Als Administrator für Organisationsrichtlinien können Sie eine Organisationsrichtlinieneinschränkung erstellen, die die IP-Adressen einschränkt, die Nutzer für ein Peer-VPN-Gateway angeben können. Als Cloud VPN-Nutzer geben Sie beim Erstellen eines Cloud VPN-Tunnels mindestens eine IP-Adresse für ein Peer-VPN-Gateway an. Durch das Einschränken der IP-Adressen, die Nutzer für ein Peer-VPN-Gateway angeben können, wird die Erstellung nicht autorisierter VPN-Tunnel verhindert.
Richtlinieneinschränkungen gelten für alle Cloud VPN-Tunnel in einem bestimmten Projekt, Ordner oder einer bestimmten Organisation, sowohl für klassisches VPN als auch für HA VPN.
Die IP-Adressen des Peer-Gateways sind die IP-Adressen lokaler VPN-Gateways oder anderer Cloud VPN-Gateways.
Wenn Sie die Liste der Peer-IP-Adressen steuern möchten, die Nutzer beim Erstellen von Cloud VPN-Tunneln angeben können, verwenden Sie die Einschränkung des Resource Managers constraints/compute.restrictVpnPeerIPs
.
Beispiel für eine Organisationsrichtlinieneinschränkung
Im folgenden Beispiel erstellt ein Administrator für Organisationsrichtlinien eine Organisationsrichtlinieneinschränkung, die die zulässige IPv4-Adresse und eine IPv6-Adresse des Peer-VPN-Gateways definiert.
Diese Einschränkung hat eine Zulassungsliste, die aus einer IPv4-Adresse, 100.1.1.1
, und einer IPv6-Adresse 2001:db8::2d9:51:0:0
besteht.
Netzwerkadministratoren im Projekt können nur Cloud VPN-Tunnel erstellen, die eine Verbindung zur IPv4-Adresse 100.1.1.1
des Peer-Gateways oder zur IPv6-Adresse 2001:db8::2d9:51:0:0
herstellen. Die Einschränkung verhindert das Erstellen von Cloud VPN-Tunneln zu verschiedenen Peer-Gateway-IP-Adressen.
Hinweise
Die Organisationsrichtlinieneinschränkung, die IP-Adressen von Peer-Gateways einschränkt, gilt nur für neue Cloud VPN-Tunnel. Die Einschränkung verbietet Cloud VPN-Tunnel, die nach Anwendung der Einschränkung erstellt wurden. Weitere Informationen finden Sie unter Informationen zur Hierarchie des Resource Managers.
Sie können diese Einschränkung auf klassische VPN-Tunnel oder auf HA VPN-Tunnel anwenden.
Sie können in einer Richtlinie entweder mehrere
allowedValues
- oder mehreredeniedValues
-Einträge angeben. Sie können jedoch nichtallowedValues
- unddeniedValues
-Einträge in derselben Richtlinie verwenden.Sie oder ein Netzwerkadministrator mit den entsprechenden Berechtigungen müssen den Lebenszyklus und die Integrität Ihrer VPN-Tunnel verwalten.
Einschränkung für Organisationsrichtlinie anwenden
Verwenden Sie zum Erstellen einer Organisationsrichtlinie und zum Verknüpfen mit einer Organisation, einem Ordner oder einem Projekt die in den nächsten Abschnitten aufgeführten Beispiele und führen Sie die Schritte unter Einschränkungen verwenden aus.
Erforderliche Berechtigungen
Zum Festlegen einer Peer-IP-Adresse auf Organisations- oder Projektebene müssen Sie zuerst die Rolle "Organisationsrichtlinienadministrator" ()roles/orgpolicy.policyAdmin
für Ihre Organisation zuweisen.
Verbindungen von bestimmten Peer-IP-Adressen einschränken
Führen Sie die folgenden Schritte aus, um nur bestimmte Peer-IP-Adressen über einen Cloud VPN-Tunnel zuzulassen:
Rufen Sie Ihre Organisations-ID mit dem folgenden Befehl auf:
gcloud organizations list
Die Befehlsausgabe sollte folgendermaßen aussehen:
DISPLAY NAME ID example-organization 29252605212
Erstellen Sie eine JSON-Datei, die Ihre Richtlinie definiert, wie im folgenden Beispiel gezeigt:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allowedValues": [ "100.1.1.1", "2001:db8::2d9:51:0:0" ], } }
Legen Sie die Organisationsrichtlinie mit dem
gcloud
-Befehlset-policy
des Resource Managers fest. Übergeben Sie die JSON-Datei und verwenden Sie dieORGANIZATION_ID
aus dem vorherigen Schritt.
Verbindungen von allen Peer-IP-Adressen einschränken
Führen Sie die Schritte in dieser Beispieleinschränkung aus, um die Erstellung von Cloud VPN-Tunneln zu verbieten.
Suchen Sie Ihre Organisations-ID oder die ID für den Knoten in Ihrer Ressourcenhierarchie, für den Sie eine Richtlinie festlegen möchten.
Erstellen Sie eine JSON-Datei wie im folgenden Beispiel.
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allValues": "DENY" } }
Übergeben Sie die JSON-Datei mit dem gleichen Befehl, den Sie zum Einschränken von bestimmten Peer-IP-Adressen verwenden würden.
Nächste Schritte
- Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
- Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.