Controlar el tráfico de entrada y salida

En esta página se describe cómo configurar el tráfico de entrada y salida de un túnel VPN.

Controla el tráfico de salida y de entrada de un túnel VPN por proyecto.

  • De forma predeterminada, todos los proyectos denegarán el tráfico entrante de un túnel VPN.
  • De forma predeterminada, los proyectos con la protección contra la exfiltración de datos habilitada denegarán el tráfico saliente a un túnel de VPN.

Sigue estas instrucciones para cambiar las reglas de salida y entrada predeterminadas del tráfico de VPN de un proyecto.

Antes de empezar

Para configurar el tráfico de entrada y salida de un túnel VPN, debe tener lo siguiente:

  • Un túnel VPN. Para obtener más información, consulta Crear un túnel VPN.

  • Los roles de identidad y acceso necesarios:

    • Administrador de VPN: tiene permisos de lectura y escritura en todos los recursos relacionados con VPN. Pídele al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de administrador de VPN (vpn-admin).
    • Lector de VPN: tiene permisos de lectura en todos los recursos relacionados con VPN. Pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol de lector de VPN (vpn-viewer).
    • Administrador de NetworkPolicy de proyecto: gestiona las políticas de red de proyecto en el espacio de nombres del proyecto. Pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol Administrador de NetworkPolicy de proyectos (project-networkpolicy-admin).
    • Para obtener más información, consulta Definiciones de roles.

Configurar el tráfico de entrada

De forma predeterminada, todos los proyectos rechazan el tráfico entrante de un túnel VPN. Para permitir que un proyecto acepte tráfico de un túnel VPN, usa un objeto ProjectNetworkPolicy que tenga como destino las rutas recibidas a través de la sesión del protocolo de pasarela fronteriza (BGP) que se usa en el túnel VPN:

Para permitir que un proyecto reciba tráfico de un túnel VPN, sigue estos pasos:

  1. Recuperar todas las rutas recibidas del estado de VPNBGPPeer:

    kubectl --kubeconfig MANAGEMENT_API_SERVER get -n platform vpnbgppeer VPN_BGP_PEER_NAME -ojson | jq '.status.received'

    Haz los cambios siguientes:

    • MANAGEMENT_API_SERVER: la ruta kubeconfig del servidor de la API zonal. Si aún no has generado un archivo kubeconfig para el servidor de la API en tu zona de destino, consulta Iniciar sesión para obtener más información.
    • VPN_BGP_PEER_NAME: el nombre de tu sesión de BGP de VPN.

    Para obtener más información, consulta Crear una sesión BGP de VPN.

    La salida tiene el siguiente aspecto:

    [
  {
    "prefix": "192.168.100.0/24"
  },
  {
    "prefix": "192.168.101.0/24"
  }
]

  2. Añade todas las rutas recibidas del estado VPNBGPPeer a un objeto ProjectNetworkPolicy en el espacio de nombres del proyecto:

    kubectl --kubeconfig GLOBAL_API_SERVER create -n PROJECT_NAME -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  name: allow-ingress-vpn-traffic
spec:
  policyType: Ingress
  subject:
    subjectType: UserWorkload
  ingress:
  - from:
    - ipBlocks:
      - cidr: 192.168.100.0/24
      - cidr: 192.168.101.0/24
EOF

    Haz los cambios siguientes:

    • GLOBAL_API_SERVER: la ruta de kubeconfig del servidor de API global. Para obtener más información, consulte los recursos del servidor de la API global.
    • PROJECT_NAME: el nombre de tu proyecto de GDC.

Configurar el tráfico de salida

De forma predeterminada, un proyecto con la protección contra la filtración externa de datos habilitada denegará el envío de tráfico a la VPN.

Puedes permitir que un proyecto envíe tráfico a un túnel VPN inhabilitando la protección contra la exfiltración de datos del proyecto. Para obtener más información, consulta el artículo sobre cómo evitar la exfiltración de datos.

Siguientes pasos