问题标签 [google-cloud-networking]

我可以curl公开nginx部署：

在节点上，成功：

但是当在外部机器上尝试相同的命令时，使用节点EXTERNAL_IP（来自gcloud compute instances list），我得到：

我可以ping成功EXTERNAL_IP：

我可以在这里做什么来暴露nodePort外部？

如果请求来自不同的 IP 地址，我正在使用使 OAuth 令牌无效的第 3 方 API。这会导致问题，因为该服务在多个主机上运行。

理想情况下，我希望只有对这个特定 API 的请求将通过单个 IP 进行路由。

我考虑过设置代理服务器，但我担心我无法将此代理扩展到 1 台机器以上。

有什么建议么？

我经常pip install <package-name>在虚拟环境中的 Google Compute Engine (Debian) 上执行此操作，但今天我只是收到我尝试安装的任何软件包的新连接错误：

我知道还有其他相关帖子建议指定代理，但我pip install过去曾在同一台机器上多次使用，但不知何故它今天只是返回上述错误。看起来不像是代理问题。有什么可以改变的？

pip版本是10.0.1并且机器显然具有实时互联网连接（它是我们在 Google Compute Engine 上的产品服务器）。我可以从机器上成功地 ping 网站。

假设我有一个 VM 实例，然后我使用 MySQL 客户端连接到 Cloud SQL 实例 IP。根据Connection Options for External Applications中的比较表，没有 SSL 的连接显然不安全（并且未加密）。

但它在多大程度上不安全？如果有中间人攻击，可以看到查询和查询结果。我想确定风险有多大。

具体来说，我想知道从以下位置连接的风险：

• 与 Cloud SQL 实例完全相同的地区中的虚拟机
• 同一区域中的虚拟机，但与 Cloud SQL 实例不同的地区
• 另一个区域中的虚拟机到 Cloud SQL 实例，但仍来自 GCP

我假设要执行任何此类攻击，实际的谷歌基础设施必须受到损害，因为虚拟机不可能监听它所连接的网络之外的流量。

我为 VPC启用了私有 Google API 访问权限，并使用描述的这个HTTP 代理解决方案将我的异地数据中心连接到 Google Cloud 后端。

使用该解决方案，我通过使用 gsutil 在异地网络中移动文件来验证 Google 对象存储 api 的工作。

但是，我无法连接到云 IOT 所需的 mqtt.googleapis.com。

我认为这是因为在 mqtt.googleapis.com 上运行的 MQTT 代理无法通过专用网络访问，除非它也像上述 HTTP 代理解决方案一样被代理。

同时，实际的 gsutil IOT 命令可以正常工作，因为我认为它们是通过 Google HTTP API 运行的。

为了解决这个问题，我看到我们需要以下任何一种，除非有人有不同的方法来做到这一点？

1. 在私有 VPC 中运行 MQTT 代理代理并将 MQTT 数据包路由到 mqtt.googleapis.com 。在这种情况下，我们可以使用合适的 MQTT 代理代理吗？

2. 如果我们获得 mqtt 网桥 (mqtt.googleapis.com) 正在运行的一系列公共 IP，那么我们可以简单地为这个用例构建网络路由。这是可用的吗？

想知道数据是如何通过谷歌网络传播的。这是我的理解。如果我错了，请纠正我。

我使用名为 ABC 的互联网服务提供商在印度班加罗尔打开https://console.cloud.google.com 。在云控制台中，我通过 ssh 连接到在 Asia-SouthEast1-a（新加坡）数据中心/区域中配置的计算引擎。如果我从笔记本电脑上传 5MB 到这个计算引擎，数据是如何流动的？我的理解是

第 1 步：由于数据是从班加罗尔上传的，因此最近的存在点是孟买。传输到 Mumbai Points of Presence 的数据进入 Google Network。

第 2 步：来自孟买的 Points of Presence 数据通过 Google 网络到达新加坡数据中心。

我的理解正确吗？

我已经创建了一个带有 IP 的 Memorystore 实例10.190.50.3（这是在 中us-east1）。我有一个带有名称的共享 VPC 设置，并且在创建实例my-gcp时我也授权了它。Memorystore

在共享 VPC 中，我有一个服务项目 dev 和一个窗口机器（10.190.5.7）。在里面，当我尝试从该 Windows 机器连接到内存存储时，我无法连接到 Memorystore 实例。

我还启用了10.190.50.3来自所有my-gcpvpc 实例的出口流量。这个 vpc 设置在us-east4.

tracert，ping也不适用于 IP 的窗体窗口机器10.190.50.3。

此 Memorystore 实例是在 vpc 的宿主项目中创建的。

有没有办法将 a 的特定子网共享Shared VPC给项目？

现在，当我共享 a 的子网时Shared VPC，我只能指定要共享的子网和要共享的项目，然后所有共享的子网都会显示在每个项目中。

我想与他人分享，但shared-subnet-1我不想出现在其中，反之亦然。project-1shared-subnet-2project-2shared-subnet-1project-2

我正在使用服务帐户访问 GCP 资源，例如计算引擎 api、数据存储 api。有没有办法添加 ip 限制，以便我只能从某些特定的 ip 地址集使用服务帐户？到目前为止，如果我有一些 GCP 资源的服务帐户凭据，那么我可以使用服务帐户从任何地方访问这些资源，我想将其限制为仅一组 ips。

我从这个问题中知道，您可以在指定的 VPC/子网中启动弹性实例，从而使其在 Cloud VPN 中可用，但我不确定如何从那里路由请求？

flex 实例是否仍可通过 *.appspot.com URL 访问？它是通过内部IP访问的吗？如何确保来自本地应用程序的请求被路由到我的弹性实例？