GCP - без облачного NAT, но учитывая общедоступный IP-адрес, уходит от VPC

У нас есть VPC, в котором есть виртуальные машины с только частными IP-адресами. К этому VPC не подключен Cloud NAT, поэтому мы не сможем получить доступ к общедоступным IP-адресам.

Несмотря на вышесказанное, мы обнаружили, что смогли свернуть следующий общедоступный IP-адрес с внутренней виртуальной машины. 64.233.166.153
В подсети виртуальной машины включен частный доступ Google, и существует маршрут по умолчанию к интернет-шлюзу по умолчанию, никакая другая запись маршрута не соответствует этому IP. Но нет Cloud NAT.

Мои вопросы:

  1. Как вообще возможно получить доступ к публичным IP без NAT?
  2. Есть ли другие доступные общедоступные IP-адреса? (без Cloud NAT)
  3. Для чего используются эти IP-адреса?

google-cloud-platform networking google-api google-oauth vpc
person Róbert Rádi    schedule 27.05.2021    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Похоже, что IP-адрес принадлежит ресурсу / API GCP.

Согласно документации GCP [1], когда включен PGA (частный доступ к Google), экземпляры виртуальных машин GCP без внешнего IP-адреса могут подключаться к набору внешних IP-адресов, используемых API и службами Google, путем включения частного доступа Google в подсети, используемой виртуальными машинами. сетевой интерфейс.

Это могло быть потенциальной причиной, по которой ваша виртуальная машина могла разговаривать с общедоступным IP-адресом.

[1] https://cloud.google.com/vpc/docs/configure-private-google-access

person dp nellutla    schedule 27.05.2021
comment
Спасибо за ваш ответ. В будущем мы собираемся развернуть Cloud NAT, чтобы было подключение к Интернету. При отсутствии прокси нам придется использовать правило брандмауэра запретить все исходящие данные с заданными исключениями, например частными IP-адресами Google Access. Было бы хорошо знать, какие IP-адреса принадлежат диапазону Private Google Access. Это как-то возможно? - person Róbert Rádi; 27.05.2021
comment
К сожалению, в документации GCP в настоящее время не указывается, какой IP-адрес принадлежит PGA. Однако вы можете управлять им, настроив ограниченный или частный доступ, следуя документации [1]. Надеюсь, это ответит на ваш вопрос. [1] cloud.google. com / vpc / docs / - person dp nellutla; 27.05.2021
comment
Я ценю вашу помощь. Мы это уже настроили. Но, насколько я понимаю, если мы определим правило запретить выход для всех правил брандмауэра, также необходимо внести в белый список правильные IP-адреса. Я прав? (В нашем случае мы хотим взаимодействовать с BigQuery API, не покидая магистральную сеть Google. Вот почему мы включили частный доступ к Google и правильные настройки DNS. Без правила deny all мы можем взаимодействовать с BQ. После добавления deny all Правило, получаем таймаут) - person Róbert Rádi; 27.05.2021
comment
К вашему сведению, я только что нашел общедоступные IP-адреса, используемые Google. cloud.google.com/vpc/docs/ - person Róbert Rádi; 28.05.2021