Ein- und ausgehenden Traffic steuern

Auf dieser Seite wird beschrieben, wie Sie den ein- und ausgehenden Traffic für einen VPN-Tunnel konfigurieren.

Ausgehenden und eingehenden Traffic zu einem VPN-Tunnel projektbezogen steuern.

  • Standardmäßig wird in allen Projekten eingehender Traffic von einem VPN-Tunnel abgelehnt.
  • Standardmäßig wird in Projekten, in denen der Schutz vor Datenexfiltration aktiviert ist, ausgehender Traffic zu einem VPN-Tunnel abgelehnt.

Folgen Sie der Anleitung unten, um die Standardregeln für ausgehenden und eingehenden VPN-Traffic für ein Projekt zu ändern.

Hinweise

Um Ein- und Ausgangstraffic für einen VPN-Tunnel zu konfigurieren, benötigen Sie Folgendes:

  • Ein vorhandener VPN-Tunnel. Weitere Informationen finden Sie unter VPN-Tunnel erstellen.

  • Die erforderlichen Identitäts- und Zugriffsrollen:

    • VPN-Administrator: Hat Lese- und Schreibberechtigungen für alle VPN-bezogenen Ressourcen. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „VPN-Administrator“ (vpn-admin) zuzuweisen.
    • VPN-Betrachter: Hat Leseberechtigungen für alle VPN-bezogenen Ressourcen. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „VPN Viewer“ (vpn-viewer) zuzuweisen.
    • Project NetworkPolicy Admin: Verwaltet Projektnetzwerkrichtlinien im Projekt-Namespace. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Projekt-NetworkPolicy-Administrator“ (project-networkpolicy-admin) zuzuweisen.
    • Weitere Informationen finden Sie unter Rollendefinitionen.

Eingehenden Traffic konfigurieren

Standardmäßig wird in allen Projekten eingehender Traffic von einem VPN-Tunnel abgelehnt. Wenn Sie in einem Projekt Traffic aus einem VPN-Tunnel zulassen möchten, verwenden Sie ein ProjectNetworkPolicy-Objekt, das auf die Routen ausgerichtet ist, die über die BGP-Sitzung (Border Gateway Protocol) des VPN-Tunnels empfangen werden:

So aktivieren Sie ein Projekt, um Traffic von einem VPN-Tunnel zuzulassen:

  1. Alle empfangenen Routen aus dem VPNBGPPeer-Status abrufen:

    kubectl --kubeconfig MANAGEMENT_API_SERVER get -n platform vpnbgppeer VPN_BGP_PEER_NAME -ojson | jq '.status.received'

    Ersetzen Sie Folgendes:

    • MANAGEMENT_API_SERVER: Der kubeconfig-Pfad des zonalen API-Servers. Wenn Sie noch keine kubeconfig-Datei für den API-Server in Ihrer Zielzone generiert haben, lesen Sie die Informationen unter Anmelden.
    • VPN_BGP_PEER_NAME: Der Name Ihrer VPN-BGP-Sitzung.

    Weitere Informationen finden Sie unter VPN-BGP-Sitzung erstellen.

    Die Ausgabe sieht so aus:

    [
  {
    "prefix": "192.168.100.0/24"
  },
  {
    "prefix": "192.168.101.0/24"
  }
]

  2. Fügen Sie alle empfangenen Routen aus dem Status VPNBGPPeer einem ProjectNetworkPolicy-Objekt im Namespace des Projekts hinzu:

    kubectl --kubeconfig GLOBAL_API_SERVER create -n PROJECT_NAME -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  name: allow-ingress-vpn-traffic
spec:
  policyType: Ingress
  subject:
    subjectType: UserWorkload
  ingress:
  - from:
    - ipBlocks:
      - cidr: 192.168.100.0/24
      - cidr: 192.168.101.0/24
EOF

    Ersetzen Sie Folgendes:

    • GLOBAL_API_SERVER: Der kubeconfig-Pfad des globalen API-Servers. Weitere Informationen finden Sie unter Globale API-Serverressourcen.
    • PROJECT_NAME: der Name Ihres GDC-Projekts.

Ausgehenden Traffic konfigurieren

Standardmäßig wird in einem Projekt, in dem der Schutz vor Daten-Exfiltration aktiviert ist, das Senden von Traffic an das VPN abgelehnt.

Sie können einem Projekt erlauben, Traffic an einen VPN-Tunnel zu senden, indem Sie den Schutz vor Daten-Exfiltration für das Projekt deaktivieren. Weitere Informationen finden Sie unter Daten-Exfiltration verhindern.

Nächste Schritte