Se sei un amministratore dei criteri dell'organizzazione, puoi creare un vincolo del criterio dell'organizzazione che limita gli indirizzi IP che gli utenti possono specificare per un gateway VPN peer. Come utente Cloud VPN, specifichi almeno un indirizzo IP per un gateway VPN peer quando crei un tunnel Cloud VPN. La limitazione degli indirizzi IP che gli utenti possono specificare per un gateway VPN peer è una strategia per impedire la creazione di tunnel VPN non autorizzati.
I vincoli relativi ai criteri si applicano a tutti i tunnel Cloud VPN in un progetto, una cartella o un'organizzazione specifici per VPN classica e VPN ad alta disponibilità.
Gli indirizzi IP dei gateway peer sono gli indirizzi IP dei gateway VPN on-premise o di altri gateway Cloud VPN.
Per controllare l'elenco di indirizzi IP peer che gli utenti possono specificare durante la creazione di tunnel Cloud VPN, utilizza il vincolo di Resource Manager constraints/compute.restrictVpnPeerIPs.
Esempio di vincolo del criterio dell'organizzazione
Nell'esempio seguente, un amministratore dei criteri dell'organizzazione crea un vincolo dei criteri dell'organizzazione che definisce l'indirizzo IPv4 del gateway VPN peer consentito e un indirizzo IPv6.
Questo vincolo ha una lista consentita composta da un indirizzo IPv4, 100.1.1.1 e un indirizzo IPv6, 2001:db8::2d9:51:0:0.
Gli amministratori di rete del progetto possono creare solo tunnel Cloud VPN che si connettono all'indirizzo IPv4 del gateway peer 100.1.1.1 o all'indirizzo IPv6 2001:db8::2d9:51:0:0. Il vincolo non consente la creazione di tunnel Cloud VPN verso indirizzi IP di gateway peer diversi.
Considerazioni
Il vincolo dei criteri organizzativi che limita gli indirizzi IP dei gateway peer si applica solo ai nuovi tunnel Cloud VPN. Il vincolo non consente i tunnel Cloud VPN creati dopo l'applicazione del vincolo. Per ulteriori informazioni, consulta Comprendere la gerarchia di Resource Manager.
Puoi applicare questo vincolo ai tunnel VPN classica o ai tunnel VPN ad alta disponibilità.
Puoi specificare più voci
allowedValuesodeniedValuesin un determinato criterio, ma non puoi utilizzare le vociallowedValuesedeniedValuesinsieme nello stesso criterio.Tu o un amministratore di rete con le autorizzazioni corrette dovete gestire e mantenere il ciclo di vita e l'integrità dei tunnel VPN.
Applica un vincolo del criterio dell'organizzazione
Per creare un criterio dell'organizzazione e associarlo a un'organizzazione, a una cartella o a un progetto, utilizza gli esempi elencati nelle sezioni successive e segui i passaggi descritti in Utilizzo dei vincoli.
Autorizzazioni obbligatorie
Per impostare un vincolo di indirizzo IP peer a livello di organizzazione o di progetto, devi prima ricevere il ruolo Amministratore
dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) per la tua organizzazione.
Limita la connettività da indirizzi IP peer specifici
Per consentire solo indirizzi IP peer specifici tramite un tunnel Cloud VPN, esegui questi passaggi:
Per trovare l'ID organizzazione, esegui questo comando:
gcloud organizations list
L'output comando dovrebbe essere simile all'esempio seguente:
DISPLAY NAME ID example-organization 29252605212
Crea un file JSON che definisce il criterio, come nell'esempio seguente:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allowedValues": [ "100.1.1.1", "2001:db8::2d9:51:0:0" ], } }Imposta il criterio dell'organizzazione utilizzando il comando
set-policygclouddi Resource Manager, passando il file JSON e utilizzando ilORGANIZATION_IDche hai trovato nel passaggio precedente.
Limita la connettività da qualsiasi indirizzo IP peer
Per impedire la creazione di tunnel Cloud VPN, segui i passaggi descritti in questo vincolo di esempio:
Trova l'ID organizzazione o l'ID del nodo nella gerarchia di risorse in cui vuoi impostare un criterio.
Crea un file JSON come nell'esempio seguente:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allValues": "DENY" } }Passa il file JSON eseguendo lo stesso comando che useresti per limitare determinati indirizzi IP peer.
Passaggi successivi
- Per utilizzare scenari di alta disponibilità e velocità effettiva elevata o scenari con più subnet, consulta Configurazioni avanzate.
- Per risolvere problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta Risoluzione dei problemi.