问题标签 [google-cloud-networking]

我目前正在 GCE 中实施蓝绿色设置。本质上，我正在做的是将 nginx 负载均衡器作为 GCP 的后端，因为可以快速完成将规则切换到 nginx 中的不同池。

如果没有可用的 nginx 后端，我想对存储在存储桶中的自定义页面进行错误处理，但我看不到使用标准运行状况检查的明确方法。有没有人遇到过这种事情？

我们生活在企业代理/防火墙后面，它只能使用静态 IP 规则而不是 FQDN。对于我们的项目，我们需要访问 Google Speech To Text API https://speech.googleapis.com：. 如果在公司网络之外，我们使用 gRPC 流 over HTTP/2 来做到这一点。

理想的场景如下所示：
Corporate network -> static IP in GCP -> forwarded gRPC stream to speech.googleapis.com

我们尝试的是创建一个全局静态外部 IP，但在配置负载均衡器时失败，因为它只能连接到虚拟机而不是 API。

或者，我们正在考虑使用nslookup speech.googleapis.comIP 地址范围的输出并每天更新它，尽管它看起来很“脏”。

我知道我们可以配置计算引擎资源/虚拟机并转发流量，但这看起来也不是一个优雅的解决方案。最好，我们可以使用现有的 GCP 网络组件来实现这一点。

非常感谢您的任何指点！

我在Google Cloud Compute Engine上创建了mongodb和mysql数据库，它们在服务器上运行良好，但我想从本地计算机访问它们，我遇到错误，谁能帮我找出我在配置中做错了什么?.

防火墙规则

端口状态

IP绑定

错误
蒙戈

mysql

我正在使用 Google Cloud Compute Engine 安装气流并保持其正常运行。安装很好，现在它在主机上运行：0.0.0.0:8080

我有此 VM 实例的外部 IP 地址，但是我无法通过此端口打开此端口。我已经检查了防火墙规则、HTTP/HTTPS 流量限额以及所有内容。一切看起来都很好。关于它为什么会发生以及如何解决它的任何提示？

提前致谢 ：）

例如，当我在荷兰创建一个实例时：

并执行 SSH 隧道，例如：

或者在我将我的 SSH 密钥添加到实例并执行以下操作之后：

（其中 55.66.77.88 是我的 Gcloud 实例的公共 IP）

然后像https://www.whatismyip.com/这样的页面仍然显示我的位置是美国加利福尼亚州的山景城，并且在我正确设置了 socks 代理之后，我的ISP 是 Google LLC 。

如果我使用 DigitalOcean 并做同样的事情，情况并非如此。

这是否意味着来自美国以外任何其他地区的 Gcloud 实例的所有传出请求仍通过美国路由？

当我们需要从 Internet 下载软件包时，我们使用代理服务器访问 Internet conda，例如2 种情况： - 来自 - 来自工作（工人） pipdebian
AI Platform notebook
Dataflow

我们的安全团队可以监控并查看哪个用户或服务帐户正在访问哪些 URL（我认为这是审计和合规所需要的。我不知道所有细节，但我认为我们的想法是能够回顾这样的事件看看发生了什么，做了什么）。问题是代理服务器不是为如此重的负载而设计的，在这种情况下使用它是一种非常糟糕的做法。我想使用Cloud NAT专门为此设计的。从技术上讲，这是完美的。

来自或其他提供商的哪些工具GCP被设计用于进行此类审计，并可用于监控在Cloud NAT. Cloud NAT Cloud NAT overview、Cloud NAT monitoring和Cloud NAT log_fields似乎无法获取此类信息。我不是 IT 安全人员，所以也许我没有使用正确的词，我希望专家能理解我在寻找什么。

GCP 防火墙具有默认的隐含规则来阻止所有入口并允许所有出口。那是针对 VPN 之外的外部流量。

但这是否会在默认情况下阻止单个 VPN 中子网之间的流量？

我添加了第二个网卡，以便连接到另一个 VPC 网络。

我已阅读此https://cloud.google.com/vpc/docs/create-use-multiple-interfaces ...设置路由，防火墙。

一切正常，但几个小时后，第二个网卡丢失了其内部 IP 地址。

试过service networking restart ifdown ifup但没有运气。

有人对可能发生的事情有任何想法吗？

或者我怎样才能防止这种情况发生？

我的 Kafka 节点托管在 Google Cloud Dataproc 中。但是，我们意识到通过默认初始化脚本安装的 Kafka 设置为只允许内网访问。它与外界完全隔绝。谷歌云网络外的生产者无法将消息发布到 Kafka，并且 Kafka 消息无法链接到其外网订阅者。

评论

我已将生产者 IP 列入白名单

通读其他 StackOverflow、博客文章和文档后。我认为这可能是由于in的advertised.listeners部分原因。Socket Server Settings/usr/lib/kafka/server.properties

第一个解决方案

我添加了advertised.listeners=PLAINTEXT://[External_IP]:19092

然后sudo /etc/init.d/kafka-server restart

结果

但是，当我尝试使用 Kafkacat 或 telnet 时，它总是失败。我还用各种端口测试了 Advertisementd.listeners

来自https://rmoff.net/2018/08/02/kafka-listeners-explained/的第二个解决方案

结果

结果和上面一样，不工作。

防火墙规则[更新]

这是我当前的防火墙规则配置。我做错了吗？

谁能帮我解决这个问题？

我正在运行gcloud compute networks subnets list-usable以获取允许使用的 Google Compute Engine 子网列表，但我想在 googleapiclient 中做同样的事情，这可能吗？