限制对等 VPN 网关的 IP 地址

如果您是 Organization Policy Administrator,则可以创建组织政策限制条件来限制用户可以为对等 VPN 网关指定的 IP 地址。作为 Cloud VPN 用户,您需要在创建 Cloud VPN 隧道时为对等 VPN 网关至少指定一个 IP 地址。限制用户可为对等 VPN 网关指定的 IP 地址是一种用于防止创建未经授权的 VPN 隧道的策略。

政策限制条件会应用于特定项目、文件夹或组织中的所有 Cloud VPN 隧道,适用于传统 VPN 和高可用性 VPN。

对等网关 IP 地址是本地 VPN 网关或其他 Cloud VPN 网关的 IP 地址。

如需控制用户在创建 Cloud VPN 隧道时可以指定的对等 IP 地址列表,请使用 Resource Manager 限制条件 constraints/compute.restrictVpnPeerIPs

组织政策限制条件示例

在以下示例中,Organization Policy Administrator 创建了一个组织政策限制条件,用于定义允许的对等 VPN 网关 IPv4 地址和一个 IPv6 地址。

此限制条件有一个许可名单,其中包含一个 IPv4 地址 100.1.1.1 和一个 IPv6 地址 2001:db8::2d9:51:0:0

项目中的 Network Administrator 只能创建连接到对等网关 IPv4 地址 100.1.1.1 或 IPv6 地址 2001:db8::2d9:51:0:0 的 Cloud VPN 隧道。该限制条件不允许创建连接到不同对等网关 IP 地址的 Cloud VPN 隧道。

用于限制 VPN 对等端的组织政策。
用于限制 VPN 对等端的组织政策(点击可放大)。

注意事项

  • 限制对等网关 IP 地址的组织政策限制条件仅适用于新 Cloud VPN 隧道。该限制条件会禁止在应用限制条件后创建的 Cloud VPN 隧道。如需了解详情,请参阅了解 Resource Manager 层次结构

  • 您可以将此限制条件应用于传统 VPN 隧道或高可用性 VPN 隧道。

  • 您可以在一条给定政策中指定多个 allowedValues 或多个 deniedValues 条目,但不能在同一政策中同时使用 allowedValuesdeniedValues 条目。

  • 您或具有适当权限的网络管理员必须管理和维护 VPN 隧道的生命周期和完整性。

应用组织政策限制条件

如需创建组织政策并将其与组织、文件夹或项目关联,请使用后续部分中列出的示例,并按照使用限制条件中的步骤操作。

所需权限

若要在组织级层或项目级层设置对等 IP 地址限制条件,您必须先获得组织的 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin)。

限制来自特定对等 IP 地址的连接

如需通过 Cloud VPN 隧道仅允许特定对等 IP 地址,请执行以下步骤:

  1. 运行以下命令,查找您的组织 ID:

    gcloud organizations list

    命令输出应如下所示:

    DISPLAY NAME             ID
    example-organization     29252605212
    

  2. 创建一个定义政策的 JSON 文件,如以下示例所示:

     {
       "constraint": "constraints/compute.restrictVpnPeerIPs",
       "listPolicy": {
         "allowedValues": [
           "100.1.1.1",
           "2001:db8::2d9:51:0:0"
         ],
       }
     }
    
  3. 使用 Resource Manager gcloud 命令 set-policy、传入 JSON 文件并使用您在上一步中找到的 ORGANIZATION_ID,以设置组织政策。

限制来自任何对等 IP 地址的连接

如需禁止创建任何 Cloud VPN 隧道,请按照此示例限制条件中的步骤操作:

  1. 在您要为其设置政策的资源层次结构中查找组织 ID 或节点 ID。

  2. 创建一个 JSON 文件,如以下示例所示:

    {
      "constraint": "constraints/compute.restrictVpnPeerIPs",
      "listPolicy": {
        "allValues": "DENY"
      }
    }
    

  3. 运行用于限制特定对等 IP 地址的同一命令,以传入 JSON 文件。

后续步骤

  • 如需使用高可用性和高吞吐量场景或多个子网方案,请参阅高级配置
  • 如需解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查