Utiliser Public NAT avec GKE

Cette page vous explique comment configurer un exemple de configuration Public NAT avec Google Kubernetes Engine (GKE). Avant de configurer Public NAT, consultez la présentation de Public NAT.

Prérequis

Vous devez effectuer les opérations suivantes avant de configurer Public NAT.

Obtenir des autorisations IAM

Le rôle roles/compute.networkAdmin vous permet de créer une passerelle NAT sur Cloud Router, de réserver et d'attribuer des adresses IP NAT et de spécifier les sous-réseaux dont le trafic doit utiliser la traduction d'adresse réseau assurée par la passerelle NAT.

Configurer Google Cloud

Avant de commencer, configurez les éléments suivants dans Google Cloud.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  6. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  11. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

    12. Configurer l'exemple GKE

    Utilisez cet exemple si vous souhaitez voir une configuration Public NAT simple qui utilise GKE.

    Étape 1 : Créer un réseau VPC et un sous-réseau

    Si vous disposez déjà d'un réseau et d'un sous-réseau, vous pouvez ignorer cette étape.

    Console

    1. Dans la console Google Cloud , accédez à la page Réseaux VPC.

      Accéder à la page Réseaux VPC

    2. Cliquez sur Créer un réseau VPC.

    3. Spécifiez custom-network1 pour le paramètre Nom.

    4. Sous Sous-réseaux, définissez le paramètre Mode de création du sous-réseau sur Personnalisé.

    5. Sous Nouveau sous-réseau, saisissez subnet-us-east-192 pour le paramètre Nom.

    6. Dans le champ Région, sélectionnez us-east4.

    7. Définissez le paramètre Plage d'adresses IP sur 192.168.1.0/24.

    8. Cliquez sur OK, puis sur Créer.

    gcloud

    1. Créez un réseau de cloud privé virtuel (VPC) en mode personnalisé dans votre projet :

      gcloud compute networks create custom-network1 \
    --subnet-mode custom

      Résultat : 

      NAME             MODE     IPV4_RANGE   GATEWAY_IPV4
custom-network1  custom

    2. Spécifiez le préfixe de sous-réseau pour la première région. Dans cet exemple, nous attribuons 192.168.1.0/24 à la région us-east4.

      gcloud compute networks subnets create subnet-us-east-192 \
   --network custom-network1 \
   --region us-east4 \
   --range 192.168.1.0/24

      Résultat : 

      NAME                REGION    NETWORK          RANGE
subnet-us-east-192  us-east4  custom-network1  192.168.1.0/24

    Terraform

    Vous pouvez utiliser un module Terraform pour créer un réseau et un sous-réseau de cloud privé virtuel personnalisés.

    module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 12.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "custom-network1"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-us-east-192"
      subnet_ip     = "192.168.1.0/24"
      subnet_region = "us-east4"
    }
  ]
}

    Étape 2 : Créer un cluster privé

    Console

    1. Dans la console Google Cloud , accédez à la page Clusters Kubernetes.

      Accéder à la page des clusters Kubernetes

    2. Cliquez sur Créer un cluster.

    3. Dans le champ Nom, saisissez nat-test-cluster.

    4. Définissez le paramètre Type d'emplacement sur Zonal.

    5. Définissez le paramètre Zone sur us-east4-c.

    6. Dans le volet de navigation, cliquez sur Mise en réseau.

    7. Sélectionnez Cluster privé.

    8. Décochez la case Accéder au plan de contrôle à l'aide de son adresse IP externe.

    9. Saisissez 172.16.0.0/28 pour le paramètre Plage d'adresses IP du plan de contrôle.

    10. Définissez le paramètre Réseau sur custom-network1.

    11. Pour créer et démarrer le cluster, cliquez sur Créer.

    gcloud

    gcloud container clusters create "nat-test-cluster" \
    --zone "us-east4-c" \
    --username "admin" \
    --cluster-version "latest" \
    --machine-type "e2-medium" \
    --disk-type "pd-standard" \
    --disk-size "100" \
    --scopes "https://www.googleapis.com/auth/compute","https://www.googleapis.com/auth/devstorage.read_only","https://www.googleapis.com/auth/logging.write","https://www.googleapis.com/auth/monitoring","https://www.googleapis.com/auth/servicecontrol","https://www.googleapis.com/auth/service.management.readonly","https://www.googleapis.com/auth/trace.append" \
    --num-nodes "3" \
    --enable-private-nodes \
    --enable-private-endpoint \
    --master-ipv4-cidr "172.16.0.0/28" \
    --enable-ip-alias \
    --network "projects/PROJECT_ID/global/networks/custom-network1" \
    --subnetwork "projects/PROJECT_ID/regions/us-east4/subnetworks/subnet-us-east-192" \
    --max-nodes-per-pool "110" \
    --enable-master-authorized-networks \
    --addons HorizontalPodAutoscaling,HttpLoadBalancing \
    --enable-autoupgrade \
    --enable-autorepair

