In diesem Dokument wird beschrieben, wie Sie prüfen können, ob die verschachtelte Virtualisierung aktiviert ist, und wie Sie die boolesche Einschränkung ändern, die steuert, ob die verschachtelte Virtualisierung für Ihre Organisation, Ihr Projekt oder Ihren Ordner aktiviert ist.
Eine boolesche Einschränkung innerhalb einer Organisationsrichtlinie legt fest, ob Sie verschachtelte VMs erstellen können. Wenn die boolesche Einschränkung für die verschachtelte Virtualisierung durchgesetzt wird, wird die Organisationsrichtlinie angewiesen, die Erstellung verschachtelter VMs einzuschränken. Weitere Informationen zu booleschen Einschränkungen finden Sie unter Informationen zu Einschränkungen.
Die Einschränkung Verschachtelte Virtualisierung für VM deaktivieren wird standardmäßig nicht erzwungen. Sie müssen daher keine boolesche Einschränkung ändern, um die verschachtelte Virtualisierung zu aktivieren. Trotzdem empfiehlt Google, den Wert der Einschränkung explizit festzulegen, damit Ihre Organisation, Ordner und Projekte nicht auf die Standardeinstellung zurückgreifen müssen. Wenn Ihr Projekt keiner Organisation untergeordnet ist, wird die Einschränkung standardmäßig nicht erzwungen und Sie können die Einschränkung nicht ändern.
Hinweise
-
Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben.
Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft.
Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei Compute Engine authentifizieren.
Wählen Sie den Tab für die Verwendung der Beispiele auf dieser Seite aus:
Console
Wenn Sie über die Google Cloud Console auf Google Cloud-Dienste und -APIs zugreifen, müssen Sie die Authentifizierung nicht einrichten.
gcloud
-
Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:
gcloud init
- Legen Sie eine Standardregion und -zone fest.
REST
Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.
Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:
gcloud init
-
Zulassung der verschachtelten Virtualisierung prüfen
Prüfen Sie mit der Google Cloud Console, der Google Cloud CLI oder REST, ob die verschachtelte Virtualisierung für eine Organisation, einen Ordner oder ein Projekt zulässig ist.
Console
Prüfen Sie, ob Sie in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt verschachtelte VMs erstellen können. Kontrollieren Sie dazu, dass die boolesche Einschränkung zum Deaktivieren der verschachtelten Virtualisierung nicht erzwungen wird. Wenn die Einschränkung Verschachtelte Virtualisierung für VM deaktivieren nicht durch die Organisationsrichtlinie erzwungen wird, können Sie verschachtelte VMs erstellen.
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Organisations-, Ordner- und Projektauswahl die Entität aus, für die die Organisationsrichtlinien angezeigt werden sollen.
Wählen Sie die Einschränkung Verschachtelte Virtualisierung für VM deaktivieren aus, um die Seite Richtliniendetails zu öffnen.
Rufen Sie den Wert für Erzwingung auf:
Wenn der Wert Nicht erzwungen lautet, ist die verschachtelte Virtualisierung aktiviert und Sie können verschachtelte VMs erstellen.
Wenn der Wert Erzwungen lautet, ist die verschachtelte Virtualisierung deaktiviert und Sie können keine verschachtelten VMs erstellen.
gcloud
Prüfen Sie den Wert der booleschen Einschränkung compute.disableNestedVirtualization mit dem Befehl gcloud resource-manager org-policies describe.
Wenn in der Ausgabe der Google Cloud CLI kein Wert für booleanPolicy angezeigt wird, ist die verschachtelte Virtualisierung zulässig und Sie können verschachtelte VMs erstellen.
Wenn der Ausgabewert der Google Cloud CLI für booleanPolicy enforced: true ist, erzwingt die Organisationsrichtlinie die Einschränkung zum Deaktivieren der verschachtelten Virtualisierung und Sie können keine verschachtelten VMs erstellen.
gcloud resource-manager org-policies \ describe constraints/compute.disableNestedVirtualization \ (--organization=ORGANIZATION_ID | --folder=FOLDER_ID | --project=PROJECT_ID) --effective
Ersetzen Sie genau eines der folgenden Elemente:
ORGANIZATION_ID: die ID der Organisation, deren Einschränkungswert abgerufen werden soll. Eine Liste der zugänglichen Organisationen und ihrer IDs erhalten Sie mit dem Befehlgcloud organizations list.FOLDER_ID: die ID des Ordners, für den der Einschränkungswert abgerufen werden soll. Eine Liste der zugänglichen Ordner und ihrer IDs erhalten Sie mit dem Befehlgcloud resource-manager folders list.PROJECT_ID: die ID des Projekts, für das der Einschränkungswert abgerufen werden soll. Führen Sie den Befehlgcloud projects listaus, um eine Liste der zugänglichen Projekte und ihrer IDs abzurufen.
REST
Verwenden Sie REST, um den Wert der booleschen Einschränkung compute.disableNestedVirtualization zu prüfen. Damit wird bestimmt, ob Sie verschachtelte VMs in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt erstellen können.
Wenn die REST-Antwort für die Einschränkung keinen Wert für "booleanPolicy" zurückgibt, ist die verschachtelte Virtualisierung nicht deaktiviert und Sie können verschachtelte VMs erstellen.
Wenn der Wert für "booleanPolicy" in der Ausgabe "enforced": true ist, ist die verschachtelte Virtualisierung deaktiviert und Sie können keine verschachtelten VMs erstellen.
