sheelamohanachandran - Fotolia

Das bringt Google-XPN für Ihre VPC-Netzwerke

Das Konzept von Virtual Private Clouds wurde vor allem durch Amazon Web Services bekannt. Nun will Google mit XPN die Konkurrenz hinter sich lassen.

Die Netzwerksegmentierung ist in der IT seit Jahrzehnten ein gängiges Sicherheitsverfahren. Die Möglichkeit, auf dieser Grundlage VPC-Subnetze (Virtual Private Cloud) innerhalb eines bestimmten Services anzulegen, zum Beispiel Amazon Web Services oder Google Cloud Platform, stellt für viele Organisationen eine mächtige Funktion dar.

Amazon Web Services (AWS) bot als Erster Virtual Private Clouds (VPC) an, über die man eine Cloud-Plattform unterteilen und sich mit Unternehmensrechenzentren per virtuellem privaten Netzwerk (VPN) auf sichere Weise verbinden konnte. Doch es sind Alternativen hinzugekommen, etwa Googles Shared VPC Network (XPN), derzeit im Beta-Stadium.

Eine Herausforderung bei AWS besteht darin, dass dessen VPCs auf einen einzelnen Account beschränkt sind, was zu einem Problem wird, wenn die Public Cloud nicht nur in einer bestimmten Abteilung, sondern im gesamten Unternehmen eingeführt wird. Wenn Anwender isolierte Workloads benötigen, empfiehlt AWS, dass sie mehrere Accounts für separate VPCs erstellen. Dies führt allerdings zu Problemen, falls Teams Code oder Daten gemeinsam nutzen müssen.

Google-XPN hingegen sieht solche Szenarien explizit vor.

Wann Google-XPN infrage kommt

Googles XPN-Verfahren ist immer dann hilfreich, wenn verschiedene Gruppen mindestens zwei Anwendungsmodule oder Services, die innerhalb der Google Cloud Platform (GCP) interagieren müssen, entwickeln und verwalten. Ein gängigeres Szenario ist die Hybrid Cloud, wo Services auf der GCP Ressourcen in einem Private Data Center nutzen. Hier besitzt und verwaltet eine separate Gruppe jede Cloud-Anwendung oder -Service, aber diese Services müssen über eine geteilte VPC mit einem VPN-Gateway von der Google-Cloud zum Data Center kommunizieren.

Dank XPN läuft jedes Projekt unabhängig, mit einer separaten Steuerung für die Netzwerkkonfiguration sowie einer Sicherheitsrichtlinie für die VPC, den VPN-Gateway und interne Netzwerke. Eine Organisation kann innerhalb der gleichen VPC mehrere Google-XPNs mit Richtlinien konfigurieren, die deren Zugriff sowohl auf On-Premises-Ressourcen als auch untereinander regeln.

Technische Konzepte

Mit Google-XPN haben mehrere Mandanten die Möglichkeit, eine Virtual Public Cloud, die GPC-Ressourcen über ein privates Netzwerk verbinden kann, gemeinsam zu nutzen. Dieses Netzwerk kann mehrere GCP-Regionen umspannen.

Um diese Segmentierung zu erreichen, implementiert Google-XPN übliche IP-Adressräume per Network Address Translation (NAT) für unterschiedliche Projekte innerhalb einer organisationsweiten VPC. Als Teil einer VPC vererben Google-XPNs Sicherheitsfunktionen und steuern den Netzwerk-Traffic durch Firewall-Regeln. Cloud-Admins können dann VPNs erstellen und Firewall-Regeln konfigurieren, die für die gesamte VPC gelten, sowie außerdem Zugriffssteuerungen zwischen Projekten in verschiedenen Subnetzen festlegen.

Google-XPN: Wichtige Begriffe

  • Organisation (Organization): Der Besitzer aller Projekte und Ressourcen bei einem GCP-Deployment, der in der Regel auch verantwortlich ist für die Abrechnung, die gesamten Sicherheitsrichtlinien sowie für die Identitäts- und Zugriffsverwaltung.
  • Abrechnung (Billing): Die projektübergreifende Traffic-Abrechnung in einer gemeinsam genutzten VPC, unabhängig ob mit oder ohne XPN, wird konsolidiert, als ob es sich um ein einzelnes Projekt handeln würde.
  • Host-Projekt (Host project): Das übergeordnete Projekt innerhalb einer Google-Cloud-Organisation, das eine gemeinsam genutzte VPC und ein oder mehrere Serviceprojekte enthält.
  • Serviceprojekt (Service project): Ein Projekt für eine bestimmte Abteilung, ein bestimmtes Entwicklungsteam oder anderes Unternehmenssegment, das dedizierte GPC-Instanzen verwaltet und eine VPC teilt.
  • Eigenständiges Projekt (Stand-alone project): Ein Projekt innerhalb einer gemeinsam genutzten VPC, die nicht Teil eines XPN ist.
  • Administratoren (Administrators): Eine dreistufige Hierarchie der für die Verwaltung einer Organisation, eines XPN und individueller Serviceprojekte Verantwortlichen.

