问题标签 [google-vpc]

我正在尝试将在 GCP Kubernetes 引擎集群上运行的 Java 应用程序与 Mongo Atlas 集群（M20）连接起来。之前，当我没有打开 VPC 对等互连并且我使用的是常规连接字符串时，它运行良好。但我现在正在尝试使用 VPC 对等互连，并default在我的 GCP 项目中使用 VPC 网络。我按照https://docs.atlas.mongodb.com/security-vpc-peering/中的步骤操作。我选择了192.168.0.0/18的Atlas CIDR（b/c“The Atlas CIDR block must be at least a /18”），将GCP项目和Atlas集群链接后，将10.128.0.0/9加入IP白名单对于 Atlas 集群（b/c 它说这是 GCP 项目中 auto 的默认范围）。

我实际上可以通过 Mongo shell via mongo "mongodb+srv://<cluster_name>-pri.crum0.gcp.mongodb.net/itls"，从我的 GCP 项目中的其他一些 VM 进行连接。但是在我的 GCP 集群中的 pod 上运行的应用程序无法连接。我在 Java 应用程序中看到的确切错误是

可能的问题：

任何帮助，将不胜感激。

我正在尝试启用我的 firebase 功能以连接到我在 atlas 中的 mongodb，而不允许所有入站流量。我已经成功地完成了与 mongodb 的 VPC 和我创建的自定义 vpc 的对等。

但无论 IP 范围如何，我尝试无服务器 vpc 连接器最终都处于“不良状态”，我需要将其删除。在这种不良状态下，将函数添加到 VPC 也无法声称连接器不存在。

我的 vpc 网络、连接器、firebase 功能都在 europe-west2。

我的 vpc 配置：

和一个名为“main”的子网，具有相同的设置。

我的 vpc 连接器配置在同一个区域中，我尝试了各种范围选项，例如：

10.64.0.0/28并且我已经仔细检查过的默认推荐值10.8.0.0/28尚未被任何其他网络使用。

我从这个配置中到底缺少什么？我已经阅读了几篇文章和 stackoverflow 帖子 + 文档，但没有一篇清楚说明您应该如何匹配两者。

vpc 网络是否必须定义更广泛的范围？无服务器连接器必须属于哪个？但他们提到不能有重叠。

我正在尝试以编程方式（Python）创建一个具有我拥有的静态 IP 地址的虚拟机。我的代码基于https://github.com/GoogleCloudPlatform/python-docs-samples/blob/master/compute/api/create_instance.py

我专门查看第 74 到 79 行。有没有办法附加我的静态 IP 地址，比如引用静态 IP 地址的名称或其他什么？现在我只是将我的静态 IP 地址硬编码到第 77 行的accessConfigs中。我觉得应该有更好/正确的方法来做到这一点。

同样，我不是尝试使用默认 IP 创建 VM 并将其替换为静态 IP。我正在尝试使用静态 IP 地址创建 VM。

谢谢！

我需要创建一个没有 VPC 的 Google Compute Engine 虚拟机实例。

对于我正在使用的App环境，我需要直接使用公共IP地址，例如DigitalOcean Droplet，所以如果我运行ifconfig命令应该显示带有公共IP地址的界面。

最近发布了共享 VPC 服务项目中的内部 HTTP(S) 负载均衡器，我尝试了以下教程。

• 使用共享 VPC 设置内部 HTTP(S) 负载平衡

但我在创建转发规则（用于 HTTP）步骤时出错。

此外，我无法在 GCP Console 上创建内部 HTTP(S) 负载平衡器。没有选择共享 VPC 网络的选项。

我想知道我怎样才能让它工作。

我做了什么准备

• 在宿主项目上启用 shared-vpc
• 将服务项目关联到 shared-vpc
• 在 asia-northeast1 区域创建 proxy-only-subnet 和 service-subnet
• 授予服务项目的服务帐户对子网的访问权限

我在教程中运行的

通过 Makefile 运行这些命令。

更新 (2020-07-07)

此功能在 Alpha 版中可用，而不是 Beta 版。公告是错误的，但现在已修复。

更新 (2020-08-19)

现在这个功能是 GA 状态。

• https://cloud.google.com/load-balancing/docs/release-notes#August_17_2020

我一直在尝试让 Tomcat（特别是 Tomcat 9）在 GCE 上运行，并为其启用 SSL，但收效甚微。我已经在另一台计算机上运行了这个配置，我可以在没有真正复杂的情况下完成这两件事。

我做过/尝试过的事情：

• 向文件添加了 SSL 连接器server.xml。
• 将属性添加到文件中address的预配置连接器和 SSL 连接器。0.0.0.0server.xml
• 添加了一个新的防火墙规则来启用端口tcp 80, tcp 8080, tcp 8084(custom), udp 443, udp 8443。
• 尝试将引擎和主机从本地主机更改为命名主机。
• 标记Allow HTTP traffic和Allow HTTPS traffic在 VM 实例上。

