问题标签 [google-vpc]

我在 Google Cloud Platform (GCP) 中运行多个 SQL 实例。我有多个带有一些只读副本的大师。每个实例都有一个基于其所在区域的私有 IP 地址，所有实例都使用相同的 MySQL 端口 (3306)。

在同一个 VPC 中，我有一些计算引擎可以毫无问题地连接到每个 SQL 实例。但我也有一些客户端需要从 VPC 外部连接，可以说是通过互联网。

问题是如何将某些端口转发到我的 VPC 中正确的内部 IP 地址？IE：

GCP 文档说，默认情况下，同一 VPC 网络中的所有资源都可以通信。但是，如果要手动更改防火墙规则以限制对某些资源的访问，同时 IAM 策略将允许访问同一资源，那么两者中的哪一个会优先？

我有一个在计算实例中运行的服务，可以使用这样的私有 IP 地址访问（https://172.31.93.233/proxy.php）。我想从云功能发出 https 请求以访问此服务，因此我创建了一个连接到 VPC 的连接器（IP 范围：172.31.0.0/28），其 IP 范围为：172.30.0.0/16 并且连接器具有入口设置（允许所有流量）和出口设置（通过 VPC 连接器路由所有流量）。但不知何故，我的函数未能完成请求并在日志中说明：“函数执行耗时 60002 毫秒，完成状态：‘超时’VPC 和函数都在同一个区域（us-central1）

额外的附加信息：实际上主要的 https 服务部署在 AWS 端，我使用站点到站点 VPN b/w AWS 到 GCP 来使用 GCP 访问此服务。我可以确认在我连接到 VPN 的同一 VPC 下的 GCP 计算实例上可以访问此服务。

我在创建函数时通过 Web 控制台创建了一个无服务器连接器。在 IAM 中，我可以看到服务帐户的以下权限：

1: Serverless VPC Access Service Agent(Serverless VPC Access Admin, Serverless VPC Access Service Agent)

2: Google Cloud Functions Service Agent(Cloud Functions Service Agent, Serverless VPC Access Admin)

3：我自己的帐户，我从 GCP 测试功能（编辑，所有者，无服务器 VPC 访问管理员）

还有其他服务帐户，但我认为它们与测试功能等无关或不感兴趣。

这是我的示例函数代码：

任何限制external(Public) IP在GCP. Subnet似乎如果我们想创建VM没有 的external IP，我们必须在创建External IP- None 期间进行选择VM。我们不能External IP- None在子网配置中设置，并且在此子网中创建的任何主机都不会有public/external IP

因此，当我尝试使用此命令更新我已经存在的服务时，我正在尝试将我的 Cloud Run 服务（仅在 us-west1 区域）与我的 VPC 连接器（us-central1 区域）连接起来

我收到了这个错误：

Cloud Run 错误：VPC 连接器“连接器名称”尚未准备好或不存在。

注意：我无法在区域 us-west1 中部署我的连接器（不是 GCP 的给定选项），因此服务和连接器位于同一区域。

任何建议我该如何解决这个问题？

有没有办法在 gcp 中重命名子网？在控制台或 terraform 中。

我宁愿不删除并重新创建子网，因为还有其他资源使用子网。

根据 Google 文档，子网名称一旦创建就无法更改。

例子：

谢谢。

我们有一个在 GKE 上运行的 Kubernetes 集群，它使用为此创建的自己的 VPC，子网为10.184.0.0/20. 该集群的工作负载已分配给公共访问的外部负载均衡器，以及用于内部通信的内部集群 IP。服务的子网是10.0.0.0/20。

在同一 VPC 上有一个谷歌云经典 VPN 设置，以便能够访问专用网络。

我们在本地托管了另一个系统，该系统使用隧道通过上述 VPN 进行连接。本地网络可以通过子网上的私有 IP ping VPC 中的节点10.184.0.0/20，但可以 ping / telnet 到子网上的集群 IP 10.0.0.0/20。

这有可能实现吗？

我想在项目中创建一个 Cloud SQL 实例，连接到主机 VPC。但是，在运行时，terraform apply我每次都会得到相同的结果：

我在这里看到了其他答案，声称通过配置私有服务访问来解决问题，但这似乎并不能解决我的问题。

这是我的 terraform 文件，其中包含相关部分：

最后一点信息，设置TF_LOG=DEBUG仅提供以下附加消息：Retry Transport: Stopping retries, last request failed with non-retryable error

我是 GKE 和 K8S 的新手，所以请坦白我和我的愚蠢。我目前有一个 GKE 集群，它在默认节点池中有两个节点，并且集群通过 LoadBalancer 类型的服务公开。

这些节点的任务是通过 HTTP 调用 Compute Engine 实例。我在 GCP 中设置了防火墙规则，以拒绝 GCE 实例的入口流量，但来自 GKE 集群的流量除外。

问题是流量不是来自 LoadBalancer 的服务 IP，而是来自节点本身，因此将服务的 IP 列入白名单没有效果，我必须将节点的 IP 列入白名单，而不是集群。这并不理想，因为每次创建新节点时，我都必须更改防火墙规则。我了解到，一旦您在集群中设置了服务，所有流量都会被定向到服务的 IP，那么为什么会发生这种情况？我究竟做错了什么？如果您需要更多详细信息，请告诉我，并提前致谢。

服务的 YAML：

https://i.stack.imgur.com/XBZmE.png

我在 GCP 中的同一 VPC（在同一子网范围内）中有两台机器。我想将 MAC 地址从一个实例 ping 到另一个实例（即第 2 层连接）。GCP 支持吗？

如果不支持，上述配置中的两个虚拟机之间是否支持 GRE 隧道或任何其他隧道？

我的邮件目标是建立第 2 层连接。