Usa NAT pública con GKE
En esta página, se muestra cómo configurar una configuración de NAT pública de muestra con Google Kubernetes Engine (GKE). Antes de configurar la NAT pública, lee el Descripción general de la NAT pública.
Requisitos previos
Debes hacer lo siguiente antes de configurar la NAT pública.
Obtén permisos de IAM
La función roles/compute.networkAdmin te da permisos para crear una puerta de enlace NAT en Cloud Router, reservar y asignar direcciones IP de NAT y especificar subredes cuyo tráfico debería usar la traducción de direcciones de red a través de la puerta de enlace NAT.
Configura Google Cloud
Antes de comenzar, configura los siguientes elementos en Google Cloud.
- Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Configura el ejemplo de GKE
Usa este ejemplo si quieres ver una NAT pública simple existente con GKE.
Paso 1: Crea una subred y una red de VPC
Si ya tienes una red y una subred, puedes omitir este paso.
Consola
En la consola de Google Cloud, ve a la página Redes de VPC.
Haz clic en Crear red de VPC
En Nombre ingresa
custom-network1
.En Subredes, establece Modo de creación de subred como Personalizado.
En Subred nueva, ingresa el nombre
subnet-us-east-192
.En Región, selecciona us-east4.
Ingresa un rango de direcciones IP de
192.168.1.0/24
.Haga clic en Listo y, luego, en Crear.
gcloud
Crea una nueva red de nube privada virtual (VPC) en modo personalizado en tu proyecto:
gcloud compute networks create custom-network1 \ --subnet-mode custom
Resultado:
.NAME MODE IPV4_RANGE GATEWAY_IPV4 custom-network1 custom
Especifica el prefijo de subred para tu primera región. En este ejemplo, se asigna
192.168.1.0/24
a la regiónus-east4
.gcloud compute networks subnets create subnet-us-east-192 \ --network custom-network1 \ --region us-east4 \ --range 192.168.1.0/24
Resultado:
NAME REGION NETWORK RANGE subnet-us-east-192 us-east4 custom-network1 192.168.1.0/24
Terraform
Puedes usar un módulo de Terraform para crear una red y subred de nube privada virtual personalizada.
Paso 2: Crea un clúster privado
Console
En la consola de Google Cloud, ve a la página Clústeres de Kubernetes.
Haz clic en Crear clúster.
En Name (Nombre), ingresa
nat-test-cluster
.Configura Tipo de ubicación como Zonal.
Configura Zona como us-east4-c.
En el panel de navegación, haga clic en Herramientas de redes.
Selecciona Clúster privado.
Desmarca la casilla de verificación Permitir el acceso al plano de control mediante su dirección IP externa.
Ingresa un Rango de IP del plano de control de
172.16.0.0/28
.Configura Red como
custom-network1
.Para crear y, luego, iniciar el clúster, haz clic en Crear.
gcloud
gcloud container clusters create "nat-test-cluster" \ --zone "us-east4-c" \ --username "admin" \ --cluster-version "latest" \ --machine-type "e2-medium" \ --disk-type "pd-standard" \ --disk-size "100" \ --scopes "https://www.googleapis.com/auth/compute","https://www.googleapis.com/auth/devstorage.read_only","https://www.googleapis.com/auth/logging.write","https://www.googleapis.com/auth/monitoring","https://www.googleapis.com/auth/servicecontrol","https://www.googleapis.com/auth/service.management.readonly","https://www.googleapis.com/auth/trace.append" \ --num-nodes "3" \ --enable-private-nodes \ --enable-private-endpoint \ --master-ipv4-cidr "172.16.0.0/28" \ --enable-ip-alias \ --network "projects/PROJECT_ID/global/networks/custom-network1" \ --subnetwork "projects/PROJECT_ID/regions/us-east4/subnetworks/subnet-us-east-192" \ --max-nodes-per-pool "110" \ --enable-master-authorized-networks \ --addons HorizontalPodAutoscaling,HttpLoadBalancing \ --enable-autoupgrade \ --enable-autorepair
Terraform
Puedes usar un recurso de Terraform para crear un clúster privado.
Paso 3: Crea una regla de firewall que admita conexiones SSH
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
Haz clic en Crear regla de firewall.
Ingresa un Nombre de
allow-ssh
.En Red, especifica
custom-network1
.Configura Dirección del tráfico como Entrada.
Establece Acción en caso de coincidencia en Permitir.
Configura Destinos como Todas las instancias de la red.
Configura Filtro de fuente como Rangos de IPv4.
Configura Rangos de IP de origen como
35.235.240.0/20
.Configura Protocolos y puertos como Protocolos y puertos especificados.
Selecciona la casilla de verificación tcp y, luego, ingresa el puerto
22
.Haga clic en Crear.
gcloud
gcloud compute firewall-rules create allow-ssh \ --network custom-network1 \ --source-ranges 35.235.240.0/20 \ --allow tcp:22
Terraform
Puedes usar un recurso de Terraform para crear una regla de firewall.
Paso 4: Crea permisos de SSH para IAP para uno de tus nodos
En un paso posterior, usa IAP para conectarte a tu nodo.
Console
En la consola de Google Cloud, ve a la página Identity-Aware Proxy.
