Ein- und ausgehenden Traffic steuern

Auf dieser Seite wird beschrieben, wie Sie den ein- und ausgehenden Traffic für einen VPN-Tunnel konfigurieren.

Ausgehenden und eingehenden Traffic zu einem VPN-Tunnel projektbezogen steuern.

• Standardmäßig wird in allen Projekten eingehender Traffic von einem VPN-Tunnel abgelehnt.
• Standardmäßig wird in Projekten, in denen der Schutz vor Datenexfiltration aktiviert ist, ausgehender Traffic zu einem VPN-Tunnel abgelehnt.

Folgen Sie der Anleitung unten, um die Standardregeln für ausgehenden und eingehenden VPN-Traffic für ein Projekt zu ändern.

Hinweise

Um Ein- und Ausgangstraffic für einen VPN-Tunnel zu konfigurieren, benötigen Sie Folgendes:

• Ein vorhandener VPN-Tunnel. Weitere Informationen finden Sie unter VPN-Tunnel erstellen.

• Die erforderlichen Identitäts- und Zugriffsrollen:

  • VPN-Administrator: Hat Lese- und Schreibberechtigungen für alle VPN-bezogenen Ressourcen. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „VPN-Administrator“ (vpn-admin) zuzuweisen.
  • VPN-Betrachter: Hat Leseberechtigungen für alle VPN-bezogenen Ressourcen. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „VPN Viewer“ (vpn-viewer) zuzuweisen.
  • Project NetworkPolicy Admin: Verwaltet Projektnetzwerkrichtlinien im Projekt-Namespace. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Projekt-NetworkPolicy-Administrator“ (project-networkpolicy-admin) zuzuweisen.
  • Weitere Informationen finden Sie unter Rollendefinitionen.

Eingehenden Traffic konfigurieren

Standardmäßig wird in allen Projekten eingehender Traffic von einem VPN-Tunnel abgelehnt. Wenn Sie in einem Projekt Traffic aus einem VPN-Tunnel zulassen möchten, verwenden Sie ein ProjectNetworkPolicy-Objekt, das auf die Routen ausgerichtet ist, die über die BGP-Sitzung (Border Gateway Protocol) des VPN-Tunnels empfangen werden:

So aktivieren Sie ein Projekt, um Traffic von einem VPN-Tunnel zuzulassen:

1. Alle empfangenen Routen aus dem VPNBGPPeer-Status abrufen:

   kubectl --kubeconfig MANAGEMENT_API_SERVER get -n platform vpnbgppeer VPN_BGP_PEER_NAME -ojson | jq '.status.received'
   

   Ersetzen Sie Folgendes:

   • MANAGEMENT_API_SERVER: Der kubeconfig-Pfad des zonalen API-Servers. Wenn Sie noch keine kubeconfig-Datei für den API-Server in Ihrer Zielzone generiert haben, lesen Sie die Informationen unter Anmelden.
   • VPN_BGP_PEER_NAME: Der Name Ihrer VPN-BGP-Sitzung.

   Weitere Informationen finden Sie unter VPN-BGP-Sitzung erstellen.

   Die Ausgabe sieht so aus:

   [
     {
       "prefix": "192.168.100.0/24"
     },
     {
       "prefix": "192.168.101.0/24"
     }
   ]
   

2. Fügen Sie alle empfangenen Routen aus dem Status VPNBGPPeer einem ProjectNetworkPolicy-Objekt im Namespace des Projekts hinzu:

   kubectl --kubeconfig GLOBAL_API_SERVER create -n PROJECT_NAME -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     name: allow-ingress-vpn-traffic
   spec:
     policyType: Ingress
     subject:
       subjectType: UserWorkload
     ingress:
     - from:
       - ipBlocks:
         - cidr: 192.168.100.0/24
         - cidr: 192.168.101.0/24
   EOF
   

   Ersetzen Sie Folgendes:

   • GLOBAL_API_SERVER: Der kubeconfig-Pfad des globalen API-Servers. Weitere Informationen finden Sie unter Globale API-Serverressourcen.
   • PROJECT_NAME: der Name Ihres GDC-Projekts.

Ausgehenden Traffic konfigurieren

Standardmäßig wird in einem Projekt, in dem der Schutz vor Daten-Exfiltration aktiviert ist, das Senden von Traffic an das VPN abgelehnt.

Sie können einem Projekt erlauben, Traffic an einen VPN-Tunnel zu senden, indem Sie den Schutz vor Daten-Exfiltration für das Projekt deaktivieren. Weitere Informationen finden Sie unter Daten-Exfiltration verhindern.

Nächste Schritte

• Auf Nutzer-VMs zugreifen