Restringe direcciones IP para puertas de enlace de VPN de intercambio de tráfico

Si eres un administrador de políticas de la organización, puedes crear una restricción de política de la organización que restrinja las direcciones IP que los usuarios pueden especificar para una puerta de enlace de VPN de intercambio de tráfico. Como usuario de Cloud VPN, debes especificar al menos una dirección IP para una puerta de enlace de VPN de intercambio de tráfico cuando creas un túnel de Cloud VPN. Limitar las direcciones IP que los usuarios pueden especificar para una puerta de enlace de VPN de intercambio de tráfico es una estrategia que impide la creación de túneles VPN no autorizados.

Las restricciones de política se aplican a todos los túneles de Cloud VPN en un proyecto, una carpeta o una organización específicos para la VPN clásica y la VPN con alta disponibilidad.

Las direcciones IP de la puerta de enlace de intercambio de tráfico son las de las puertas de enlace de VPN locales u otras puertas de enlace de Cloud VPN.

Para controlar la lista de direcciones IP de intercambio de tráfico que los usuarios pueden especificar cuando crean túneles de Cloud VPN, usa la restricción constraints/compute.restrictVpnPeerIPs de Resource Manager.

Ejemplo de restricción de política de la organización

En el siguiente ejemplo, un administrador de políticas de la organización crea una restricción de política de la organización que define la dirección IPv4 de la puerta de enlace de VPN de intercambio de tráfico permitida y una dirección IPv6.

Esta restricción tiene una lista de anunciantes permitidos que consta de una dirección IPv4, 100.1.1.1 y una dirección IPv6, 2001:db8::2d9:51:0:0.

Los administradores de red en el proyecto solo pueden crear túneles de Cloud VPN que se conectan a la dirección IPv4 100.1.1.1 de la puerta de enlace de intercambio de tráfico o a la dirección IPv6 2001:db8::2d9:51:0:0. La restricción no permite la creación de túneles de Cloud VPN a diferentes direcciones IP de puerta de enlace de intercambio de tráfico.

Política de la organización para restringir los intercambios de tráfico de VPN.
Política de la organización para restringir el intercambio de tráfico de VPN (haz clic a fin de ampliar).

Consideraciones

  • La restricción de la política de la organización que restringe las direcciones IP de la puerta de enlace de intercambio de tráfico solo se aplica a los túneles nuevos de Cloud VPN. La restricción prohíbe los túneles de Cloud VPN creados después de aplicar la restricción. Para obtener más información, consulta Comprende la jerarquía de Resource Manager.

  • Puedes aplicar esta restricción a los túneles de VPN clásica o a los túneles de VPN con alta disponibilidad.

  • Puedes especificar varias entradas allowedValues o deniedValues en una política determinada, pero no puedes usar entradas allowedValues y deniedValues juntas en la misma política.

  • Tú o un administrador de red con los permisos correctos deben administrar y mantener el ciclo de vida y la integridad de los túneles VPN.

Aplica una restricción de política de la organización

Si quieres crear políticas de la organización y asociarlas con una organización, una carpeta o un proyecto, usa los ejemplos de las siguientes secciones y sigue los pasos en Usa las restricciones.

Permisos necesarios

Para establecer una restricción de IP de intercambio de tráfico en el nivel de organización o proyecto, primero debes tener el rol de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en tu organización.

Restringe la conectividad desde direcciones IP de intercambio de tráfico específicas

Para permitir solo direcciones IP de intercambio de tráfico específicas a través de un túnel de Cloud VPN, realiza los siguientes pasos:

  1. Busca el ID de tu organización mediante la ejecución del comando siguiente:

    gcloud organizations list

    El resultado del comando debería verse como el ejemplo siguiente:

    DISPLAY NAME             ID
example-organization     29252605212

  2. Crea un archivo JSON que defina tu política, como en el ejemplo siguiente:

     {
   "constraint": "constraints/compute.restrictVpnPeerIPs",
   "listPolicy": {
     "allowedValues": [
       "100.1.1.1",
       "2001:db8::2d9:51:0:0"
     ],
   }
 }

  3. Configura la política de la organización con el comando set-policy de gcloud de Resource Manager, pasando el archivo JSON y con el ORGANIZATION_ID que encontraste en el paso anterior.

Restringe la conectividad desde cualquier dirección IP de intercambio de tráfico

Si quieres prohibir la creación de cualquier túnel de Cloud VPN, sigue los pasos de esta restricción de ejemplo:

  1. Busca el ID de la organización o el ID del nodo en la jerarquía de recursos en la que deseas establecer una política.

  2. Crea un archivo JSON como se muestra en el siguiente ejemplo: 

    {
  "constraint": "constraints/compute.restrictVpnPeerIPs",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  3. Ejecuta el mismo comando que usarías para restringir direcciones IP de par específicas a fin de pasar el archivo JSON.

¿Qué sigue?

  • Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
  • Para resolver problemas comunes que podrías encontrar cuando uses Cloud VPN, consulta Solución de problemas.