IP-Adressen für Peer-VPN-Gateways einschränken

Als Administrator für Organisationsrichtlinien können Sie eine Organisationsrichtlinieneinschränkung erstellen, die die IP-Adressen einschränkt, die Nutzer für ein Peer-VPN-Gateway angeben können. Als Cloud VPN-Nutzer geben Sie beim Erstellen eines Cloud VPN-Tunnels mindestens eine IP-Adresse für ein Peer-VPN-Gateway an. Durch das Einschränken der IP-Adressen, die Nutzer für ein Peer-VPN-Gateway angeben können, wird die Erstellung nicht autorisierter VPN-Tunnel verhindert.

Richtlinieneinschränkungen gelten für alle Cloud VPN-Tunnel in einem bestimmten Projekt, Ordner oder einer bestimmten Organisation, sowohl für klassisches VPN als auch für HA VPN.

Die IP-Adressen des Peer-Gateways sind die IP-Adressen lokaler VPN-Gateways oder anderer Cloud VPN-Gateways.

Wenn Sie die Liste der Peer-IP-Adressen steuern möchten, die Nutzer beim Erstellen von Cloud VPN-Tunneln angeben können, verwenden Sie die Einschränkung des Resource Managers constraints/compute.restrictVpnPeerIPs.

Beispiel für eine Organisationsrichtlinieneinschränkung

Im folgenden Beispiel erstellt ein Administrator für Organisationsrichtlinien eine Organisationsrichtlinieneinschränkung, die die zulässige IPv4-Adresse und eine IPv6-Adresse des Peer-VPN-Gateways definiert.

Diese Einschränkung hat eine Zulassungsliste, die aus einer IPv4-Adresse, 100.1.1.1, und einer IPv6-Adresse 2001:db8::2d9:51:0:0 besteht.

Netzwerkadministratoren im Projekt können nur Cloud VPN-Tunnel erstellen, die eine Verbindung zur IPv4-Adresse 100.1.1.1 des Peer-Gateways oder zur IPv6-Adresse 2001:db8::2d9:51:0:0 herstellen. Die Einschränkung verhindert das Erstellen von Cloud VPN-Tunneln zu verschiedenen Peer-Gateway-IP-Adressen.

Organisationsrichtlinie zum Einschränken von VPN-Peer-Geräten.
Organisationsrichtlinie zum Einschränken von VPN-Peer-Systemen (zum Vergrößern klicken)

Hinweise

  • Die Organisationsrichtlinieneinschränkung, die IP-Adressen von Peer-Gateways einschränkt, gilt nur für neue Cloud VPN-Tunnel. Die Einschränkung verbietet Cloud VPN-Tunnel, die nach Anwendung der Einschränkung erstellt wurden. Weitere Informationen finden Sie unter Informationen zur Hierarchie des Resource Managers.

  • Sie können diese Einschränkung auf klassische VPN-Tunnel oder auf HA VPN-Tunnel anwenden.

  • Sie können in einer Richtlinie entweder mehrere allowedValues- oder mehrere deniedValues-Einträge angeben. Sie können jedoch nicht allowedValues- und deniedValues-Einträge in derselben Richtlinie verwenden.

  • Sie oder ein Netzwerkadministrator mit den entsprechenden Berechtigungen müssen den Lebenszyklus und die Integrität Ihrer VPN-Tunnel verwalten.

Einschränkung für Organisationsrichtlinie anwenden

Verwenden Sie zum Erstellen einer Organisationsrichtlinie und zum Verknüpfen mit einer Organisation, einem Ordner oder einem Projekt die in den nächsten Abschnitten aufgeführten Beispiele und führen Sie die Schritte unter Einschränkungen verwenden aus.

Erforderliche Berechtigungen

Zum Festlegen einer Peer-IP-Adresse auf Organisations- oder Projektebene müssen Sie zuerst die Rolle "Organisationsrichtlinienadministrator" ()roles/orgpolicy.policyAdmin für Ihre Organisation zuweisen.

Verbindungen von bestimmten Peer-IP-Adressen einschränken

Führen Sie die folgenden Schritte aus, um nur bestimmte Peer-IP-Adressen über einen Cloud VPN-Tunnel zuzulassen:

  1. Rufen Sie Ihre Organisations-ID mit dem folgenden Befehl auf:

    gcloud organizations list

    Die Befehlsausgabe sollte folgendermaßen aussehen:

    DISPLAY NAME             ID
    example-organization     29252605212
    

  2. Erstellen Sie eine JSON-Datei, die Ihre Richtlinie definiert, wie im folgenden Beispiel gezeigt:

     {
       "constraint": "constraints/compute.restrictVpnPeerIPs",
       "listPolicy": {
         "allowedValues": [
           "100.1.1.1",
           "2001:db8::2d9:51:0:0"
         ],
       }
     }
    
  3. Legen Sie die Organisationsrichtlinie mit dem gcloud-Befehl set-policy des Resource Managers fest. Übergeben Sie die JSON-Datei und verwenden Sie die ORGANIZATION_ID aus dem vorherigen Schritt.

Verbindungen von allen Peer-IP-Adressen einschränken

Führen Sie die Schritte in dieser Beispieleinschränkung aus, um die Erstellung von Cloud VPN-Tunneln zu verbieten.

  1. Suchen Sie Ihre Organisations-ID oder die ID für den Knoten in Ihrer Ressourcenhierarchie, für den Sie eine Richtlinie festlegen möchten.

  2. Erstellen Sie eine JSON-Datei wie im folgenden Beispiel.

    {
      "constraint": "constraints/compute.restrictVpnPeerIPs",
      "listPolicy": {
        "allValues": "DENY"
      }
    }
    

  3. Übergeben Sie die JSON-Datei mit dem gleichen Befehl, den Sie zum Einschränken von bestimmten Peer-IP-Adressen verwenden würden.

Nächste Schritte

  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.