Limiter les adresses IP pour les passerelles VPN de pairs

Si vous êtes administrateur de règles d'administration, vous pouvez créer une contrainte de règle d'administration qui limite les adresses IP que les utilisateurs peuvent spécifier pour les passerelles VPN de pairs. En tant qu'utilisateur de Cloud VPN, vous spécifiez au moins une adresse IP pour une passerelle VPN de pairs lorsque vous créez un tunnel Cloud VPN. Limiter les adresses IP que les utilisateurs peuvent spécifier pour une passerelle VPN de pairs est une stratégie qui permet d'empêcher la création de tunnels VPN non autorisés.

Les contraintes de règles s'appliquent à tous les tunnels Cloud VPN dans un projet, un dossier ou une organisation spécifique à un VPN classique et un VPN haute disponibilité.

Les adresses IP des passerelles de pairs sont les adresses IP des passerelles VPN sur site ou d'autres passerelles Cloud VPN.

Pour contrôler la liste des adresses IP de pairs que les utilisateurs peuvent spécifier lorsqu'ils créent des tunnels Cloud VPN, utilisez la contrainte Resource Manager constraints/compute.restrictVpnPeerIPs.

Exemple de contrainte d règle d'administration

Dans l'exemple suivant, un administrateur de règles d'administration crée une contrainte de règle d'administration qui définit l'adresse IPv4 autorisée de la passerelle VPN paire ainsi qu'une adresse IPv6.

Cette contrainte dispose d'une liste d'autorisation composée d'une adresse IPv4, 100.1.1.1, et d'une adresse IPv6, 2001:db8::2d9:51:0:0.

Les administrateurs réseau du projet ne peuvent créer que des tunnels Cloud VPN qui se connectent à l'adresse IPv4 100.1.1.1 de la passerelle paire ou à l'adresse IPv6 2001:db8::2d9:51:0:0. La contrainte empêche la création de tunnels Cloud VPN vers différentes adresses IP de la passerelle paire.

Règle d'administration permettant de restreindre les pairs VPN.
Règle d'administration permettant de restreindre les pairs VPN (cliquez pour agrandir)

Points à prendre en compte

  • La contrainte de règle d'administration qui limite les adresses IP de la passerelle de pairs ne s'applique qu'aux nouveaux tunnels Cloud VPN. La contrainte interdit les tunnels Cloud VPN créés après son entrée en vigueur. Pour en savoir plus, consultez la page Comprendre la hiérarchie de Resource Manager.

  • Vous pouvez appliquer cette contrainte aux tunnels VPN classiques ou aux tunnels VPN haute disponibilité.

  • Vous pouvez spécifier plusieurs entrées allowedValues ou deniedValues dans une règle donnée, mais vous ne pouvez pas utiliser les entrées allowedValues et deniedValues ensemble dans la même règle.

  • Vous-même ou un administrateur réseau disposant des autorisations appropriées devez assurer la gestion et la maintenance du cycle de vie et de l'intégrité de vos tunnels VPN.

Appliquer une contrainte de règle d'administration

Pour créer une règle d'administration et l'associer à une organisation, un dossier ou un projet, utilisez les exemples répertoriés dans les sections suivantes et suivez les étapes de la page Utiliser des contraintes.

Autorisations requises

Pour définir une contrainte d'adresse IP de pair au niveau de l'organisation ou du projet, vous devez d'abord disposer du rôle Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) pour votre organisation.

Limiter la connectivité à partir d'adresses IP de pairs spécifiques

Pour autoriser uniquement des adresses IP de pairs spécifiques via un tunnel Cloud VPN, procédez comme suit :

  1. Pour rechercher l'ID de votre organisation, exécutez la commande suivante :

    gcloud organizations list

    Le résultat de la commande devrait ressembler à ceci :

    DISPLAY NAME             ID
example-organization     29252605212

  2. Créez un fichier JSON qui définit votre stratégie, comme dans l'exemple suivant :

     {
   "constraint": "constraints/compute.restrictVpnPeerIPs",
   "listPolicy": {
     "allowedValues": [
       "100.1.1.1",
       "2001:db8::2d9:51:0:0"
     ],
   }
 }

  3. Définissez la règle d'administration à l'aide de la commande de Resource Manager gcloudset-policy, en transmettant le fichier JSON et en utilisant ORGANIZATION_ID que vous avez trouvé à l'étape précédente.

Limiter la connectivité à partir de toute adresse IP de pairs

Pour interdire la création de tout nouveau tunnel Cloud VPN, suivez les étapes décrites dans cet exemple de contrainte.

  1. Recherchez l'ID de votre organisation ou l'ID du nœud dans la hiérarchie des ressources où vous souhaitez définir une règle.

  2. Créez un fichier JSON comme dans l'exemple suivant. 

    {
  "constraint": "constraints/compute.restrictVpnPeerIPs",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  3. Transmettez le fichier JSON en exécutant la même commande que celle que vous utiliseriez pour restreindre des adresses IP de pairs spécifiques.

Étapes suivantes

  • Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
  • Pour résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.