Я тестирую различные функции GCP и столкнулся с вопросом в заголовке. После небольшого эксперимента ядуматьдолжно быть выполнено следующее:
- 2 одноранговых VPC не могут совместно использовать одни и те же диапазоны подсетей, в то время как совместное использование VPCявляетсясовместное использование одних и тех же подсетей: если мы хотим, чтобы экземпляры взаимодействовали, и мы настраиваем правила брандмауэра (FW),имеет ли это какое-либо практическое значение?
- Общий VPC создает иерархическую связь, где один конецявляетсяменеджер сети и правил FW и, следовательно, может диктовать все возможности сервисных проектов и может отзывать акции, это также означает, что хостовая часть должна иметь доступ к сервисным проектам, чтобы выбрать их и разрешить им использовать VPC хостового проекта. В любом случае пиринг VPC требует определенного уровня доступа к проектам, если кто-то хочет их пиринговать, но 2 проекта находятся на одном уровне (оба конца должны разрешать пиринг):это административное/авторское различие
- Общий VPC позволяет упростить настройку FW, поскольку у вас есть только одна центральная точка для настройки правил FW: у вас есть тот же набор общих подсетей; в то время как пиринг, как и VPN, требует настройки правил на обоих концах:это упрощение управления
- Общий VPCможетбыстрее исчерпывают свои ресурсы (диапазоны IPv4), но это означает, что у вас подключено множество экземпляров...
- Пиринг VPC может выполнять транзитную передачу (цепочку) до 1 уровня: у меня есть 1 соединение от VPC A к VPC B и одно от VPC B к VPC C. VPC A и C могутнетобщаться, но VPC B может общаться с обоими. Напротив, в сценарии общего доступа проект может быть только хостом или службой одновременно, но я могу создать сценарий с несколькими проектами, совместно использующими одну и ту же подсеть, и общаться друг с другом транзитивно...это, вероятно, самое важное различие, которое я видел
Допустим, у нас естьНразные проекты сНразные администраторы,есливсе стороны согласны с тем, что между экземплярами должно быть какое-то сетевое соединение. Есть ли еще какие-либо плюсы/минусы в выборе пиринга вместо общего доступа?!
Редактировать
- может быть, это действительно самое большое различие: если проект службы использует общее VPC и вы позже захотите удалить его, вам необходимо сначала создать новое VPC (или использовать значение по умолчанию для проекта службы), переназначить новый сетевой адаптер всем экземплярам, которые в данный момент используют общее VPC, разрешить этому новому сетевому адаптеру использовать собственное VPC проекта, переопределить правила FW и проверить правильность подключения всех экземпляров перед их отсоединением от общего VPC.
- дополнительно можно использовать пиринг VPCв рамках того же проектадля повышения изоляции между рабочими нагрузками, но при этом позволяя нескольким выбранным виртуальным машинам взаимодействовать.
Редактировать 2
- На данный момент (01.2021) общий VPC можно использовать на второй сетевой карте, но это бета-функция.
- Кроме того, в сеть нельзя добавить более 25 пиров, поэтому довольно часто проекту разрешается общаться через общий VPC в так называемых схемах «хаб и спицы».
- Только что обнаружил, что пиринг VPC можно применять даже между разнымиорганизации!
Редактировать 3
Хотя это и не строго сетевая архитектура, Google теперь предлагает также доступ к частным сервисам: способ проксирования внешних сервисов (включая те, что находятся в других проектах/VPC) черезпрокси в вашем VPC
Спасибо
решение1
Я хотел бы кое-что добавить к вашим замечательным выводам:
Что касается общего диапазона подсети, мы должны принять во внимание, что оба VPC должны принадлежать одной и той же организации. И еще, я хотел сказать, что общий VCP (XPVC) позволяет делиться ресурсами с более чем одним проектом. Вместо пиринга VPC, который позволяет делиться ресурсами только между двумя проектами.
Я согласен с вашим мнением, что при использовании XVPC проще управлять ресурсами, чем при использовании VPC, поскольку у каждого VPC есть свои собственные ресурсы.
Итак, в заключение следует сказать, что основное различие в использовании пиринга XVPC или VPC будет зависеть от ваших потребностей и вашего опыта управления ресурсами или от того, насколько вы хотите быть практичными.
решение2
Пиринг: Пиринг обеспечивает возможность внутреннего соединения IP-адресов между двумя сетями виртуальных частных облаков (VPC) независимо от того, принадлежат ли они к одному проекту или одной организации. Вы ограничены 25 адресами на проект, а транзитивность невозможна.
Совместное использование VPC: Shared VPC позволяет организации подключать ресурсы из нескольких проектов к общей сети Virtual Private Cloud (VPC), чтобы они могли безопасно и эффективно взаимодействовать друг с другом, используя внутренние IP-адреса из этой сети. При использовании Shared VPC вы назначаете проект в качестве хост-проекта и присоединяете к нему один или несколько других сервисных проектов. Сети VPC в хост-проекте называются сетями Shared VPC. Приемлемые ресурсы из сервисных проектов могут использовать подсети в сети Shared VPC.