ピア VPN ゲートウェイの IP アドレスを制限する

組織のポリシー管理者は、組織のポリシー制約を作成して、ユーザーがピア VPN ゲートウェイに指定できる IP アドレスを制限できます。Cloud VPN ユーザーは、Cloud VPN トンネルを作成するときに、ピア VPN ゲートウェイに 1 つ以上の IP アドレスを指定します。ユーザーがピア VPN ゲートウェイに指定できる IP アドレスを制限するのは、未承認の VPN トンネルの作成を防ぐことを目的としています。

ポリシーの制約は Classic VPN と HA VPN の両方で使用でき、特定のプロジェクト、フォルダ、組織内のすべての Cloud VPN トンネルに適用されます。

ピア ゲートウェイの IP アドレスは、オンプレミス VPN ゲートウェイまたは他の Cloud VPN ゲートウェイの IP アドレスです。

Cloud VPN トンネルの作成時に指定できるピア IP アドレスのリストを制御するには、Resource Manager 制約 constraints/compute.restrictVpnPeerIPs を使用します。

組織のポリシーの制約の例

次の例では、組織のポリシーの管理者が、許可されたピア VPN ゲートウェイの IPv4 アドレスと 1 つの IPv6 アドレスを定義する組織のポリシーの制約を作成します。

この制約には、1 つの IPv4 アドレス 100.1.1.1 と 1 つの IPv6 アドレス 2001:db8::2d9:51:0:0 で構成される許可リストがあります。

プロジェクトのネットワーク管理者は、ピア ゲートウェイの IPv4 アドレス 100.1.1.1 または IPv6 アドレス 2001:db8::2d9:51:0:0 に接続する Cloud VPN トンネルのみを作成できます。この制約により、別のピア ゲートウェイ IP アドレスへの Cloud VPN トンネルの作成が禁止されます。

VPN ピアを制限する組織のポリシー。
VPN ピアを制限する組織ポリシー(クリックして拡大)

考慮事項

  • ピア ゲートウェイの IP アドレスを制限する組織ポリシーの制約は、新しい Cloud VPN トンネルにのみ適用されます。制約を適用すると、Cloud VPN トンネルの作成が禁止されます。詳細については、Resource Manager の階層についてをご覧ください。

  • この制約は、Classic VPN トンネルまたは HA VPN トンネルに適用できます。

  • 1 つのポリシーに複数の allowedValues エントリまたは複数の deniedValues エントリを指定できますが、同じポリシーに allowedValues エントリと deniedValues エントリを指定することはできません。

  • 適切な権限を持つネットワーク管理者は、VPN トンネルのライフサイクルと整合性を管理して、維持する必要があります。

組織のポリシーの制約を適用する

組織のポリシーを作成して組織、フォルダ、またはプロジェクトに関連付けるには、次のセクションの例を使用して、制約の使用の手順を行います。

必要な権限

組織レベルまたはプロジェクト レベルでピア IP の制約を設定するには、まず組織内で組織のポリシー管理者のロールroles/orgpolicy.policyAdmin)を付与してもらう必要があります。

特定のピア IP アドレスからの接続を制限する

Cloud VPN トンネル経由で特定のピア IP アドレスのみを許可するには、次の手順を行います。

  1. 次のコマンドを実行して、組織 ID を検索します。

    gcloud organizations list

    コマンドの出力は次の例のようになります。

    DISPLAY NAME             ID
example-organization     29252605212

  2. 次の例のように、ポリシーを定義する JSON ファイルを作成します。

     {
   "constraint": "constraints/compute.restrictVpnPeerIPs",
   "listPolicy": {
     "allowedValues": [
       "100.1.1.1",
       "2001:db8::2d9:51:0:0"
     ],
   }
 }

  3. Resource Manager の gcloud コマンド set-policy を使用して組織のポリシーを設定します。このとき、JSON ファイルを渡し、前のステップで確認した ORGANIZATION_ID を使用します。

任意のピア IP アドレスからの接続を制限する

Cloud VPN トンネルの作成を禁止するには、この制約の例の手順を行います。

  1. 組織 ID、またはポリシーを設定するリソース階層内のノードの ID を調べます。

  2. 下の例のような JSON ファイルを作成します。

    {
  "constraint": "constraints/compute.restrictVpnPeerIPs",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  3. 特定のピア IP アドレスを制限するためのコマンドを入力して、JSON ファイルを渡します。

次のステップ

  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。