#码力全开·技术π对#如何通过VPC Peering打通跨项目网络？

需在两个项目的VPC网络间创建对等连接。操作步骤：1. 在项目A的VPC网络中发起对等请求，指定项目B的网络；2. 项目B管理员接受请求，建立双向连接；3. 确保双方网络路由包含对端CIDR范围，并配置防火墙规则允许流量；4. 若需DNS解析，可启用对等连接的DNS转发。注意：对等连接需双方网络管理员协作，且仅支持同区域或跨区域（需额外配置）通信。

VPC Peering（VPC对等连接）是一种在不同VPC之间建立私有网络连接的方式，可用于打通跨项目（甚至跨账户）的网络。以下是通过VPC Peering实现跨项目网络互通的通用步骤（以Google Cloud为例）：

### 1. 准备工作

• 确保两个项目（源项目和目标项目）已启用VPC服务
• 记录两个项目的ID、VPC名称及各自的IP地址范围（需确保无重叠）
• 确保操作账号拥有足够权限（如​​compute.networks.peering.create​​等）

### 2. 创建VPC Peering连接（源项目）

1. 在源项目中，为目标项目的VPC创建对等连接请求：

gcloud compute networks peerings create PEERING_NAME \
  --network=SOURCE_VPC \
  --peer-project=TARGET_PROJECT_ID \
  --peer-network=TARGET_VPC \
  --auto-create-routes

• ​​PEERING_NAME​​：自定义对等连接名称（如​​source-to-target​​）
• ​​--auto-create-routes​​：自动创建路由表，无需手动配置

### 3. 接受VPC Peering请求（目标项目）

1. 在目标项目中，接受源项目发起的对等连接请求：

gcloud compute networks peerings create PEERING_NAME \
  --network=TARGET_VPC \
  --peer-project=SOURCE_PROJECT_ID \
  --peer-network=SOURCE_VPC \
  --auto-create-routes

• 名称建议与源项目保持一致，便于管理
• 需确保两端配置的对等名称和网络信息完全匹配

### 4. 配置防火墙规则 跨VPC通信需确保双方防火墙允许对应流量：

1. 在源VPC添加规则，允许访问目标VPC的IP范围：

gcloud compute firewall-rules create allow-source-to-target \
  --network=SOURCE_VPC \
  --allow=all \  # 实际场景建议限制具体协议/端口
  --source-ranges=TARGET_VPC_IP_RANGE

1. 在目标VPC添加对称规则，允许源VPC的IP范围访问：

gcloud compute firewall-rules create allow-target-to-source \
  --network=TARGET_VPC \
  --allow=all \
  --source-ranges=SOURCE_VPC_IP_RANGE

### 5. 验证连接

1. 检查对等连接状态（两端均需为​​ACTIVE​​）：

# 源项目查看
gcloud compute networks peerings describe PEERING_NAME --network=SOURCE_VPC

# 目标项目查看
gcloud compute networks peerings describe PEERING_NAME --network=TARGET_VPC

1. 从源VPC中的实例ping目标VPC中的实例，验证网络连通性。

### 注意事项

• IP地址不重叠：两个VPC的子网IP范围不能重叠，否则路由会冲突
• 跨区域支持：VPC Peering支持不同区域的VPC互通
• 权限管理：若跨账户，需确保目标账户授予源账户创建对等连接的权限
• 路由优先级：自动创建的路由优先级默认为​​1000​​，可手动调整避免冲突