隔離的網(wǎng)絡(luò)加強(qiáng)了云計(jì)算的安全性，但其共享數(shù)據(jù)可能會(huì)成為一個(gè)挑戰(zhàn)。企業(yè)需要了解采用Google XPN如何使多個(gè)用戶或部門共享一個(gè)虛擬私有云。

數(shù)十年來，網(wǎng)絡(luò)細(xì)分已經(jīng)成為標(biāo)準(zhǔn)的IT安全實(shí)踐。對(duì)于許多組織來說，這使得能夠在特定服務(wù)(如Amazon Web Services或谷歌云平臺(tái))中創(chuàng)建虛擬私有云子網(wǎng)，這是一個(gè)強(qiáng)大的功能。

亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)是第一個(gè)提供虛擬私有云(VPC)方式的廠商 ，用于分割一個(gè)云平臺(tái)并通過虛擬專用網(wǎng)絡(luò)(VPN)安全連接到企業(yè)數(shù)據(jù)中心。但是，目前處于測(cè)試階段的谷歌公司的共享VPC網(wǎng)絡(luò)(XPN)將成為AWS所提供服務(wù)的競(jìng)爭(zhēng)者。

AWS公司面臨的一個(gè)挑戰(zhàn)是，其VPC僅限于單個(gè)賬戶，當(dāng)整個(gè)企業(yè)采用，而不只是特定部門采用公共云時(shí)，這將成為一個(gè)問題。當(dāng)用戶需要隔離的工作負(fù)載時(shí)，AWS公司建議他們?yōu)閱为?dú)的VPC創(chuàng)建多個(gè)賬戶，但是當(dāng)團(tuán)隊(duì)需要共享代碼或數(shù)據(jù)時(shí)，就會(huì)產(chǎn)生問題。

另一方面，Google XPN專門針對(duì)這些類型的場(chǎng)景。

何時(shí)考慮采用Google XPN

當(dāng)不同的團(tuán)隊(duì)開發(fā)和管理必須在谷歌云平臺(tái)(GCP)中進(jìn)行交互的兩個(gè)或更多應(yīng)用模塊或服務(wù)時(shí)，Google XPN非常有用。更常見的情況是混合云，谷歌云平臺(tái)上的服務(wù)在私有數(shù)據(jù)中心中使用資源。在這里，單獨(dú)的小組擁有并管理每個(gè)云應(yīng)用程序或服務(wù)，但是這些服務(wù)需要通過從谷歌云到數(shù)據(jù)中心的VPN網(wǎng)關(guān)進(jìn)行通信的一個(gè)共享的VPC。

XPN允許每個(gè)項(xiàng)目獨(dú)立運(yùn)行，對(duì)VPC，VPN網(wǎng)關(guān)以及內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)配置和安全策略進(jìn)行單獨(dú)的控制。組織可以在同一個(gè)VPC中設(shè)置多個(gè)Google XPN，其中包含控制他們?cè)L問本地資源和彼此的策略。

技術(shù)概念

Google XPN支持通過專用網(wǎng)絡(luò)連接谷歌云平臺(tái)資源的虛擬私有云的多租戶共享。該網(wǎng)絡(luò)可以跨越多個(gè)谷歌云平臺(tái)區(qū)域。

為了實(shí)現(xiàn)這一分割，Google XPN為組織內(nèi)的VPC中的不同項(xiàng)目實(shí)施標(biāo)準(zhǔn)的IP網(wǎng)絡(luò)地址轉(zhuǎn)換空間。作為VPC的一部分，Google XPNs通過防火墻規(guī)則繼承安全功能，并控制網(wǎng)絡(luò)流量。然后，云計(jì)算管理員可以創(chuàng)建VPN并配置適用于整個(gè)VPC的防火墻規(guī)則，并且還可以在不同子網(wǎng)的項(xiàng)目之間建立訪問控制。

Google XPN：要知道的關(guān)鍵術(shù)語(yǔ)

組織：谷歌云平臺(tái)部署中的所有項(xiàng)目和資源的所有者，通常還負(fù)責(zé)計(jì)費(fèi)，總體安全策略，以及身份和訪問管理。

計(jì)費(fèi)：在共享VPC中的項(xiàng)目之間進(jìn)行流量計(jì)費(fèi)，無論是否使用XPC，都進(jìn)行合并，就像是單個(gè)項(xiàng)目一樣。

