隔離的網絡加強了云計算安全性,但其共享數據可能成為一個挑戰。人們需要了解一下Google XPN如何使多個用戶或部門共享一個虛擬私有云的情況。
網絡分割幾十年來一直是標準的IT安全實踐。對于許多組織來說,這使得能夠在特定服務(如Amazon WebS ervices或Google Cloud Platform)中創建虛擬私有云子網,這是一個強大的功能。
亞馬遜網絡服務(AWS)是業界首個提供虛擬私有云(VPC)的廠商,用于分割云平臺,并通過虛擬專用網絡(VPN)安全連接到企業數據中心。但是,目前處于測試階段的Google共享VPC網絡(XPN)的替代品已經出現。
AWS所面臨的一個挑戰是,其VPC僅限于單個帳戶,當整個企業而不只是特定部門采用公共云時,這將成為一個問題。當用戶需要隔離的工作負載時,AWS建議他們為單獨的VPC創建多個帳戶,但是當團隊需要共享代碼或數據時,就會產生問題。
另一方面,Google XPN就是專門針對這些類型的場景進行設計的。
何時考慮采用Google XPN
當不同的團隊開發和管理的兩個或多個應用模塊或服務必須在谷歌云平臺(GCP)中互動時,Google XPN非常有用。更常見的情況是混合云,GCP上的服務使用專用數據中心的資源。在這里,單獨的組擁有并管理每個云應用程序或服務,但是這些服務需要通過共享的VPC與從谷歌云平臺到數據中心的VPN網關進行通信。
XPN允許每個項目獨立運行,對VPC,VPN網關和內部網絡的網絡配置和安全策略進行單獨控制。組織可以在同一個VPC中設置多個Google XPN,并具有控制其訪問本地資源和彼此的策略。
技術概念
Google XPN可以通過私有網絡連接GCP資源的虛擬私有云實現多租戶共享。該網絡可以跨越多個GCP區域。
為了實現這種分割,Google XPN為組織范圍內的VPC中的不同項目實現標準的IP網絡地址空間轉換。作為VPC的一部分,Google XPNs通過防火墻規則繼承安全功能,并控制網絡流量。然后,云計算管理員可以創建VPN,并配置適用于整個VPC的防火墻規則,并且還可以在不同子網的項目之間建立訪問控制。
Google XPN:需要知道的關鍵術語
·組織:GCP部署中的所有項目和資源的所有者,通常還負責計費,總體安全策略以及身份和訪問管理。
·計費:在共享VPC中的項目之間進行流量計費,無論是否使用XPC,還是合并的,就像是單個項目一樣。
·獨立項目:共享VPC中不屬于XPN的項目。
·管理員:負責管理組織,XPN和個人服務項目的三級層次結構。
當用戶將所有項目保留在VPC中時,他們可以執行一致的策略,并為每個應用程序開發團隊提供虛擬沙箱。使用XPN,共享的VPC作為主機項目的保護傘,在該項目下,需要獲得單獨的項目命名空間。例如,組織在單個VPC中有三個項目,每個項目都有自己的子網。一個項目需要孤立,但另外兩個項目需要網絡連接才能共享代碼進行集成測試。在這種情況下,獨立項目仍然在一個孤立的子網上,而另外兩個項目則連接在一個GoogleXPN主機項目下。
限制和挑戰
Google XPN和相關服務項目都必須屬于同一個Google機構。他們還面臨以下限制和挑戰:
·組織可以有多個XPN;然而,服務項目只能屬于單個XPN。
·管理員可以將現有項目與新的Google XPN相關聯,但不能遷移服務網絡中先前實例化的虛擬機實例;他們必須在XPN中停止并重新創建它們。
·共享的虛擬專用云在網絡中的所有項目中最多只能有7000個實例,而內部負載平衡的轉發規則不超過50個。
·服務項目從整個VPC的集合集共享資源總配額。例如,主機或服務項目不能擁有比整體配額允許的更多的負載平衡器轉發規則。
·雖然XPN處于測試階段,但每個云組織僅限于100個主機項目以及附屬于特定主機項目的100個服務項目。此外,不支持跨項目的外部負載平衡,這意味著負載平衡器必須與后端相同的主機項目中共同存在。
另一個挑戰是Google XPN的安全性很容易配置錯誤。例如,雖然它檢查安全策略以確保用戶有權在特定子網中創建實例,但將實例模板放入服務項目時,這些控件不適用。因此,用戶可能會遇到有權創建模板,但不能實例化模板中指定資源的情況。
京公網安備 11010502049343號