Se você for um administrador de políticas da organização, poderá criar uma restrição de política da organização que restrinja os endereços IP que os usuários especificam para um gateway de VPN de peering. Como usuário do Cloud VPN, você especifica pelo menos um endereço IP para um gateway de VPN de peering ao criar um túnel do Cloud VPN. Limitar os endereços IP que os usuários podem especificar para um gateway de VPN de peering é uma estratégia para evitar a criação de túneis VPN não autorizados.
As restrições de política se aplicam a todos os túneis do Cloud VPN em um projeto, uma pasta ou uma organização específica para VPN clássica e VPN de alta disponibilidade.
Os endereços IP do gateway de peering são os endereços IP de gateways da VPN no local ou de outros gateways do Cloud VPN.
Para controlar a lista de endereços IP de peering que os usuários podem especificar
ao criar túneis do Cloud VPN, use a restrição do Resource Manager
constraints/compute.restrictVpnPeerIPs
.
Exemplo de restrição da política da organização
No exemplo a seguir, um administrador de políticas da organização cria uma restrição de política da organização que define o endereço IPv4 do gateway de VPN de peering permitido e um endereço IPv6.
Essa restrição tem uma lista de permissões que consiste em um endereço IPv4, 100.1.1.1
, e um endereço IPv6, 2001:db8::2d9:51:0:0
.
Os administradores de rede no projeto só podem criar túneis do Cloud VPN que se conectam ao endereço IPv4 do gateway de peering 100.1.1.1
ou ao endereço IPv6 2001:db8::2d9:51:0:0
. A restrição não permite a criação de túneis do Cloud VPN para diferentes endereços IP de gateway de peering.
Considerações
A restrição da política da organização que restringe os endereços IP de gateway de peering se aplica apenas aos novos túneis do Cloud VPN. A restrição proíbe os túneis do Cloud VPN criados depois que a restrição for aplicada. Para mais informações, consulte Noções básicas sobre a hierarquia do Resource Manager.
É possível aplicar essa restrição a túneis de VPN clássica ou a túneis de VPN de alta disponibilidade.
É possível especificar várias entradas
allowedValues
oudeniedValues
em uma determinada política, mas não é possível usar entradasallowedValues
edeniedValues
na mesma política.Você ou um administrador da rede com as permissões corretas precisa gerenciar e manter o ciclo de vida e a integridade dos túneis da VPN.
Aplicar uma restrição de política da organização
Para criar uma política da organização e associá-la a uma organização, pasta ou projeto, use os exemplos listados nas próximas seções e siga as etapas em Como usar restrições.
Permissões necessárias
Para definir uma restrição de endereço IP de peering no nível da organização ou
do projeto, primeiro você precisa receber o papel
de Administrador de políticas da organização ()roles/orgpolicy.policyAdmin
para sua organização.
Como restringir a conectividade a partir de endereços IP de peering específicos
Para permitir apenas endereços IP de peering específicos por meio de um túnel do Cloud VPN, execute as seguintes etapas:
Encontre o código da sua organização executando o seguinte comando:
gcloud organizations list
A resposta ao comando terá a seguinte aparência:
DISPLAY NAME ID example-organization 29252605212
Crie um arquivo JSON que defina sua política, como no exemplo a seguir:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allowedValues": [ "100.1.1.1", "2001:db8::2d9:51:0:0" ], } }
Para definir a política da organização, use o comando
gcloud
do Resource Managerset-policy
, passando o arquivo JSON e usando oORGANIZATION_ID
encontrado na etapa anterior.
Como restringir a conectividade de qualquer endereço IP de peering
Para proibir a criação de qualquer túnel do Cloud VPN, siga as etapas neste exemplo de restrição:
Encontre o ID da organização ou o ID do nó na hierarquia de recursos em que você quer definir uma política.
Crie um arquivo JSON como o exemplo a seguir.
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allValues": "DENY" } }
Transmita o arquivo JSON executando o mesmo comando que você usaria para restringir endereços IP de peering específicos.
A seguir
- Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
- Para resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.