共享 VPC 和 VPC 对等互连组合答案

【问题标题】：Shared VPC and VPC Peering mix共享 VPC 和 VPC 对等互连组合
【发布时间】：2020-02-13 14:01:02
【问题描述】：

在 Google 云上，我设置了三个新项目 - 开发、研究和产品。因此，然后创建了一个共享 VPC 主机和三个上面列出的服务项目。还打算为每个服务项目使用单独的 VPC（以添加更多安全层），因此也打算现在使用 VPC Peering。但是在这里感到困惑的是，我们可以在同一组项目上同时配置共享 VPC 和 VPC 对等互连吗？如果是这样，那么我找不到任何链接，这也是正确的做法吗？

【问题讨论】：

除非您知道自己在做什么，否则您会遇到网络混乱。有时，最好的答案需要了解问题的内容和原因。您提到了安全性，那么为什么要创建对等和共享 VPC？
你从你的项目中暴露了什么？ API，网络服务器，数据处理？试图了解上下文以及 more 安全性是什么意思。

标签： google-cloud-platform vpc google-cloud-networking

【解决方案1】：

Peering 和 Shared 有各自的用法。使用对等互连，每个项目最多只能有 25 个，并且无法实现传递性。

例如，对于对等，如果您在开发和研究之间以及研究和产品之间设置了对等； dev 无法到达 prod（禁止传递性），您必须为此在 dev 和 prod 之间建立对等互连。当您想要共享 VPN 或互连端点时，对等互连可能会很有趣。您在互连项目和希望重用此连接的项目之间执行对等互连。

使用共享VPC，您没有传递性限制，所有VM都可以在同一个VPC中，即使在不同的项目中。

但是，使用此配置，您打破了项目的强隔离，您的开发项目可以不受限制地访问产品！

因此我建议您设置至少有“2条腿”的VM网络：1条在共享VPC中，另一个在项目专用VPC中。然后在您的 VPC 网络上设置正确的防火墙规则，以限制共享 VPC 中的交互，但在项目级别与 VPC 项目中的分支保持不受限制的限制。

【讨论】：