GCP - 공유 VPC와 프로젝트 간 VPC 피어링 - 주요 차이점은 무엇입니까?

다양한 GCP 기능을 테스트 중인데 제목에 나온 질문에 직면했습니다. 나는 약간의 실험 끝에생각하다다음 사항이 유지되어야 합니다.

• 2개의 피어링된 VPC는 ​​동일한 서브넷 범위를 공유할 수 없지만 VPC 공유는~이다동일한 서브넷 공유: 인스턴스가 통신하기를 원하고 방화벽(FW) 규칙을 조정하는 경우,이것이 실질적인 차이를 가져오나요?
• 공유 VPC는 ​​한쪽 끝이 계층적 관계를 생성합니다.~이다네트워크 및 FW 규칙의 관리자이므로 모든 서비스 프로젝트 기능을 지시하고 공유를 취소할 수 있습니다. 이는 또한 호스트 부분이 서비스 프로젝트에 액세스하여 서비스 프로젝트를 선택하고 호스트 프로젝트 VPC를 사용할 수 있어야 함을 의미합니다. 어쨌든 VPC 피어링에는 프로젝트를 피어링하려는 경우 프로젝트에 대한 특정 수준의 액세스가 필요하지만 두 프로젝트는 동등합니다(양쪽 끝에서 피어링을 허용해야 함).이것은 관리/인증의 차이입니다
• 공유 VPC를 사용하면 FW 규칙을 설정할 수 있는 중앙 지점이 단 하나뿐이므로 FW 설정이 단순화됩니다. 동일한 서브넷 세트가 공유됩니다. 피어링하는 동안(비슷한 VPN) 양쪽 끝에서 규칙을 설정해야 합니다.이는 관리 단순화입니다.
• 공유 VPC~할 수 있다리소스(IPv4 범위)를 더 빨리 소모하지만 이는 수많은 인스턴스가 연결되어 있음을 의미합니다.
• VPC 피어링은 최대 1개 수준까지 패스스루(데이지 체인)를 수행할 수 있습니다. VPC A에서 VPC B로의 연결이 1개 있고 VPC B에서 VPC C로의 연결이 하나 있습니다. VPC A와 C는~ 아니다통신하지만 VPC B는 둘 다와 통신할 수 있습니다. 반대로 공유 시나리오에서는 프로젝트가 동시에 호스트 또는 서비스가 될 수 있지만 동일한 서브넷을 공유하는 여러 프로젝트가 포함된 시나리오를 생성하고 전이적으로 서로 통신할 수 있습니다.이것은 아마도 내가 본 것 중 가장 관련성이 높은 차이점일 것입니다.

우리가 가지고 있다고 가정 해 봅시다N다양한 프로젝트N다양한 관리자,만약에모든 부분이 인스턴스 간에 일종의 네트워크 연결을 갖는 데 동의합니다. 공유 대신 피어링을 선택하는 데 다른 장단점이 있습니까?!

편집하다

• 어쩌면 이것이 가장 큰 차이점일지도 모르겠습니다: 서비스 프로젝트가 공유 VPC를 사용하고 나중에 이를 제거하려는 경우 먼저 새 VPC를 생성하고(또는 서비스 프로젝트의 기본값을 사용) 현재 공유 VPC를 사용하고 있는 모든 인스턴스에 새 NIC를 다시 할당해야 합니다. 이 새로운 NIC가 프로젝트 자체 VPC를 사용하도록 하고, FW 규칙을 다시 실행하고, 공유 VPC에서 인스턴스를 분리하기 전에 모든 인스턴스의 올바른 연결을 확인하십시오.
• 추가로 VPC 피어링을 사용할 수 있습니다같은 프로젝트 내에서워크로드 간의 격리를 강화하지만 선택된 VM의 통신을 거의 허용하지 않습니다.

편집 2

• 현재(2021-01) 공유 VPC는 ​​두 번째 NIC에서 사용할 수 있지만 베타 기능입니다.
• 또한 네트워크에 25개 이상의 피어링을 추가할 수 없으므로 소위 허브 앤 스포크 설계에서 공유 VPC를 통해 프로젝트가 통신하도록 하는 것이 매우 일반적입니다.
• 서로 다른 시스템 간에도 VPC 피어링을 적용할 수 있다는 사실을 방금 발견했습니다.조직!

편집 3

엄격한 네트워크 아키텍처는 아니지만 이제 Google은 비공개 서비스 액세스도 제공합니다. 즉, 외부 서비스(다른 프로젝트/VPC의 서비스 포함)를 프록시하는 방법입니다.VPC의 프록시

감사합니다