我在带有GCP的Kubernetes上有一个正在运行的集群,并且有一些服务在App Engine上运行,并且我试图在它们之间进行通信,而不能从外部访问App Engine。
我创建了一个具有特定子网的私有Kubernetes群集,将该子网链接到Cloud NAT,以获得一个我可以将其列入白名单的唯一出口IP,并且在App Engine防火墙规则中允许了该IP。
但是,当我从集群请求我的应用引擎时,我收到403响应,因为它没有通过防火墙。但是,如果我连接到Kubernetes pod并尝试请求一个站点知道我的IP,我将获得在Cloud NAT中设置的IP。
我在Cloud NAT文档中发现,在应用防火墙规则(https://cloud.google.com/nat/docs/overview#firewall_rules)之前已经实现了对内部IP的转换。
是否可以检索此内部IP?还是另一种确保服务安全的方法?
答案 0 :(得分:0)
Cloud NAT永远不适用于发送到Google API和服务的公共IP地址的流量。发送到Google API和服务的请求从不使用为Cloud NAT配置的外部IP作为其源。
我建议您部署Internal load Balancer。内部TCP / UDP负载平衡使群集的服务可供使用同一VPC网络且位于同一GCP区域中的群集外部应用程序访问。