Contrôler le trafic entrant et sortant

Cette page explique comment configurer le trafic entrant et sortant pour un tunnel VPN.

Contrôlez le trafic d'entrée et de sortie vers un tunnel VPN projet par projet.

  • Par défaut, tous les projets refusent le trafic entrant provenant d'un tunnel VPN.
  • Par défaut, les projets pour lesquels la protection contre l'exfiltration de données est activée refusent le trafic sortant vers un tunnel VPN.

Suivez les instructions ci-dessous pour modifier les règles de sortie et d'entrée du trafic VPN par défaut pour un projet.

Avant de commencer

Pour configurer le trafic entrant et sortant d'un tunnel VPN, vous devez disposer des éléments suivants :

  • Un tunnel VPN existant. Pour en savoir plus, consultez Créer un tunnel VPN.

  • Rôles d'identité et d'accès nécessaires :

    • Administrateur VPN : dispose d'autorisations de lecture et d'écriture sur toutes les ressources liées au VPN. Demandez à votre administrateur IAM de l'organisation de vous attribuer le rôle Administrateur VPN (vpn-admin).
    • Lecteur VPN : dispose d'autorisations de lecture sur toutes les ressources liées au VPN. Demandez à votre administrateur IAM de l'organisation de vous attribuer le rôle Lecteur VPN (vpn-viewer).
    • Administrateur NetworkPolicy de projet : gère les règles de réseau du projet dans l'espace de noms du projet. Demandez à votre administrateur IAM de l'organisation de vous accorder le rôle Administrateur NetworkPolicy du projet (project-networkpolicy-admin).
    • Pour en savoir plus, consultez Définitions des rôles.

Configurer le trafic entrant

Par défaut, tous les projets refusent le trafic entrant provenant d'un tunnel VPN. Pour permettre à un projet d'autoriser le trafic provenant d'un tunnel VPN, utilisez un objet ProjectNetworkPolicy qui cible les routes reçues lors de la session BGP (Border Gateway Protocol) utilisée sur le tunnel VPN :

Pour autoriser un projet à accepter le trafic provenant d'un tunnel VPN, procédez comme suit :

  1. Récupérez toutes les routes reçues à partir de l'état VPNBGPPeer :

    kubectl --kubeconfig MANAGEMENT_API_SERVER get -n platform vpnbgppeer VPN_BGP_PEER_NAME -ojson | jq '.status.received'

    Remplacez les éléments suivants :

    • MANAGEMENT_API_SERVER : chemin d'accès au fichier kubeconfig du serveur d'API zonal. Si vous n'avez pas encore généré de fichier kubeconfig pour le serveur d'API dans la zone cible, consultez Se connecter pour en savoir plus.
    • VPN_BGP_PEER_NAME : nom de votre session BGP VPN.

    Pour en savoir plus, consultez Créer une session BGP VPN.

    Le résultat ressemble à l'exemple suivant :

    [
  {
    "prefix": "192.168.100.0/24"
  },
  {
    "prefix": "192.168.101.0/24"
  }
]

  2. Ajoutez tous les itinéraires reçus à partir de l'état VPNBGPPeer à un objet ProjectNetworkPolicy dans l'espace de noms du projet :

    kubectl --kubeconfig GLOBAL_API_SERVER create -n PROJECT_NAME -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  name: allow-ingress-vpn-traffic
spec:
  policyType: Ingress
  subject:
    subjectType: UserWorkload
  ingress:
  - from:
    - ipBlocks:
      - cidr: 192.168.100.0/24
      - cidr: 192.168.101.0/24
EOF

    Remplacez les éléments suivants :

    • GLOBAL_API_SERVER : chemin d'accès au fichier kubeconfig du serveur d'API global. Pour en savoir plus, consultez Ressources du serveur d'API mondial.
    • PROJECT_NAME : nom de votre projet GDC.

Configurer le trafic de sortie

Par défaut, un projet pour lequel la protection contre l'exfiltration de données est activée refuse d'envoyer du trafic au VPN.

Vous pouvez autoriser un projet à envoyer du trafic vers un tunnel VPN en désactivant la protection contre l'exfiltration de données pour le projet. Pour en savoir plus, consultez Prévenir l'exfiltration de données.

Étapes suivantes