如何解决如何通过重叠的VPC连接多个云?
我们正在创建一个控制台,用于在多云环境中的Kubernetes上管理,查看日志和指标,创建资源。
控制台(一个网络应用程序)已部署在GCP中的GKE上,但是我们无法弄清楚如何在IP重叠的情况下连接和访问多个VPC中的K8S Api服务器,而又不会公开它们。 IP。
我画了一个小图来揭示问题。
是否有一些产品或最佳实践可以安全地执行此操作?
产品供应商,例如Mongo Atlas或Confluent Cloud似乎已经解决了这个问题,他们可以在多个云中创建基础架构并对其进行管理。
解决方法
即使两个重叠的网络位于不同的云(GCP和AWS)中,也无法通过VPN连接两个重叠的网络。
我建议双方都使用NAT转换,并使用VPN连接网络。 这是一些可以帮助您的文档。不幸的是,这需要大量的阅读和设置。这不是最简单的解决方案,但它具有可靠性的优点,并且这是一种已经过久且经过测试的方法。
常规文档
- Configure NAT to Enable Communication Between Overlapping Networks
- Using NAT in Overlapping Networks
GCP端
AWS方面
您的第二个选择是将原始网络分成较小的块,以使它们不会重叠,但这并不总是可能的(由于网络已经足够小,并且许多IP已用完...)。
,这取决于环境中的几个因素。 要访问重叠的网络,您需要某种形式的网关。 它可以是某种代理袜子/ http / other或路由器/ gw(带有nat ..)。 如果您可以访问192.168.23.0/24或可以从gcp连接到aws 192.168.2.0/24子网的任何其他子网,则可以使用其中一种解决方案。 我假设aws和gcp可以提供gw / proxy网络之间的隧道。 如果不需要隧道的安全层,则可以使用vxlan隧道并保护tcp /其他应用程序协议。
,使用带有AWS Virtual Private Gateway的Google Cloud VPN,您可以完成这样的事情。 documentation给出了Google的详细说明。
它描述了两种VPN拓扑:
- 基于站点到站点路由的IPsec VPN隧道配置。
- 使用Google Cloud Router进行站点到站点IPsec VPN隧道配置,并使用BGP协议进行动态路由。
此外,当CIDR范围重叠时。您将需要创建一个不重叠的新VPC / CIDR范围。否则,您将永远无法连接到在AWS和GCP中都具有IP地址的实例。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
