Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare Public NAT con Compute Engine

Questa pagina mostra una dimostrazione di un gateway NAT pubblico che fornisce servizi di Network Address Translation per un'istanza VM di Compute Engine. Prima di iniziare, leggi la panoramica del NAT pubblico.

Prerequisiti

Prima di configurare NAT pubblico, devi eseguire le seguenti operazioni.

Ottieni autorizzazioni IAM

Il ruolo roles/compute.networkAdmin ti concede le autorizzazioni per creare un gateway NAT su router Cloud, riservare e assegnare indirizzi IP NAT e specificare le subnet il cui traffico deve utilizzare la Network Address Translation tramite il gateway NAT.

Configura Trusted Cloud by S3NS

Prima di iniziare, configura i seguenti elementi in Trusted Cloud.

In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Trusted Cloud project.
Install the Google Cloud CLI.
Configura gcloud CLI per utilizzare la tua identità federata.

Per ulteriori informazioni, vedi Accedere a gcloud CLI con la tua identità federata.
Per inizializzare gcloud CLI, esegui questo comando:
```
gcloud init
```
Nota:

Le istruzioni di Google Cloud CLI in questa pagina presuppongono che tu abbia impostato l'ID progetto prima di eseguire i comandi. Puoi impostare un ID progetto con il seguente comando:
```
    gcloud config set project PROJECT_ID
  
```
Puoi anche visualizzare un ID progetto già impostato:
```
    gcloud config list --format='text(core.project)'
  
```
Esempio

Di seguito è riportato un esempio end-to-end che mostra un gateway Public NAT di esempio e una VM Compute Engine di esempio che utilizza il gateway Public NAT.

Passaggio 1: crea una rete VPC e una subnet

Se hai già una rete e una subnet, puoi saltare questo passaggio.
Console
1. Nella console Trusted Cloud , vai alla pagina Reti VPC.
  
  Vai alla pagina Reti VPC
2. Fai clic su Crea rete VPC.
3. Inserisci un nome per custom-network1.
4. In Subnet, imposta Modalità di creazione subnet su Personalizzata.
5. In Nuova subnet, inserisci un Nome di subnet-us-east-192.
6. In Regione, seleziona us-east4.
7. Inserisci un intervallo di indirizzi IP di 192.168.1.0/24.
8. Fai clic su Fine, quindi su Crea.
gcloud
1. Crea una nuova rete VPC in modalità personalizzata nel tuo progetto:
  gcloud compute networks create custom-network1 \ --subnet-mode custom
2. Specifica il prefisso della subnet per la prima regione. In questo esempio, assegniamo 192.168.1.0/24 alla regione us-east4.
  gcloud compute networks subnets create subnet-us-east-192 \ --network custom-network1 \ --region us-east4 \ --range 192.168.1.0/24
Terraform
Puoi utilizzare un modulo Terraform per creare una rete Virtual Private Cloud (VPC) e una subnet personalizzate.
module "test-vpc-module" { source = "terraform-google-modules/network/google" version = "~> 10.0" project_id = var.project_id # Replace this with your project ID in quotes network_name = "custom-network1" mtu = 1460 subnets = [ { subnet_name = "subnet-us-east-192" subnet_ip = "192.168.1.0/24" subnet_region = "us-east4" } ] }
Passaggio 2: crea un'istanza VM senza indirizzo IP esterno
Console
1. Nella console Trusted Cloud , vai alla pagina Istanze VM.
  
  Vai alla pagina Istanze VM
2. Fai clic su Crea istanza.
3. Specifica un nome di nat-test-1 per l'istanza.
4. Imposta Regione su us-east4.
5. Imposta la zona su us-east4-c.
6. Fai clic sul link Gestione, sicurezza, dischi, networking, single-tenancy.
7. Fai clic sulla scheda Networking.
8. In Interfacce di rete, fai clic su Modifica per l'interfaccia predefinita della VM.
  1. Imposta Rete su custom-network1.
  2. Imposta Subnet su subnet-us-east-192.
  3. Imposta IP esterno su Nessuno.
  4. Fai clic su Fine.
9. Per creare e avviare l'istanza, fai clic su Crea.
gcloud
```
gcloud compute instances create nat-test-1 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --network custom-network1 \
    --subnet subnet-us-east-192 \
    --zone us-east4-c \
    --no-address
```
Terraform
Puoi utilizzare una risorsa Terraform per creare un'istanza VM.
resource "google_compute_instance" "default" { project = var.project_id zone = "us-east4-c" name = "nat-test-1" machine_type = "e2-medium" boot_disk { initialize_params { image = "debian-cloud/debian-9" } } network_interface { network = "custom-network1" subnetwork = var.subnet # Replace with a reference or self link to your subnet, in quotes } }
Passaggio 3: crea una regola firewall che consenta le connessioni SSH
Console
1. Nella console Trusted Cloud , vai alla pagina Policy firewall.
  
