Se sei un amministratore dei criteri dell'organizzazione, puoi creare un vincolo dei criteri dell'organizzazione che limiti gli indirizzi IP che gli utenti possono specificare per un gateway VPN peer. In qualità di utente Cloud VPN, specifichi almeno un indirizzo IP per un gateway VPN peer quando crei un tunnel Cloud VPN. Limitare gli indirizzi IP che gli utenti possono specificare per un gateway VPN peer è una strategia per impedire la creazione di tunnel VPN non autorizzati.
I vincoli dei criteri si applicano a tutti i tunnel Cloud VPN in un progetto, una cartella o un'organizzazione specifici sia per la VPN classica che per la VPN ad alta disponibilità.
Gli indirizzi IP del gateway peer sono gli indirizzi IP delle reti on-premise gateway VPN o altri gateway Cloud VPN.
Per controllare l'elenco di indirizzi IP peer che gli utenti possono specificare durante la creazione di tunnel VPN Cloud, utilizza il vincolo Resource Manager
constraints/compute.restrictVpnPeerIPs
.
Esempio di vincolo dei criteri dell'organizzazione
Nell'esempio seguente, un amministratore dei criteri dell'organizzazione crea un vincolo dei criteri dell'organizzazione che definisce l'indirizzo IPv4 e un indirizzo IPv6 del gateway VPN peer consentito.
Questa limitazione ha una lista consentita composta da un indirizzo IPv4, 100.1.1.1
, e da un indirizzo IPv6, 2001:db8::2d9:51:0:0
.
Gli amministratori di rete del progetto possono creare solo tunnel Cloud VPN che si connettono all'indirizzo IPv4 100.1.1.1
o all'indirizzo IPv6 2001:db8::2d9:51:0:0
del gateway peer. Il vincolo
non consente la creazione di tunnel VPN Cloud a
indirizzi IP di gateway peer diversi.
Considerazioni
Il vincolo dei criteri dell'organizzazione che limita gli indirizzi IP dei gateway peer si applica solo alla nuova Cloud VPN tunnel. La limitazione vieta i tunnel Cloud VPN creati dopo l'applicazione della limitazione. Per ulteriori informazioni, vedi Informazioni su Resource Manager della gerarchia.
Puoi applicare questa limitazione ai tunnel VPN classici o ai tunnel VPN ad alta disponibilità.
Puoi specificare più voci
allowedValues
o piùdeniedValues
in un determinato criterio, ma non puoi utilizzare VociallowedValues
edeniedValues
insieme nello stesso criterio.Tu o un amministratore di rete con le autorizzazioni corrette dovete gestire e mantenere il ciclo di vita e l'integrità dei tunnel VPN.
Applica un vincolo dei criteri dell'organizzazione
Per creare un criterio dell'organizzazione e associarlo a un'organizzazione, una cartella o un progetto, utilizza gli esempi elencati nelle sezioni successive e segui i passaggi descritti in Utilizzare i vincoli.
Autorizzazioni obbligatorie
Per impostare un vincolo per l'indirizzo IP peer a livello di organizzazione o di progetto:
devi prima disporre dei Criteri dell'organizzazione
Ruolo di amministratore (roles/orgpolicy.policyAdmin
) per la tua organizzazione.
Limita la connettività da indirizzi IP peer specifici
Per consentire indirizzi IP peer specifici solo attraverso un tunnel Cloud VPN, segui questi passaggi:
Trova l'ID organizzazione eseguendo il seguente comando:
gcloud organizations list
L'output del comando dovrebbe essere simile all'esempio seguente:
DISPLAY NAME ID example-organization 29252605212
Crea un file JSON che definisce il criterio, ad esempio nel seguente esempio:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allowedValues": [ "100.1.1.1", "2001:db8::2d9:51:0:0" ], } }
Imposta il criterio dell'organizzazione utilizzando il comando
gcloud
set-policy
di Resource Manager, passando il file JSON e utilizzandoORGANIZATION_ID
che hai trovato nel passaggio precedente.
Limita la connettività da qualsiasi indirizzo IP peer
Per vietare la creazione di tunnel Cloud VPN, segui i passaggi in questo vincolo di esempio:
Individua l'ID della tua organizzazione o l'ID del nodo nella gerarchia delle risorse in cui vuoi impostare un criterio.
Crea un file JSON come nell'esempio seguente:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allValues": "DENY" } }
Passa il file JSON eseguendo lo stesso comando che useresti per che limitano specifici indirizzi IP peer.
Passaggi successivi
- Per usare scenari con disponibilità elevata e velocità effettiva elevata, oppure più gli scenari di subnet, vedi Configurazioni avanzate.
- Per risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.