GCP NAT

前幾天有提到了GKE GCP中的Private VM，這點顧名思義表示著建立起的VM不具有外網對外連線的能力，也就是說他無法網外也無法被外部所連結，在安全性的的考量可以說是比較推薦的政策，但在現實生活中一定也會遇到一些不便的問題，比方說要如何的去呼叫另一個服務，因為VM為Private先天上就閹割了網路的出入口，這時就需要仰賴著NAT這個機制，NAT是什麼呢？簡單的說可以理解為類似IPtable，一個作為網路流出的Proxy，那今天就來看一下GCP上面的NAT要如何設置以及需要注意些什麼～

設置Cloud NAT

1. 選擇VPC網段區域
2. 建立Cloud Router
3. 選擇主要次要網段(允許pod VM IP段是否可對外設定)
4. 建立外部IP(NAT IP)

NAT所需注意事項

1. 每個 VM 執行個體的最低通訊埠數設定
   • NAT IP有65536port會先扣掉了1024需被使用數，剩下的64512可被使用，已預設來說最低通訊埠數為64，所以單一個NAT IP可供給1008台VM(64512/64)
   • 以上面的設定來說若遇到NAT連線數吃滿不夠可以做三件事
     1. 提高通訊埠數數量
     2. 開啟更多台的VM
     3. 又或是增加NAT IP數量

總結

以上設定在GCP上並不難，在實務面上比較需要知道NAT上面會有什麼限制(連線數)以及甚麼東西會吃到NAT設定(區域與網域網段)。