  Vai alla pagina Policy firewall
2. Fai clic su Crea regola firewall.
3. Inserisci un nome per allow-ssh.
4. Specifica una rete di custom-network1.
5. Imposta Direzione del traffico su In entrata.
6. Imposta Azione in caso di corrispondenza su Consenti.
7. Imposta Destinazioni su Tutte le istanze nella rete.
8. Imposta Filtro di origine su Intervalli IPv4.
9. Imposta Intervalli IP di origine su 35.235.240.0/20.
10. Imposta Protocolli e porte su Protocolli e porte specificati.
11. Seleziona la casella di controllo tcp e inserisci la porta 22.
12. Fai clic su Crea.
gcloud
```
gcloud compute firewall-rules create allow-ssh \
    --network custom-network1 \
    --source-ranges 35.235.240.0/20 \
    --allow tcp:22
```
Terraform
Puoi utilizzare una risorsa Terraform per creare una regola firewall.
resource "google_compute_firewall" "rules" { project = var.project_id name = "allow-ssh" network = var.network # Replace with a reference or self link to your network, in quotes allow { protocol = "tcp" ports = ["22"] } source_ranges = ["35.235.240.0/20"] }
Passaggio 4: crea le autorizzazioni SSH IAP per l'istanza di test

In un passaggio successivo, utilizza Identity-Aware Proxy (IAP) per connetterti all'istanza di test.
Console
1. Nella console Trusted Cloud , vai alla pagina Identity-Aware Proxy.
  
  Vai alla pagina Identity-Aware Proxy
2. Seleziona la scheda Risorse SSH e TCP.
3. Per aggiornare le autorizzazioni dei membri sulle risorse, seleziona la casella di controllo accanto a Tutte le risorse tunnel > us-east4-c > nat-test-1.
4. Nel riquadro a destra, fai clic su Aggiungi membro.
5. Per concedere a utenti, gruppi o service account l'accesso alle risorse, nel campo Nuovi membri, specifica i loro indirizzi email.
  
