Einschränkung für verschachtelte Virtualisierung verwalten


In diesem Dokument wird beschrieben, wie Sie prüfen können, ob die verschachtelte Virtualisierung aktiviert ist, und wie Sie die boolesche Einschränkung ändern, die steuert, ob die verschachtelte Virtualisierung für Ihre Organisation, Ihr Projekt oder Ihren Ordner aktiviert ist.

Eine boolesche Einschränkung innerhalb einer Organisationsrichtlinie legt fest, ob Sie verschachtelte VMs erstellen können. Wenn die boolesche Einschränkung für die verschachtelte Virtualisierung durchgesetzt wird, wird die Organisationsrichtlinie angewiesen, die Erstellung verschachtelter VMs einzuschränken. Weitere Informationen zu booleschen Einschränkungen finden Sie unter Informationen zu Einschränkungen.

Die Einschränkung Verschachtelte Virtualisierung für VM deaktivieren wird standardmäßig nicht erzwungen. Sie müssen daher keine boolesche Einschränkung ändern, um die verschachtelte Virtualisierung zu aktivieren. Trotzdem empfiehlt Google, den Wert der Einschränkung explizit festzulegen, damit Ihre Organisation, Ordner und Projekte nicht auf die Standardeinstellung zurückgreifen müssen. Wenn Ihr Projekt keiner Organisation untergeordnet ist, wird die Einschränkung standardmäßig nicht erzwungen und Sie können die Einschränkung nicht ändern.

Hinweise

  • Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich bei Compute Engine authentifizieren. Wählen Sie dazu eine der folgenden Optionen aus:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

Zulassung der verschachtelten Virtualisierung prüfen

Prüfen Sie mit der Google Cloud Console, der Google Cloud CLI oder REST, ob die verschachtelte Virtualisierung für eine Organisation, einen Ordner oder ein Projekt zulässig ist.

Console

Prüfen Sie, ob Sie in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt verschachtelte VMs erstellen können. Kontrollieren Sie dazu, dass die boolesche Einschränkung zum Deaktivieren der verschachtelten Virtualisierung nicht erzwungen wird. Wenn die Einschränkung Verschachtelte Virtualisierung für VM deaktivieren nicht durch die Organisationsrichtlinie erzwungen wird, können Sie verschachtelte VMs erstellen.

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Organisations-, Ordner- und Projektauswahl die Entität aus, für die die Organisationsrichtlinien angezeigt werden sollen.

  3. Wählen Sie die Einschränkung Verschachtelte Virtualisierung für VM deaktivieren aus, um die Seite Richtliniendetails zu öffnen.

  4. Rufen Sie den Wert für Erzwingung auf:

    • Wenn der Wert Nicht erzwungen lautet, ist die verschachtelte Virtualisierung aktiviert und Sie können verschachtelte VMs erstellen.

    • Wenn der Wert Erzwungen lautet, ist die verschachtelte Virtualisierung deaktiviert und Sie können keine verschachtelten VMs erstellen.

gcloud

Prüfen Sie den Wert der booleschen Einschränkung compute.disableNestedVirtualization mit dem Befehl gcloud resource-manager org-policies describe.

Wenn in der Ausgabe der Google Cloud CLI kein Wert für booleanPolicy angezeigt wird, ist die verschachtelte Virtualisierung zulässig und Sie können verschachtelte VMs erstellen.

Wenn der Ausgabewert der Google Cloud CLI für booleanPolicy enforced: true ist, erzwingt die Organisationsrichtlinie die Einschränkung zum Deaktivieren der verschachtelten Virtualisierung und Sie können keine verschachtelten VMs erstellen.

gcloud resource-manager org-policies \
  describe constraints/compute.disableNestedVirtualization \
  (--organization=ORGANIZATION_ID | --folder=FOLDER_ID |
  --project=PROJECT_ID) --effective

Ersetzen Sie genau eines der folgenden Elemente:

  • ORGANIZATION_ID: die ID der Organisation, deren Einschränkungswert abgerufen werden soll. Eine Liste der zugänglichen Organisationen und ihrer IDs erhalten Sie mit dem Befehl gcloud organizations list.

  • FOLDER_ID: die ID des Ordners, für den der Einschränkungswert abgerufen werden soll. Eine Liste der zugänglichen Ordner und ihrer IDs erhalten Sie mit dem Befehl gcloud resource-manager folders list.

  • PROJECT_ID: die ID des Projekts, für das der Einschränkungswert abgerufen werden soll. Führen Sie den Befehl gcloud projects list aus, um eine Liste der zugänglichen Projekte und ihrer IDs abzurufen.

REST

Verwenden Sie REST, um den Wert der booleschen Einschränkung compute.disableNestedVirtualization zu prüfen, der bestimmt, ob Sie verschachtelte VMs in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt erstellen können.

Wenn die REST-Antwort keinen Wert für "booleanPolicy" für die Einschränkung zurückgibt, ist die verschachtelte Virtualisierung nicht deaktiviert und Sie können verschachtelte VMs erstellen.

Wenn der Wert für "booleanPolicy" in der Ausgabe "enforced": true ist, ist die verschachtelte Virtualisierung deaktiviert und Sie können keine verschachtelten VMs erstellen.

