在谷歌云上,我设置了三个新项目——开发、研究和生产。因此,然后创建了一个共享 VPC 主机和上面列出的三个服务项目。还打算为这些服务项目中的每一个提供单独的 VPC(以添加更多安全层),因此也打算现在使用 VPC Peering。但是这里很困惑,我们可以在同一组项目上同时配置共享 VPC 和 VPC 对等吗?。如果是这样,那么我找不到任何链接,这也是正确的做法吗?
Peering 和 Shared 有各自的用法。使用对等互连,每个项目最多只能有 25 个,并且传递性是不可能的。
例如,对于对等互连,如果您在开发和研究之间以及研究和生产之间建立对等互连; dev 无法到达 prod(禁止传递性),您必须为此在 dev 和 prod 之间建立对等。当您想要共享 VPN 或互连端点时,对等互连可能会很有趣。您在互连项目和那些想要重用此连接的项目之间执行对等。
使用共享 VPC,你没有传递性限制,所有 VM 都可以在同一个 VPC 中,即使它们在不同的项目中。
但是,通过这个配置,你打破了项目的强隔离,你的开发项目可以不受限制地访问产品!
因此,我建议您设置至少有“两条腿”的 VM 网络:一条在共享 VPC 中,另一条在项目专用 VPC 中。然后在您的 VPC 网络上设置正确的防火墙规则以限制共享 VPC 中的交互,但通过在项目级别与 VPC 项目中的分支保持不受限制的限制。
对等: 对等连接允许跨两个虚拟私有云 (VPC) 网络的内部 IP 地址连接,无论它们是否属于同一项目或同一组织。每个项目限制为 25 个,并且传递性是不可能的。
专有网络共享: 共享 VPC 允许组织将来自多个项目的资源连接到公共虚拟私有云 (VPC) 网络,以便它们可以使用来自该网络的内部 IP 安全高效地相互通信。当您使用共享 VPC 时,您将一个项目指定为宿主项目并将一个或多个其他服务项目附加到它。宿主项目中的 VPC 网络称为共享 VPC 网络。来自服务项目的合格资源可以使用共享 VPC 网络中的子网。