Я настраиваю облако Google для своих работ. У меня проблема, связанная с service account и vpc network. Подробности: 2 экземпляра GCE создаются двумя service accounts на разных subnet в том же VPC, но они не могут разговаривать друг с другом.
Контекст:
GCE экземпляр с именем test01 и test03 созданы one service account но другая подсеть (sub1/sub2)GCE пример test02 создан another service account в подсети sub1Результат
test01 и test02 могут пинговать друг друга. Та же подсеть, другая учетная запись службыtest01 и test03 могут пинговать друг друга. Другая подсеть, та же учетная запись службыtest02 и test03 не могут пинговать друг друга. Другая подсеть, другая учетная запись службыЯ мог бы начать проверять, имеют ли учетные записи служб одинаковые роли и привилегии в проектах.
Также проверьте правильность сетевых тегов, прикрепленных к экземплярам виртуальных машин (синтаксис) и соответствующие правила межсетевого экрана для входа / выхода разрешают трафик icmp.
Вы можете проверить Правила брандмауэра в GCP: фильтрация источника и цели по учетной записи службы и Фильтрация по сервисному аккаунту и сетевому тегу Больше подробностей. Обратите внимание, что вы не можете смешивать и сопоставлять служебные учетные записи и сетевые теги в любом правиле брандмауэра.
Я рекомендую вам ознакомиться с описанными сценариями использования Ingress и Egress. Вот.
Кроме того, в этом документе описаны распространенные сценарии, когда Несколько сетевых интерфейсов используются. Это может помочь вам создать сетевые и виртуальные устройства с помощью различных устройств Nic, общего VPC и т. Д.