望我的VPN连接/隧道位于我的本地网络和我的Google云网络中的所有内容之间。

此IP不应仅用作外部IP地址。对于单个实例。我需要让它成为整个网络的门户。我错过了什么？

提前致谢。

构建问题的另一种方法： 如何查找到我的Google云网络（VPC）的网关的IP地址，以及如何将该IP提供给VPN连接创建？

Answer 1

答案比我想象的要简单。

我的问题是：

  

如何找到我的Google云网络网关的IP地址   （VPC）以及如何将该IP提供给VPN连接创建？

答案只是填写“创建VPN连接”页面。它会自动设置您在“IP地址”字段中获取/选择的任何IP作为网关。我不需要配置此IP地址作为网关。只需在此步骤中分配就足够了。谷歌在幕后做其余的工作。

Answer 2

您需要区分VPN隧道的网关IP地址和本地IP范围

网关IP地址是网关的IP，其中来自本地的所有数据包都被封装和加密。

VPN隧道的本地IP范围是可以通过VPN隧道访问的IP范围。默认情况下，这就是全部 您的GCP网络的私有IP地址

Answer 3

Cloud VPN将您的内部部署与VPC连接，这意味着使用Google Cloud Engine（GCE）的每个实例，群集或其他产品。

正如之前avinoam-meir的回答中提到的，VPN至少有两个组件：网关和隧道，但我将添加第三个组件：路由类型。

a）网关：您可以在此处添加现有或reserve any static IP address（来自Google外部IP地址池）。

b）隧道：封装和加密流量将流向本地IP范围。

c）路由类型：Cloud VPN有三种可能：

• Tunnel using Dynamic Routing
• Route Based VPN
• Policy based VPN

根据您选择的类型，路由以不同的方式发生，但一般而言，它会将子网传播到本地网络并从中接收路由。

重要提示：请记住在您的GCP VPC上打开firewall以接收来自本地IP范围的流量，因为Ingress的默认和隐含规则会阻止它。

• 隐含的允许出口规则：出口规则，其操作是允许的，目标是0.0.0.0/0，优先级是最低可能的（65535）允许任何实例将流量发送到任何目的地。
• 隐含的拒绝入口规则：其操作为拒绝的入口规则，源为0.0.0.0/0，优先级为最低（65535），通过阻止对它们的传入流量来保护所有实例

Answer 4

使用Kubernetes Engine和计算引擎网络路由创建NAT网关[1]，以通过NAT网关实例路由来自现有GKE集群的出站流量。

使用该NAT网关IP地址创建到远程对等网关的VPN连接。

[1] https://cloud.google.com/solutions/using-a-nat-gateway-with-kubernetes-engine