我正在測試各種 GCP 功能,並且遇到了標題中的問題。經過一點實驗後我思考應符合以下條件:
- 2個對等VPC不能共享相同的子網路範圍,而VPC共享是共享相同的子網路:如果我們希望實例進行通訊並調整防火牆(FW)規則,這有什麼實際差異嗎?
- 共享 VPC 創建了一種層次關係,其中一端是網路和 FW 規則的管理者,因此可以決定所有服務項目的能力並可以撤銷共享,這也意味著主機部分必須有權存取服務項目,以便選擇它們並允許它們使用主機項目 VPC。無論如何,如果想要對等互連,VPC 對等互連需要對專案具有一定程度的存取權限,但這兩個項目是同等的(兩端都必須允許對等互連):這是管理/授權差異
- 共享 VPC 可以簡化韌體設置,因為您只有一個中心點來設置韌體規則:共享同一組子網路;對等互連時(類似 VPN)需要在兩端設定規則:這是管理的簡化
- 共享專有網絡能更快地耗盡其資源(IPv4範圍),但這意味著您有大量連接的實例...
- VPC 對等互連最多可進行 1 級直通(菊花鏈):我有 1 個從 VPC A 到 VPC B 的連接,以及 1 個從 VPC B 到 VPC C 的連接。不是通信,但 VPC B 可以與兩者通信。相反,在共享場景中,專案只能同時是主機或服務,但我可以創建一個場景,其中多個專案共享同一子網並相互傳遞...這可能是我見過的最相關的差異
假設我們有氮不同的項目與氮不同的管理員,如果所有部分都同意在實例之間建立某種網路連接,選擇對等互連而不是共享還有其他優點/缺點嗎?
編輯
- 也許這才是真正最大的區別:如果服務項目使用共用VPC,並且您稍後想要刪除它,則需要先建立一個新的VPC(或使用服務項目的預設值),為目前使用共用VPC的所有執行個體重新指派新的網路卡,讓這個新網卡使用項目自己的VPC,重做韌體規則並檢查所有實例的連接是否正確,然後再將它們與共享VPC 分離。
- 另外還可以使用 VPC 對等互連在同一專案內增加工作負載之間的隔離,但只允許少數選定的虛擬機器進行通訊。
編輯2
- 截至目前 (2021 年 1 月),共享 VPC 可以在第二個 NIC 上使用,但它是測試版功能
- 此外,一個網路中不能增加超過 25 個對等點,因此在所謂的中心輻射型設計中讓專案透過共享 VPC 進行通訊是很常見的。
- 剛剛發現VPC對等互連甚至可以在不同的網路之間應用組織!
編輯3
雖然不是嚴格的網路架構,但 Google 現在也提供私有服務存取:一種透過代理外部服務(包括其他專案/VPC 中的服務)的方法您的 VPC 中的代理
謝謝
答案1
我想在您的出色發現中添加一些內容:
關於共享相同的子網路範圍,我們必須考慮到兩個VPC應該屬於同一個組織。另外,我想說共享 VCP (XPVC) 允許與多個專案共享資源。而不是僅允許在兩個項目之間共享資源的 VPC 對等互連。
我同意你的觀點,使用XVPC更容易管理資源,而不是VPC,因為每個VPC都有自己的資源。
因此,作為結論,使用 XVPC 或 VPC 對等互連的主要區別將取決於您的需求和您管理資源的經驗,或取決於您想要實用的程度。
答案2
對等互連:對等互連允許跨兩個虛擬私有雲 (VPC) 網路進行內部 IP 位址連接,無論它們是否屬於同一專案或同一組織。每個項目的數量限制為 25 個,而且傳遞性是不可能的。
VPC 共用:共用 VPC 可讓組織將多個專案的資源連接到公有虛擬私有雲 (VPC) 網絡,以便它們可以使用該網路的內部 IP 安全且有效率地相互通訊。使用共用 VPC 時,您可以將一個項目指定為宿主項目,並將一個或多個其他服務項目附加到該項目。宿主專案中的 VPC 網路稱為共享 VPC 網路。服務項目中的合格資源可以使用共用 VPC 網路中的子網路。