피어 VPN 게이트웨이의 IP 주소 제한

조직 정책 관리자는 사용자가 피어 VPN 게이트웨이에 지정할 수 있는 IP 주소를 제한하는 조직 정책 제약조건을 만들 수 있습니다. Cloud VPN 사용자는 Cloud VPN 터널을 만들 때 피어 VPN 게이트웨이에 대한 하나 이상의 IP 주소를 지정합니다. 사용자가 피어 VPN 게이트웨이에 지정할 수 있는 IP 주소를 제한하는 것은 승인되지 않은 VPN 터널의 생성을 막기 위한 전략입니다.

기본 VPN과 HA VPN 모두에 대한 특정 프로젝트, 폴더 또는 조직의 모든 Cloud VPN 터널에 정책 제약조건이 적용됩니다.

피어 게이트웨이 IP 주소는 온프레미스 VPN 게이트웨이 또는 다른 Cloud VPN 게이트웨이의 IP 주소입니다.

Cloud VPN 터널을 만들 때 사용자가 지정할 수 있는 피어 IP 주소 목록을 제어하려면 Resource Manager 제약조건 constraints/compute.restrictVpnPeerIPs를 사용합니다.

조직 정책 제약조건 예시

다음 예시에서는 조직 정책 관리자가 허용된 피어 VPN 게이트웨이 IPv4 주소 및 IPv6 주소 1개를 정의하는 조직 정책 제약조건을 만듭니다.

이 제약조건에는 하나의 IPv4 주소(100.1.1.1)와 하나의 IPv6 주소(2001:db8::2d9:51:0:0)로 구성된 허용 목록이 있습니다.

프로젝트의 네트워크 관리자는 피어 게이트웨이 IPv4 주소 100.1.1.1 또는 IPv6 주소 2001:db8::2d9:51:0:0에 연결되는 Cloud VPN 터널만 만들 수 있습니다. 이 제약조건으로 인해 여러 피어 게이트웨이 IP 주소에 대한 Cloud VPN 터널을 만들 수 없습니다.

VPN 피어를 제한하는 조직 정책.
VPN 피어를 제한하는 조직 정책(확대하려면 클릭)

고려사항

  • 피어 게이트웨이 IP 주소를 제한하는 조직 정책 제약조건은 새 Cloud VPN 터널에만 적용됩니다. 이 제약조건은 제약조건 적용 후 생성된 Cloud VPN 터널을 금지합니다. 자세한 내용은 Resource Manager 계층 구조 이해하기를 참조하세요.

  • 이 제약조건을 기본 VPN 터널 또는 HA VPN 터널에 적용할 수 있습니다.

  • 특정 정책에 allowedValues 또는 deniedValues 항목을 여러 개 지정할 수 있지만 동일한 정책에서 allowedValues 항목과 deniedValues 항목을 함께 사용할 수는 없습니다.

  • 개발자나 올바른 권한을 가진 네트워크 관리자는 VPN 터널의 수명 주기와 무결성을 관리하고 유지보수해야 합니다.

조직 정책 제약조건 적용

조직 정책을 만들고 조직, 폴더 또는 프로젝트와 연결하려면 다음 섹션에 나와 있는 예시를 사용하고 제약조건 사용의 단계를 수행합니다.

필수 권한

조직 또는 프로젝트 수준에서 피어 IP 제약조건을 설정하려면 먼저 조직의 조직 정책 관리자 역할(roles/orgpolicy.policyAdmin)을 부여받아야 합니다.

특정 피어 IP 주소의 연결 제한

Cloud VPN 터널을 통해 특정 피어 IP 주소만 허용하려면 다음 단계를 수행하세요.

  1. 다음 명령어를 실행하여 조직 ID를 찾습니다.

    gcloud organizations list

    명령어 결과는 다음 예시와 같이 표시되어야 합니다.

    DISPLAY NAME             ID
example-organization     29252605212

  2. 다음 예시와 같이 정책을 정의하는 JSON 파일을 만듭니다.

     {
   "constraint": "constraints/compute.restrictVpnPeerIPs",
   "listPolicy": {
     "allowedValues": [
       "100.1.1.1",
       "2001:db8::2d9:51:0:0"
     ],
   }
 }

  3. Resource Manager gcloud 명령어 set-policy를 사용하고, JSON 파일을 전달하고, 이전 단계에서 찾은 ORGANIZATION_ID를 사용하여 조직 정책을 설정합니다.

모든 피어 IP 주소의 연결 제한

Cloud VPN 터널 생성을 금지하려면 이 예시 제약조건의 단계를 수행합니다.

  1. 정책을 설정하려는 리소스 계층 구조에서 노드 ID 또는 조직 ID를 찾습니다.

  2. 다음 예시와 같은 JSON 파일을 만듭니다. 

    {
  "constraint": "constraints/compute.restrictVpnPeerIPs",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  3. 특정 피어 IP 주소를 제한하는 데 사용할 동일한 명령어를 실행하여 JSON 파일을 전달합니다.

다음 단계

  • 고가용성 및 높은 처리량 시나리오 또는 다중 서브넷 시나리오를 사용하려면 고급 구성을 참조하세요.
  • Cloud VPN을 사용할 때 발생할 수 있는 일반적인 문제를 해결하려면 문제 해결을 참조하세요.