У меня следующая ситуация:
проект А как ступица проект Б с рабочей нагрузкой, создал частный кластер GKE с внутренней конечной точкой в частной подсети.
В рамках тестов я настроил виртуальную машину в проекте A и проекте B и могу подключаться между ними, что означает, что трафик разрешен и пиринг работает нормально. К сожалению, когда я хочу подключиться к частной конечной точке GKE в проекте B из виртуальной машины в проекте A, я получаю тайм-аут.
Я что-то пропустил или невозможно подключиться к частному кластеру GKE через пиринг VPC? (между проектами)
Привет, спасибо за ответ. Да, я уверен. Проект A должен действовать как распределенный концентратор с VPN. Мне понадобится доступ из этого проекта к ресурсам других проектов (проект B, C и т. д.).
У вас проблема с пирингом - это нормально. Так происходит со многими управляемыми продуктами в GCP. Позволь мне объяснить.
Если у вас есть управляемый продукт, такой как GKE, плоскость управления размещается в проекте, управляемом Google, и вся установка, обновление и мониторинг выполняются за вас. Принцип управляемого обслуживания
Чтобы предоставить вам доступ к этому управляемому ресурсу, Google создает пиринг со своим собственным VPC и вашим.
При этом вы также должны знать, что существует серьезное ограничение пиринга VPC: нетранзитивность. Это означает, что если A -> B и B -> C, то A не может достичь C.
В вашем случае у вас есть:
Google внедряет PSC (Private Service Connect) в нескольких сервисах. Еще не в плоскости управления GKE.
Решение здесь может быть одно:
Вы уверены, что хотите получить доступ к плоскости управления из другой сети/VPC? Если вы установите частный кластер, это позволит избежать доступа откуда угодно; и где угодно начинать с другого VPC, отличного от исходного!