GCP — частный кластер GKE и подключение из другого проекта

У меня следующая ситуация:

проект А как ступица проект Б с рабочей нагрузкой, создал частный кластер GKE с внутренней конечной точкой в ​​частной подсети.

  1. Пиринг VPC устанавливается между проектами A и B, а также между B и A.
  2. На уровне брандмауэра разрешены все диапазоны IP-адресов со всеми портами.
  3. Диапазон IP-адресов из подсети из проекта A, заданного как «Авторизованные сети плоскости управления» в GKE (проект B)

В рамках тестов я настроил виртуальную машину в проекте A и проекте B и могу подключаться между ними, что означает, что трафик разрешен и пиринг работает нормально. К сожалению, когда я хочу подключиться к частной конечной точке GKE в проекте B из виртуальной машины в проекте A, я получаю тайм-аут.

Я что-то пропустил или невозможно подключиться к частному кластеру GKE через пиринг VPC? (между проектами)

  • открыл все порты для всего диапазона
  • проверенное соединение между виртуальными машинами

Вы уверены, что хотите получить доступ к плоскости управления из другой сети/VPC? Если вы установите частный кластер, это позволит избежать доступа откуда угодно; и где угодно начинать с другого VPC, отличного от исходного!

guillaume blaquiere 18.06.2024 14:36

Привет, спасибо за ответ. Да, я уверен. Проект A должен действовать как распределенный концентратор с VPN. Мне понадобится доступ из этого проекта к ресурсам других проектов (проект B, C и т. д.).

Devsss 18.06.2024 17:08
Создание приборной панели для анализа данных на GCP - часть I
Создание приборной панели для анализа данных на GCP - часть I
Недавно я столкнулся с интересной бизнес-задачей - визуализацией сбоев в цепочке поставок лекарств, которую могут просматривать врачи и...
0
2
86
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

У вас проблема с пирингом - это нормально. Так происходит со многими управляемыми продуктами в GCP. Позволь мне объяснить.

Если у вас есть управляемый продукт, такой как GKE, плоскость управления размещается в проекте, управляемом Google, и вся установка, обновление и мониторинг выполняются за вас. Принцип управляемого обслуживания

Чтобы предоставить вам доступ к этому управляемому ресурсу, Google создает пиринг со своим собственным VPC и вашим.


При этом вы также должны знать, что существует серьезное ограничение пиринга VPC: нетранзитивность. Это означает, что если A -> B и B -> C, то A не может достичь C.

В вашем случае у вас есть:

  • GKE под управлением Google -> Project A VPC
  • Проект A VPC -> Проект B VPC
  • Таким образом, GKE, управляемый Google, не может достичь проекта B.

Google внедряет PSC (Private Service Connect) в нескольких сервисах. Еще не в плоскости управления GKE.

Решение здесь может быть одно:

  • Создайте общий VPC для всех ваших проектов.
  • Создайте VPN между VPC проекта A и проекта B.

Другие вопросы по теме