POST https://cloudresourcemanager.googleapis.com/v1/RESOURCE/RESOURCE_ID:getOrgPolicy

{
  "constraint": "compute.disableNestedVirtualization"
}

Ersetzen Sie Folgendes:

  • RESOURCE: die Ressource, für die die Organisationsrichtlinie abgerufen werden soll. Legen Sie dafür einen der folgenden Werte fest: .

  • RESOURCE_ID: Organisation, Ordner oder Projekt, für das der Status der Einschränkung der Deaktivierung der verschachtelten Virtualisierung geprüft werden soll

Organisationsrichtlinie für verschachtelte Virtualisierung ändern

Wenn Sie die entsprechende Rolle haben, können Sie steuern, ob eine Organisation, ein Ordner oder ein Projekt verschachtelte VMs erstellen kann. Steuern Sie diese Erzwingung mithilfe der booleschen Einschränkung für verschachtelte Virtualisierung.

Verwenden Sie die Google Cloud Console, die Google Cloud CLI oder REST, um die verschachtelte Virtualisierung für eine Organisation, einen Ordner oder ein Projekt zu aktivieren.

Console

Wenn Sie die verschachtelte Virtualisierung aktivieren möchten, deaktivieren Sie die Erzwingung der booleschen Einschränkung Verschachtelte Virtualisierung für VM deaktivieren. Wenn Sie die verschachtelte Virtualisierung deaktivieren möchten, aktivieren Sie die Erzwingung der booleschen Einschränkung.

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Organisations-, Ordner- und Projektauswahl die Entität aus, für die die Organisationsrichtlinien bearbeitet werden sollen.

  3. Wählen Sie die Einschränkung Verschachtelte Virtualisierung für VM deaktivieren aus, um die Seite Richtliniendetails zu öffnen.

  4. Klicken Sie auf Bearbeiten und wählen Sie dann Anpassen aus.

  5. Wählen Sie unter Erzwingung eine der folgenden Erzwingungsoptionen für die boolesche Einschränkung Verschachtelte Virtualisierung für VM deaktivieren aus:

    • Ein: Erzwingung aktivieren und verschachtelte Virtualisierung deaktivieren
    • Aus: Erzwingung deaktivieren und verschachtelte Virtualisierung aktivieren
  6. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud resource-manager org-policies, um die Erzwingung der booleschen Einschränkung der Organisationsrichtlinie compute.disableNestedVirtualization zu aktivieren oder zu deaktivieren.

Wenn Sie die Einschränkung compute.disableNestedVirtualization mit dem Befehl disable-enforce deaktivieren, können Sie VMs erstellen, für die die verschachtelte Virtualisierung aktiviert ist.

Wenn Sie die Einschränkung mit dem Befehl enable-enforce aktivieren, können Sie keine VMs mit aktivierter verschachtelter Virtualisierung erstellen.

gcloud resource-manager org-policies \
  ( disable-enforce | enable-enforce ) compute.disableNestedVirtualization \
  (--organization=ORGANIZATION_ID | --folder=FOLDER_ID |
  --project=PROJECT_ID)

Ersetzen Sie genau eines der folgenden Elemente:

  • ORGANIZATION_ID: die ID der Organisation, deren Einschränkungswert geändert werden soll. Führen Sie den Befehl gcloud organizations list aus, um eine Liste zugänglicher Organisationen und ihrer IDs aufzurufen.

  • FOLDER_ID: die ID des Ordners, für den der Einschränkungswert geändert werden soll. Eine Liste der zugänglichen Ordner und ihrer IDs erhalten Sie mit dem Befehl gcloud resource-manager folders list.

  • PROJECT_ID: die ID des Projekts, für das der Einschränkungswert abgerufen werden soll. Führen Sie den Befehl gcloud projects list aus, um eine Liste der zugänglichen Projekte und ihrer IDs abzurufen.

REST

Verwenden Sie REST, um den Wert der booleschen Einschränkung compute.disableNestedVirtualization zu ändern, der bestimmt, ob Sie verschachtelte VMs in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt erstellen können.

POST https://cloudresourcemanager.googleapis.com/v1/RESOURCE/RESOURCE_ID:setOrgPolicy

{
  "policy": {
    "booleanPolicy": {
      "enforced": ENFORCE
    },
    "constraint": "constraints/compute.disableNestedVirtualization"
  }
}

Ersetzen Sie Folgendes:

  • RESOURCE: die Ressource, für die die Organisationsrichtlinie geändert werden soll. Legen Sie dafür einen der folgenden Werte fest:

  • RESOURCE_ID: Organisation, Ordner oder Projekt, für das der Status der Einschränkung der Deaktivierung der verschachtelten Virtualisierung geprüft werden soll

  • ENFORCE: legt fest, ob die Organisationsrichtlinie die boolesche Einschränkung compute.disableNestedVirtualization erzwingt. Legen Sie dafür einen der folgenden Werte fest: .

    • true: erzwingt die Einschränkung. Bei dieser Einstellung können Sie keine VMs erstellen, für die die verschachtelte Virtualisierung aktiviert ist.

    • false: Einschränkung nicht erzwingen. Bei dieser Einstellung können Sie VMs erstellen, für die die verschachtelte Virtualisierung aktiviert ist.

Nächste Schritte