Utiliser Public NAT avec GKE
Cette page vous explique comment configurer un exemple de configuration de Public NAT avec Google Kubernetes Engine (GKE). Avant de configurer Public NAT, consultez les Présentation du NAT public
Prérequis
Vous devez effectuer les opérations suivantes avant de configurer Public NAT.
Obtenir des autorisations IAM
Le rôle roles/compute.networkAdmin vous permet de créer une passerelle NAT sur Cloud Router, de réserver et d'attribuer des adresses IP NAT et de spécifier les sous-réseaux dont le trafic doit utiliser la traduction d'adresse réseau par la passerelle NAT.
Configurer Google Cloud
Avant de commencer, configurez les éléments suivants dans Google Cloud.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Configurer l'exemple GKE
Utilisez cet exemple si vous souhaitez voir une configuration NAT publique simple qui fonctionne avec GKE.
Étape 1 : Créer un réseau VPC et un sous-réseau
Si vous disposez déjà d'un réseau et d'un sous-réseau, vous pouvez ignorer cette étape.
Console
Dans Google Cloud Console, accédez à la page Réseaux VPC.
Cliquez sur Créer un réseau VPC.
Saisissez le nom
custom-network1
.Sous Sous-réseaux, définissez le paramètre Mode de création du sous-réseau sur Personnalisé.
Sous Nouveau sous-réseau, saisissez
subnet-us-east-192
pour le paramètre Nom.Dans le champ Région, sélectionnez us-east4.
Définissez le paramètre Plage d'adresses IP sur
192.168.1.0/24
.Cliquez sur Done (OK), puis sur Create (Créer).
gcloud
Créez un réseau cloud privé virtuel (VPC) en mode personnalisé dans votre projet:
gcloud compute networks create custom-network1 \ --subnet-mode custom
Sortie :
NAME MODE IPV4_RANGE GATEWAY_IPV4 custom-network1 custom
Spécifiez le préfixe de sous-réseau pour la première région. Dans cet exemple, nous attribuons
192.168.1.0/24
à la régionus-east4
.gcloud compute networks subnets create subnet-us-east-192 \ --network custom-network1 \ --region us-east4 \ --range 192.168.1.0/24
Sortie :
NAME REGION NETWORK RANGE subnet-us-east-192 us-east4 custom-network1 192.168.1.0/24
Terraform
Vous pouvez utiliser un module Terraform pour créer un réseau de cloud privé virtuel personnalisé et le sous-réseau.
Étape 2 : Créer un cluster privé
Console
Dans Cloud Console, accédez à la page des clusters Kubernetes.
Cliquez sur Créer un cluster.
Dans le champ Nom, saisissez
nat-test-cluster
.Définissez le Type d'emplacement sur Zonal.
Définissez le paramètre Zone sur us-east4-c.
Dans le volet de navigation, cliquez sur Mise en réseau.
Sélectionner Cluster privé.
Décochez la case Accéder au plan de contrôle à l'aide de son adresse IP externe.
Saisissez une plage d'adresses IP du plan de contrôle de
172.16.0.0/28
.Définissez le paramètre Réseau sur
custom-network1
.Pour créer et démarrer le cluster, cliquez sur Créer.
gcloud
gcloud container clusters create "nat-test-cluster" \ --zone "us-east4-c" \ --username "admin" \ --cluster-version "latest" \ --machine-type "e2-medium" \ --disk-type "pd-standard" \ --disk-size "100" \ --scopes "https://www.googleapis.com/auth/compute","https://www.googleapis.com/auth/devstorage.read_only","https://www.googleapis.com/auth/logging.write","https://www.googleapis.com/auth/monitoring","https://www.googleapis.com/auth/servicecontrol","https://www.googleapis.com/auth/service.management.readonly","https://www.googleapis.com/auth/trace.append" \ --num-nodes "3" \ --enable-private-nodes \ --enable-private-endpoint \ --master-ipv4-cidr "172.16.0.0/28" \ --enable-ip-alias \ --network "projects/PROJECT_ID/global/networks/custom-network1" \ --subnetwork "projects/PROJECT_ID/regions/us-east4/subnetworks/subnet-us-east-192" \ --max-nodes-per-pool "110" \ --enable-master-authorized-networks \ --addons HorizontalPodAutoscaling,HttpLoadBalancing \ --enable-autoupgrade \ --enable-autorepair
Terraform
Vous pouvez utiliser une ressource Terraform pour créer un cluster privé.
Étape 3 : Créer une règle de pare-feu qui autorise les connexions SSH
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur Créer une règle de pare-feu.
Saisissez le nom
allow-ssh
.Définissez le paramètre Réseau sur
custom-network1
.Définissez le paramètre Sens du trafic sur Entrée.
Définissez Action en cas de correspondance sur Autoriser.
Définissez le paramètre Cibles sur Toutes les instances du réseau.
Définissez Filtre source sur Plages IPv4.
Définissez le paramètre Plages d'adresses IP sources sur
35.235.240.0/20
.Définissez Protocoles et ports sur Protocoles et ports spécifiés.
Cochez la case tcp et saisissez comme port
22
.Cliquez sur Create (Créer).
gcloud
gcloud compute firewall-rules create allow-ssh \ --network custom-network1 \ --source-ranges 35.235.240.0/20 \ --allow tcp:22
Terraform
Vous pouvez utiliser une ressource Terraform pour créer une règle de pare-feu.
Étape 4 : Créer des autorisations SSH IAP sur l'un de vos nœuds
Lors d'une prochaine étape, utilisez IAP pour vous connecter à votre nœud.
Console
Dans Google Cloud Console, accédez à la page Identity-Aware Proxy.
