GCP - プロジェクト間の共有 VPC と VPC ピアリング - 主な違いは何ですか?

GCP - プロジェクト間の共有 VPC と VPC ピアリング - 主な違いは何ですか?

私はGCPのさまざまな機能をテストしていますが、タイトルの質問に直面しました。少し実験した後、考える次のことが当てはまるはずです。

  • 2つのピアリングされたVPCは同じサブネット範囲を共有できませんが、VPC共有では同じサブネットを共有する:インスタンス同士が通信できるようにファイアウォール(FW)ルールを調整する場合、これによって実際的な違いはあるのでしょうか?
  • 共有VPCは、一方の端ともう一方の端がネットワークと FW ルールの管理者は、すべてのサービス プロジェクトの機能を指示し、共有を取り消すことができます。これは、ホスト部分がサービス プロジェクトにアクセスして、サービス プロジェクトを選択してホスト プロジェクトの VPC を使用できるようにする必要があることも意味します。いずれにしても、VPC ピアリングでは、プロジェクトをピアリングする場合、プロジェクトへの一定レベルのアクセスが必要ですが、2 つのプロジェクトは同等です (両端でピアリングを許可する必要があります)。これは管理/認証の違いです
  • 共有 VPC では、FW ルールを設定するための中央ポイントが 1 つだけなので、FW 設定が簡素化されます。つまり、同じサブネット セットが共有されます。一方、ピアリング (VPN と同様) では、両端でルールを設定する必要があります。これは管理の簡素化です
  • 共有 VPCできるリソース (IPv4 範囲) がより早く使い果たされますが、これは大量のインスタンスが接続されていることを意味します...
  • VPCピアリングは1レベルまでのパススルー(デイジーチェーン)が可能です。VPC AからVPC Bへの接続が1つ、VPC BからVPC Cへの接続が1つあります。VPC AとCはない通信できますが、VPC B は両方と通信できます。逆に、共有シナリオでは、プロジェクトは同時にホストまたはサービスのいずれかにしかなれませんが、複数のプロジェクトが同じサブネットを共有するシナリオを作成し、推移的に相互に通信することができます...これはおそらく私が見た中で最も関連のある違いです

例えば、いいえさまざまなプロジェクトいいえ異なる管理者、もしすべての部分がインスタンス間で何らかのネットワーク接続を持つことには同意していますが、共有よりもピアリングを選択することのその他の長所/短所はありますか?

編集

  • おそらくこれが最も大きな違いでしょう: サービス プロジェクトで共有 VPC を使用していて、後でそれを削除する場合は、まず新しい VPC を作成し (またはサービス プロジェクトのデフォルトを使用し)、現在共有 VPC を使用しているすべてのインスタンスに新しい NIC を再割り当てし、この新しい NIC でプロジェクト独自の VPC を使用するようにし、FW ルールをやり直して、すべてのインスタンスの接続が正しいことを確認してから、共有 VPC からインスタンスをデタッチする必要があります。
  • さらにVPCピアリングも使用可能同じプロジェクト内ワークロード間の分離を高めながら、選択された少数の VM が通信できるようにします。

編集2

  • 現在(2021-01)共有VPCは2番目のNICで使用できますが、これはベータ機能です。
  • また、ネットワークに 25 を超えるピアリングを追加することはできないため、いわゆるハブアンドスポーク設計でプロジェクトが共有 VPC 経由で通信できるようにすることが一般的です。
  • VPCピアリングは異なる間でも適用できることを発見しました組織

編集3

厳密にはネットワークアーキテクチャではありませんが、Googleは現在、プライベートサービスアクセスも提供しています。これは、外部サービス(他のプロジェクト/VPCのサービスを含む)をプロキシする方法です。VPC内のプロキシ

ありがとう

答え1

あなたの素晴らしい発見に何か付け加えたいことがあります:

同じサブネット範囲を共有する場合、両方の VPC が同じ組織に属している必要があることを考慮する必要があります。また、共有 VCP (XPVC) を使用すると、複数のプロジェクトでリソースを共有できることもお伝えしたいと思います。2 つのプロジェクト間でのみリソースを共有できる VPC ピアリングとは異なります。

各 VPC が独自のリソースを持つため、VPC を使用するよりも XVPC を使用する方がリソースの管理が容易であるという点に同意します。

したがって、結論として、XVPC または VPC ピアリングを使用する主な違いは、ニーズとリソース管理の経験、またはどれだけ実用的であるかによって異なります。

答え2

ピアリング: ピアリングを使用すると、同じプロジェクトまたは同じ組織に属しているかどうかに関係なく、2 つの仮想プライベート クラウド (VPC) ネットワーク間で内部 IP アドレス接続が可能になります。プロジェクトあたり 25 個までに制限されており、推移性は不可能です。

VPC 共有: 共有 VPC を使用すると、組織は複数のプロジェクトのリソースを共通の Virtual Private Cloud (VPC) ネットワークに接続して、そのネットワークの内部 IP を使用して安全かつ効率的に相互に通信できるようになります。共有 VPC を使用する場合は、プロジェクトをホスト プロジェクトとして指定し、それに 1 つ以上の他のサービス プロジェクトをアタッチします。ホスト プロジェクト内の VPC ネットワークは、共有 VPC ネットワークと呼ばれます。サービス プロジェクトの適格なリソースは、共有 VPC ネットワーク内のサブネットを使用できます。

関連情報