GCP NAT
前几天有提到了GKE GCP中的Private VM,这点顾名思义表示着建立起的VM不具有外网对外连线的能力,也就是说他无法网外也无法被外部所连结,在安全性的的考量可以说是比较推荐的政策,但在现实生活中一定也会遇到一些不便的问题,比方说要如何的去呼叫另一个服务,因为VM为Private先天上就阉割了网路的出入口,这时就需要仰赖着NAT这个机制,NAT是什麽呢?简单的说可以理解为类似IPtable,一个作为网路流出的Proxy�,那今天就来看一下GCP上面的NAT要如何设置以及需要注意些什麽~
设置Cloud NAT
- 选择VPC网段区域
- 建立Cloud Router
- 选择主要次要网段(允许pod VM IP段是否可对外设定)
- 建立外部IP(NAT IP)
NAT所需注意事项
- 每个 VM 执行个体的最低通讯埠数设定
- NAT IP有65536port会先扣掉了1024需被使用数,剩下的64512可被使用,已预设来说最低通讯埠数为64,所以单一个NAT IP可供给1008台VM(64512/64)
- 以上面的设定来说若遇到NAT连线数吃满不够可以做三件事
- 提高通讯埠数数量
- 开启更多台的VM
- 又或是增加NAT IP数量
总结
以上设定在GCP上并不难,在实务面上比较需要知道NAT上面会有什麽限制(连线数)以及甚麽东西会吃到NAT设定(区域与网域网段)。