Sélectionnez l'onglet Ressources SSH et TCP.
Cochez la case située à côté du premier nœud de la liste sous Toutes les ressources de tunnels > us-east4-c. Son nom sera semblable au suivant :
gke-nat-test-cluster-default-pool-b50db58d-075t
.Notez le nom du nœud. Vous en aurez besoin pour tester la connectivité.
Dans le volet de droite, cliquez sur Ajouter un compte principal.
Pour accorder aux utilisateurs, aux groupes ou aux comptes de service l'accès aux ressources, spécifiez leur adresse e-mail dans le champ Nouveaux comptes principaux.
Si vous ne testez que cette fonctionnalité, vous pouvez saisir votre propre adresse e-mail.
Pour accorder aux comptes principaux l'accès aux ressources via la fonctionnalité de transfert TCP de Cloud IAP, dans la liste déroulante Rôle, sélectionnez Cloud IAP > Utilisateur de tunnels sécurisés par IAP.
Cliquez sur Enregistrer.
gcloud
Pour cette étape, suivez les instructions relatives à la console.
Étape 5 : Se connecter au nœud et confirmer qu'il ne peut pas accéder à Internet
Console
Dans Google Cloud Console, accédez à la page Instances de VM.
Recherchez le nœud pour lequel vous avez créé des autorisations SSH IAP. Dans la colonne Connecter, cliquez sur la flèche du menu déroulant SSH, puis sélectionnez Ouvrir dans la fenêtre du navigateur.
Si vous vous connectez pour la première fois à l'instance, Google Cloud génère les clés SSH.
À partir de l'invite du nœud, recherchez l'ID de processus du conteneur
kube-dns
:pgrep '^kube-dns$'
Accédez au conteneur :
sudo nsenter --target PROCESS_ID --net /bin/bash
À partir de
kube-dns
, essayez de vous connecter à Internet :curl example.com
Vous ne devriez obtenir aucun résultat. Dans le cas contraire, vous n'avez peut-être pas créé votre cluster en tant que cluster privé, ou il existe un autre problème. Pour résoudre ce problème, consultez Les VM peuvent accéder à Internet de manière inattendue sans le NAT public.
Pour arrêter la commande, vous devrez peut-être saisir
Ctrl+C
.
gcloud
Recherchez le nom de l'un de vos nœuds de cluster :
gcloud compute instances list
Un nom de nœud ressemble à ceci :
gke-nat-test-cluster-default-pool-1a4cbd06-3m8v
. Notez le nom du nœud et utilisez-le là où s'afficheNODE_NAME
dans les commandes suivantes.Connectez-vous au nœud :
gcloud compute ssh NODE_NAME \ --zone us-east4-c \ --tunnel-through-iap
À partir de l'invite du nœud, recherchez l'ID de processus du conteneur
kube-dns
:pgrep '^kube-dns$'
Accédez au conteneur :
sudo nsenter --target PROCESS_ID --net /bin/bash
À partir de
kube-dns
, essayez de vous connecter à Internet :curl example.com
Vous ne devriez obtenir aucun résultat. Pour arrêter la commande, vous devrez peut-être saisir
Ctrl+C
.
Étape 6 : Créer une configuration NAT à l'aide de Cloud Router
Vous devez créer le routeur Cloud Router dans la même région que les instances qui utilisent le NAT public. Le NAT public n'est utilisé que pour placer le NAT sur les VM. Ce service ne fait pas partie de la passerelle NAT.
Cette configuration permet à toutes les instances de la région d'utiliser le NAT public pour toutes les plages d'adresses IP principales et d'adresses IP d'alias. De plus, elle attribue automatiquement les adresses IP externes de la passerelle NAT. Pour plus d'options, consultez la documentation sur Google Cloud CLI.
Console
Dans Google Cloud Console, accédez à la page Cloud NAT.
Cliquez sur Commencer ou Créer une passerelle NAT.
Définissez le paramètre Nom de la passerelle sur
nat-config
.Définissez le paramètre Réseau VPC sur
custom-network1
.Définissez le paramètre Région sur us-east4.
Sous Cloud Router, sélectionnez Créer un routeur.
- Saisissez le nom
nat-router
. - Cliquez sur Créer.
- Saisissez le nom
Cliquez sur Créer.
gcloud
Créez un routeur Cloud Router :
gcloud compute routers create nat-router \ --network custom-network1 \ --region us-east4
Ajoutez une configuration au routeur :
gcloud compute routers nats create nat-config \ --router-region us-east4 \ --router nat-router \ --nat-all-subnet-ip-ranges \ --auto-allocate-nat-external-ips
Terraform
Vous pouvez utiliser une ressource Terraform pour créer un routeur Cloud Router.
Vous pouvez utiliser un module Terraform pour créer une configuration NAT.
Étape 7 : Essayer de se reconnecter à Internet
La propagation de la configuration NAT peut prendre jusqu'à trois minutes. Vous devez donc attendre au moins une minute avant d'essayer d'accéder de nouveau à Internet.
Si vous n'êtes toujours pas connecté à kube-dns
, reconnectez-vous en suivant la procédure décrite à l'étape 5. Une fois connecté, exécutez de nouveau la commande curl
:
curl example.com
Le résultat devrait contenir ce qui suit :
<html> <head> <title>Example Domain</title> ... ... ... </head> <body> <div> <h1>Example Domain</h1> <p>This domain is established to be used for illustrative examples in documents. You can use this domain in examples without prior coordination or asking for permission.</p> <p><a href="http://www.iana.org/domains/example">More information...</a></p> </div> </body> </html>
Étape suivante
- Configurez une passerelle Public NAT.
- Créez un exemple de configuration Compute Engine.