Wenn sich alle Projekte innerhalb einer VPC befinden, können die User konsistente Richtlinien erzwingen und eine virtuelle Sandbox für jedes App-Entwicklungsteam zur Verfügung stellen. Bei XPN fungiert die gemeinsam genutzte VPC als Schirm für ein Host-Projekt, unter dem separate Projekt-Namespaces gebildet werden. Eine Organisation verfügt zum Beispiel über drei Projekte in einer einzigen VPC, jedes mit seinem eigenen Subnetz. Ein Projekt muss isoliert werden, aber die zwei anderen Projekte benötigen eine Netzwerkkonnektivität, um Code für Integrationstests zu teilen. In diesem Szenario bleibt das eigenständige Projekt in einem isolierten Subnetz, während die beiden anderen Projekte unter einem Host-Projekt mit Googles XPN verbunden werden.

Beispiel für ein XPN-Host-Projekt mit einem eigenständigen Projekt im isolierten Subnetz.
Abbildung 1: Beispiel für ein XPN-Host-Projekt mit einem eigenständigen Projekt im isolierten Subnetz.

Einschränkungen und Herausforderungen

Google-XPNs und dazugehörige Serviceprojekte müssen alle zur gleichen Google-Organisation gehören. Darüber hinaus gelten für sie die folgenden Einschränkungen:

  • Eine Organisation kann mehrere XPNs besitzen. Doch ein Serviceprojekt kann nur zu einem einzigen XPN gehören.
  • Admins können bestehende Projekte einem neuen Google-XPN zuweisen, können aber zuvor instanziierte VM-Instanzen nicht im Servicenetzwerk migrieren, sondern müssen diese erst beenden und dann im XPN neu erstellen.
  • Eine gemeinsam genutzte Virtual Private Cloud kann über alle Projekte im Netzwerk hinweg lediglich bis zu 7.000 Instanzen besitzen und nicht mehr als 50 Weiterleitungsregeln für das interne Load Balancing.
  • Serviceprojekte teilen sich die Ressourcenkontingente aus einem Pool, der für die gesamte VPC festgesetzt ist. Beispielsweise kann ein Host- oder Serviceprojekt über nicht mehr Weiterleitungsregeln für das Load Balancing verfügen als durch das Gesamtkontingent erlaubt sind.
  • Solange sich XPN im Beta-Stadium befindet, ist es auf 100 Host-Projekte pro Cloud-Organisation und 100 Serviceprojekte, die mit einem bestimmten Host-Projekt verbunden sind, beschränkt. Darüber hinaus wird das projektübergreifende externe Load Balancing nicht unterstützt. Somit muss der Load Balancer innerhalb des gleichen Host-Projekts als Backend vorhanden sein.

Eine weitere Herausforderung ergibt sich dadurch, dass bei der Konfiguration der Sicherheit von Google-XPNs leicht Fehler unterlaufen können. Obwohl XPN zum Beispiel die Sicherheitsrichtlinien überprüft, um sicherzustellen, dass die Benutzer eine Instanz in einem bestimmten Subnetz erstellen dürfen, gelten diese Checks nicht, wenn Instanzvorlagen zu einem Serviceprojekt hinzugefügt werden. Das führt möglicherweise zu der Situation, dass Benutzer zwar die Berechtigung besitzen, eine Vorlage zu erstellen, die in der Vorlage angegebenen Ressourcen aber nicht instanziieren dürfen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So verhindern Unternehmen Netzwerkprobleme mit AWS, Google und Co.

Virtual Private Clouds: Virtuelle Netzwerke mit AWS VPC einrichten

Netzwerk-Sicherheitsmaßnahmen für AWS-Cloud-Ressourcen

Wege zu einer hybriden Cloud-Netzwerk-Architektur

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Networking

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close