(微)服务的VPC设置-共享与对等相对于一个项目-最佳实践

Question

与这和这有一定关系。这是一个非常基本的问题，也可能是个菜鸟问题。

我想在GCP (一个组织)中设置几个服务( GCE、GAE、GCR和GCF的组合)。他们中的一些人需要彼此沟通，而另一些人则不需要。当然，我不想在没有充分理由的情况下将任何服务暴露在互联网上，所以他们应该在内部(通过内部IP/ DNS)进行沟通。不同的服务属于不同的团队，因此我想将它们放到不同的项目中。

当然，我做了一些研究，我看到的三个选择是：

( A)把一切都放在一个项目中

( B)选择一个项目作为宿主项目，并使用共享VPC。

( C)在需要时使用窥视

每种方法各有优缺点。

简单，但也违反了最少的特权，没有明确的服务分离。

B--也很容易，但是所有东西都可以连接到其他所有东西，不太清楚哪个项目应该是主机，主机决定FW规则等等--例如，如果我需要从我的本地机器连接到DB怎么办？

C-看起来不错，但仅限于25个对等点--如果一项服务需要连接到更多的节点，该怎么办？

我觉得我错过了一些基本的东西。默认情况下，项目是相互隔离的，对吗？它们从默认的VPC开始，如果我在两个普通的项目中创建两个VM，它们将得到相同的内部IP。你可能已经注意到我在网络设计方面没有很强的背景。

什么是好的选择，对于这个场景有哪些最佳实践(以及为什么)？我错过了一些选择吗？

Answer 1

对于所述的情况，我建议共享VPC。

通常推荐使用最集中的项目作为共享VPC中的宿主项目，但对于大型组织来说，创建单独的项目作为宿主项目也是一个好主意，然后将其附加到一个或多个服务项目。

当与云IAM、防火墙规则和身份感知代理联合使用时，共享VPC支持出色的隔离、访问控制和数据传输。

有关共享VPC的详细信息，请参阅以下链接-

https://www.youtube.com/watch?v=WotV3D01tJA

https://cloud.google.com/vpc/docs/shared-vpc

共享VPC也可以与VPC同步使用，以提供最好的两个世界功能，请参阅此链接以获得详细信息-

https://cloud.google.com/vpc/docs/vpc-peering#shared_vpc

Answer 2

在RBAC框架(IAM)和网络/防火墙方面，您错过了很多进展。单个项目将为您提供最佳的安全性和可操作性。