主機(jī)項(xiàng)目：谷歌云組織內(nèi)的一個(gè)包含共享VPC和一個(gè)或多個(gè)服務(wù)項(xiàng)目的總體項(xiàng)目。

服務(wù)項(xiàng)目：專門負(fù)責(zé)管理專門的谷歌云平臺(tái)實(shí)例并共享VPC的部門，開發(fā)團(tuán)隊(duì)或其他企業(yè)部門的項(xiàng)目。

獨(dú)立項(xiàng)目：共享VPC中不屬于XPN的項(xiàng)目。

管理員：負(fù)責(zé)管理組織，XPN和個(gè)人服務(wù)項(xiàng)目的三級(jí)層次結(jié)構(gòu)。

當(dāng)用戶將所有項(xiàng)目保留在一個(gè)VPC中時(shí)，他們可以執(zhí)行一致的策略，并為每個(gè)應(yīng)用程序開發(fā)團(tuán)隊(duì)提供虛擬沙箱。使用XPN，共享的VPC作為主機(jī)項(xiàng)目的保護(hù)傘，在該項(xiàng)目下，分離出了各自的項(xiàng)目名稱空間。例如，組織在單個(gè)VPC中有三個(gè)項(xiàng)目，每個(gè)項(xiàng)目都有自己的子網(wǎng)。一個(gè)項(xiàng)目需要隔離，但另外兩個(gè)項(xiàng)目需要網(wǎng)絡(luò)連接才能共享代碼進(jìn)行集成測(cè)試。在這種情況下，獨(dú)立項(xiàng)目仍然在一個(gè)孤立的子網(wǎng)上，而另外兩個(gè)項(xiàng)目則連接在一個(gè)Google XPN主機(jī)項(xiàng)目下。

限制和挑戰(zhàn)

Google XPN和相關(guān)服務(wù)項(xiàng)目都必須屬于同一個(gè)谷歌組織。他們也面臨以下限制和局限：

組織可以有多個(gè)XPN;然而，一個(gè)服務(wù)項(xiàng)目只能屬于一個(gè)XPN。

管理員可以將現(xiàn)有項(xiàng)目與新的Google XPN關(guān)聯(lián)，但不能遷移以前在服務(wù)網(wǎng)絡(luò)中實(shí)例化的VM實(shí)例;他們必須在XPN中停止并重新創(chuàng)建它們。

共享的虛擬專用云在網(wǎng)絡(luò)中的所有項(xiàng)目中最多只能有7000個(gè)實(shí)例，而內(nèi)部負(fù)載平衡的轉(zhuǎn)發(fā)規(guī)則不超過50個(gè)。

服務(wù)項(xiàng)目從整個(gè)VPC的集合集共享資源總配額。 例如，主機(jī)或服務(wù)項(xiàng)目不能有比總體配額允許的更多的負(fù)載均衡器轉(zhuǎn)發(fā)規(guī)則。

雖然XPN處于測(cè)試階段，但它限于每個(gè)云組織的100個(gè)主機(jī)項(xiàng)目以及與特定主機(jī)項(xiàng)目相關(guān)的100個(gè)服務(wù)項(xiàng)目。 此外，不支持跨項(xiàng)目的外部負(fù)載平衡，這意味著負(fù)載平衡器必須與后端相同的主機(jī)項(xiàng)目共同存在。

另一個(gè)挑戰(zhàn)是Google XPN的安全性很容易配置錯(cuò)誤。例如，雖然它檢查安全策略以確保用戶有權(quán)在特定子網(wǎng)中創(chuàng)建實(shí)例，但是將實(shí)例模板放入服務(wù)項(xiàng)目時(shí)，這些控件不適用。因此，用戶可能會(huì)遇到雖然有權(quán)創(chuàng)建模板，但不能實(shí)例化模板中指定資源的情況。

標(biāo)簽： 云計(jì)算 安全性 共享數(shù)據(jù) 私有云 谷歌云 網(wǎng)絡(luò)服務(wù) 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。