Se sei un amministratore dei criteri dell'organizzazione, puoi creare un vincolo dei criteri dell'organizzazione che limiti gli indirizzi IP che gli utenti possono specificare per un gateway VPN peer. In qualità di utente Cloud VPN, specifichi almeno un indirizzo IP per un gateway VPN peer quando crei un tunnel Cloud VPN. Limitare gli indirizzi IP che gli utenti possono specificare per un gateway VPN peer è una strategia per impedire la creazione di tunnel VPN non autorizzati.
I vincoli dei criteri si applicano a tutti i tunnel Cloud VPN in un progetto, una cartella o un'organizzazione specifici sia per la VPN classica che per la VPN ad alta disponibilità.
Gli indirizzi IP dei gateway peer sono gli indirizzi IP dei gateway VPN on-premise o di altri gateway Cloud VPN.
Per controllare l'elenco di indirizzi IP peer che gli utenti possono specificare durante la creazione di tunnel Cloud VPN, utilizza il vincolo Resource Manager
constraints/compute.restrictVpnPeerIPs.
Esempio di vincolo dei criteri dell'organizzazione
Nell'esempio seguente, un amministratore dei criteri dell'organizzazione crea un vincolo dei criteri dell'organizzazione che definisce l'indirizzo IPv4 e un indirizzo IPv6 del gateway VPN peer consentito.
Questa limitazione ha una lista consentita composta da un indirizzo IPv4, 100.1.1.1, e da un indirizzo IPv6, 2001:db8::2d9:51:0:0.
Gli amministratori di rete del progetto possono creare solo tunnel Cloud VPN che si connettono all'indirizzo IPv4 100.1.1.1 o all'indirizzo IPv6 2001:db8::2d9:51:0:0 del gateway peer. Il vincolo
non consente la creazione di tunnel Cloud VPN a
indirizzi IP di gateway peer diversi.
Considerazioni
Il vincolo relativo ai criteri dell'organizzazione che limita gli indirizzi IP dei gateway peer si applica solo ai nuovi tunnel Cloud VPN. La limitazione vieta i tunnel Cloud VPN creati dopo l'applicazione della limitazione. Per ulteriori informazioni, consulta Informazioni sulla gerarchia di Resource Manager.
Puoi applicare questa limitazione ai tunnel VPN classica o ai tunnel VPN ad alta disponibilità.
Puoi specificare più voci
allowedValueso più vocideniedValuesin un determinato criterio, ma non puoi utilizzare insieme le vociallowedValuesedeniedValuesnello stesso criterio.Tu o un amministratore di rete con le autorizzazioni corrette dovete gestire e mantenere il ciclo di vita e l'integrità dei tunnel VPN.
Applicare un vincolo dei criteri dell'organizzazione
Per creare un criterio dell'organizzazione e associarlo a un'organizzazione, a una cartella o a un progetto, utilizza gli esempi elencati nelle sezioni successive e segui i passaggi descritti in Utilizzare le limitazioni.
Autorizzazioni obbligatorie
Per impostare un vincolo per gli indirizzi IP dei peer a livello di organizzazione o progetto,
devi prima disporre del ruolo Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) per la tua organizzazione.
Limita la connettività da indirizzi IP peer specifici
Per consentire solo indirizzi IP peer specifici tramite un tunnel Cloud VPN, segui questi passaggi:
Trova l'ID organizzazione eseguendo il seguente comando:
gcloud organizations list
L'output del comando dovrebbe essere simile all'esempio seguente:
DISPLAY NAME ID example-organization 29252605212
Crea un file JSON che definisce il criterio, come nel seguente esempio:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allowedValues": [ "100.1.1.1", "2001:db8::2d9:51:0:0" ], } }Imposta il criterio dell'organizzazione utilizzando il comando
gcloudset-policydi Resource Manager, passando il file JSON e utilizzandoORGANIZATION_IDche hai trovato nel passaggio precedente.
Limita la connettività da qualsiasi indirizzo IP peer
Per vietare la creazione di tunnel Cloud VPN, segui i passaggi indicati in questo vincolo di esempio:
Individua l'ID dell'organizzazione o l'ID del nodo nella gerarchia delle risorse in cui vuoi impostare un criterio.
Crea un file JSON come nell'esempio seguente:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allValues": "DENY" } }Passa il file JSON eseguendo lo stesso comando che utilizzeresti per limitare indirizzi IP peer specifici.
Passaggi successivi
- Per utilizzare scenari di alta disponibilità e ad alto throughput o scenari con più reti secondarie, consulta Configurazioni avanzate.
- Per risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.