Restrinja endereços IP para gateways de VPN de intercâmbio

Se for um administrador de políticas da organização, pode criar uma restrição de política da organização que restrinja os endereços IP que os utilizadores podem especificar para um gateway de VPN de pares. Enquanto utilizador da Cloud VPN, especifica, pelo menos, um endereço IP para um gateway de VPN de pares quando cria um túnel da Cloud VPN. Limitar os endereços IP que os utilizadores podem especificar para um gateway de VPN de pares é uma estratégia para impedir a criação de túneis de VPN não autorizados.

As restrições de políticas aplicam-se a todos os túneis do Cloud VPN num projeto, numa pasta ou numa organização específicos para a VPN clássica e a VPN de alta disponibilidade.

Os endereços IP do gateway de pares são os endereços IP de gateways de VPN no local ou de outros gateways de VPN na nuvem.

Para controlar a lista de endereços IP de pares que os utilizadores podem especificar quando criam túneis de VPN do Google Cloud, use a restrição do Resource Manager constraints/compute.restrictVpnPeerIPs.

Exemplo de restrição de política da organização

No exemplo seguinte, um administrador de políticas de organização cria uma restrição de política de organização que define o endereço IPv4 do gateway de VPN de pares permitido e um endereço IPv6.

Esta restrição tem uma lista de autorizações que consiste num endereço IPv4, 100.1.1.1, e num endereço IPv6, 2001:db8::2d9:51:0:0.

Os administradores de rede no projeto só podem criar túneis de VPN na nuvem que se ligam ao endereço IPv4 do gateway de pares 100.1.1.1 ou ao endereço IPv6 2001:db8::2d9:51:0:0. A restrição não permite a criação de túneis do Cloud VPN para diferentes endereços IP do gateway de intercâmbio.

Política da organização para restringir pares de VPN.
Política da organização para restringir pares de VPN (clique para aumentar).

Considerações

  • A restrição da política organizacional que restringe os endereços IP do gateway de pares aplica-se apenas a novos túneis da VPN do Google Cloud. A restrição proíbe túneis da Cloud VPN criados após a aplicação da restrição. Para mais informações, consulte o artigo Compreender a hierarquia do Resource Manager.

  • Pode aplicar esta restrição a túneis de VPN clássica ou a túneis de VPN de alta disponibilidade.

  • Pode especificar várias entradas allowedValues ou várias entradas deniedValues numa determinada política, mas não pode usar entradas allowedValues e deniedValues em conjunto na mesma política.

  • Tem de gerir e manter o ciclo de vida e a integridade dos seus túneis VPN, ou um administrador de rede com as autorizações corretas.

Aplique uma restrição de política da organização

Para criar uma política de organização e associá-la a uma organização, uma pasta ou um projeto, use os exemplos indicados nas secções seguintes e siga os passos em Usar restrições.

Autorizações necessárias

Para definir uma restrição de endereço IP de pares ao nível da organização ou do projeto, tem de lhe ser concedida primeiro a função de administrador da política da organização (roles/orgpolicy.policyAdmin) para a sua organização.

Restrinja a conetividade de endereços IP de pares específicos

Para permitir apenas endereços IP de pares específicos através de um túnel de VPN na nuvem, siga estes passos:

  1. Encontre o ID da sua organização executando o seguinte comando:

    gcloud organizations list

    O resultado do comando deve ser semelhante ao seguinte exemplo:

    DISPLAY NAME             ID
example-organization     29252605212

  2. Crie um ficheiro JSON que defina a sua política, como no exemplo seguinte:

     {
   "constraint": "constraints/compute.restrictVpnPeerIPs",
   "listPolicy": {
     "allowedValues": [
       "100.1.1.1",
       "2001:db8::2d9:51:0:0"
     ],
   }
 }

  3. Defina a política da organização através do comando gcloud do Resource Manager set-policy, transmitindo o ficheiro JSON e usando o ORGANIZATION_ID que encontrou no passo anterior.

Restrinja a conetividade a partir de qualquer endereço IP de pares

Para proibir a criação de túneis de VPN do Google Cloud, siga os passos neste exemplo de restrição:

  1. Encontre o ID da sua organização ou o ID do nó na hierarquia de recursos onde quer definir uma política.

  2. Crie um ficheiro JSON semelhante ao seguinte exemplo: 

    {
  "constraint": "constraints/compute.restrictVpnPeerIPs",
  "listPolicy": {
    "allValues": "DENY"
  }
}

  3. Transmita o ficheiro JSON executando o mesmo comando que usaria para restringir endereços IP de pares específicos.

O que se segue?

  • Para usar cenários de alta disponibilidade e alto débito ou vários cenários de sub-rede, consulte as configurações avançadas.
  • Para resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.