  Se stai solo testando questa funzionalità, puoi inserire il tuo indirizzo email.
6. Per concedere ai membri l'accesso alle risorse tramite la funzionalità di forwarding TCP di Cloud IAP, seleziona Cloud IAP > Utente del tunnel con protezione IAP nell'elenco a discesa Ruolo.
7. Fai clic su Salva.
gcloud
Questo comando concede l'accesso SSH utilizzando IAP a tutte le istanze VM del tuo progetto. Se vuoi concedere l'accesso SSH utilizzando IAP a una singola VM, segui le istruzioni della console Trusted Cloud .
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER_INFO \
    --role=roles/iap.tunnelResourceAccessor
```
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto
- MEMBER_INFO: un elenco separato da virgole di coppie di membri type:email. Esempi:
  - Per un singolo utente: user:test-user@example.com
  - Per un gruppo: group:admins@example.com
  - Per un account di servizio: serviceAccount:test123@example.domain.com
Terraform
Puoi utilizzare una risorsa Terraform per creare autorizzazioni SSH IAP per l'istanza di test.
resource "google_project_iam_member" "project" { project = var.project_id role = "roles/iap.tunnelResourceAccessor" member = "serviceAccount:test123@example.domain.com" }
Passaggio 5: accedi a nat-test-1 e verifica che non riesca a connettersi a internet
Console
1. Nella console Trusted Cloud , vai alla pagina Istanze VM.
  
  Vai alla pagina Istanze VM
2. Per nat-test-1, nella colonna Connetti, fai clic sulla freccia del menu a discesa SSH e seleziona Apri nella finestra del browser.
3. Al prompt dei comandi della VM, inserisci curl example.com e premi Invio.
  
  Non dovresti ottenere alcun risultato. In questo caso, potresti aver creato nat-test-1 con un indirizzo IP esterno o potrebbe esserci un altro problema. Per la risoluzione dei problemi, consulta la sezione Le VM possono raggiungere internet in modo imprevisto senza Cloud NAT.
  
  Per terminare il comando, potresti dover inserire Ctrl+C.
gcloud
1. Aggiungi una chiave SSH Compute Engine al tuo host locale:
  ssh-add ~/.ssh/google_compute_engine
2. Connettiti a nat-test-1 ed esegui un comando:
  gcloud compute ssh nat-test-1 \ --zone us-east4-c \ --command "curl example.com" \ --tunnel-through-iap
  Non dovresti ottenere alcun risultato. In questo caso, potresti aver creato nat-test-1 con un indirizzo IP esterno o potrebbe esserci un altro problema. Per la risoluzione dei problemi, consulta la sezione Le VM possono raggiungere internet in modo imprevisto senza Cloud NAT.
  
  Per terminare il comando, potresti dover inserire Ctrl+C.
Passaggio 6: crea una configurazione NAT utilizzando router Cloud

Devi creare il router Cloud nella stessa regione delle istanze che utilizzano NAT pubblico. Il router Cloud viene utilizzato solo per inserire le informazioni NAT nelle VM. Non viene utilizzato come parte del gateway NAT effettivo.

Questa configurazione consente a tutte le istanze nella regione di utilizzare NAT pubblico per tutti gli intervalli IP primari e alias. Inoltre, alloca automaticamente gli indirizzi IP esterni per il gateway NAT. Per altre opzioni, consulta la documentazione di Google Cloud CLI.

Nota :la NAT pubblica utilizza il router Cloud solo per raggruppare le informazioni di configurazione NAT (control plane). NAT pubblico non indica a un router Cloud di utilizzare BGP o di aggiungere route. Il traffico NAT non passa attraverso un router Cloud (piano dati).
Console
1. Nella Trusted Cloud console, vai alla pagina Cloud NAT.
  
  Vai alla pagina Cloud NAT
2. Fai clic su Inizia o Crea gateway NAT.
3. Inserisci un nome gateway di nat-config.
4. Imposta la rete VPC su custom-network1.
5. Imposta Regione su us-east4.
6. In Router Cloud, seleziona Crea nuovo router.
  1. Inserisci un nome per nat-router.
  2. Fai clic su Crea.
7. Fai clic su Crea.
gcloud
1. Crea un router Cloud:
  gcloud compute routers create nat-router \ --network custom-network1 \ --region us-east4
2. Aggiungi una configurazione al router:
  gcloud compute routers nats create nat-config \ --router-region us-east4 \ --router nat-router \ --nat-all-subnet-ip-ranges \ --auto-allocate-nat-external-ips
Terraform
Puoi utilizzare una risorsa Terraform per creare un router Cloud.
resource "google_compute_router" "router" { project = var.project_id name = "nat-router" network = var.network region = "us-east4" }
Puoi utilizzare un modulo Terraform per creare una configurazione NAT.
module "cloud-nat" { source = "terraform-google-modules/cloud-nat/google" version = "~> 5.0" project_id = var.project_id region = "us-east4" router = google_compute_router.router.name name = "nat-config" source_subnetwork_ip_ranges_to_nat = "ALL_SUBNETWORKS_ALL_IP_RANGES" }
Passaggio 7: prova a connetterti di nuovo a internet

La propagazione della configurazione NAT alla VM potrebbe richiedere fino a 3 minuti, quindi attendi almeno un minuto prima di riprovare ad accedere a internet.
Console
1. Nella console Trusted Cloud , vai alla pagina Istanze VM.
  
  Vai alla pagina Istanze VM
2. Per nat-test-1, nella colonna Connetti, fai clic sulla freccia del menu a discesa SSH e seleziona Apri nella finestra del browser.
3. Al prompt dei comandi della VM, inserisci curl example.com e premi Invio.
gcloud
Connettiti a nat-test-1 ed esegui un comando:
```
gcloud compute ssh nat-test-1 \
    --zone us-east4-c \
    --command "curl example.com" \
    --tunnel-through-iap
```
Dovresti vedere un output contenente i seguenti contenuti:
```
<html>
<head>
<title>Example Domain</title>
...
...
...
</head>

<body>
<div>
    <h1>Example Domain</h1>
    <p>This domain is established to be used for illustrative examples in documents. You can use this
    domain in examples without prior coordination or asking for permission.</p>
    <p><a href="http://www.iana.org/domains/example">More information...</a></p>
</div>
</body>
</html>
```
Passaggi successivi
- Configura un gateway Public NAT.
- Crea una configurazione di esempio di Google Kubernetes Engine (GKE).

Utilizzare Public NAT con Compute Engine

Prerequisiti

Ottieni autorizzazioni IAM

Configura Trusted Cloud by S3NS

Esempio

Passaggio 1: crea una rete VPC e una subnet

Console

gcloud

Terraform

Passaggio 2: crea un'istanza VM senza indirizzo IP esterno

Console

gcloud

Terraform

Passaggio 3: crea una regola firewall che consenta le connessioni SSH

Console

gcloud

Terraform

Passaggio 4: crea le autorizzazioni SSH IAP per l'istanza di test

Console

gcloud

Terraform

Passaggio 5: accedi a nat-test-1 e verifica che non riesca a connettersi a internet

Console

gcloud

Passaggio 6: crea una configurazione NAT utilizzando router Cloud

Console

gcloud

Terraform

Passaggio 7: prova a connetterti di nuovo a internet

Console

gcloud

Passaggi successivi

Passaggio 5: accedi a `nat-test-1` e verifica che non riesca a connettersi a internet