隔离的网络加强了云计算安全性，但其共享数据可能成为一个挑战。人们需要了解一下Google XPN如何使多个用户或部门共享一个虚拟私有云的情况。

网络分割几十年来一直是标准的IT安全实践。对于许多组织来说，这使得能够在特定服务（如Amazon WebS ervices或Google Cloud Platform）中创建虚拟私有云子网，这是一个强大的功能。

亚马逊网络服务（AWS）是业界首个提供虚拟私有云（VPC）的厂商，用于分割云平台，并通过虚拟专用网络（VPN）安全连接到企业数据中心。但是，目前处于测试阶段的Google共享VPC网络（XPN）的替代品已经出现。

AWS所面临的一个挑战是，其VPC仅限于单个帐户，当整个企业而不只是特定部门采用公共云时，这将成为一个问题。当用户需要隔离的工作负载时，AWS建议他们为单独的VPC创建多个帐户，但是当团队需要共享代码或数据时，就会产生问题。

另一方面，Google XPN就是专门针对这些类型的场景进行设计的。

何时考虑采用Google XPN

当不同的团队开发和管理的两个或多个应用模块或服务必须在谷歌云平台（GCP）中互动时，Google XPN非常有用。更常见的情况是混合云，GCP上的服务使用专用数据中心的资源。在这里，单独的组拥有并管理每个云应用程序或服务，但是这些服务需要通过共享的VPC与从谷歌云平台到数据中心的VPN网关进行通信。

XPN允许每个项目独立运行，对VPC，VPN网关和内部网络的网络配置和安全策略进行单独控制。组织可以在同一个VPC中设置多个Google XPN，并具有控制其访问本地资源和彼此的策略。

技术概念

Google XPN可以通过私有网络连接GCP资源的虚拟私有云实现多租户共享。该网络可以跨越多个GCP区域。

为了实现这种分割，Google XPN为组织范围内的VPC中的不同项目实现标准的IP网络地址空间转换。作为VPC的一部分，Google XPNs通过防火墙规则继承安全功能，并控制网络流量。然后，云计算管理员可以创建VPN，并配置适用于整个VPC的防火墙规则，并且还可以在不同子网的项目之间建立访问控制。

Google XPN：需要知道的关键术语

·组织：GCP部署中的所有项目和资源的所有者，通常还负责计费，总体安全策略以及身份和访问管理。

·计费：在共享VPC中的项目之间进行流量计费，无论是否使用XPC，还是合并的，就像是单个项目一样。

·独立项目：共享VPC中不属于XPN的项目。

·管理员：负责管理组织，XPN和个人服务项目的三级层次结构。

当用户将所有项目保留在VPC中时，他们可以执行一致的策略，并为每个应用程序开发团队提供虚拟沙箱。使用XPN，共享的VPC作为主机项目的保护伞，在该项目下，需要获得单独的项目命名空间。例如，组织在单个VPC中有三个项目，每个项目都有自己的子网。一个项目需要孤立，但另外两个项目需要网络连接才能共享代码进行集成测试。在这种情况下，独立项目仍然在一个孤立的子网上，而另外两个项目则连接在一个GoogleXPN主机项目下。

　　限制和挑战

Google XPN和相关服务项目都必须属于同一个Google机构。他们还面临以下限制和挑战：

·组织可以有多个XPN;然而，服务项目只能属于单个XPN。

·管理员可以将现有项目与新的Google XPN相关联，但不能迁移服务网络中先前实例化的虚拟机实例;他们必须在XPN中停止并重新创建它们。

·共享的虚拟专用云在网络中的所有项目中最多只能有7000个实例，而内部负载平衡的转发规则不超过50个。

·服务项目从整个VPC的集合集共享资源总配额。例如，主机或服务项目不能拥有比整体配额允许的更多的负载平衡器转发规则。

·虽然XPN处于测试阶段，但每个云组织仅限于100个主机项目以及附属于特定主机项目的100个服务项目。此外，不支持跨项目的外部负载平衡，这意味着负载平衡器必须与后端相同的主机项目中共同存在。

另一个挑战是Google XPN的安全性很容易配置错误。例如，虽然它检查安全策略以确保用户有权在特定子网中创建实例，但将实例模板放入服务项目时，这些控件不适用。因此，用户可能会遇到有权创建模板，但不能实例化模板中指定资源的情况。