Controlar o tráfego de entrada e saída

Nesta página, descrevemos como configurar o tráfego de entrada e saída para um túnel VPN.

Controlar o tráfego de saída e entrada para um túnel VPN por projeto.

• Por padrão, todos os projetos negam o tráfego de entrada de um túnel de VPN.
• Por padrão, os projetos com proteção contra exfiltração de dados ativada negam o tráfego de saída para um túnel VPN.

Siga estas instruções para mudar as regras padrão de saída e entrada de tráfego da VPN em um projeto.

Antes de começar

Para configurar o tráfego de entrada e saída de um túnel VPN, você precisa ter o seguinte:

• Um túnel VPN atual. Para mais informações, consulte Criar um túnel VPN.

• Os papéis necessários de identidade e acesso:

  • Administrador da VPN: tem permissões de leitura e gravação em todos os recursos relacionados à VPN. Peça ao administrador do IAM da organização para conceder a você o papel de administrador de VPN (vpn-admin).
  • Leitor de VPN: tem permissões de leitura em todos os recursos relacionados à VPN. Peça ao administrador do IAM da organização para conceder a você o papel de leitor de VPN (vpn-viewer).
  • Administrador de NetworkPolicy do projeto: gerencia políticas de rede do projeto no namespace do projeto. Peça ao administrador do IAM da organização para conceder a você o papel de administrador da NetworkPolicy do projeto (project-networkpolicy-admin).
  • Para mais informações, consulte Definições de papéis.

Configurar o tráfego de entrada

Por padrão, todos os projetos negam o tráfego de entrada de um túnel de VPN. Para permitir que um projeto receba tráfego de um túnel de VPN, use um objeto ProjectNetworkPolicy que tenha como destino as rotas recebidas pela sessão do BGP (Border Gateway Protocol) usada no túnel de VPN:

Para permitir que um projeto receba tráfego de um túnel de VPN, siga estas etapas:

1. Recupere todas as rotas recebidas do status VPNBGPPeer:

   kubectl --kubeconfig MANAGEMENT_API_SERVER get -n platform vpnbgppeer VPN_BGP_PEER_NAME -ojson | jq '.status.received'
   

   Substitua:

   • MANAGEMENT_API_SERVER: o caminho do kubeconfig do servidor de API zonal. Se você ainda não gerou um arquivo kubeconfig para o servidor da API na zona de destino, consulte Fazer login para mais detalhes.
   • VPN_BGP_PEER_NAME: o nome da sua sessão do BGP da VPN.

   Para mais informações, consulte Criar uma sessão BGP de VPN.

   A resposta tem a aparência do exemplo a seguir.

   [
     {
       "prefix": "192.168.100.0/24"
     },
     {
       "prefix": "192.168.101.0/24"
     }
   ]
   

2. Adicione todas as rotas recebidas do status VPNBGPPeer a um objeto ProjectNetworkPolicy no namespace do projeto:

   kubectl --kubeconfig GLOBAL_API_SERVER create -n PROJECT_NAME -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     name: allow-ingress-vpn-traffic
   spec:
     policyType: Ingress
     subject:
       subjectType: UserWorkload
     ingress:
     - from:
       - ipBlocks:
         - cidr: 192.168.100.0/24
         - cidr: 192.168.101.0/24
   EOF
   

   Substitua:

   • GLOBAL_API_SERVER: o caminho kubeconfig do servidor de API global. Para mais informações, consulte Recursos globais do servidor da API.
   • PROJECT_NAME: o nome do seu projeto do GDC.

Configurar o tráfego de saída

Por padrão, um projeto com proteção contra exfiltração de dados ativada nega o envio de tráfego para a VPN.

É possível permitir que um projeto envie tráfego para um túnel de VPN desativando a proteção contra exfiltração de dados. Para mais informações, consulte Evitar a exfiltração de dados.

A seguir

• Acessar VMs de usuário