Разоблачение внутреннего приватного кластера nginx ingress

Question

Итак, у меня есть частный кластер Kubernetes, размещенный на GKE внутри сети Cloud VPC, по сути, такой же, как обсуждалось в Cloud NAT GKE, пример .

Это все работает, и теперь я настроил вход Nginx внутри кластера с настройкой аннотации:

annotations:
  cloud.google.com/load-balancer-type: "Internal"

Кажется, это работает, поскольку в конечном итоге он обеспечивает внутренний IP-адрес в пределах диапазона подсети VPC.

ВОПРОС:

Как перенаправить входящий трафик от шлюза Cloud NAT на этот внутренний IP-адрес службы Nginx LoadBalancer?

Я хочу, чтобы вход и выход происходили на одном и том же IP-адресе (поэтому мне не нужно внешне предоставлять сервис LoadBalancer), который связан с Cloud NAT, если это возможно.

Спасибо!

Answer 1

Облако NAT позволяет экземплярам в частной подсети подключаться к Интернету, но не наоборот:

Облачный NAT реализует исходящий NAT в сочетании с маршрутом по умолчанию чтобы ваши экземпляры могли выходить в Интернет. Это НЕ реализовать входящий NAT. Хосты вне вашей сети VPC могут отвечать только на установленные связи, инициированные вашими инстанциями; они не могут инициируйте свои собственные новые подключения к вашим экземплярам через NAT.

Одним словом, вы не можете принимать входящий трафик NAT с облачным шлюзом NAT.