Gerenciar a restrição de virtualização aninhada


Neste documento, descrevemos como verificar se a virtualização aninhada está ativada e como modificar a restrição booleana que controla se ela está ativada para sua organização, projeto ou pasta.

Uma restrição booleana em uma política da organização determina se é possível criar VMs aninhadas. A restrição booleana para virtualização aninhada é uma restrição. Isso significa que, quando aplicada, ela informa à política da organização para restringir a criação de VMs aninhadas. Para mais informações sobre restrições booleanas, consulte Noções básicas sobre restrições.

A restrição Desativar virtualização aninhada da VM não é aplicada por padrão. Portanto, não é necessário modificar nenhuma restrição booleana para ativar a virtualização aninhada. Mesmo assim, o Google recomenda definir explicitamente o valor da restrição para que sua organização, pastas e projetos não dependam da configuração padrão. Se o projeto não estiver subordinado a uma organização, a restrição não será aplicada por padrão e não será possível alterá-la.

Antes de começar

  • Configure a autenticação, caso ainda não tenha feito isso. A autenticação é o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud. Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no Compute Engine selecionando uma das seguintes opções:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

Verificar se a virtualização aninhada é permitida

Verifique se a virtualização aninhada é permitida para uma organização, pasta ou um projeto usando o console do Google Cloud, a CLI do Google Cloud ou REST.

Console

Verifique se é possível criar VMs aninhadas na organização, pasta ou projeto verificando se a restrição booleana para desativar a virtualização aninhada não é aplicada. Se a restrição Desativar virtualização aninhada da VM não for aplicada pela política da organização, será possível criar VMs aninhadas.

  1. No console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Na organização, pasta e seletor de projetos, selecione a entidade para visualizar as políticas da organização.

  3. Selecione a restrição Desativar virtualização aninhada da VM para abrir a página Detalhes da política.

  4. Veja o valor de Aplicação:

    • Se o valor for Não aplicado, a virtualização aninhada estará ativada e será possível criar VMs aninhadas.

    • Se o valor for Aplicado, a virtualização aninhada estará desativada, e não será possível criar VMs aninhadas.

gcloud

Verifique o valor da restrição booleana compute.disableNestedVirtualization usando o comando gcloud resource-manager org-policies describe.

Se a saída da Google Cloud CLI não mostrar um valor para booleanPolicy, a virtualização aninhada será permitida e será possível criar VMs aninhadas.

Se o valor de saída da Google Cloud CLI para booleanPolicy for enforced: true, a política da organização aplicará a restrição de desativação de virtualização aninhada e você não poderá criar VMs aninhadas.

gcloud resource-manager org-policies \
  describe constraints/compute.disableNestedVirtualization \
  (--organization=ORGANIZATION_ID | --folder=FOLDER_ID |
  --project=PROJECT_ID) --effective

Substitua exatamente uma das seguintes opções:

  • ORGANIZATION_ID: o ID da organização que contém o valor de restrição. Para ver uma lista de organizações acessíveis e os respectivos códigos, execute o comando gcloud organizations list.

  • FOLDER_ID: o ID da pasta em que está o valor de restrição. Para ver uma lista de pastas acessíveis e seus IDs, execute o comando gcloud resource-manager folders list.

  • PROJECT_ID: o ID do projeto em que o valor de restrição está. Para ver uma lista de projetos acessíveis e os respectivos IDs, execute o comando gcloud projects list.

REST

Use a REST para verificar o valor da restrição booleana compute.disableNestedVirtualization, que determina se é possível criar VMs aninhadas na organização, pasta ou no projeto.

Se a resposta REST não retornar um valor de "booleanPolicy" para a restrição, a virtualização aninhada não será desativada e será possível criar VMs aninhadas.

Se o valor de "booleanPolicy" na saída for "enforced": true, a virtualização aninhada será desativada e não será possível criar VMs aninhadas.

