隔離的網(wǎng)絡(luò)加強(qiáng)了云計算的安全性，但其共享數(shù)據(jù)可能會成為一個挑戰(zhàn)。企業(yè)需要了解采用Google XPN如何使多個用戶或部門共享一個虛擬私有云。

數(shù)十年來，網(wǎng)絡(luò)細(xì)分已經(jīng)成為標(biāo)準(zhǔn)的IT安全實踐。對于許多組織來說，這使得能夠在特定服務(wù)(如Amazon Web Services或谷歌云平臺)中創(chuàng)建虛擬私有云子網(wǎng)，這是一個強(qiáng)大的功能。

亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)是第一個提供虛擬私有云(VPC)方式的廠商 ，用于分割一個云平臺并通過虛擬專用網(wǎng)絡(luò)(VPN)安全連接到企業(yè)數(shù)據(jù)中心。但是，目前處于測試階段的谷歌公司的共享VPC網(wǎng)絡(luò)(XPN)將成為AWS所提供服務(wù)的競爭者。

AWS公司面臨的一個挑戰(zhàn)是，其VPC僅限于單個賬戶，當(dāng)整個企業(yè)采用，而不只是特定部門采用公共云時，這將成為一個問題。當(dāng)用戶需要隔離的工作負(fù)載時，AWS公司建議他們?yōu)閱为毜腣PC創(chuàng)建多個賬戶，但是當(dāng)團(tuán)隊需要共享代碼或數(shù)據(jù)時，就會產(chǎn)生問題。

另一方面，Google XPN專門針對這些類型的場景。

何時考慮采用Google XPN

當(dāng)不同的團(tuán)隊開發(fā)和管理必須在谷歌云平臺(GCP)中進(jìn)行交互的兩個或更多應(yīng)用模塊或服務(wù)時，Google XPN非常有用。更常見的情況是混合云，谷歌云平臺上的服務(wù)在私有數(shù)據(jù)中心中使用資源。在這里，單獨的小組擁有并管理每個云應(yīng)用程序或服務(wù)，但是這些服務(wù)需要通過從谷歌云到數(shù)據(jù)中心的VPN網(wǎng)關(guān)進(jìn)行通信的一個共享的VPC。

XPN允許每個項目獨立運行，對VPC，VPN網(wǎng)關(guān)以及內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)配置和安全策略進(jìn)行單獨的控制。組織可以在同一個VPC中設(shè)置多個Google XPN，其中包含控制他們訪問本地資源和彼此的策略。

技術(shù)概念

Google XPN支持通過專用網(wǎng)絡(luò)連接谷歌云平臺資源的虛擬私有云的多租戶共享。該網(wǎng)絡(luò)可以跨越多個谷歌云平臺區(qū)域。

為了實現(xiàn)這一分割，Google XPN為組織內(nèi)的VPC中的不同項目實施標(biāo)準(zhǔn)的IP網(wǎng)絡(luò)地址轉(zhuǎn)換空間。作為VPC的一部分，Google XPNs通過防火墻規(guī)則繼承安全功能，并控制網(wǎng)絡(luò)流量。然后，云計算管理員可以創(chuàng)建VPN并配置適用于整個VPC的防火墻規(guī)則，并且還可以在不同子網(wǎng)的項目之間建立訪問控制。

Google XPN：要知道的關(guān)鍵術(shù)語

組織：谷歌云平臺部署中的所有項目和資源的所有者，通常還負(fù)責(zé)計費，總體安全策略，以及身份和訪問管理。

計費：在共享VPC中的項目之間進(jìn)行流量計費，無論是否使用XPC，都進(jìn)行合并，就像是單個項目一樣。

主機(jī)項目：谷歌云組織內(nèi)的一個包含共享VPC和一個或多個服務(wù)項目的總體項目。

服務(wù)項目：專門負(fù)責(zé)管理專門的谷歌云平臺實例并共享VPC的部門，開發(fā)團(tuán)隊或其他企業(yè)部門的項目。

獨立項目：共享VPC中不屬于XPN的項目。

管理員：負(fù)責(zé)管理組織，XPN和個人服務(wù)項目的三級層次結(jié)構(gòu)。

當(dāng)用戶將所有項目保留在一個VPC中時，他們可以執(zhí)行一致的策略，并為每個應(yīng)用程序開發(fā)團(tuán)隊提供虛擬沙箱。使用XPN，共享的VPC作為主機(jī)項目的保護(hù)傘，在該項目下，分離出了各自的項目名稱空間。例如，組織在單個VPC中有三個項目，每個項目都有自己的子網(wǎng)。一個項目需要隔離，但另外兩個項目需要網(wǎng)絡(luò)連接才能共享代碼進(jìn)行集成測試。在這種情況下，獨立項目仍然在一個孤立的子網(wǎng)上，而另外兩個項目則連接在一個Google XPN主機(jī)項目下。

限制和挑戰(zhàn)

Google XPN和相關(guān)服務(wù)項目都必須屬于同一個谷歌組織。他們也面臨以下限制和局限：

組織可以有多個XPN;然而，一個服務(wù)項目只能屬于一個XPN。

管理員可以將現(xiàn)有項目與新的Google XPN關(guān)聯(lián)，但不能遷移以前在服務(wù)網(wǎng)絡(luò)中實例化的VM實例;他們必須在XPN中停止并重新創(chuàng)建它們。

共享的虛擬專用云在網(wǎng)絡(luò)中的所有項目中最多只能有7000個實例，而內(nèi)部負(fù)載平衡的轉(zhuǎn)發(fā)規(guī)則不超過50個。

服務(wù)項目從整個VPC的集合集共享資源總配額。 例如，主機(jī)或服務(wù)項目不能有比總體配額允許的更多的負(fù)載均衡器轉(zhuǎn)發(fā)規(guī)則。

雖然XPN處于測試階段，但它限于每個云組織的100個主機(jī)項目以及與特定主機(jī)項目相關(guān)的100個服務(wù)項目。 此外，不支持跨項目的外部負(fù)載平衡，這意味著負(fù)載平衡器必須與后端相同的主機(jī)項目共同存在。

另一個挑戰(zhàn)是Google XPN的安全性很容易配置錯誤。例如，雖然它檢查安全策略以確保用戶有權(quán)在特定子網(wǎng)中創(chuàng)建實例，但是將實例模板放入服務(wù)項目時，這些控件不適用。因此，用戶可能會遇到雖然有權(quán)創(chuàng)建模板，但不能實例化模板中指定資源的情況。

標(biāo)簽： 云計算 安全性 共享數(shù)據(jù) 私有云 谷歌云 網(wǎng)絡(luò)服務(wù) 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。