POST https://cloudresourcemanager.googleapis.com/v1/RESOURCE/RESOURCE_ID:getOrgPolicy
{
"constraint": "compute.disableNestedVirtualization"
}
Ersetzen Sie Folgendes:
RESOURCE: die Ressource, für die die Organisationsrichtlinie abgerufen werden soll. Legen Sie dafür einen der folgenden Werte fest: .organizations: ruft die Methodeorganizations.getOrgPolicyauffolders: ruft die Methodefolders.getOrgPolicyaufprojects: ruft die Methodeprojects.getOrgPolicyauf
RESOURCE_ID: Organisation, Ordner oder Projekt, für das der Status der Einschränkung der Deaktivierung der verschachtelten Virtualisierung geprüft werden soll
Organisationsrichtlinie für verschachtelte Virtualisierung ändern
Wenn Sie die entsprechende Rolle haben, können Sie steuern, ob eine Organisation, ein Ordner oder ein Projekt verschachtelte VMs erstellen kann. Steuern Sie diese Erzwingung mithilfe der booleschen Einschränkung für verschachtelte Virtualisierung.
Verwenden Sie die Google Cloud Console, die Google Cloud CLI oder REST, um die verschachtelte Virtualisierung für eine Organisation, einen Ordner oder ein Projekt zu aktivieren.
Console
Wenn Sie die verschachtelte Virtualisierung aktivieren möchten, deaktivieren Sie die Erzwingung der booleschen Einschränkung Verschachtelte Virtualisierung für VM deaktivieren. Wenn Sie die verschachtelte Virtualisierung deaktivieren möchten, aktivieren Sie die Erzwingung der booleschen Einschränkung.
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Organisations-, Ordner- und Projektauswahl die Entität aus, für die die Organisationsrichtlinien bearbeitet werden sollen.
Wählen Sie die Einschränkung Verschachtelte Virtualisierung für VM deaktivieren aus, um die Seite Richtliniendetails zu öffnen.
Klicken Sie auf Bearbeiten und wählen Sie dann Anpassen aus.
Wählen Sie unter Erzwingung eine der folgenden Erzwingungsoptionen für die boolesche Einschränkung Verschachtelte Virtualisierung für VM deaktivieren aus:
- Ein: Erzwingung aktivieren und verschachtelte Virtualisierung deaktivieren
- Aus: Erzwingung deaktivieren und verschachtelte Virtualisierung aktivieren
Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl gcloud resource-manager org-policies, um die Erzwingung der booleschen Einschränkung der Organisationsrichtlinie compute.disableNestedVirtualization zu aktivieren oder zu deaktivieren.
Wenn Sie die Einschränkung compute.disableNestedVirtualization mit dem Befehl disable-enforce deaktivieren, können Sie VMs erstellen, für die die verschachtelte Virtualisierung aktiviert ist.
Wenn Sie die Einschränkung mit dem Befehl enable-enforce aktivieren, können Sie keine VMs mit aktivierter verschachtelter Virtualisierung erstellen.
gcloud resource-manager org-policies \ ( disable-enforce | enable-enforce ) compute.disableNestedVirtualization \ (--organization=ORGANIZATION_ID | --folder=FOLDER_ID | --project=PROJECT_ID)
Ersetzen Sie genau eines der folgenden Elemente:
ORGANIZATION_ID: die ID der Organisation, deren Einschränkungswert geändert werden soll. Führen Sie den Befehlgcloud organizations listaus, um eine Liste zugänglicher Organisationen und ihrer IDs aufzurufen.FOLDER_ID: die ID des Ordners, für den der Einschränkungswert geändert werden soll. Eine Liste der zugänglichen Ordner und ihrer IDs erhalten Sie mit dem Befehlgcloud resource-manager folders list.PROJECT_ID: die ID des Projekts, für das der Einschränkungswert abgerufen werden soll. Führen Sie den Befehlgcloud projects listaus, um eine Liste der zugänglichen Projekte und ihrer IDs abzurufen.
REST
Verwenden Sie REST, um den Wert der booleschen Einschränkung compute.disableNestedVirtualization zu ändern. Damit wird bestimmt, ob Sie verschachtelte VMs in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt erstellen können.
POST https://cloudresourcemanager.googleapis.com/v1/RESOURCE/RESOURCE_ID:setOrgPolicy
{
"policy": {
"booleanPolicy": {
"enforced": ENFORCE
},
"constraint": "constraints/compute.disableNestedVirtualization"
}
}
Ersetzen Sie Folgendes:
RESOURCE: die Ressource, für die die Organisationsrichtlinie geändert werden soll. Legen Sie dafür einen der folgenden Werte fest:organizations: ruft die Methodeorganizations.setOrgPolicyauffolders: ruft die Methodefolders.setOrgPolicyaufprojects: ruft die Methodeprojects.setOrgPolicyauf
RESOURCE_ID: Organisation, Ordner oder Projekt, für das der Status der Einschränkung der Deaktivierung der verschachtelten Virtualisierung geprüft werden sollENFORCE: legt fest, ob die Organisationsrichtlinie die boolesche Einschränkungcompute.disableNestedVirtualizationerzwingt. Legen Sie dafür einen der folgenden Werte fest: .true: erzwingt die Einschränkung. Bei dieser Einstellung können Sie keine VMs erstellen, für die die verschachtelte Virtualisierung aktiviert ist.false: Einschränkung nicht erzwingen. Bei dieser Einstellung können Sie VMs erstellen, für die die verschachtelte Virtualisierung aktiviert ist.
Nächste Schritte
- Verschachtelte Virtualisierung auf einer VM aktivieren
- Fehlerbehebung bei verschachtelter Virtualisierung