POST https://cloudresourcemanager.googleapis.com/v1/RESOURCE/RESOURCE_ID:getOrgPolicy

{
  "constraint": "compute.disableNestedVirtualization"
}

Substitua:

  • RESOURCE: o recurso para o qual a política da organização será recebida. Defina como uma destas opções:

  • RESOURCE_ID: a organização, a pasta ou o projeto em que o status da restrição de virtualização aninhada será desativado.

Modificar a política da organização de virtualização aninhada

Se você tiver o papel apropriado, poderá controlar se uma organização, pasta ou projeto pode criar VMs aninhadas. Controle essa aplicação usando a restrição booleana para virtualização aninhada.

Use o console do Google Cloud, a CLI do Google Cloud ou REST para ativar a virtualização aninhada para uma organização, pasta ou um projeto.

Console

Para ativar a virtualização aninhada, desative a aplicação da restrição booleana Desativar virtualização aninhada da VM e, para desativar a virtualização aninhada, ative a aplicação da restrição booleana.

  1. No console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Na organização, pasta e seletor de projetos, selecione a entidade em que você quer editar as políticas da organização.

  3. Selecione a restrição Desativar virtualização aninhada da VM para abrir a página Detalhes da política.

  4. Clique em Editar e selecione Personalizar.

  5. Em Aplicação, selecione uma das seguintes opções para a restrição booleana Desativar virtualização aninhada da VM:

    • Ativado: ativar a aplicação e desativar a virtualização aninhada
    • Desativada: desative a aplicação e ative a virtualização aninhada
  6. Clique em Salvar.

gcloud

Use o comando gcloud resource-manager org-policies para ativar ou desativar a aplicação da restrição booleana de políticas da organização compute.disableNestedVirtualization.

Se você desativar a restrição compute.disableNestedVirtualization usando o comando disable-enforce, poderá criar VMs com a virtualização aninhada ativada.

Se você ativar a restrição usando o comando enable-enforce, não será possível criar VMs com a virtualização aninhada ativada.

gcloud resource-manager org-policies \
  ( disable-enforce | enable-enforce ) compute.disableNestedVirtualization \
  (--organization=ORGANIZATION_ID | --folder=FOLDER_ID |
  --project=PROJECT_ID)

Substitua exatamente uma das seguintes opções:

  • ORGANIZATION_ID: o ID da organização que terá o valor de restrição modificado. Para ver uma lista de organizações acessíveis e seus respectivos IDs, execute o comando gcloud organizations list.

  • FOLDER_ID: o ID da pasta em que o valor de restrição será modificado. Para ver uma lista de pastas acessíveis e seus IDs, execute o comando gcloud resource-manager folders list.

  • PROJECT_ID: o ID do projeto em que o valor de restrição está. Para ver uma lista de projetos acessíveis e os respectivos IDs, execute o comando gcloud projects list.

REST

Use a REST para modificar o valor da restrição booleana compute.disableNestedVirtualization, que determina se é possível criar VMs aninhadas na organização, pasta ou no projeto.

POST https://cloudresourcemanager.googleapis.com/v1/RESOURCE/RESOURCE_ID:setOrgPolicy

{
  "policy": {
    "booleanPolicy": {
      "enforced": ENFORCE
    },
    "constraint": "constraints/compute.disableNestedVirtualization"
  }
}

Substitua:

  • RESOURCE: o recurso para modificar a política da organização. Defina como uma destas opções:

  • RESOURCE_ID: a organização, a pasta ou o projeto em que o status da restrição de virtualização aninhada será desativado.

  • ENFORCE: determina se a política da organização impõe a restrição booleana compute.disableNestedVirtualization. Defina como uma destas opções:

    • true: para aplicar a restrição. Com essa configuração, não é possível criar VMs com virtualização aninhada ativada.

    • false: para não aplicar a restrição. Com essa configuração, é possível criar VMs com a virtualização aninhada ativada.

A seguir