En esta página, se describe cómo configurar el tráfico de entrada y salida para un túnel de VPN.
Controlar el tráfico de entrada y salida a un túnel de VPN por proyecto
- De forma predeterminada, todos los proyectos rechazarán el tráfico entrante de un túnel de VPN.
- De forma predeterminada, los proyectos con protección robo de datos habilitada rechazarán el tráfico saliente a un túnel de VPN.
Sigue estas instrucciones para cambiar las reglas predeterminadas de entrada y salida del tráfico de VPN para un proyecto.
Antes de comenzar
Para configurar el tráfico de entrada y salida de un túnel VPN, debes tener lo siguiente:
- Es un túnel VPN existente. Para obtener más información, consulta Crea un túnel de VPN.
Los roles de identidad y acceso necesarios son los siguientes:
- Administrador de VPN: Tiene permisos de lectura y escritura en todos los recursos relacionados con la VPN. Pídele al administrador de IAM de tu organización que te otorgue el rol de administrador de VPN (
vpn-admin). - Visualizador de VPN: Tiene permisos de lectura para todos los recursos relacionados con la VPN. Pídele al administrador de IAM de la organización que te otorgue el rol de visualizador de VPN (
vpn-viewer). - Administrador de NetworkPolicy del proyecto: Administra las políticas de red del proyecto en el espacio de nombres del proyecto. Pídele al administrador de IAM de la organización que te otorgue el rol de administrador de NetworkPolicy del proyecto (
project-networkpolicy-admin). - Para obtener más información, consulta Definiciones de roles.
- Administrador de VPN: Tiene permisos de lectura y escritura en todos los recursos relacionados con la VPN. Pídele al administrador de IAM de tu organización que te otorgue el rol de administrador de VPN (
Configura el tráfico de entrada
De forma predeterminada, todos los proyectos rechazan el tráfico entrante de un túnel de VPN. Para permitir que un proyecto permita el tráfico de un túnel de VPN, usa un objeto ProjectNetworkPolicy que tenga como objetivo las rutas recibidas a través de la sesión del Protocolo de puerta de enlace fronteriza (BGP) que se usa en el túnel de VPN:
Para habilitar un proyecto para que permita el tráfico desde un túnel de VPN, sigue estos pasos:
Recupera todas las rutas recibidas del estado
VPNBGPPeer:kubectl --kubeconfig MANAGEMENT_API_SERVER get -n platform vpnbgppeer VPN_BGP_PEER_NAME -ojson | jq '.status.received'Reemplaza lo siguiente:
MANAGEMENT_API_SERVER: Es la ruta de acceso de kubeconfig del servidor de la API zonal. Si aún no generaste un archivo kubeconfig para el servidor de la API en la zona de destino, consulta Accede para obtener más detalles.VPN_BGP_PEER_NAME: Es el nombre de tu sesión de BGP de VPN.
Para obtener más información, consulta Crea una sesión de BGP de VPN.
El resultado se ve como en el siguiente ejemplo:
[ { "prefix": "192.168.100.0/24" }, { "prefix": "192.168.101.0/24" } ]Agrega todas las rutas recibidas del estado
VPNBGPPeera un objetoProjectNetworkPolicyen el espacio de nombres del proyecto:kubectl --kubeconfig GLOBAL_API_SERVER create -n PROJECT_NAME -f - <<EOF apiVersion: networking.global.gdc.goog/v1 kind: ProjectNetworkPolicy metadata: name: allow-ingress-vpn-traffic spec: policyType: Ingress subject: subjectType: UserWorkload ingress: - from: - ipBlocks: - cidr: 192.168.100.0/24 - cidr: 192.168.101.0/24 EOFReemplaza lo siguiente:
GLOBAL_API_SERVER: Es la ruta de acceso a kubeconfig del servidor de la API global. Para obtener más información, consulta Recursos del servidor de la API global.PROJECT_NAME: Es el nombre de tu proyecto de GDC.
Configura el tráfico de salida
De forma predeterminada, un proyecto con la protección contra robo de datos habilitada rechazará el envío de tráfico a la VPN.
Para permitir que un proyecto envíe tráfico a un túnel de VPN, debes inhabilitar la protección contra la filtración de datos del proyecto. Para obtener más información, consulta Evita el robo de datos.