Настройка сети для доступа к локальным ресурсам через CloudVPN с возможным частным NAT

У нас есть существующая локальная сеть и новый проект GCP, которые связаны друг с другом через CloudVPN со статической маршрутизацией, например, у нас есть конкретный CIDR (предположим, 10.10.10.0/23) в GCP, который мы должны использовать для подключения к локальным ресурсам. (Более конкретно, наша команда по инфраструктуре управляет VPC с CloudVPN, и мы соединяем нашу VPC с этой vpn-VPN, чтобы затем использовать соединение CloudVPN)

Моя цель: иметь возможность общаться между локальными ресурсами и ресурсами GCP через CloudVPN в обоих направлениях, следуя разумным лучшим практикам.

Моя проблема заключается в понимании стратегий подключения этих сетей, я предполагаю использование Приватного NAT, но, возможно, и других подходов.

Мы используем GKE для наших развертываний, поэтому некоторые примеры ниже я обсудю, но я предполагаю, что настройка сети независима от GKE или других ресурсов.

Мы уже протестировали соединение CloudVPN, используя вышеупомянутый CIDR 10.10.10.0/23 в качестве вторичного диапазона в нашем GKE, и оно сработало, мы можем получить доступ к локальным ресурсам (в нашем случае к базе данных). Хотя это и сработало, установив вторичный диапазон GKE на этот CIDR, что по сути переводится в то, что GKE создает все Pods/Services в этом CIDR, и поэтому статическая маршрутизация активна для них, это кажется мне довольно странным – не все Pods/Services на самом деле нуждаются в доступе к локальным ресурсам и таким образом мы не могли получить доступ к этому CIDR с другими ресурсами в нашем проекте GCP, потому что это фактически блокируется GKE.

Поэтому я в поиске лучшего подхода, надеюсь, без блокировки всего диапазона VPN-CIDR. Я полагаю, что могу просто разделить CIDR и использовать только его подмножество в GKE, но это как-то все равно кажется “неправильным”.

Читая документацию, я не нашел действительно никакого ответа, поэтому в своей голове я придумал решение, которое кажется немного сложным (возможно, слишком сложным?), но мне нужен отзыв (или другое решение в целом), прежде чем я захочу начать это реализовывать.

Вот ключевые моменты, которые сейчас в моей голове:

• разделить VPN-CIDR (10.10.10.0/23) на две части: 10.10.10.0/24 для экспонирования ресурсов GCP в локальную сеть и 10.10.11.0/24 для диапазона “Private NAT”, чтобы ресурсы GCP могли подключаться к локальным ресурсам

• Экспонирование ресурсов GCP, кажется, совершенно простое, судя по документации. Просто создайте балансировщик нагрузки в конкретной подсети и настройте его. Кроме того, нам это сейчас не очень нужно, но, думаю, хорошо запланировать это, тем не менее.

• Подключение к локальным ресурсам сейчас более важно для нас, поэтому нам нужно создать Private NAT для доступа к этим ресурсам.

Правильный ли выбор Private NAT здесь? Даже если у нас настроен Приватный NAT, я все равно запутался, потому что какая-то часть отсутствует, возможно, какие-то маршруты? В конце концов, если мы хотим получить доступ к конкретному локальному ресурсу по IP из нашего GCP-проекта, как VPC и сеть на самом деле решают использовать этот Приватный NAT? Нужно ли мне настраивать эти маршруты вручную? Также было бы неплохо иметь DNS-имена для этих локальных IP-адресов, но в зависимости от добавленной сложности я рассматриваю это больше как бонус на данный момент.

В резюме, что я хочу достичь:

• У нас есть база данных в нашей локальной сети (например, 10.1.1.1), и я хочу получить к ней доступ из нашего GCP-проекта. Если возможно, даже как к DNS-имени (например, db-01.custom.de)

Мы используем Terraform, и локальная сеть и сеть GCP разделены брандмауэром, где мы можем внести в белый список CIDR GCP 10.10.10.0/23, на случай если эта информация важна для ответа.