    Terraform

    Vous pouvez utiliser une ressource Terraform pour créer un cluster privé.

    resource "google_container_cluster" "primary" {
  project            = var.project_id
  name               = "nat-test-cluster"
  location           = "us-east4-c"
  initial_node_count = 3
  network            = var.network # Replace with a reference or self link to your network, in quotes
  subnetwork         = var.subnet  # Replace with a reference or self link to your subnet, in quotes
  private_cluster_config {
    master_ipv4_cidr_block  = "172.16.0.0/28"
    enable_private_endpoint = true
    enable_private_nodes    = true
  }
  ip_allocation_policy {
  }
  master_authorized_networks_config {
  }
}

    Étape 3 : Créer une règle de pare-feu qui autorise les connexions SSH

    Console

    1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

      Accéder à la page des règles de pare-feu

    2. Cliquez sur Créer une règle de pare-feu.

    3. Indiquez allow-ssh pour le paramètre Nom.

    4. Définissez le paramètre Réseau sur custom-network1.

    5. Définissez le paramètre Sens du trafic sur Entrée.

    6. Définissez Action en cas de correspondance sur Autoriser.

    7. Définissez le paramètre Cibles sur Toutes les instances du réseau.

    8. Définissez le paramètre Filtre source sur Plages IPv4.

    9. Définissez le paramètre Plages d'adresses IP sources sur 35.235.240.0/20.

    10. Définissez le paramètre Protocoles et ports sur Protocoles et ports spécifiés.

    11. Cochez la case tcp et spécifiez le port 22.

    12. Cliquez sur Créer.

    gcloud

    gcloud compute firewall-rules create allow-ssh \
    --network custom-network1 \
    --source-ranges 35.235.240.0/20 \
    --allow tcp:22

    Terraform

    Vous pouvez utiliser une ressource Terraform pour créer une règle de pare-feu.

    resource "google_compute_firewall" "rules" {
  project = var.project_id
  name    = "allow-ssh"
  network = var.network
  allow {
    protocol = "tcp"
    ports    = ["22"]
  }
  source_ranges = ["35.235.240.0/20"]
}

    Étape 4 : Créer des autorisations SSH IAP pour l'un de vos nœuds

    Lors d'une prochaine étape, vous utiliserez IAP pour vous connecter à votre nœud.

    Console

    1. Dans la console Google Cloud , accédez à la page Identity-Aware Proxy.

      Accéder à la page Identity-Aware Proxy

    2. Sélectionnez l'onglet Ressources SSH et TCP.

    3. Cochez la case située à côté du nom du premier nœud de la liste sous Toutes les ressources de tunnels > us-east4-c. Ce nom doit ressembler à ceci : gke-nat-test-cluster-default-pool-b50db58d-075t.

    4. Notez le nom du nœud. Vous en aurez besoin pour tester la connectivité.

    5. Dans le volet de droite, cliquez sur Ajouter un compte principal.

    6. Pour accorder l'accès aux ressources à des utilisateurs, groupes ou comptes de service, spécifiez leur adresse e-mail dans le champ Nouveaux comptes principaux.

      Si vous ne faites que tester cette fonctionnalité, vous pouvez saisir votre propre adresse e-mail.

    7. Pour accorder aux comptes principaux l'accès aux ressources via la fonctionnalité de transfert TCP de Cloud IAP, dans la liste déroulante Rôle, sélectionnez Cloud IAP > Utilisateur de tunnels sécurisés par IAP.

    8. Cliquez sur Enregistrer.

    gcloud

    Pour cette étape, suivez les instructions concernant la console.

    Étape 5 : Se connecter au nœud et confirmer qu'il ne peut pas accéder à Internet

    Console

    1. Dans la console Google Cloud , accédez à la page Instances de VM.

      Accéder à la page des instances de VM

    2. Recherchez le nœud pour lequel vous avez créé des autorisations SSH IAP. Dans la colonne Connecter, cliquez sur la flèche du menu déroulant SSH, puis sélectionnez Ouvrir dans une fenêtre du navigateur.

      Si vous vous connectez pour la première fois à l'instance,Google Cloud génère les clés SSH.