Selecciona la pestaña Recursos de SSH y TCP.
Selecciona la casilla de verificación junto al primer nodo en la lista, en Todos los recursos del túnel > us-east4-c. Su nombre será similar a
gke-nat-test-cluster-default-pool-b50db58d-075t
.Escribe el nombre del nodo. Más tarde, lo usarás para probar la conectividad.
En el panel de la derecha, haz clic en Agregar principal.
Para otorgar a los usuarios, grupos o cuentas de servicio acceso a los recursos, en el campo Nuevas principales, especifica sus direcciones de correo electrónico.
Si solo estás probando esta función, puedes ingresar tu propia dirección de correo electrónico.
Para otorgar a las principales acceso a los recursos a través de la función de redireccionamiento de TCP de Cloud IAP, en la lista desplegable Función, selecciona Cloud IAP > Usuario de túnel protegido con IAP.
Haz clic en Guardar.
gcloud
Para este paso, usa las instrucciones de Console.
Paso 5: Accede al nodo y confirma que no pueda acceder a Internet
Console
En la consola de Google Cloud, ve a la página Instancias de VM.
Busca el nodo para el que creaste permisos de SSH para IAP. En la columna Conectar, haz clic en la flecha desplegable SSH y, luego, selecciona Abrir en otra ventana del navegador.
Si es la primera vez que te conectas a la instancia, Google Cloud genera las claves SSH por ti.
En el símbolo del sistema de nodo, busca el ID del proceso del contenedor
kube-dns
:pgrep '^kube-dns$'
Accede al contenedor:
sudo nsenter --target PROCESS_ID --net /bin/bash
Desde
kube-dns
, intenta conectarte a Internet:curl example.com
No deberías obtener ningún resultado. Si lo haces, es posible que no hayas creado tu clúster como privado o que exista otro problema. Para solucionar problemas, consulta Las VMs pueden acceder a Internet de forma inesperada sin NAT pública.
Para finalizar el comando, es posible que debas ingresar
Ctrl+C
.
gcloud
Busca el nombre de uno de tus nodos de clúster:
gcloud compute instances list
El nombre de un nodo tiene un aspecto similar a
gke-nat-test-cluster-default-pool-1a4cbd06-3m8v
. Anótalo y usa ese nombre en cualquier lugar donde veasNODE_NAME
en los comandos siguientes.Conéctate al nodo:
gcloud compute ssh NODE_NAME \ --zone us-east4-c \ --tunnel-through-iap
En el símbolo del sistema de nodo, busca el ID del proceso del contenedor
kube-dns
:pgrep '^kube-dns$'
Accede al contenedor:
sudo nsenter --target PROCESS_ID --net /bin/bash
Desde
kube-dns
, intenta conectarte a Internet:curl example.com
No deberías obtener ningún resultado. Para finalizar el comando, es posible que debas ingresar
Ctrl+C
.
Paso 6: Crea una configuración de NAT con Cloud Router
Debes crear el Cloud Router en la misma región que las instancias que usan NAT pública. La NAT pública solo se usa para ubicar NAT información en las VMs. No se usa como parte de la puerta de enlace NAT.
Esta configuración permite que todas las instancias de la región utilicen NAT pública para todos los rangos de IP principales y de alias. También asigna de forma automática las direcciones IP externas de la puerta de enlace NAT. Para obtener más opciones, consulta la documentación de Google Cloud CL.
Consola
En la consola de Google Cloud, ve a la página de Cloud NAT.
Haz clic en Comenzar o Crear puerta de enlace de NAT.
En Nombre de la puerta de enlace, ingresa
nat-config
.Establece Red de VPC en
custom-network1
.Establece Región en us-east4.
En Cloud Router, seleccione Crear router nuevo.
- En Nombre ingresa
nat-router
. - Haga clic en Crear.
- En Nombre ingresa
Haz clic en Crear.
gcloud
Crea un Cloud Router:
gcloud compute routers create nat-router \ --network custom-network1 \ --region us-east4
Agrega una configuración al router:
gcloud compute routers nats create nat-config \ --router-region us-east4 \ --router nat-router \ --nat-all-subnet-ip-ranges \ --auto-allocate-nat-external-ips
Terraform
Puedes usar un recurso de Terraform para crear un Cloud Router.
Puedes usar un módulo de Terraform para crear una configuración de NAT.
Paso 7: Vuelve a conectarte a Internet
La configuración de NAT puede tardar hasta tres minutos en propagarse, por lo que deberás esperar al menos un minuto antes de intentar acceder a Internet.
Si aún no accediste a kube-dns
, vuelve a conectarte con el procedimiento que se indica en el Paso 5. Después de acceder, vuelve a ejecutar el comando curl
:
curl example.com
Deberías ver un resultado con el siguiente contenido:
<html> <head> <title>Example Domain</title> ... ... ... </head> <body> <div> <h1>Example Domain</h1> <p>This domain is established to be used for illustrative examples in documents. You can use this domain in examples without prior coordination or asking for permission.</p> <p><a href="http://www.iana.org/domains/example">More information...</a></p> </div> </body> </html>
¿Qué sigue?
- Configura una puerta de enlace NAT pública.
- Crea un ejemplo de configuración de Compute Engine.