Mengontrol traffic masuk dan keluar

Halaman ini menjelaskan cara mengonfigurasi traffic masuk dan keluar untuk tunnel VPN.

Mengontrol traffic keluar dan masuk ke tunnel VPN berdasarkan per project.

• Secara default, semua project akan menolak traffic masuk dari tunnel VPN.
• Secara default, project dengan perlindungan terhadap pencurian data yang diaktifkan akan menolak traffic keluar ke tunnel VPN.

Gunakan petunjuk berikut untuk mengubah aturan keluar dan masuk traffic VPN default untuk project.

Sebelum memulai

Untuk mengonfigurasi traffic masuk dan keluar untuk tunnel VPN, Anda harus memiliki hal berikut:

• Tunnel VPN yang ada. Untuk mengetahui informasi selengkapnya, lihat Membuat tunnel VPN.

• Peran akses dan identitas yang diperlukan:

  • Admin VPN: memiliki izin baca dan tulis pada semua resource terkait VPN. Minta Admin IAM Organisasi Anda untuk memberi Anda peran VPN Admin (vpn-admin).
  • Pelihat VPN: memiliki izin baca pada semua resource terkait VPN. Minta Admin IAM Organisasi Anda untuk memberi Anda peran VPN Viewer (vpn-viewer).
  • Admin NetworkPolicy Project: mengelola kebijakan jaringan project di namespace project. Minta Admin IAM Organisasi Anda untuk memberi Anda peran Project NetworkPolicy Admin (project-networkpolicy-admin).
  • Untuk mengetahui informasi selengkapnya, lihat Definisi peran.

Mengonfigurasi traffic masuk

Secara default, semua project menolak traffic masuk dari tunnel VPN. Untuk mengizinkan project menerima traffic dari tunnel VPN, gunakan objek ProjectNetworkPolicy yang menargetkan rute yang diterima melalui sesi Border Gateway Protocol (BGP) yang digunakan di tunnel VPN:

Untuk mengizinkan project menerima traffic dari tunnel VPN, ikuti langkah-langkah berikut:

1. Ambil semua rute yang diterima dari status VPNBGPPeer:

   kubectl --kubeconfig MANAGEMENT_API_SERVER get -n platform vpnbgppeer VPN_BGP_PEER_NAME -ojson | jq '.status.received'
   

   Ganti kode berikut:

   • MANAGEMENT_API_SERVER: jalur kubeconfig server API zona. Jika Anda belum membuat file kubeconfig untuk server API di zona target, lihat Login untuk mengetahui detailnya.
   • VPN_BGP_PEER_NAME: nama sesi BGP VPN Anda.

   Untuk mengetahui informasi selengkapnya, lihat Membuat sesi BGP VPN.

   Outputnya akan terlihat seperti contoh berikut:

   [
     {
       "prefix": "192.168.100.0/24"
     },
     {
       "prefix": "192.168.101.0/24"
     }
   ]
   

2. Tambahkan semua rute yang diterima dari status VPNBGPPeer ke objek ProjectNetworkPolicy di namespace project:

   kubectl --kubeconfig GLOBAL_API_SERVER create -n PROJECT_NAME -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     name: allow-ingress-vpn-traffic
   spec:
     policyType: Ingress
     subject:
       subjectType: UserWorkload
     ingress:
     - from:
       - ipBlocks:
         - cidr: 192.168.100.0/24
         - cidr: 192.168.101.0/24
   EOF
   

   Ganti kode berikut:

   • GLOBAL_API_SERVER: jalur kubeconfig server API global. Untuk mengetahui informasi selengkapnya, lihat Resource server API global.
   • PROJECT_NAME: nama project GDC Anda.

Mengonfigurasi traffic keluar

Secara default, project yang mengaktifkan perlindungan pemindahan data yang tidak sah akan menolak pengiriman traffic ke VPN.

Anda dapat mengizinkan project mengirim traffic ke tunnel VPN dengan menonaktifkan perlindungan eksfiltrasi data untuk project tersebut. Untuk mengetahui informasi selengkapnya, lihat Mencegah pemindahan data yang tidak sah.

Langkah berikutnya

• Mengakses VM pengguna