Согласно их документации:
Сети и подсети обеспечивают связь между экземплярами и служат шлюзом между экземплярами и другими сетями. Сеть ограничена одним проектом; он не может охватывать проекты. Однако в проекте может быть несколько сетей.
Насколько я понимаю, пока экземпляр не имеет внешнего IP-адреса с открытым брандмауэром, никто не может подключиться к нему или перехватить трафик, кроме экземпляра в моем проекте. Так что я могу передавать трафик между ними без шифрования. Я правильно понимаю?
Сервисы Cloud Platform автоматически шифруют данные перед их записью на диск. Например, данные для каждого объекта облачного хранилища зашифрованы в соответствии с 256-битным расширенным стандартом шифрования, и каждый ключ шифрования сам зашифрован с помощью регулярно меняющегося набора главных ключей. Те же политики шифрования и управления ключами, которые используются для ваших данных в Cloud Platform, используются многими производственными сервисами Google, включая Google Docs, Gmail и собственные корпоративные данные Google.
Поскольку глобальная сеть Google связана с большинством интернет-провайдеров в мире, она помогает повысить безопасность передаваемых данных, ограничивая количество переходов в общедоступном Интернете. Cloud Interconnect и управляемая VPN позволяют создавать зашифрованные каналы между локальной IP-средой и сетью Google. Это позволяет вам держать экземпляры полностью отключенными от общедоступного Интернета, оставаясь доступными из вашей частной инфраструктуры.