问题标签 [google-cloud-vpn]

我有以下拓扑：

• 具有 2 个 vpc 的 GCP：A 和 B。A 是 10.0.0.0/16，B 是 10.1.0.0/16。A 与 B 对等，所以 A 可以访问 B，但 B 不能访问 A。

• 带有 vpc 的 AWS C.

我想在GCP和AWS之间建立一个VPN，这样CI可以访问A和B。但是当我在C和A之间创建VPN隧道时，C只能访问A。在这种情况下C如何通过VPN访问B？

我有两个具有相同提供商的 vpn，两个 vpn 都到达同一主机，因为第二个 vpn 的入站流量是通过别名 ip 解决的，但现在我有问题通过第二个 ip 别名从输出重定向流量vpn，这可能吗？

我正在 Google 云平台上的混合连接中配置 VPN 连接。VPN谷歌云平台是否支持以下参数？

加密算法，ESP-AES-SHA256
Diffie-Hellman Group，Group 2（1024 位）

我尝试配置它，但返回错误：

我有一个场景，其中一些 HTTP 服务部署在 AWS 实例上，我想在我的谷歌云功能中私下访问它。到目前为止，我已经测试过使用 VPN 网关我可以连接谷歌和 AWS 计算实例。但现在我正在寻找如何使用不在任何 VPC 下的 Google 功能通过 VPN 网关访问服务。有什么方法可以将我的谷歌云功能分配给 VPC，通过它我可以通过 VPN 网关调用 AWS 服务？

目前，我正在开发部署到谷歌云平台 GKE 集群的 nodejs 应用程序。此应用程序需要调用只能通过 VPN 访问的第 3 方 API，因此我必须建立一个到第 3 方 API 提供商网络的站点到站点 VPN。

我知道可以使用 GCP Cloud VPN 实现站点到站点 VPN，并且我以前有使用 GCP Cloud VPN 的经验。但对我来说问题是这个第 3 方 API 将只允许来自我的 VPC 的一个 IP 地址访问他们的网络，这是一个问题，因为 GKE 集群中的所有 pod 都有自己的临时 IP。

问题是我如何才能使从 GKE 集群到第 3 方 API 的传出 API 调用仅来自一个 IP 地址，以便第 3 方提供商管理员可以将该单个 IP 地址列入白名单以访问他们的 API？

我正在考虑使用一个 Linux 虚拟机作为 nat 路由器，这样对第 3 方 API 的 API 调用将首先通过这个 nat 路由器，然后从 nat 路由器到 Cloud VPN 网关。但是当我查看 VPC 路由表时，我就是看不到这种方法是如何实现的，因为在 VPC 路由表中我无法指定特定的网段作为源。我只能设置目的地和下一跳，这将影响 VPC 中的所有实例。

这是我的 VPC 的当前拓扑供参考：

这是可以在 GCP 中完成的事情，还是我以错误的方式看待问题？

谢谢你

我们有一个在 GKE 上运行的 Kubernetes 集群，它使用为此创建的自己的 VPC，子网为10.184.0.0/20. 该集群的工作负载已分配给公共访问的外部负载均衡器，以及用于内部通信的内部集群 IP。服务的子网是10.0.0.0/20。

在同一 VPC 上有一个谷歌云经典 VPN 设置，以便能够访问专用网络。

我们在本地托管了另一个系统，该系统使用隧道通过上述 VPN 进行连接。本地网络可以通过子网上的私有 IP ping VPC 中的节点10.184.0.0/20，但可以 ping / telnet 到子网上的集群 IP 10.0.0.0/20。

这有可能实现吗？

我有一个正在运行（生产）的 GKE 集群，它保留在默认 VPC（我们为 10.158.0.0/20）上。在集群内部，为了避免某些 VPN 上的 IP 冲突，我们选择将 192.168.0.0/20 和 192.168.16.0/20 用于内部 pod 和服务。

这工作得很好，但现在我需要制作一个特定的 POD（具有 192 IP）来访问 VPN 上的系统（其最终 IP 位于 172.16 地址）。我知道我可以找到与创建的节点关联的 IP 并将其添加到 VPN，但是当此自动缩放到多个节点时，将有一个新的不同 IP，因此我将不得不再次更新 VPN再一次，我想避免这种情况。

有什么方法可以做到这一点，而无需在新的不同子网上重新创建整个集群？像一些网关或我可以将 pod 路由到然后将网关路由到所需的 VPN 隧道的东西？或者也许将 192 网络路由到 VPN 隧道？那也行。

谢谢

假设我有一个 IP 范围为 10.148.0.0/20 的自定义 VPC，此自定义 VPC 具有允许内部的防火墙规则，因此这些 IP 范围内的服务可以相互通信。系统增长后，我需要使用 Classic Cloud VPN 连接到一些本地网络，已经创建了 Cloud VPN（已经有人配置的本地端配置）和已经建立的 VPN 隧道（带有绿色复选标记）。

我现在也可以使用在自定义 VPC 网络上创建的计算引擎 ping 到本地 IP（假设 ping 到 10.xxx.xxx.xxx，这不是 GCP 内部/私有 IP 而是本地私有 IP）。

问题是自定义 VPC 网络中生成的所有计算引擎实例现在无法与 Internet 通信（如执行 sudo apt update），甚至无法与谷歌云存储通信（使用 gsutil），但它们可以使用私有 IP 进行通信。我也无法在该自定义 VPC 上生成 dataproc 集群（我猜是因为它无法连接到 GCS，因为 dataproc 需要 GCS 来暂存存储桶）。

由于我并不真正了解网络知识并且对 GCP 来说相对较新，因此如何能够在我在自定义 VPC 中创建的实例上连接到互联网？

我们正在从 AWS 迁移到 GCP。我使用AWS 中的Client VPN Endpoint进入 AWS 中的 VPC 网络。GCP 中有什么替代方案可以让我快速设置并将我的笔记本电脑接入 VPC 网络？如果没有确切的替代方案，最接近的替代方案是什么，请提供设置说明。

AWS Client VPN 是一种托管的基于客户端的 VPN 服务，使您能够安全地访问您的 AWS 资源和本地网络中的资源。借助客户端 VPN，您可以使用基于 OpenVPN 的 VPN 客户端从任何位置访问您的资源。

我有一个名为“subnet-1”的 VPC，其中有 3 个 VM 实例和 1 个 SQL 实例（准确地说是 Postgresql）。所有这些都没有公共 IP，只有私有 IP。它们位于 Kubernetes 集群中。

我的要求是能够从我的本地 PC 连接到 VPC，以便使用一些 SQLClient 连接到 PG 并查看数据，我已阅读有关 CloudVPN 但不知道如何将其配置为有我想要的...你们中有人做过这样的配置吗？