    3. À partir de l'invite du nœud, recherchez l'ID de processus du conteneur kube-dns :

      pgrep '^kube-dns$'

    4. Accédez au conteneur :

      sudo nsenter --target PROCESS_ID --net /bin/bash

    5. À partir de kube-dns, essayez de vous connecter à Internet :

      curl example.com

      Vous ne devriez obtenir aucun résultat. Dans le cas contraire, vous n'avez peut-être pas créé votre cluster en tant que cluster privé, ou il existe un autre problème. Pour résoudre le problème, consultez Les machines virtuelles peuvent accéder à Internet de façon inattendue, sans Cloud NAT.

      Pour arrêter la commande, vous devrez peut-être saisir Ctrl+C.

    gcloud

    1. Recherchez le nom de l'un de vos nœuds de cluster :

      gcloud compute instances list

      Un nom de nœud ressemble à ceci : gke-nat-test-cluster-default-pool-1a4cbd06-3m8v. Notez le nom du nœud et utilisez-le à la place de NODE_NAME dans les commandes suivantes.

    2. Connectez-vous au nœud :

      gcloud compute ssh NODE_NAME \
    --zone us-east4-c \
    --tunnel-through-iap

    3. À partir de l'invite du nœud, recherchez l'ID de processus du conteneur kube-dns :

      pgrep '^kube-dns$'

    4. Accédez au conteneur :

      sudo nsenter --target PROCESS_ID --net /bin/bash

    5. À partir de kube-dns, essayez de vous connecter à Internet :

      curl example.com

      Vous ne devriez obtenir aucun résultat. Pour arrêter la commande, vous devrez peut-être appuyer sur Ctrl+C.

    Étape 6 : Créer une configuration NAT à l'aide de Cloud Router

    Vous devez créer le routeur Cloud Router dans la même région que les instances qui utilisent Public NAT. Public NAT sert uniquement à placer les informations NAT sur les VM. Ce service ne fait pas partie de la passerelle NAT.

    Cette configuration permet à toutes les instances de la région d'utiliser Public NAT pour toutes les plages d'adresses IP primaires et d'adresses IP d'alias. De plus, elle attribue automatiquement les adresses IP externes pour la passerelle NAT. Pour plus d'options, consultez la documentation sur la Google Cloud CLI.

    Console

    1. Dans la console Google Cloud , accédez à la page Cloud NAT.

      Accéder à la page Cloud NAT

    2. Cliquez sur Premiers pas ou Créer une passerelle NAT.

    3. Définissez le paramètre Nom de la passerelle sur nat-config.

    4. Définissez le paramètre Réseau VPC sur custom-network1.

    5. Définissez le paramètre Région sur us-east4.

    6. Dans la section Cloud Router, sélectionnez Créer un routeur.

      1. Indiquez nat-router pour le paramètre Nom.
      2. Cliquez sur Créer.

    7. Cliquez sur Créer.

    gcloud

    1. Créez un routeur Cloud Router :

      gcloud compute routers create nat-router \
    --network custom-network1 \
    --region us-east4

    2. Ajoutez une configuration au routeur :

      gcloud compute routers nats create nat-config \
    --router-region us-east4 \
    --router nat-router \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

    Terraform

    Vous pouvez utiliser une ressource Terraform pour créer un routeur Cloud Router.

    resource "google_compute_router" "router" {
  project = var.project_id
  name    = "nat-router"
  network = var.network
  region  = "us-east4"
}

    Vous pouvez utiliser un module Terraform pour créer une configuration NAT.

    module "cloud-nat" {
  source                             = "terraform-google-modules/cloud-nat/google"
  version                            = "~> 5.0"
  project_id                         = var.project_id
  region                             = "us-east4"
  router                             = google_compute_router.router.name
  name                               = "nat-config"
  source_subnetwork_ip_ranges_to_nat = "ALL_SUBNETWORKS_ALL_IP_RANGES"
}

    Étape 7 : Essayer de se connecter à Internet une nouvelle fois

    La propagation de la configuration NAT peut prendre jusqu'à trois minutes. Attendez au moins une minute avant d'essayer d'accéder de nouveau à Internet.

    Si vous n'êtes toujours pas connecté à kube-dns, reconnectez-vous en suivant la procédure décrite à l'étape 5. Une fois connecté, exécutez de nouveau la commande curl :

    curl example.com

    Le résultat devrait contenir ce qui suit :

    
<html>
<head>
<title>Example Domain</title>
...
...
...
</head>

<body>
<div>
    <h1>Example Domain</h1>
    <p>This domain is established to be used for illustrative examples in documents. You can use this
    domain in examples without prior coordination or asking for permission.</p>
    <p><a href="http://www.iana.org/domains/example">More information...</a></p>
</div>
</body>
</html>

    Étapes suivantes