GCP：使用私有 IP 地址从另一个项目访问 mysql 服务器

Question

我的问题：

在谷歌云上，我有两个项目：ProjectA 和 ProjectB。 在 ProjectA 中，我有一个 mysql 服务器。 在 ProjectB 中，我有一个需要连接到 mysql 服务器的虚拟机。 我更喜欢使用私有地址（出于安全考虑，并且因为 mysql 会过滤来自公共 IP 的访问）。

我尝试了什么：

我在每个项目中创建了一个网络并对它们进行了对等。 但是它不起作用，我认为因为通过将 mysql 服务器分配给网络，它创建了一个专用服务连接，其 IP 范围专用于服务，它不是对等的（它不在对等的导出路由中网络）。

如何让它发挥作用，有什么好的方法？

Answer 1

目前，有一个 GCP VPC 对等互连 restriction 用于“传递对等互连”

只有直接对等的网络才能进行通信。不支持传递对等互连。换言之，如果 VPC 网络 N1 与 N2 和 N3 对等，但 N2 和 N3 没有直接连接，则 VPC 网络 N2 无法通过 VPC Network Peering 与 VPC 网络 N3 通信。

当您使用具有私有 IP 的 GCP Cloud SQL 实例时，它会自动创建一个与不同 GCP 项目和您的 GCP 项目对等的 VPC，这将发生在“项目 A”以及您与“项目 B”对等的那一刻，那么您将陷入这种传递性对等限制。

为了解决这个问题，这里有几个解决方案：

1. 使用Shared VPC 以便在项目 b 中拥有虚拟机，但在项目 a 中拥有网络。 （限制，两个项目必须在同一个组织中）
2. 用 Cloud VPN 替换项目 A 和 B 之间的 VPC 对等互连（我建议设置一个动态 (BGP) 一个 HA/Classic）。 （限制，您将被收取每边的“出口流量”）
3. 创建一个可以用作它们之间的桥梁的虚拟机，我之前使用以下 iptables 和启用了 ip forward 进行了测试：

iptables -t nat -A POSTROUTING -s <source-ip-range> -o <network-interface> -j MASQUERADE
iptables -t nat -A PREROUTING -i <network-interface> -p tcp --dport <cloud-sql-port> -j DNAT --to <cloud-sql-ip>
iptables -A FORWARD -p tcp -d <cloud-sql-ip> --dport <cloud-sql-port> -j ACCEPT

（限制，取决于您选择的VM类型，您可能会被限制在bandwidth）