上り（内向き）と下り（外向き）のトラフィックを制御する

このページでは、VPN トンネルの上り（内向き）トラフィックと下り（外向き）トラフィックを構成する方法について説明します。

プロジェクトごとに VPN トンネルへの下り（外向き）トラフィックと上り（内向き）トラフィックを制御します。

• デフォルトでは、すべてのプロジェクトで VPN トンネルからの受信トラフィックが拒否されます。
• デフォルトでは、データ漏洩保護が有効になっているプロジェクトは、VPN トンネルへの送信トラフィックを拒否します。

次の手順に沿って、プロジェクトのデフォルトの VPN トラフィックの下り（外向き）ルールと上り（内向き）ルールを変更します。

始める前に

VPN トンネルの入出力トラフィックを構成するには、次のものが必要です。

• 既存の VPN トンネル。詳細については、VPN トンネルを作成するをご覧ください。

• 必要な ID とアクセスロール:

  • VPN 管理者: VPN 関連のすべてのリソースに対する読み取り / 書き込み権限があります。組織の IAM 管理者に、VPN 管理者（vpn-admin）ロールを付与するよう依頼します。
  • VPN 閲覧者: VPN 関連のすべてのリソースに対する読み取り権限があります。組織の IAM 管理者に、VPN 閲覧者（vpn-viewer）ロールを付与するよう依頼します。
  • プロジェクト NetworkPolicy 管理者: プロジェクト Namespace のプロジェクト ネットワーク ポリシーを管理します。組織の IAM 管理者に、プロジェクトの NetworkPolicy 管理者（project-networkpolicy-admin）ロールを付与するよう依頼します。
  • 詳細については、ロールの定義をご覧ください。

上り（内向き）トラフィックを構成する

デフォルトでは、すべてのプロジェクトで VPN トンネルからの受信トラフィックが拒否されます。プロジェクトで VPN トンネルからのトラフィックを許可するには、VPN トンネルで使用される Border Gateway Protocol（BGP）セッションで受信したルートをターゲットとする ProjectNetworkPolicy オブジェクトを使用します。

プロジェクトで VPN トンネルからのトラフィックを許可する手順は次のとおりです。

1. VPNBGPPeer ステータスから受信したすべてのルートを取得します。

   kubectl --kubeconfig MANAGEMENT_API_SERVER get -n platform vpnbgppeer VPN_BGP_PEER_NAME -ojson | jq '.status.received'
   

   次のように置き換えます。

   • MANAGEMENT_API_SERVER: ゾーン API サーバーの kubeconfig パス。ターゲット ゾーンの API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
   • VPN_BGP_PEER_NAME: VPN BGP セッションの名前。

   詳細については、VPN BGP セッションを作成するをご覧ください。

   出力は、次の例のようになります。

   [
     {
       "prefix": "192.168.100.0/24"
     },
     {
       "prefix": "192.168.101.0/24"
     }
   ]
   

2. VPNBGPPeer ステータスから受信したすべてのルートを、プロジェクトの Namespace の ProjectNetworkPolicy オブジェクトに追加します。

   kubectl --kubeconfig GLOBAL_API_SERVER create -n PROJECT_NAME -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     name: allow-ingress-vpn-traffic
   spec:
     policyType: Ingress
     subject:
       subjectType: UserWorkload
     ingress:
     - from:
       - ipBlocks:
         - cidr: 192.168.100.0/24
         - cidr: 192.168.101.0/24
   EOF
   

   次のように置き換えます。

   • GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバー リソースをご覧ください。
   • PROJECT_NAME: GDC プロジェクトの名前。

下り（外向き）トラフィックを構成する

デフォルトでは、データ引き出し保護が有効になっているプロジェクトは、VPN へのトラフィックの送信を拒否します。

プロジェクトのデータ漏洩保護を無効にすると、プロジェクトから VPN トンネルにトラフィックを送信できます。詳細については、データ漏洩を防ぐをご覧ください。

次のステップ

• ユーザー VM にアクセスする