Jika Anda adalah Administrator Kebijakan Organisasi, Anda dapat membuat batasan kebijakan organisasi yang membatasi alamat IP yang dapat ditentukan pengguna untuk gateway VPN peer. Sebagai pengguna Cloud VPN, Anda menentukan setidaknya satu alamat IP untuk gateway VPN peer saat membuat tunnel Cloud VPN. Membatasi alamat IP yang dapat ditentukan pengguna untuk gateway VPN peer adalah strategi untuk mencegah pembuatan tunnel VPN yang tidak sah.
Batasan kebijakan berlaku untuk semua tunnel Cloud VPN di project, folder, atau organisasi tertentu untuk VPN Klasik dan VPN dengan ketersediaan tinggi (HA).
Alamat IP gateway peer adalah alamat IP gateway VPN lokal atau gateway Cloud VPN lainnya.
Untuk mengontrol daftar alamat IP peer yang dapat ditentukan pengguna saat
membuat tunnel Cloud VPN, gunakan batasan Resource Manager
constraints/compute.restrictVpnPeerIPs
.
Contoh batasan kebijakan organisasi
Pada contoh berikut, Administrator Kebijakan Organisasi membuat batasan kebijakan organisasi yang menentukan alamat IPv4 gateway VPN peer yang diizinkan dan satu alamat IPv6.
Batasan ini memiliki daftar yang diizinkan yang terdiri dari satu alamat IPv4, 100.1.1.1
, dan satu alamat IPv6, 2001:db8::2d9:51:0:0
.
Administrator Jaringan dalam project ini hanya dapat membuat tunnel Cloud VPN
yang terhubung ke alamat IPv4 gateway peer 100.1.1.1
atau alamat IPv6
2001:db8::2d9:51:0:0
. Batasan ini
tidak mengizinkan pembuatan tunnel Cloud VPN ke
alamat IP gateway peer yang berbeda.
Pertimbangan
Batasan kebijakan organisasi yang membatasi alamat IP gateway peer hanya berlaku untuk tunnel Cloud VPN yang baru. Batasan ini melarang tunnel Cloud VPN yang dibuat setelah batasan diterapkan. Untuk informasi selengkapnya, lihat Memahami hierarki Resource Manager.
Anda dapat menerapkan batasan ini ke tunnel VPN Klasik atau ke tunnel VPN dengan ketersediaan tinggi (HA).
Anda dapat menentukan beberapa entri
allowedValues
atau beberapadeniedValues
dalam kebijakan tertentu, tetapi Anda tidak dapat menggunakan entriallowedValues
dandeniedValues
secara bersamaan dalam kebijakan yang sama.Anda, atau Administrator Jaringan dengan izin yang benar, harus mengelola dan mempertahankan siklus proses dan integritas tunnel VPN.
Menerapkan batasan kebijakan organisasi
Untuk membuat kebijakan organisasi dan mengaitkannya dengan organisasi, folder, atau project, gunakan contoh yang tercantum di bagian berikutnya dan ikuti langkah-langkah dalam Menggunakan batasan.
Izin yang diperlukan
Untuk menetapkan batasan alamat IP peer di level organisasi atau project,
Anda harus terlebih dahulu diberi peran Organization
Policy Administrator (roles/orgpolicy.policyAdmin
) untuk organisasi Anda.
Membatasi konektivitas dari alamat IP peer tertentu
Untuk hanya mengizinkan alamat IP peer tertentu melalui tunnel Cloud VPN, lakukan langkah-langkah berikut:
Temukan ID organisasi Anda dengan menjalankan perintah berikut:
gcloud organizations list
Output perintah akan terlihat seperti berikut:
DISPLAY NAME ID example-organization 29252605212
Buat file JSON yang menentukan kebijakan Anda, seperti pada contoh berikut:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allowedValues": [ "100.1.1.1", "2001:db8::2d9:51:0:0" ], } }
Tetapkan kebijakan organisasi menggunakan perintah
gcloud
Resource Managerset-policy
, yang meneruskan file JSON, dan menggunakanORGANIZATION_ID
yang Anda temukan di langkah sebelumnya.
Membatasi konektivitas dari alamat IP peer mana pun
Untuk melarang pembuatan tunnel Cloud VPN, ikuti langkah-langkah dalam batasan contoh ini:
Temukan ID organisasi atau ID untuk node dalam hierarki resource tempat Anda ingin menetapkan kebijakan.
Buat file JSON seperti contoh berikut:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allValues": "DENY" } }
Teruskan file JSON dengan menjalankan perintah yang sama dengan yang Anda gunakan untuk membatasi alamat IP peer tertentu.
Langkah selanjutnya
- Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
- Untuk mengatasi masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.