Esta página descreve como configurar o tráfego de entrada e saída para um túnel de VPN.
Controlar o tráfego de saída e entrada para um túnel de VPN com base em cada projeto.
- Por predefinição, todos os projetos negam o tráfego recebido de um túnel VPN.
- Por predefinição, os projetos com a proteção contra exfiltração de dados ativada negam o tráfego de saída para um túnel de VPN.
Siga as instruções abaixo para alterar as regras de saída e entrada de tráfego da VPN predefinidas para um projeto.
Antes de começar
Para configurar o tráfego de entrada e saída de um túnel VPN, tem de ter o seguinte:
- Um túnel de VPN existente. Para mais informações, consulte Crie um túnel de VPN.
As funções de identidade e acesso necessárias:
- Administrador de VPN: tem autorizações de leitura e escrita em todos os recursos relacionados com a VPN. Peça ao administrador de IAM da organização para lhe conceder a função de administrador de VPN (
vpn-admin). - Visualizador de VPN: tem autorizações de leitura em todos os recursos relacionados com VPN. Peça ao administrador de IAM da organização para lhe conceder a função de leitor de VPN (
vpn-viewer). - Administrador de NetworkPolicy do projeto: gere as políticas de rede do projeto no espaço de nomes do projeto. Peça ao administrador de IAM da organização para lhe conceder a função de administrador da NetworkPolicy do projeto (
project-networkpolicy-admin). - Para mais informações, consulte o artigo Definições de funções.
- Administrador de VPN: tem autorizações de leitura e escrita em todos os recursos relacionados com a VPN. Peça ao administrador de IAM da organização para lhe conceder a função de administrador de VPN (
Configure o tráfego de entrada
Por predefinição, todos os projetos negam o tráfego de entrada de um túnel VPN. Para permitir que um projeto permita tráfego de um túnel VPN, use um objeto ProjectNetworkPolicy que tenha como alvo as rotas recebidas através da sessão do Border Gateway Protocol (BGP) usada no túnel VPN:
Para permitir que um projeto permita tráfego de um túnel VPN, siga estes passos:
Recupere todos os trajetos recebidos com o estado
VPNBGPPeer:kubectl --kubeconfig MANAGEMENT_API_SERVER get -n platform vpnbgppeer VPN_BGP_PEER_NAME -ojson | jq '.status.received'Substitua o seguinte:
MANAGEMENT_API_SERVER: o caminho kubeconfig do servidor da API zonal. Se ainda não gerou um ficheiro kubeconfig para o servidor da API na sua zona segmentada, consulte Iniciar sessão para ver detalhes.VPN_BGP_PEER_NAME: o nome da sua sessão de BGP da VPN.
Para mais informações, consulte o artigo Crie uma sessão BGP de VPN.
O resultado tem o seguinte aspeto:
[ { "prefix": "192.168.100.0/24" }, { "prefix": "192.168.101.0/24" } ]Adicione todas as rotas recebidas do estado
VPNBGPPeera um objetoProjectNetworkPolicyno espaço de nomes do projeto:kubectl --kubeconfig GLOBAL_API_SERVER create -n PROJECT_NAME -f - <<EOF apiVersion: networking.global.gdc.goog/v1 kind: ProjectNetworkPolicy metadata: name: allow-ingress-vpn-traffic spec: policyType: Ingress subject: subjectType: UserWorkload ingress: - from: - ipBlocks: - cidr: 192.168.100.0/24 - cidr: 192.168.101.0/24 EOFSubstitua o seguinte:
GLOBAL_API_SERVER: o caminho kubeconfig do servidor da API global. Para mais informações, consulte os recursos do servidor da API global.PROJECT_NAME: o nome do seu projeto do GDC.
Configure o tráfego de saída
Por predefinição, um projeto com a proteção contra exfiltração de dados ativada nega o envio de tráfego para a VPN.
Pode permitir que um projeto envie tráfego para um túnel de VPN desativando a proteção contra a exfiltração de dados para o projeto. Para mais informações, consulte o artigo Impeça a exfiltração de dados.