我正在测试各种 GCP 功能,并且遇到了标题中的问题。经过一些实验后,我思考应遵守以下规定:
- 2 个对等 VPC 不能共享相同的子网范围,而 VPC 共享是共享相同的子网:如果我们想让实例进行通信,并调整防火墙 (FW) 规则,这有什么实际区别吗?
- 共享 VPC 会创建一个层次关系,其中一端是网络和 FW 规则的管理员,因此可以决定所有服务项目的能力并可以撤销共享,这也意味着主机部分必须有权访问服务项目,以便挑选它们并允许它们使用主机项目 VPC。无论如何,如果想要对等连接,VPC 对等连接需要对项目具有一定级别的访问权限,但这两个项目是平等的(两端都必须允许对等连接):这是管理/授权的区别
- 共享 VPC 允许简化 FW 设置,因为您只有一个中心点来设置 FW 规则:您共享同一组子网;而对等连接(类似 VPN)则需要在两端设置规则:这是管理上的简化
- 共享 VPC能更快地耗尽其资源(IPv4 范围),但这意味着您连接了大量实例......
- VPC 对等连接可以进行直通(菊花链)最多 1 层:我有 1 个从 VPC A 到 VPC B 的连接,还有 1 个从 VPC B 到 VPC C 的连接。VPC A 和 C 可以不是通信,但 VPC B 可以与两者通信。相反,在共享场景中,一个项目只能同时作为主机或服务,但我可以创建一个场景,其中多个项目共享同一子网并相互传递通信...这可能是我见过的最相关的差异
假设我们有否不同的项目否不同的管理员,如果所有部分都同意在实例之间建立某种网络连接,选择对等连接而不是共享连接还有其他优点/缺点吗?!
编辑
- 也许这就是最大的区别:如果服务项目使用共享 VPC,而您稍后想要删除它,则需要先创建一个新的 VPC(或使用服务项目的默认设置),为当前使用共享 VPC 的所有实例重新分配一个新的 nic,让这个新的 nic 使用项目自己的 VPC,重新执行 FW 规则并检查所有实例的连接是否正确,然后再将它们与共享 VPC 分离。
- 另外还可以使用 VPC 对等连接在同一项目中增加工作负载之间的隔离,但只允许少数选定的虚拟机进行通信。
编辑2
- 截至目前(2021-01),共享 VPC 可以在第二个 NIC 上使用,但这是一项测试版功能
- 而且,一个网络不能添加超过 25 个对等体,因此,在所谓的中心辐射型设计中,让项目通过共享 VPC 进行通信是很常见的。
- 刚刚发现 VPC 对等连接甚至可以应用于不同的组织!
编辑3
虽然不是严格意义上的网络架构,但 Google 现在也提供私有服务访问:一种通过代理外部服务(包括其他项目/VPC 中的服务)的方式。您的 VPC 中的代理
谢谢
答案1
我想对您的出色发现进行一些补充:
关于共享同一子网范围,我们必须考虑到两个 VPC 应该属于同一组织。另外,我想说的是,共享 VCP (XPVC) 允许与多个项目共享资源。而不是仅允许在两个项目之间共享资源的 VPC 对等连接。
我同意你的观点,使用 XVPC 更容易管理资源,而不是 VPC,因为每个 VPC 都有自己的资源。
因此,总而言之,使用 XVPC 或 VPC 对等的主要区别取决于您的需求和您管理资源的经验或您想要的实用性。
答案2
对等:对等允许跨两个虚拟私有云 (VPC) 网络的内部 IP 地址连接,无论它们是否属于同一个项目或同一个组织。每个项目的限制为 25 个,并且无法进行传递。
VPC 共享:共享 VPC 允许组织将来自多个项目的资源连接到一个公共虚拟私有云 (VPC) 网络,以便它们可以使用该网络的内部 IP 安全高效地相互通信。使用共享 VPC 时,您可以将一个项目指定为宿主项目,并将一个或多个其他服务项目附加到该项目。宿主项目中的 VPC 网络称为共享 VPC 网络。服务项目中的合格资源可以使用共享 VPC 网络中的子网。