Restringir direcciones IP de pasarelas VPN de par

Si eres administrador de políticas de organización, puedes crear una restricción de política de organización que limite las direcciones IP que los usuarios pueden especificar para una pasarela de VPN de peer. Como usuario de Cloud VPN, debes especificar al menos una dirección IP para una pasarela de VPN de otro proveedor al crear un túnel de Cloud VPN. Limitar las direcciones IP que los usuarios pueden especificar para una pasarela VPN de par es una estrategia para evitar la creación de túneles VPN no autorizados.

Las restricciones de políticas se aplican a todos los túneles de Cloud VPN de un proyecto, una carpeta o una organización específicos, tanto para la VPN clásica como para la de alta disponibilidad.

Las direcciones IP de la pasarela de par son las direcciones IP de las pasarelas VPN in situ u otras pasarelas VPN de Cloud.

Para controlar la lista de direcciones IP de los pares que los usuarios pueden especificar al crear túneles de Cloud VPN, usa la restricción de Resource Manager constraints/compute.restrictVpnPeerIPs.

Ejemplo de restricción de política de organización

En el siguiente ejemplo, un administrador de políticas de la organización crea una restricción de política de la organización que define la dirección IPv4 de la pasarela VPN de peer permitida y una dirección IPv6.

Esta restricción tiene una lista de permitidos que consta de una dirección IPv4, 100.1.1.1, y una dirección IPv6, 2001:db8::2d9:51:0:0.

Los administradores de redes del proyecto solo pueden crear túneles de Cloud VPN que se conecten a la dirección IPv4 100.1.1.1 o a la dirección IPv6 2001:db8::2d9:51:0:0 de la pasarela de la red de la otra organización. La restricción no permite crear túneles de Cloud VPN a direcciones IP de pasarela de par diferentes.

Política de organización para restringir los pares de VPN.
Política de la organización para restringir los peers de VPN (haz clic para ampliar).

Cuestiones importantes

  • La restricción de la política de organización que limita las direcciones IP de las pasarelas de pares solo se aplica a los túneles de Cloud VPN nuevos. La restricción impide que se creen túneles de Cloud VPN después de que se aplique. Para obtener más información, consulta Información sobre la jerarquía de Resource Manager.

  • Puedes aplicar esta restricción a los túneles de VPN clásica o a los de VPN de alta disponibilidad.

  • Puede especificar varias entradas allowedValues o varias entradas deniedValues en una política determinada, pero no puede usar entradas allowedValues y deniedValues juntas en la misma política.

  • Tú u otro administrador de la red con los permisos adecuados debéis gestionar y mantener el ciclo de vida y la integridad de vuestros túneles VPN.

Aplicar una restricción de política de organización

Para crear una política de la organización y asociarla a una organización, una carpeta o un proyecto, consulta los ejemplos que se indican en las secciones siguientes y sigue los pasos que se describen en Usar restricciones.

Permisos obligatorios

Para definir una restricción de dirección IP de peer a nivel de organización o de proyecto, primero debes tener asignado el rol Administrador de políticas de organización (roles/orgpolicy.policyAdmin) en tu organización.

Restringir la conectividad desde direcciones IP de peer específicas

Para permitir que solo determinadas direcciones IP de peer pasen por un túnel de Cloud VPN, sigue estos pasos:

  1. Para encontrar el ID de tu organización, ejecuta el siguiente comando:

    gcloud organizations list

    La salida del comando debería ser similar al siguiente ejemplo:

    DISPLAY NAME             ID
example-organization     29252605212

  2. Crea un archivo JSON que defina tu política, como en el siguiente ejemplo:

     {
   "constraint": "constraints/compute.restrictVpnPeerIPs",
   "listPolicy": {
     "allowedValues": [
       "100.1.1.1",
       "2001:db8::2d9:51:0:0"
     ],
   }
 }

  3. Define la política de la organización con el comando gcloud de Resource Manager set-policy, pasando el archivo JSON y usando el ORGANIZATION_ID que has encontrado en el paso anterior.

Restringir la conectividad desde cualquier dirección IP de peer

Para prohibir la creación de túneles VPN de Cloud, sigue los pasos que se indican en este ejemplo de restricción:

  1. Busca el ID de tu organización o el ID del nodo de tu jerarquía de recursos en el que quieras definir una política.

  2. Crea un archivo JSON como el del siguiente ejemplo: 

    {
  "constraint": "constraints/compute.restrictVpnPeerIPs",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  3. Para enviar el archivo JSON, ejecuta el mismo comando que usarías para restringir direcciones IP de peers específicas.

Siguientes pasos

  • Para usar escenarios de alta disponibilidad y alto rendimiento o escenarios de varias subredes, consulta las configuraciones avanzadas.
  • Para solucionar los problemas habituales que pueden surgir al usar Cloud VPN, consulta la sección Solución de problemas.