是否可以创建 GCP 内部负载均衡器以桥接共享 VPC 和单独的 GCP VPC？

Question

我们有一个在整个组织中使用的共享 VPC。为了保留 IP 空间，团队在具有固定 CIDR 范围（不与共享 VPC 重叠）的单​​独 VPC（在他们自己的 GCP 项目中）中创建 GKE 集群，然后在他们自己的 VPC 中创建代理实例，并提供第二个接口来自共享 VPC 中的计算地址。

共享 VPC 中的 GKE 客户端随后可以执行 export HTTPS_PROXY=<compute-address>:<proxy-port> 和 kubectl 命令，这些命令将通过代理到达 GKE 集群。

对此的改进是在 GKE 集群本身上运行此代理，并使用 GCP 内部负载平衡器来桥接共享 VPC 和每个团队拥有的 VPC。

这在 GCP 上可行吗？即，您能否拥有一个内部负载均衡器，该负载均衡器在共享 VPC 中具有入口 IP，但后端位于单独的 VPC 中？

Answer 1

Shared VPC can be used in conjunction with load balancing.

可以创建在一个 VPC 中具有前端而在另一个 VPC 中具有后端的内部 TCP 或 HTTP(S) 负载平衡器（但所有后端 VM 组必须位于同一 VPC 中）。 p>

我是not possible to create LB with backend VM's in different zones:

内部 TCP/UDP 负载平衡器不支持：

多个区域的后端虚拟机平衡来自 互联网，除非您将其与外部负载平衡器一起使用

还有所有 LB 的 clients must be in the same VPC as it's frontend。

如果您需要health checks then you must set up proper firewall rules。

但是有一个条件 - 要让这种负载平衡器工作，您的后端虚拟机必须有两个网络接口 - 一个在它们的“家庭”VPC 中，第二个在共享 VPC 中。您还必须在它们上配置正确的路由，但这是另一回事。