Controllare il traffico in entrata e in uscita

Questa pagina descrive come configurare il traffico in entrata e in uscita per un tunnel VPN.

Controlla il traffico in uscita e in entrata verso un tunnel VPN in base al progetto.

• Per impostazione predefinita, tutti i progetti negheranno il traffico in entrata da un tunnel VPN.
• Per impostazione predefinita, i progetti con la protezione dall'esfiltrazione di dati attivata negheranno il traffico in uscita a un tunnel VPN.

Segui queste istruzioni per modificare le regole di uscita e ingresso del traffico VPN predefinite per un progetto.

Prima di iniziare

Per configurare il traffico in entrata e in uscita per un tunnel VPN, devi disporre di quanto segue:

• Un tunnel VPN esistente. Per ulteriori informazioni, vedi Creare un tunnel VPN.

• I ruoli di identità e accesso necessari:

  • Amministratore VPN: dispone delle autorizzazioni di lettura e scrittura su tutte le risorse correlate alla VPN. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore VPN (vpn-admin).
  • Visualizzatore VPN: dispone di autorizzazioni di lettura su tutte le risorse correlate alla VPN. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Visualizzatore VPN (vpn-viewer).
  • Amministratore NetworkPolicy del progetto: gestisce le policy di rete del progetto nello spazio dei nomi del progetto. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore NetworkPolicy del progetto (project-networkpolicy-admin).
  • Per ulteriori informazioni, vedi Definizioni dei ruoli.

Configura il traffico in entrata

Per impostazione predefinita, tutti i progetti negano il traffico in entrata da un tunnel VPN. Per consentire a un progetto di consentire il traffico da un tunnel VPN, utilizza un oggetto ProjectNetworkPolicy che ha come target le route ricevute tramite la sessione BGP (Border Gateway Protocol) utilizzata sul tunnel VPN:

Per consentire a un progetto di accettare il traffico da un tunnel VPN, segui questi passaggi:

1. Recupera tutti i percorsi ricevuti dallo stato VPNBGPPeer:

   kubectl --kubeconfig MANAGEMENT_API_SERVER get -n platform vpnbgppeer VPN_BGP_PEER_NAME -ojson | jq '.status.received'
   

   Sostituisci quanto segue:

   • MANAGEMENT_API_SERVER: il percorso kubeconfig del server API zonale. Se non hai ancora generato un file kubeconfig per il server API nella zona di destinazione, consulta Accedi per i dettagli.
   • VPN_BGP_PEER_NAME: il nome della sessione BGP VPN.

   Per ulteriori informazioni, consulta Creare una sessione BGP VPN.

   L'output è simile all'esempio seguente:

   [
     {
       "prefix": "192.168.100.0/24"
     },
     {
       "prefix": "192.168.101.0/24"
     }
   ]
   

2. Aggiungi tutte le route ricevute dallo stato VPNBGPPeer a un oggetto ProjectNetworkPolicy nello spazio dei nomi del progetto:

   kubectl --kubeconfig GLOBAL_API_SERVER create -n PROJECT_NAME -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     name: allow-ingress-vpn-traffic
   spec:
     policyType: Ingress
     subject:
       subjectType: UserWorkload
     ingress:
     - from:
       - ipBlocks:
         - cidr: 192.168.100.0/24
         - cidr: 192.168.101.0/24
   EOF
   

   Sostituisci quanto segue:

   • GLOBAL_API_SERVER: il percorso kubeconfig del server API globale. Per saperne di più, consulta Risorse del server API globale.
   • PROJECT_NAME: il nome del tuo progetto GDC.

Configura il traffico in uscita

Per impostazione predefinita, un progetto con la protezione dall'esfiltrazione di dati abilitata negherà l'invio di traffico alla VPN.

Puoi consentire a un progetto di inviare traffico a un tunnel VPN disattivando la protezione dall'esfiltrazione dei dati per il progetto. Per saperne di più, consulta la sezione Impedire l'esfiltrazione dei dati.

Passaggi successivi

• Accedere alle VM utente