如果您是機構政策管理員,可以建立機構政策限制,限制使用者可為對等互連 VPN 閘道指定的 IP 位址。身為 Cloud VPN 使用者,您在建立 Cloud VPN 通道時,至少會為對等互連 VPN 閘道指定一個 IP 位址。限制使用者可為對等互連 VPN 閘道指定的 IP 位址,是避免建立未經授權的 VPN 通道的策略。
無論是傳統版 VPN 還是高可用性 VPN,政策限制都會套用至特定專案、資料夾或機構中的所有 Cloud VPN 通道。
對等閘道 IP 位址是內部部署 VPN 閘道或其他 Cloud VPN 閘道的 IP 位址。
如要控管使用者建立 Cloud VPN 通道時可指定的對等 IP 位址清單,請使用 Resource Manager 限制 constraints/compute.restrictVpnPeerIPs
。
機構政策限制範例
在下列範例中,機構政策管理員會建立機構政策限制,定義允許的對等互連 VPN 閘道 IPv4 位址和一個 IPv6 位址。
這個限制條件包含一個許可清單,其中包含一個 IPv4 位址 100.1.1.1
和一個 IPv6 位址 2001:db8::2d9:51:0:0
。
專案中的網路管理員只能建立連線至對等閘道 IPv4 位址 100.1.1.1
或 IPv6 位址 2001:db8::2d9:51:0:0
的 Cloud VPN 通道。這項限制會禁止建立連往不同對等互連閘道 IP 位址的 Cloud VPN 通道。
注意事項
限制對等閘道 IP 位址的機構政策限制只適用於新的 Cloud VPN 通道。這項限制會禁止在套用限制後建立的 Cloud VPN 通道。詳情請參閱「瞭解 Resource Manager 階層」。
您可以將這項限制套用至傳統版 VPN 通道或 HA VPN 通道。
您可以在特定政策中指定多個
allowedValues
或多個deniedValues
項目,但無法在同一政策中同時使用allowedValues
和deniedValues
項目。您或具備正確權限的網路管理員,必須管理及維護 VPN 通道的生命週期和完整性。
套用機構政策限制
如要建立機構政策並與機構、資料夾或專案建立關聯,請參考下一個章節的範例,並按照「使用限制」中的步驟操作。
所需權限
如要在機構或專案層級設定對等端 IP 位址限制,您必須先獲得機構的機構政策管理員角色 (roles/orgpolicy.policyAdmin
)。
限制來自特定對等 IP 位址的連線
如要只允許特定對等端 IP 位址透過 Cloud VPN 通道,請執行下列步驟:
執行下列指令,找出機構 ID:
gcloud organizations list
指令輸出應如以下範例所示︰
DISPLAY NAME ID example-organization 29252605212
建立定義政策的 JSON 檔案,如以下範例所示:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allowedValues": [ "100.1.1.1", "2001:db8::2d9:51:0:0" ], } }
使用 Resource Manager
gcloud
指令set-policy
、傳入 JSON 檔案,以及使用先前步驟中找到的ORGANIZATION_ID
,設定機構政策。
限制來自任何對等 IP 位址的連線
如要禁止建立任何 Cloud VPN 通道,請按照以下示範限制中的步驟操作:
找出您要設定政策的資源階層中,機構 ID 或節點 ID。
建立 JSON 檔案,如下所示:
{ "constraint": "constraints/compute.restrictVpnPeerIPs", "listPolicy": { "allValues": "DENY" } }
執行限制特定對等端 IP 位址時使用的相同指令,即可傳入 JSON 檔案。