(Перекрестно размещено на доске поддержки Google "gce-обсуждение")
Я беспокоился (и писал на Stack Overflow, gce-форуме и на сервере списка пользователей Tomcat) о вызовах от узлов группы экземпляров к веб-службам, несущим внешний IP-адрес отдельного узла (что делает проблематичным ограничение веб-сервисы, позвонив по IP).
Затем я увидел что-то под названием «Cloud NAT».
Если у меня настроен Cloud NAT, отображаются ли в вызовах веб-служб из моей группы экземпляров IP-адрес, установленный в NAT?
И это вызывает еще один вопрос, который бродил у меня в голове уже несколько дней: узлы нашей группы экземпляров в настоящее время настроены на временные внешние IP-адреса. Есть ли реальная причина, по которой они вообще должны иметь внешние IP-адреса? Могу ли я, например, по-прежнему получить сеанс терминала через портал web-to-ssh, если нет внешнего IP-адреса? Могу ли я также использовать "gcloud compute scp"? Я думаю, что, возможно, моя первоначальная причина наличия внешних IP-адресов заключалась в доступе к ним из ssh и scp на моем Mac (в любом случае, в большинстве случаев это больше проблем, чем того стоит).
Похоже, у вас есть два вопроса: (1) доступ к виртуальным машинам, у которых нет внешних IP-адресов (вход SSH на виртуальную машину) (2) способы, которыми виртуальные машины могут отправлять исходящий трафик на внешние IP-адреса.
Давайте сначала поговорим о доступе к виртуальным машинам через SSH. Кнопка SSH в облачной консоли работает только в том случае, если виртуальная машина имеет внешний IP-адрес. Этот адрес может быть статическим внешним IP-адресом или временным.
Доступ к виртуальным машинам через SSH и SCP в командной строке, например gcloud compute ssh или gcloud compute scp, работает следующим образом: по умолчанию эти команды пытаются связаться с виртуальной машиной, используя ее внешний IP-адрес. Опять же, этот внешний IP-адрес может быть статическим или временным. Если виртуальная машина не имеет внешнего IP-адреса, вы не можете подключиться к ней напрямую с помощью командной строки SSH.
Однако, если ваша сеть VPC подключена к локальной сети через Cloud VPN или Cloud Interconnect, а маршрутизация и брандмауэры разрешены, вы можете подключиться к виртуальным машинам с помощью gcloud compute ssh с флагом --internal-ip. Также вы можете подключиться по SSH к виртуальной машине, у которой есть внешний IP-адрес, а затем подключиться к той, у которой его нет. Вы можете найти общедоступную документацию Вот Теперь поговорим об исходящем трафике от виртуальных машин к «веб-службам». Непонятно, какие веб-сервисы они запрашивают. В частности, пытаетесь ли вы получить доступ к API и службам Google?
Как правило, если «веб-службы» означают любой IP-адрес в Интернете, виртуальной машине требуется доступ в Интернет. Требования к доступу в Интернет: Вот. Если Cloud NAT используется для маршрутизации запроса на Интернет-адрес, исходный IP-адрес этого запроса будет одним из внешних IP-адресов, используемых NAT.
Теперь, если мы говорим об API и сервисах Google, у нас есть несколько способов, которыми виртуальные машины могут подключаться к внешним IP-адресам для API и сервисов Google, даже если эти виртуальные машины в противном случае не имеют доступа к Интернету. Private Google Access позволяет виртуальным машинам, не имеющим внешних IP-адресов, иметь доступ к выбранным диапазонам внешних IP-адресов для API и служб Google.
Пожалуйста найди документация в частном доступе к Google и ссылка на сайт о том, как настроить частный доступ к Google.