共享VPC和VPC对等混合

Question

在Google cloud上，我建立了三个新的项目-- dev，research和prod。因此，创建了一个共享VPC主机和上面列出的三个服务项目。还打算对每个服务项目使用单独的VPC (以添加更多安全层)，因此也打算现在使用VPC对等。但是困惑在这里，我们可以在同一组项目上同时配置共享VPC和VPC对等吗？如果是这样，那么我没有找到任何关于这方面的链接，而且这是一件正确的事情吗？

Answer 1

对等和共享有自己的用法。使用peering，每个项目限制为25个，传递性是不可能的。

例如，使用peering，如果您在dev和research之间以及在research和prod之间设置了peering；dev无法到达prod (传递性是被禁止的)，您必须为此在dev和prod之间设置peering。当您想要共享VPN或互连端点时，对等可能会很有趣。您可以在互连项目和那些希望重用此连接的项目之间执行对等操作。

使用共享VPC，您没有传递性限制，所有虚拟机都可以在同一个VPC中，即使存在不同的项目。

但是，有了这个配置，你就打破了项目的强隔离，你的开发项目可以不受限制地访问prod！

因此，我建议您至少设置"2条腿“的VM网络:1条在共享VPC中，另一条在项目专用VPC中。然后在您的VPC网络上设置正确的防火墙规则，以限制共享VPC中的交互，但在VPC项目中保留项目级别的无限制限制。