Permitir la Nube NAT comunicación con la Aplicación del Motor de firewall

Tengo un cluster en ejecución en Kubernetes con BPC, y algunos servicios que se ejecutan en la Aplicación de los Motores, y estoy tratando de comunicarse entre ellos sin ser capaz de acceder a la Aplicación de los Motores desde el exterior.

He creado un privado Kubernetes clúster con una determinada subred, he enlazado esta subred a una Nube de NAT tener una única salida IP puedo blanca, y se me permite esta IP en la Aplicación del Motor de reglas de firewall.

Sin embargo, cuando pido mi app motores de la agrupación, tengo un 403 respuesta porque no pase a través del firewall. Pero si me conecto a mi Kubernetes pod y tratar de solicitar un sitio para saber mi IP, me sale la IP me puse en la Nube NAT.

He encontrado en la Nube NAT documentación que la traducción de direcciones ip internas se realiza antes de la aplicación de las reglas del firewall (https://cloud.google.com/nat/docs/overview#firewall_rules).

Hay una manera de recuperar esta IP interna? O de otra manera para asegurar que los servicios?

1 Respuestas

  • Daniel Emiliano
    4 de mayo de 2019

    Nube de NAT nunca se aplica al tráfico enviado a las direcciones IP públicas para la Api de Google y servicios. Las solicitudes que se envíen a Google APIs y servicios que nunca uso externo IPs configuradas para la Nube de NAT como sus fuentes.

    Te sugiero que para implementar un Interno del Equilibrador de carga. Interna TCP/UDP de Equilibrio de Carga hace que el clúster de servicios accesibles para aplicaciones fuera de su clúster de que el uso de la misma VPC de la red y se encuentra en el mismo GCP región.