Restringir endereços IP para gateways de VPN de peering

Se você for um administrador de políticas da organização, poderá criar uma restrição de política da organização que restrinja os endereços IP que os usuários especificam para um gateway de VPN de peering. Como usuário do Cloud VPN, você especifica pelo menos um endereço IP para um gateway de VPN de peering ao criar um túnel do Cloud VPN. Limitar os endereços IP que os usuários podem especificar para um gateway de VPN de peering é uma estratégia para evitar a criação de túneis VPN não autorizados.

As restrições de política se aplicam a todos os túneis do Cloud VPN em um projeto, uma pasta ou uma organização específica para VPN clássica e VPN de alta disponibilidade.

Os endereços IP do gateway de peering são os endereços IP de gateways da VPN no local ou de outros gateways do Cloud VPN.

Para controlar a lista de endereços IP de peering que os usuários podem especificar ao criar túneis do Cloud VPN, use a restrição do Resource Manager constraints/compute.restrictVpnPeerIPs.

Exemplo de restrição da política da organização

No exemplo a seguir, um administrador de políticas da organização cria uma restrição de política da organização que define o endereço IPv4 do gateway de VPN de peering permitido e um endereço IPv6.

Essa restrição tem uma lista de permissões que consiste em um endereço IPv4, 100.1.1.1, e um endereço IPv6, 2001:db8::2d9:51:0:0.

Os administradores de rede no projeto só podem criar túneis do Cloud VPN que se conectam ao endereço IPv4 do gateway de peering 100.1.1.1 ou ao endereço IPv6 2001:db8::2d9:51:0:0. A restrição não permite a criação de túneis do Cloud VPN para diferentes endereços IP de gateway de peering.

Política de organização para restringir pares de VPNs.
Política da organização para restringir peerings de VPN (clique para ampliar)

Considerações

  • A restrição da política da organização que restringe os endereços IP de gateway de peering se aplica apenas aos novos túneis do Cloud VPN. A restrição proíbe os túneis do Cloud VPN criados depois que a restrição for aplicada. Para mais informações, consulte Noções básicas sobre a hierarquia do Resource Manager.

  • É possível aplicar essa restrição a túneis de VPN clássica ou a túneis de VPN de alta disponibilidade.

  • É possível especificar várias entradas allowedValues ou deniedValues em uma determinada política, mas não é possível usar entradas allowedValues e deniedValues na mesma política.

  • Você ou um administrador da rede com as permissões corretas precisa gerenciar e manter o ciclo de vida e a integridade dos túneis da VPN.

Aplicar uma restrição de política da organização

Para criar uma política da organização e associá-la a uma organização, pasta ou projeto, use os exemplos listados nas próximas seções e siga as etapas em Como usar restrições.

Permissões necessárias

Para definir uma restrição de endereço IP de peering no nível da organização ou do projeto, primeiro você precisa receber o papel de Administrador de políticas da organização ()roles/orgpolicy.policyAdmin para sua organização.

Como restringir a conectividade a partir de endereços IP de peering específicos

Para permitir apenas endereços IP de peering específicos por meio de um túnel do Cloud VPN, execute as seguintes etapas:

  1. Encontre o código da sua organização executando o seguinte comando:

    gcloud organizations list

    A resposta ao comando terá a seguinte aparência:

    DISPLAY NAME             ID
example-organization     29252605212

  2. Crie um arquivo JSON que defina sua política, como no exemplo a seguir:

     {
   "constraint": "constraints/compute.restrictVpnPeerIPs",
   "listPolicy": {
     "allowedValues": [
       "100.1.1.1",
       "2001:db8::2d9:51:0:0"
     ],
   }
 }

  3. Para definir a política da organização, use o comando gcloud do Resource Manager set-policy, passando o arquivo JSON e usando o ORGANIZATION_ID encontrado na etapa anterior.

Como restringir a conectividade de qualquer endereço IP de peering

Para proibir a criação de qualquer túnel do Cloud VPN, siga as etapas neste exemplo de restrição:

  1. Encontre o ID da organização ou o ID do nó na hierarquia de recursos em que você quer definir uma política.

  2. Crie um arquivo JSON como o exemplo a seguir. 

    {
  "constraint": "constraints/compute.restrictVpnPeerIPs",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  3. Transmita o arquivo JSON executando o mesmo comando que você usaria para restringir endereços IP de peering específicos.

A seguir

  • Para usar cenários de alta disponibilidade e alta capacidade ou vários cenários de sub-rede, consulte Configurações avançadas.
  • Para resolver problemas comuns que você pode encontrar ao usar o Cloud VPN, consulte Solução de problemas.