在 Google Cloud Platform (GCP) 中,构建 NAT Gateway 可以让你的私有子网中的虚拟机(VM)访问互联网,而不需要直接暴露其内部 IP。以下是构建 NAT Gateway 的详细步骤:
步骤 1:创建 VPC 网络和子网
如果你还没有 VPC 网络和子网,请按照以下步骤创建:
- 登录到 GCP 控制台。
- 在左侧菜单中,选择 VPC 网络,然后点击 创建 VPC 网络。
- 填写网络名称、选择所需的区域,并创建至少一个公共子网和一个私有子网。
步骤 2:创建 Cloud Router
- 创建 Cloud Router:
- 在左侧菜单中,选择 网络服务 > Cloud Router。
- 点击 创建 Cloud Router。
- 填写名称、选择区域和网络(选择你之前创建的 VPC 网络)。
- 点击 创建。
步骤 3:创建 Cloud NAT
- 创建 Cloud NAT:
- 在左侧菜单中,选择 网络服务 > Cloud NAT。
- 点击 创建 NAT 网关。
- 填写 NAT 网关的名称,并选择步骤 2 中创建的 Cloud Router。
- 在 NAT IP 地址部分,选择 创建新的 IP 地址,然后为 NAT 分配一个新的静态外部 IP 地址。
- 在 网络和子网部分,选择你要启用 NAT 的私有子网。
- 确保选择 所有实例(或根据需要选择特定实例)。
- 点击 创建。
步骤 4:配置防火墙规则
- 创建防火墙规则(如果尚未创建):
- 在左侧菜单中,选择 VPC 网络 > 防火墙规则。
- 点击 创建防火墙规则。
- 为你的规则命名,并选择目标为 所有实例(或特定实例)。
- 在 源过滤器中,选择 IP 范围,并设置为 0.0.0.0/0,以允许所有外部流量。
- 在 允许的协议和端口中,选择 tcp 和 udp 并指定需要的端口(如:80,443)。
- 点击 创建。
步骤 5:测试 NAT Gateway
-
创建私有 VM 实例:
- 创建一个 VM 实例,确保其位于私有子网中。
- 确保该 VM 的防火墙规则允许出站流量。
-
连接到私有 VM:
- 由于私有 VM 没有外部 IP,你需要通过 Bastion 主机(如果已创建)或其他方式 SSH 到该实例。
-
测试互联网连接:
- 一旦你连接到私有 VM,尝试 Ping 或访问外部网站(如 ping google.com),以验证 NAT Gateway 是否正常工作。
注意事项
- 费用:使用 Cloud NAT 会产生费用,包括外部 IP 地址和出站流量的费用。
- 安全性:确保防火墙规则仅允许必要的流量,以增强安全性。
- 监控和日志:考虑启用 VPC Flow Logs,以监控 NAT Gateway 的流量。
安全协议)
