建立跨GCP区域的网络连接

Question

我在GCP中有一个分期环境，作为一个单独的项目。在这个项目中，我有一个测试VM，在那里我可以部署组件来针对我们的内部服务进行测试。我们的大部分服务都部署在northamerica-northeast1，但是由于我是从荷兰工作的，所以我已经将我的测试VM放在了欧洲-West4。我们还使用Tailscale从本地开发机器访问GCP中的VM实例，因此我希望能够连接到欧洲的测试VM --从我的开发框Tailscale到West4。

不过，虽然我已经设置了Tailscale网关，以便有一条经过批准的路由到欧洲-West4子网，但我无法从本地机器到达测试VM。我尝试过在Tailscale网关中使用SSHing，然后从那里调用测试VM，这也失败了，所以看起来Tailscale在这里可能没有错。

我一直在为我们的网络挖掘防火墙规则，似乎这种连接是绝对允许的。我们有一个default-allow-internal规则，允许将流量从10.128.0.0/9输入到所有实例(而且我们的防火墙中只有明确的允许规则)。为了更好地衡量，我还添加了一个允许从100.64.0.0/10进入的allow-tailnet规则，但这似乎没有帮助(而且，如果我正确理解，CGNAT应该只在Wireguard路径中使用)。

我尝试将连接性测试从10.162.0.18 (我们的Tailscale网关)设置到我的测试VM，这给了我以下结果：

对我可能错过的东西有什么建议吗？会很感激的！

Answer 1

您检查了每个云路由器VPC的路由模式吗？如果要学习到其他区域的路由，则需要确保路由设置为全局路由。

https://cloud.google.com/network-connectivity/docs/router/how-to/configuring-routing-mode