數(shù)十年來,網(wǎng)絡(luò)細(xì)分已經(jīng)成為標(biāo)準(zhǔn)的IT安全實(shí)踐。對于許多組織來說,這使得能夠在特定服務(wù)(如Amazon Web Services或谷歌云平臺)中創(chuàng)建虛擬私有云子網(wǎng),這是一個強(qiáng)大的功能。
亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)是第一個提供虛擬私有云(VPC)方式的廠商 ,用于分割一個云平臺并通過虛擬專用網(wǎng)絡(luò)(VPN)安全連接到企業(yè)數(shù)據(jù)中心。但是,目前處于測試階段的谷歌公司的共享VPC網(wǎng)絡(luò)(XPN)將成為AWS所提供服務(wù)的競爭者。
AWS公司面臨的一個挑戰(zhàn)是,其VPC僅限于單個賬戶,當(dāng)整個企業(yè)采用,而不只是特定部門采用公共云時,這將成為一個問題。當(dāng)用戶需要隔離的工作負(fù)載時,AWS公司建議他們?yōu)閱为?dú)的VPC創(chuàng)建多個賬戶,但是當(dāng)團(tuán)隊(duì)需要共享代碼或數(shù)據(jù)時,就會產(chǎn)生問題。
另一方面,Google XPN專門針對這些類型的場景。
何時考慮采用Google XPN
當(dāng)不同的團(tuán)隊(duì)開發(fā)和管理必須在谷歌云平臺(GCP)中進(jìn)行交互的兩個或更多應(yīng)用模塊或服務(wù)時,Google XPN非常有用。更常見的情況是混合云,谷歌云平臺上的服務(wù)在私有數(shù)據(jù)中心中使用資源。在這里,單獨(dú)的小組擁有并管理每個云應(yīng)用程序或服務(wù),但是這些服務(wù)需要通過從谷歌云到數(shù)據(jù)中心的VPN網(wǎng)關(guān)進(jìn)行通信的一個共享的VPC。
XPN允許每個項(xiàng)目獨(dú)立運(yùn)行,對VPC,VPN網(wǎng)關(guān)以及內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)配置和安全策略進(jìn)行單獨(dú)的控制。組織可以在同一個VPC中設(shè)置多個Google XPN,其中包含控制他們訪問本地資源和彼此的策略。
技術(shù)概念
Google XPN支持通過專用網(wǎng)絡(luò)連接谷歌云平臺資源的虛擬私有云的多租戶共享。該網(wǎng)絡(luò)可以跨越多個谷歌云平臺區(qū)域。
為了實(shí)現(xiàn)這一分割,Google XPN為組織內(nèi)的VPC中的不同項(xiàng)目實(shí)施標(biāo)準(zhǔn)的IP網(wǎng)絡(luò)地址轉(zhuǎn)換空間。作為VPC的一部分,Google XPNs通過防火墻規(guī)則繼承安全功能,并控制網(wǎng)絡(luò)流量。然后,云計(jì)算管理員可以創(chuàng)建VPN并配置適用于整個VPC的防火墻規(guī)則,并且還可以在不同子網(wǎng)的項(xiàng)目之間建立訪問控制。
Google XPN:要知道的關(guān)鍵術(shù)語
•組織:谷歌云平臺部署中的所有項(xiàng)目和資源的所有者,通常還負(fù)責(zé)計(jì)費(fèi),總體安全策略,以及身份和訪問管理。
•計(jì)費(fèi):在共享VPC中的項(xiàng)目之間進(jìn)行流量計(jì)費(fèi),無論是否使用XPC,都進(jìn)行合并,就像是單個項(xiàng)目一樣。
•主機(jī)項(xiàng)目:谷歌云組織內(nèi)的一個包含共享VPC和一個或多個服務(wù)項(xiàng)目的總體項(xiàng)目。
•服務(wù)項(xiàng)目:專門負(fù)責(zé)管理專門的谷歌云平臺實(shí)例并共享VPC的部門,開發(fā)團(tuán)隊(duì)或其他企業(yè)部門的項(xiàng)目。
•獨(dú)立項(xiàng)目:共享VPC中不屬于XPN的項(xiàng)目。
•管理員:負(fù)責(zé)管理組織,XPN和個人服務(wù)項(xiàng)目的三級層次結(jié)構(gòu)。
當(dāng)用戶將所有項(xiàng)目保留在一個VPC中時,他們可以執(zhí)行一致的策略,并為每個應(yīng)用程序開發(fā)團(tuán)隊(duì)提供虛擬沙箱。使用XPN,共享的VPC作為主機(jī)項(xiàng)目的保護(hù)傘,在該項(xiàng)目下,分離出了各自的項(xiàng)目名稱空間。例如,組織在單個VPC中有三個項(xiàng)目,每個項(xiàng)目都有自己的子網(wǎng)。一個項(xiàng)目需要隔離,但另外兩個項(xiàng)目需要網(wǎng)絡(luò)連接才能共享代碼進(jìn)行集成測試。在這種情況下,獨(dú)立項(xiàng)目仍然在一個孤立的子網(wǎng)上,而另外兩個項(xiàng)目則連接在一個Google XPN主機(jī)項(xiàng)目下。
限制和挑戰(zhàn)
Google XPN和相關(guān)服務(wù)項(xiàng)目都必須屬于同一個谷歌組織。他們也面臨以下限制和局限:
•組織可以有多個XPN;然而,一個服務(wù)項(xiàng)目只能屬于一個XPN。
•管理員可以將現(xiàn)有項(xiàng)目與新的Google XPN關(guān)聯(lián),但不能遷移以前在服務(wù)網(wǎng)絡(luò)中實(shí)例化的VM實(shí)例;他們必須在XPN中停止并重新創(chuàng)建它們。
•共享的虛擬專用云在網(wǎng)絡(luò)中的所有項(xiàng)目中最多只能有7000個實(shí)例,而內(nèi)部負(fù)載平衡的轉(zhuǎn)發(fā)規(guī)則不超過50個。
•服務(wù)項(xiàng)目從整個VPC的集合集共享資源總配額。 例如,主機(jī)或服務(wù)項(xiàng)目不能有比總體配額允許的更多的負(fù)載均衡器轉(zhuǎn)發(fā)規(guī)則。
•雖然XPN處于測試階段,但它限于每個云組織的100個主機(jī)項(xiàng)目以及與特定主機(jī)項(xiàng)目相關(guān)的100個服務(wù)項(xiàng)目。 此外,不支持跨項(xiàng)目的外部負(fù)載平衡,這意味著負(fù)載平衡器必須與后端相同的主機(jī)項(xiàng)目共同存在。
另一個挑戰(zhàn)是Google XPN的安全性很容易配置錯誤。例如,雖然它檢查安全策略以確保用戶有權(quán)在特定子網(wǎng)中創(chuàng)建實(shí)例,但是將實(shí)例模板放入服務(wù)項(xiàng)目時,這些控件不適用。因此,用戶可能會遇到雖然有權(quán)創(chuàng)建模板,但不能實(shí)例化模板中指定資源的情況。