隔离的网络加强了云计算的安全性，但其共享数据可能会成为一个挑战。企业需要了解采用Google XPN如何使多个用户或部门共享一个虚拟私有云。

数十年来，网络细分已经成为标准的IT安全实践。对于许多组织来说，这使得能够在特定服务(如Amazon Web Services或谷歌云平台)中创建虚拟私有云子网，这是一个强大的功能。

亚马逊网络服务(AWS)是第一个提供虚拟私有云(VPC)方式的厂商 ，用于分割一个云平台并通过虚拟专用网络(VPN)安全连接到企业数据中心。但是，目前处于测试阶段的谷歌公司的共享VPC网络(XPN)将成为AWS所提供服务的竞争者。

AWS公司面临的一个挑战是，其VPC仅限于单个账户，当整个企业采用，而不只是特定部门采用公共云时，这将成为一个问题。当用户需要隔离的工作负载时，AWS公司建议他们为单独的VPC创建多个账户，但是当团队需要共享代码或数据时，就会产生问题。

另一方面，Google XPN专门针对这些类型的场景。

何时考虑采用Google XPN

当不同的团队开发和管理必须在谷歌云平台(GCP)中进行交互的两个或更多应用模块或服务时，Google XPN非常有用。更常见的情况是混合云，谷歌云平台上的服务在私有数据中心中使用资源。在这里，单独的小组拥有并管理每个云应用程序或服务，但是这些服务需要通过从谷歌云到数据中心的VPN网关进行通信的一个共享的VPC。

XPN允许每个项目独立运行，对VPC，VPN网关以及内部网络的网络配置和安全策略进行单独的控制。组织可以在同一个VPC中设置多个Google XPN，其中包含控制他们访问本地资源和彼此的策略。

技术概念

Google XPN支持通过专用网络连接谷歌云平台资源的虚拟私有云的多租户共享。该网络可以跨越多个谷歌云平台区域。

为了实现这一分割，Google XPN为组织内的VPC中的不同项目实施标准的IP网络地址转换空间。作为VPC的一部分，Google XPNs通过防火墙规则继承安全功能，并控制网络流量。然后，云计算管理员可以创建VPN并配置适用于整个VPC的防火墙规则，并且还可以在不同子网的项目之间建立访问控制。

Google XPN：要知道的关键术语

•组织：谷歌云平台部署中的所有项目和资源的所有者，通常还负责计费，总体安全策略，以及身份和访问管理。

•计费：在共享VPC中的项目之间进行流量计费，无论是否使用XPC，都进行合并，就像是单个项目一样。

•主机项目：谷歌云组织内的一个包含共享VPC和一个或多个服务项目的总体项目。

•服务项目：专门负责管理专门的谷歌云平台实例并共享VPC的部门，开发团队或其他企业部门的项目。

•独立项目：共享VPC中不属于XPN的项目。

•管理员：负责管理组织，XPN和个人服务项目的三级层次结构。

当用户将所有项目保留在一个VPC中时，他们可以执行一致的策略，并为每个应用程序开发团队提供虚拟沙箱。使用XPN，共享的VPC作为主机项目的保护伞，在该项目下，分离出了各自的项目名称空间。例如，组织在单个VPC中有三个项目，每个项目都有自己的子网。一个项目需要隔离，但另外两个项目需要网络连接才能共享代码进行集成测试。在这种情况下，独立项目仍然在一个孤立的子网上，而另外两个项目则连接在一个Google XPN主机项目下。

限制和挑战

Google XPN和相关服务项目都必须属于同一个谷歌组织。他们也面临以下限制和局限：

•组织可以有多个XPN;然而，一个服务项目只能属于一个XPN。

•管理员可以将现有项目与新的Google XPN关联，但不能迁移以前在服务网络中实例化的VM实例;他们必须在XPN中停止并重新创建它们。

•共享的虚拟专用云在网络中的所有项目中最多只能有7000个实例，而内部负载平衡的转发规则不超过50个。

•服务项目从整个VPC的集合集共享资源总配额。 例如，主机或服务项目不能有比总体配额允许的更多的负载均衡器转发规则。

•虽然XPN处于测试阶段，但它限于每个云组织的100个主机项目以及与特定主机项目相关的100个服务项目。 此外，不支持跨项目的外部负载平衡，这意味着负载平衡器必须与后端相同的主机项目共同存在。

另一个挑战是Google XPN的安全性很容易配置错误。例如，虽然它检查安全策略以确保用户有权在特定子网中创建实例，但是将实例模板放入服务项目时，这些控件不适用。因此，用户可能会遇到虽然有权创建模板，但不能实例化模板中指定资源的情况。