這個架構其實是當初在AWS上實做出來的

我早期的部落格文章有提到，這邊就不多描述了

主要是現在GCP新增加了一個Cloud NAT的功能

可以讓理想中，不需要有對外IP的Server可以連接網際網路進行必要更新或版更

大致流程如下

如果沒有VPN tunnel 由辦公室建立內部網路連線

則多建立一台jumper server

建立兩台web server

由jumper server 走內部IP ssh 至兩台web (ssh go key 我就不多說了)

通了之後，建立一個 Cloud NAT

這時候沒有外部IP的兩台web server即可安裝nginx等套件

接著建立個負載平衡

掛上這兩台web

然後記得開個防火牆 80 port

收工

應用面上來說，只會暴露出負載平衡的IP

其餘全部的server沒有所謂的外部IP，沒有IP就沒有資安疑慮，完美！

GCP可以玩的花樣又更進一步了！