Membatasi alamat IP untuk gateway VPN pembanding

Jika Anda adalah Administrator Kebijakan Organisasi, Anda dapat membuat batasan kebijakan organisasi yang membatasi alamat IP yang dapat ditentukan pengguna untuk gateway VPN peer. Sebagai pengguna Cloud VPN, Anda menentukan setidaknya satu alamat IP untuk gateway VPN peer saat membuat tunnel Cloud VPN. Membatasi alamat IP yang dapat ditentukan pengguna untuk gateway VPN peer adalah strategi untuk mencegah pembuatan tunnel VPN yang tidak sah.

Batasan kebijakan berlaku untuk semua tunnel Cloud VPN di project, folder, atau organisasi tertentu untuk VPN Klasik dan VPN dengan ketersediaan tinggi (HA).

Alamat IP gateway peer adalah alamat IP gateway VPN lokal atau gateway Cloud VPN lainnya.

Untuk mengontrol daftar alamat IP peer yang dapat ditentukan pengguna saat membuat tunnel Cloud VPN, gunakan batasan Resource Manager constraints/compute.restrictVpnPeerIPs.

Contoh batasan kebijakan organisasi

Pada contoh berikut, Administrator Kebijakan Organisasi membuat batasan kebijakan organisasi yang menentukan alamat IPv4 gateway VPN peer yang diizinkan dan satu alamat IPv6.

Batasan ini memiliki daftar yang diizinkan yang terdiri dari satu alamat IPv4, 100.1.1.1, dan satu alamat IPv6, 2001:db8::2d9:51:0:0.

Administrator Jaringan dalam project ini hanya dapat membuat tunnel Cloud VPN yang terhubung ke alamat IPv4 gateway peer 100.1.1.1 atau alamat IPv6 2001:db8::2d9:51:0:0. Batasan ini tidak mengizinkan pembuatan tunnel Cloud VPN ke alamat IP gateway peer yang berbeda.

Kebijakan organisasi untuk membatasi peer VPN.
Kebijakan organisasi untuk membatasi peer VPN (klik untuk memperbesar).

Pertimbangan

  • Batasan kebijakan organisasi yang membatasi alamat IP gateway peer hanya berlaku untuk tunnel Cloud VPN yang baru. Batasan ini melarang tunnel Cloud VPN yang dibuat setelah batasan diterapkan. Untuk informasi selengkapnya, lihat Memahami hierarki Resource Manager.

  • Anda dapat menerapkan batasan ini ke tunnel VPN Klasik atau ke tunnel VPN dengan ketersediaan tinggi (HA).

  • Anda dapat menentukan beberapa entri allowedValues atau beberapa deniedValues dalam kebijakan tertentu, tetapi Anda tidak dapat menggunakan entri allowedValues dan deniedValues secara bersamaan dalam kebijakan yang sama.

  • Anda, atau Administrator Jaringan dengan izin yang benar, harus mengelola dan mempertahankan siklus proses dan integritas tunnel VPN.

Menerapkan batasan kebijakan organisasi

Untuk membuat kebijakan organisasi dan mengaitkannya dengan organisasi, folder, atau project, gunakan contoh yang tercantum di bagian berikutnya dan ikuti langkah-langkah dalam Menggunakan batasan.

Izin yang diperlukan

Untuk menetapkan batasan alamat IP peer di level organisasi atau project, Anda harus terlebih dahulu diberi peran Organization Policy Administrator (roles/orgpolicy.policyAdmin) untuk organisasi Anda.

Membatasi konektivitas dari alamat IP peer tertentu

Untuk hanya mengizinkan alamat IP peer tertentu melalui tunnel Cloud VPN, lakukan langkah-langkah berikut:

  1. Temukan ID organisasi Anda dengan menjalankan perintah berikut:

    gcloud organizations list

    Output perintah akan terlihat seperti berikut:

    DISPLAY NAME             ID
    example-organization     29252605212
    

  2. Buat file JSON yang menentukan kebijakan Anda, seperti pada contoh berikut:

     {
       "constraint": "constraints/compute.restrictVpnPeerIPs",
       "listPolicy": {
         "allowedValues": [
           "100.1.1.1",
           "2001:db8::2d9:51:0:0"
         ],
       }
     }
    
  3. Tetapkan kebijakan organisasi menggunakan perintah gcloud Resource Manager set-policy, yang meneruskan file JSON, dan menggunakan ORGANIZATION_ID yang Anda temukan di langkah sebelumnya.

Membatasi konektivitas dari alamat IP peer mana pun

Untuk melarang pembuatan tunnel Cloud VPN, ikuti langkah-langkah dalam batasan contoh ini:

  1. Temukan ID organisasi atau ID untuk node dalam hierarki resource tempat Anda ingin menetapkan kebijakan.

  2. Buat file JSON seperti contoh berikut:

    {
      "constraint": "constraints/compute.restrictVpnPeerIPs",
      "listPolicy": {
        "allValues": "DENY"
      }
    }
    

  3. Teruskan file JSON dengan menjalankan perintah yang sama dengan yang Anda gunakan untuk membatasi alamat IP peer tertentu.

Langkah selanjutnya

  • Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
  • Untuk mengatasi masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.