Как настроить VPN из локальной сети в Google Cloud VPC

Question

Мы хотим иметь возможность подключиться к моей локальной базе данных из нашего облака Google kubernetes.

В настоящее время мы пытаемся сделать это, используя «Создать VPN-соединение» из консоли Google.

В поле IP-адрес я вынужден создать (или выбрать из существующих) «Внешние IP-адреса».

IЯ могу связать один экземпляр виртуальной машины с этим внешним IP-адресом.Но я хочу, чтобы мое VPN-соединение / туннель находилось между моей локальной сетью и ВСЕМ в моей облачной сети Google.

Этот IP-адрес не должен просто работать как внешний IP-адрес.для одного экземпляра.Мне нужно сделать это шлюзом к сети в целом.Что мне не хватает?

Заранее спасибо.

Еще один способ сформулировать вопрос: как мне найти IP-адрес шлюза к моей облачной сети Google (VPC) и как мне это сделать?предоставить этот IP для создания VPN-подключения?

Answer 1

Ответ был проще, чем я думал.

Мой вопрос был:

Как мне найти IP-адрес шлюза к моей облачной сети Google (VPC) и как мне предоставить этот IP для создания VPN-подключения?

Ответ заключается в том, чтобы просто заполнить страницу «Создание VPN-подключения».Он автоматически устанавливает любой IP-адрес, который вы получаете / выбираете в поле «IP-адрес» в качестве шлюза.Мне НЕ нужно было настраивать этот IP-адрес для работы в качестве шлюза.Достаточно просто назначить его на этом этапе.Google делает все остальное за кадром.

Answer 2

Необходимо различать IP-адрес шлюза и локальный диапазон IP-адресов туннеля VPN.

IP-адрес шлюза - это IP-адрес шлюза, куда все пакеты из вашей локальной сети поступают инкапсулированными и зашифрованными.

Локальный диапазон IP-адресов туннеля VPN - это диапазон IP-адресов, который может быть достигнут через туннель VPN.По умолчанию это все частные IP-адреса вашей сети GCP

Answer 3

Cloud VPN соединяет вашу локальную сеть с VPC , что означает каждый экземпляр, кластер или другие продукты, которые используют Google Cloud Engine ( GCE ).

Как упоминалось в предыдущем ответе от avinoam-meir, VPN имеет как минимум два компонента: шлюз и туннель, но я добавлю третий: тип маршрутизации.

a) Шлюз:Здесь вы можете добавить существующий или зарезервировать любой статический IP-адрес (из пула внешних IP-адресов Google).

b) Туннель: куда будет передаваться инкапсулированный и зашифрованный трафикдостичь локальных диапазонов IP-адресов.

c) Тип маршрутизации: Cloud VPN имеет три возможности:

• Туннель с использованием динамической маршрутизации
• VPN на основе маршрутов
• VPN на основе политик

В зависимости от выбранного типа, маршрутизация происходит по-разному, но в общих чертах, она распространит вашу подсеть (и) в вашу локальную сетьи получать маршруты от него.

Важно: Не забудьте открыть свой брандмауэр на своем GCP VPC для получения трафика от локальных диапазонов IP-адресов по умолчанию иподразумеваемое правило для Ingress блокирует его.

• подразумеваемое правило разрешения выхода: правило выхода, действие которого разрешено, пункт назначения - 0.0.0.0/0, а приоритет - самый низкийВозможный (65535) позволяет любому экземпляру отправлять трафик в любой пункт назначения.
• Подразумеваемое правило запрета входа: Правило входа, действие которого запрещено, источник - 0.0.0.0/0, а приоритет -минимально возможный (65535) защищает все экземпляры, блокируя входящий трафик к ним.

Answer 4

Создание шлюза NAT [1] с сетевыми маршрутами Kubernetes Engine и Compute Engine для маршрутизации исходящего трафика из существующего кластера GKE через экземпляр шлюза NAT.

Используйте этот IP-адрес шлюза NAT для создания VPN-подключенияк удаленному одноранговому шлюзу.

[1] https://cloud.google.com/solutions/using-a-nat-gateway-with-kubernetes-engine