(微)服務的 VPC 設置 - 共享 vs. 對等 vs. 一個項目 - 最佳實踐
與this和this有些相關。這是一個非常基本且可能是菜鳥的問題。
我想在 GCP(一個組織)中設置幾個服務(GCE、GAE、GCR 和 GCF 的組合)。其中一些需要相互交流,而另一些則不需要。當然,我不想在沒有充分理由的情況下將任何服務公開給網際網路,因此它們應該在內部進行通信(通過它們的內部 IP/DNS)。不同的服務屬於不同的團隊,因此我想把它們放到不同的項目中。
當然,我做了一些研究,我看到的三個選項是:
**A)**將所有內容放在一個項目中
**B)**選擇一個項目作為宿主項目並使用共享 VPC
**C)**在需要時使用對等互連
每個都有優點和缺點。
A -簡單但也違反了最低權限,沒有明確的服務分離
B - 也很簡單,但一切都可以連接到其他一切,不太清楚哪個項目應該是主機,主機決定 FW 規則等單獨 - 如果,例如,我需要從本地機器連接到數據庫嗎?
C - 看起來不錯,但僅限於 25 個對等點 - 如果服務需要連接到更多點怎麼辦?
我覺得我缺少一些基本的東西。預設情況下,項目是相互隔離的,對嗎?它們從預設VPC 開始,如果我要在兩個 vanilla 項目中創建兩個 VM,它們將收到相同的內部 IP。您可能已經註意到我在網路設計方面沒有很強的背景。
什麼是好的選擇,這種情況的最佳實踐是什麼(以及為什麼)?我錯過了一些選擇嗎?
對於所述情況,我會推薦共享 VPC。
通常建議將最集中的項目用作共享 VPC 中的宿主項目,但對於大型組織,創建一個單獨的項目作為宿主項目也是一個好主意,然後將其附加到一個或多個服務項目.
當與雲 IAM、防火牆規則和身份感知代理結合使用時,共享 VPC 可實現出色的隔離、訪問控制和數據傳輸。
有關共享 VPC 的詳細資訊,請參閱以下連結 -
https://www.youtube.com/watch?v=WotV3D01tJA
https://cloud.google.com/vpc/docs/shared-vpc
共享 VPC 也可以與 VPC 對等互連一起使用,以提供兩全其美的功能,請參閱此連結以獲取詳細資訊 -