#码力全开·技术π对# 在 Google Cloud 中如何通过 VPC Peering 连接不同的VPC网络，实现跨项目的资源互访？

在多项目组织中使用 VPC Peering 实现跨项目私网通信时，应从网络规划、路由配置和验证三个层面进行系统性设计。以下是关键步骤：

1. 网络结构规划

• 避免子网重叠：

• 确保每个 VPC 的 CIDR 范围互不重叠。例如：

• Project A 使用​​10.0.0.0/16​​
• Project B 使用​​172.16.0.0/16​​

• 可借助​​VLSM​​ 划分子网以预留扩展空间。

• 采用 Hub-and-Spoke 架构（可选）：

• 设置一个中心 VPC（Hub），其他项目 VPC（Spoke）与之建立对等连接。
• 通过共享 VPC 或 Service Project 模式集中管理网络策略。

2. 配置 VPC Peering 连接

• 创建 Peering 连接：

• 在 GCP 控制台或使用 gcloud CLI 创建双向连接：

# 在 ProjectA 中发起连接到 ProjectB 的 VPC
gcloud compute networks peerings create peering-ab \
  --network my-vpc-a \
  --peer-network projects/project-b/global/networks/my-vpc-b

# 在 ProjectB 中接受连接
gcloud compute networks peerings create peering-ba \
  --network my-vpc-b \

• 确保双向配置：

• 每个 VPC 都需主动配置对等连接，且状态为ACTIVE。

3. 设置路由表项

• 自动传播路由（默认关闭）：

• 若启用，则 VPC 内部子网路由将自动同步给对端。
• 否则需手动添加静态路由。

• 手动添加路由规则示例：

• 在 VPC A 添加通往 VPC B 子网的路由：

• 目标地址：​​172.16.0.0/16​​
• 下一跳类型：​​VPC Peering​​
• 对等网络：​​peering-ab​​

• 在 VPC B 添加通往 VPC A 子网的路由：

• 目标地址：​​10.0.0.0/16​​
• 下一跳类型：​​VPC Peering​​
• 对等网络：​​peering-ba​​

4. 处理潜在问题

• 路由冲突：

• 若两个 VPC 使用相同 CIDR，需重新规划网络结构，或使用 NAT + 路由代理方式绕过冲突。

• 带宽限制：

• VPC Peering 流量走 Google 内网，延迟低且无额外带宽费用。
• 但需注意单条连接的流量上限（通常不是瓶颈，除非极端场景）。

• 防火墙规则：

• 确保允许所需协议（如 TCP/UDP 端口）和方向（入站/出站）的流量。
• 示例：允许来自​​172.16.0.0/16​​ 的流量访问 Web 服务：

gcloud compute firewall-rules create allow-web-from-peered \
  --network my-vpc-a \
  --source-ranges 172.16.0.0/16 \

5. 验证连接

• 基本连通性测试：

• 在两个 VPC 的实例间执行 ping 或 telnet：

ping 172.16.1.10
telnet 10.0.2.20 80

• 查看路由表：

• 使用以下命令检查是否已正确学习到对端子网：

gcloud compute routes list --filter="network:<your-network>"

• 日志与监控：

• 启用 VPC Flow Logs 观察实际流量行为。
• 使用 Cloud Monitoring 设置网络可用性监控指标。

总结

通过上述方法，可以安全高效地实现多项目间的私网互通，提升整体架构的灵活性与安全性。