本页面介绍如何配置可信映像政策限制条件。 这样,您就可以控制对操作系统 (OS) 映像的访问权限,这些映像可用于为任何 Compute Engine 虚拟机 (VM) 实例创建启动磁盘。
默认情况下,用户可以将任何公共映像或与其共享的任何自定义映像用于运行其批处理作业的 Compute Engine 虚拟机。如果未启用可信映像政策限制条件,并且您不希望限制虚拟机操作系统映像,则可以停止阅读本文档。
如果要要求项目、文件夹或组织中的所有用户创建包含符合政策或安全要求的已批准软件的虚拟机,请启用可信映像政策限制条件。如果启用了可信映像政策限制条件,则受影响的用户无法运行批量作业,除非允许其作业的虚拟机操作系统映像。 如需在启用可信映像政策限制条件的情况下创建和运行作业,请至少执行以下某项操作:
- 让用户指定已允许的虚拟机操作系统映像。
- 允许 Batch 中的默认虚拟机操作系统映像(如本文档中所示)。
如需详细了解虚拟机操作系统映像和启动磁盘,请参阅虚拟机操作系统环境概览。如需了解为您的项目、文件夹或组织启用了哪些政策限制条件,请查看组织政策。
准备工作
- 如果您之前未使用过 Batch,请查看 Batch 使用入门,并在满足项目和用户的前提条件以启用 Batch。
-
如需获取配置组织政策所需的权限,请让管理员向您授予组织的 Organization Policy Administrator (
roles/orgpolicy.policyAdmin
) IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
允许来自 Batch 的映像
以下步骤介绍了如何使用 Google Cloud 控制台或 Google Cloud CLI 修改可信映像政策限制条件,以允许 Batch 中的所有虚拟机操作系统映像。
如需详细了解如何使用可信映像 (compute.trustedImageProjects
) 政策限制条件,请参阅 Compute Engine 文档中的设置可信映像政策。
控制台
转到组织政策页面。
在政策列表中,点击定义可信映像项目。
系统随即会打开政策详情页面。
在政策详情页面上,点击
管理政策。系统随即会打开修改政策页面。在修改政策页面上,选择自定义。
在强制执行部分,选择强制执行选项。
点击添加规则。
在政策值列表中,您可以选择是添加允许访问所有未指定映像项目、拒绝访问所有未指定映像项目的规则,还是指定允许或拒绝访问的一组自定义项目。如需允许 Batch 中的所有映像,请执行以下操作:
- 在政策值列表中,选择自定义。 系统随即会显示政策类型和自定义值字段。
- 在政策类型列表中,选择允许。
- 在自定义值字段中,输入
projects/batch-custom-image
。
要保存规则,请点击完成。
要保存并应用组织政策,请点击保存。
gcloud
以下示例介绍如何针对特定项目允许来自 Batch 的映像:
如需获取项目的现有政策设置,请运行
resource-manager org-policies describe
命令:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
将 PROJECT_ID 替换为您要更新的项目的 ID。
在文本编辑器中打开
policy.yaml
文件。然后,通过将projects/batch-custom-image
添加到allowedValues
字段来修改compute.trustedImageProjects
限制条件。例如,如需仅允许 Batch 中的虚拟机操作系统映像,请将compute.trustedImageProjects
限制条件设置为以下内容:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-image
修改完
policy.yaml
文件后,保存您的更改。如需将
policy.yaml
文件应用于您的项目,请使用resource-manager org-policies set-policy
命令:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
将 PROJECT_ID 替换为您要更新的项目的 ID。
完成限制条件更新后,建议测试这些限制条件,以验证它们是否按预期运行。
后续步骤
- 创建和运行作业,例如:
- 创建并运行基本作业,该作业默认使用 Batch 中的虚拟机操作系统映像。
- 创建并运行使用特定虚拟机操作系统映像的作业。
- 详细了解虚拟机操作系统映像和启动磁盘。