GCP VPC
グローバルリソース→特定のリージョン、ゾーンに関連づけられるわけじゃない
hiroki.iconsubnetがAWSでいうVPCで10.0.0.0/24と172.16.0.0/24とかが一つのvpc(network)に一緒になれる。勿論通信もできる。
ベストプラクティスhttps://cloud.google.com/solutions/best-practices-vpc-design?hl=ja
https://qiita.com/noko_qii/items/5e616aa2cc6e46919e34
概要
networkは全リージョン包括
サブネットはリージョン毎→リージョンリソース
リージョン間の通信もインターネットに出ない
プライベートな接続
GCPマネージドなサービスとVPCとの接続→プライベートサービスアクセス
サーバーレス系サービスとVPCとの接続→サーバーレスVPCアクセス
awsとの違い
ルートはサブネット単位ではなくネットワーク単位で設定する
インターネットゲートウェイはサブネット単位で設定できる
hiroki.iconサブネットがリージョンリソースであることを考えるとサブネット毎にインターネットゲートウェイがあるのも自然な感じはする
awsでのプライベートサブネットをやりたい場合
プライベートにしたいインスタンスにタグをつけて、優先度の高いnat宛の外部向けのルートを設定しておく
プライベートにしたいインスタンスにはグローバルipを割り当てない
ファイアーウォールやルーティングはVMのネットワークタグを用いて特定でアタッチできる
GCP Firewall rule
セカンダリcidrについて
https://cloud.google.com/vpc/docs/alias-ip