Networking GCP-无云NAT，但给定公共IP离开VPC

我们有一个VPC，它的虚拟机只有专用IP地址。这个专有网络没有云NAT连接，所以我们不能接触到公共IP

尽管有上述情况，我们还是能够从内部虚拟机curl以下公共IP地址。 64.233.166.153
虚拟机的子网启用了专用Google访问，并且存在到默认internet网关的默认路由，没有与此IP匹配的其他路由条目但是没有云NAT

我的问题是:

没有NAT怎么可能到达公共IP

是否有其他可访问的公共IP？（无云NAT）

这些IP是用来做什么的

---

看起来IP地址属于GCP资源/API

根据GCP文档[1]，当启用PGA（专用Google访问）时，没有外部IP的GCP VM实例可以通过在VM网络接口使用的子网上启用专用Google访问，连接到Google API和服务使用的外部IP地址集

这可能是您的虚拟机能够与公共IP通信的潜在原因

---

[1]

谢谢您的回复。在未来，我们将部署一个云NAT，这样就可以连接互联网。在没有代理的情况下，我们将不得不使用拒绝所有出口的防火墙规则，但有特定的例外情况，例如私有谷歌访问IP。最好知道哪些IP属于谷歌的私有访问范围。这有可能吗？不幸的是，GCP文档目前没有指定哪个IP地址属于PGA。但是，您可以按照文档[1]配置重新循环或专用访问来控制它。我希望这能回答你的问题。[1]我感谢你的帮助。我们已经配置好了。但根据我的理解，如果我们定义了拒绝出口所有防火墙规则，也有必要将适当的IP列入白名单。我说得对吗？（在我们的用例中，我们希望在不离开谷歌主干网的情况下与BigQuery API通信。这就是为什么我们启用了私有谷歌访问和正确的DNS设置。没有拒绝所有规则，我们可以与BQ通信。添加拒绝所有规则后，我们得到一个timout）仅供参考，我刚刚找到了谷歌使用的公共IP。