防火墙规则如下所示： Image

但是，我仍然无法访问 Tomcat，无论是在端口8080/上8084，还是通过 HTTPS（端口8443），都无法访问ERR_CONNECTION_TIMED_OUT. 我不确定我还能改变什么来让它发挥作用。我可以使用 IP 地址和命名主机访问其他资源；只是为了添加更多上下文，其他东西正在端口上运行8080，我可以访问它，所以我不能在那里访问 Tomcat 是有道理的，但8084应该是免费的。

有谁知道我是否可能遗漏了什么？我跑了iptables -L -v -n，得到以下信息：

对此的任何帮助将不胜感激！在 Tomcat 和 GCE 中，我还是个新手，所以也许我只是什么都没看到。

编辑：我已经解决了通过常规方式连接到 Tomcat 的问题，因为我忘记了ufw allow为我正在使用的自定义端口运行。但是，我仍然遇到与 SSL 连接的问题。

我有一个共享 VPC，其中有一个 cloudSQL 实例。在那个宿主项目中，我还有一个无服务器 vpc 连接器，ID 为 vpc-serverless-connector。它有 10.8.0.0/28 作为 ip 范围。我正在使用 firebase deploy 部署我的云功能，这是一个修补版本（请参阅https://github.com/firebase/firebase-functions/issues/552），我按照以下格式设置 VPCConnector：

vpcConnector:'projects/MY_HOST_PROJECT_ID/locations/MY_REGION/connectors/vpc-serverless-connector'

这些功能部署在同一区域 MY_REGION 的另一个项目中。该项目已获得对 sharedVPC 的访问权限。

当我部署时，我总是得到这个错误：

缺少项目 MY_PROJECT 上 serviceAccount:service-MY_SERVICEID@gcf-admin-robot.iam.gserviceaccount.com 的必要权限 vpcaccess.connector.use。

请授予 serviceAccount:service-MY_SERVICEID@gcf-admin-robot.iam.gserviceaccount.com 角色/查​​看者角色。

您可以通过运行“gcloud projects add-iam-policy-binding MY_PROJECT --member=serviceAccount:service-MY_SERVICEID@gcf-admin-robot.iam.gserviceaccount.com --role=roles/viewer”来做到这一点

我多次运行该命令，我检查以确保我的 firebase 相关项目中的 gcf-admin-robot iam serviceAccount 具有所有必要的角色。目前有：Viewer Serverless、VPC Access Admin Serverless、VPC Access User Serverless、VPC Access Viewer

那么发生了什么？我错过了什么？我似乎无法完成这项工作。我的目标是能够从另一个项目中的 firebase 云函数访问我的共享 vpc 的主机项目中的 cloudSQL 实例。

注意：我也尝试在没有 firebase 的情况下直接部署云功能并得到相同的错误。所以firebase不应该是这里的问题。

我有 2 个单独的 GKE VPC 原生集群（gke1、gke2）和一个 Compute Engine 实例（ce1），每个都在一个单独的 VPC 网络中。我想设置一个可以从 GKE 集群（gke1、gke2）和计算引擎实例（ce1）连接的 Cloud SQL（Postgres）。

这是否可能不使用 Cloud SQL 的公共 IP设置，可能使用 VPC 网络对等互连或其他解决方案，如果可以，如何设置此类配置？

我做了一些研究，我很清楚文档说以下内容

GKE 集群必须是 VPC 原生的，并且与 Cloud SQL 实例位于同一 VPC 网络中

但我想知道是否可以使用 VPC 网络对等互连或其他方法

我在 SO 上发现了一些其他相关问题，有些不是 GKE 特有的，有些是几年前的，所以我不确定它是否仍然有效。

我发现的相关问题：

• GKE VPC 原生集群和与 Cloud SQL 的连接
• 从另一个 GCP 项目访问 Cloud SQL
• 无法使用对等 VPC 网络中的私有 IP 访问 Google Cloud SQL

场景 - 使用共享 VPC 在项目 A 上运行 Dataflow 作业以使用宿主项目 B 的区域和子网

在服务帐户上，我对项目 A 和 B 都具有以下权限

但我仍然收到此错误

我在这里想念什么？或者这应该有什么其他权限？感谢您查看这个。

我正在遵循这些说明： https ://cloud.google.com/vpc/docs/configure-serverless-vpc-access#creating_a_connector

每次创建连接器时，我都会收到红色感叹号并显示错误消息：“连接器处于错误状态，建议手动删除”

我正在使用以下参数：

• 我们-中央1
• 默认网络
• 10.8.0.0
• 最低 200mbps，最高 300mbps

我还尝试了 10.0.0.0 和 10.64.0.0，基于我在其他地方读到的线程。没有任何工作。

我没有复杂的网络设置。当我查看我的 VPC 网络时，我看到：

我究竟做错了什么？