GCPで、アウトバウンドトラフィックに単一の外部IPアドレスを割り当てる最適な方法を決定しようとしています。私の使用例:サードパーティに静的IPを提供して、サードパーティがホワイトリストに登録できるようにして、インスタンスがAPIにアクセスできるようにする必要があります。将来GCEインスタンスを追加または削除する可能性があるため、変更される可能性のある複数の静的IPをそれらに与えたくありません。
ここで同様の質問を見つけましたが、それが私のユースケースに対応するかどうかはわかりませんでした。
標準のGCPネットワークがセットアップされています。VPNはなく、すべてのVMに一意の外部IPがあります。VMにSSH接続できるようにする必要があるため、実際にこの方法が気に入っています。しかし、VMからインターネットまで、トラフィックはすべて単一のIPから来ているように見せたいです。私の頭に浮かび、ドキュメントのヒントであるとすぐに考えたのは、NATインスタンスを作成し、それを介してアウトバウンドトラフィックをルーティングすることです。そのアプローチに関するいくつかの問題:
- NATの目的のためだけにボックスを設定および保守する必要があります
- HAではありません。そのインスタンスまたはアベイラビリティーゾーンが停止すると、他のインスタンスはトラフィックを外部にルーティングできなくなります
- 将来構成を再作成する必要がある場合、あまり再現性がないようです
具体的には、このプロジェクトにGKE / Kubernetesを使用しています。HA、低メンテナンス、繰り返し可能なこのユースケースを達成するためのベストプラクティスはありますか?
あなたにとって最良の選択肢はVPNをセットアップすることであり、これはGKEを使用する際にも役立つと考えています。例:serverfault.com/questions/750389/gke-pod-connecting-via-vpn、およびそれは費用対効果が高いです。
—
ジョージ
@George私は、VPNがこれに対して機能するとは思わない。なぜなら、私は反対側を制御しないからだ。同様に、私はサードパーティとVPNを確立しません。インターネット経由でトラフィックをルーティングする必要があります。
—
rob-cng
そのため、NATゲートウェイを使用する必要がありますが、これにより単一障害点が発生します。インスタンスに静的IPを持ち、相手にホワイトリストに登録してもらうことも思い浮かびました。インスタンスのいずれかを削除する場合、IPは予約されたままで、新しく作成されたインスタンスにアタッチできます。また、IPが使用されている(インスタンスに接続されている)限り、無料です。
—
ジョージ
はい、GCPがAWSと同様のサービスとしてNATを使用するまで、この回避策を実行する必要があると思います。ありがとう
—
ロブcng
この問題を解決できましたか?もしそうなら、コミュニティが利益を得ることができるように自己回答を投稿することを検討してください
—
Faizan