问题标签 [google-vpc]

我使用 Google 提供的Terraform 模块在Cloud Foundation Toolkit之后在 GCP 中创建了我的组织基础架构。

下表列出了所有环境的 IP 范围：

现在我正在部署我的应用程序，该应用程序基本上由 Cloud Run 服务和 Cloud SQL (Postgres) 实例组成。Cloud SQL 实例是使用为对等服务（例如 Cloud SQL）保留的“未分配”IP 范围中的私有 IP 创建的。

为了在 Cloud Run 和 Cloud SQL 之间建立连接，我还创建了 Serverless VPC 连接器（ip 范围 10.1.0.16/28）并配置了 Cloud SQL 代理。

当我尝试从 Cloud Run 服务连接到数据库时，大约 10 秒后出现此错误：

CloudSQL 连接失败。有关更多详细信息，请参阅https://cloud.google.com/sql/docs/mysql/connect-run：发布“https://www.googleapis.com/sql/v1beta4/projects/[my-project]/instances /platform-db/createEphemeral?alt=json&prettyPrint=false": 超出上下文期限

我已授予roles/vpcaccess.user默认 Cloud Run SA 和宿主项目中应用程序使用的 SA。

我已授予roles/compute.networkUser服务项目中的两个 SA。我还授予roles/cloudsql.client了这两个 SA。

我已经启用servicenetworking.googleapis.com并vpcaccess.googleapis.com在服务项目中。

我的想法已经用完了，我无法弄清楚问题是什么。

当 Cloud Run 尝试创建对 Cloud SQL API 的 POST 请求时，这似乎是一个超时错误。因此，VPC 连接器 (10.1.0.16/28) 似乎无法连接到 Cloud SQL 实例 (10.0.80.0/20)。

有没有人遇到过这个问题？

我有一个云函数 (fce_a)，我需要从同一个 GCP 项目和区域中的不同云函数 (fce_b) 调用它。当我将 fce_a 设置为Allow all traffic(in Ingress settings) 时，它工作得很好（使用这个方法）。但是，当我将 fce_a 设置为Allow internal traffic only(in Ingress settings) 时，我得到了（在此处Error 403 (Forbidden) 403. That's an error. Access is forbidden. That's all we know.提到）。

我尝试过使用这种方法，但它仅用于测试目的，并且限制对我的用例来说太严格了。

Ingress settings如果目标函数设置为，关于如何从不同的云函数调用云函数的任何想法Allow internal traffic only？

此处提到的 Google Cloud VPC 服务控制限制指出：

• 在受服务边界保护的项目中，无法创建新的推送订阅。
• 在服务边界之前创建的 Pub/Sub 推送订阅不会被阻止。

问题

1.这是否意味着为了使用具有 VPC 服务控制的 PubSub Push 订阅，必须：

• 先创建推送订阅，然后再创建推送订阅
• 定义 VPC 服务边界

2.这是谷歌推荐的安全方式来创建使用 PubSub 推送订阅和 VPC 服务控制吗？

3.还是谷歌建议完全避免使用带有 VPC 服务控制的 PubSub 推送订阅？

我的同事正在启动 GKE 集群并通过一对集中式虚拟机管理它们。虚拟机位于 us-east4

当他们在同一区域 (us-east4) 启动 GKE 集群时，一切都很好。他们可以通过对等连接访问工作节点和 GKE 主地址。但是，他们无法访问在 europe-west3 中构建的 GKE 集群的主节点。我在该区域构建了一个虚拟机，并成功连接到主节点 IP 的 443 端口。VPC网络开启了全局路由，虚拟机等服务的跨地域访问没有问题。

似乎很清楚，GKE 主节点只能在同一区域内访问。但这是否记录在某处？我确实在周一打开了一个支持案例，但几乎没有运气得到任何合理的信息。

我正在尝试获取我的 cloudsql 实例在我的 vpn 上使用可路由的私有 IP 地址范围：https ://cloud.google.com/sql/docs/postgres/configure-private-ip#vpn

我需要运行这个命令：

我能找到的最接近的资源是 google_compute_router_peer 但我已经有一个 peer 配置了默认的 Advertisement_mode 和 aws VPN 端点

我可以为同一个路由器设置多个 google_compute_router_peers 并使用不同的advertise_modes 对等点吗？

仅供参考，我知道我可以使用 local-exec 来运行任意命令——我当然想避免这种情况。

我已将我的应用程序托管在 CloudRun 容器中并将其连接到 CloudSQL。一切都在一个 VPC 网络中并且运行顺利。现在我想通过 DataGrid 等数据库工具修改生产中的数据。因此，我需要将我的本地环境连接到我的 VPC 网络。我通过 Cloud VPN 隧道做到了这一点。现在我想连接到 SQL 实例。

在这里我被卡住了，我想知道如何建立连接。如果有人知道我如何解决这个问题，那就太好了。谢谢！

我正在尝试通过 terraform 在 GCP 中复制 SQL 实例。活动实例具有公共 IP，但是来自辅助项目的子网与托管 SQL 实例的项目共享，并且 SQL 实例与辅助项目的网络相关联。

我已private_network在该部分中正确添加了设置（我认为）ip_configuration，但是出现以下错误：

错误：错误，未能创建实例 xxxx：googleapi：错误 400：无效请求：服务网络配置不正确，例如：xxxx:xxxxx:SERVICE_NETWORKING_NOT_ENABLED.，无效

当我用谷歌搜索该特定错误时，我找不到太多文档，而且我对 Terraform 还比较陌生，所以我希望有人能指出我在 Terraform 配置的这一部分或其他资源中缺少的内容.

我想删除一个 GCP vpc，我得到：

我如何确定这些other existing resources是什么？

背景

我有两个 Google Cloud VPC 网络。VPCA和B. B网络被窥视到A网络。

VPCA有一个连接到 Internet 的 NAT 网关。

在 VPCB中运行的实例没有互联网连接。

问题

我想连接 VPCB以使用ANAT 以获得互联网连接。

怎么做？

我有一个云功能，每当 VPC 发生任何更改（创建新 VPC、添加/删除子网、更改路由表）或 GCP 项目中的 IAM 和存储桶策略有任何更新时，我都会将通知推送到松弛通道。

CF 功能

对于 GCP 项目中的任何新事件，日志接收器（带有包含过滤器）会将消息发布到 pub 子主题。订阅将消息推送到云功能并触发它。

当我添加/修改/删除 VPC、子网或防火墙规则时。云函数触发两次推送两个通知到松弛通道，间隔为 12 秒。这些是同一事件的相同消息。见下文。

但是，当我对 IAM 策略进行任何更改时，只会生成一个事件，因此只有一个通知松弛通道。见下文。

我无法弄清楚为什么 GCP 日志记录会为相同的 VPC 操作生成相同的事件，从而触发松弛通道中的两个通知。如果这是功能，我该如何删除事件的重复性。

注意：我将方法名称传递给包含过滤器以查询事件。