Encaminhar pacotes diretamente para VMs aninhadas não é um recurso padrão do GCE. E se você tentou construí-lo usando recursos existentes de maneiras "inovadoras", é provável que você acerte a cota de endereços IP ao tentar alocar um endereço IP externo separado para cada VM aninhada.
Uma abordagem diferente
Em vez de tentar rotear pacotes diretamente para suas VMs aninhadas, recomendo que você adote uma abordagem diferente.
Na VM intermediária que pode ser atribuída diretamente a um endereço IP externo, você pode executar um proxy reverso para suportar HTTP e HTTPS. Esse proxy reverso usará o nome do host enviado pelo cliente para rotear o pedido para a VM aninhada correta.
Se as VMs aninhadas precisarem estabelecer conexões de saída, você poderá ter a VM intermediária configurada para fazer NAT para conexões das VMs aninhadas.
Uma palavra sobre confiabilidade
Se você está tentando construir um serviço altamente confiável, deve esperar que VMs intermediárias individuais fiquem ocasionalmente indisponíveis. Portanto, você deve exibir mais de uma VM intermediária para redundância e equilibrar a carga do tráfego nessas VMs intermediárias usando o balanceamento de carga HTTP ou o balanceamento de carga de rede fornecido pelo GCE.
Lembre-se de que as verificações de integridade feitas pelo balanceamento de carga do GCE não saberão sobre as VMs aninhadas e, portanto, considerarão cada VM intermediária como saudável ou insalubre, mesmo que uma das VMs aninhadas não esteja íntegra e as demais sejam insalubre.
Isso significa que seu proxy pode receber uma pequena quantidade de solicitações destinadas a uma VM aninhada que não é saudável atualmente, e você precisa implementar suas próprias verificações de saúde para poder rotear essas solicitações para outra VM intermediária.