Mengelola batasan virtualisasi bertingkat

Linux

Dokumen ini menjelaskan cara memeriksa apakah virtualisasi bertingkat diaktifkan, dan cara mengubah batasan boolean yang mengontrol apakah virtualisasi bertingkat diaktifkan untuk organisasi, project, atau folder Anda.

Batasan boolean dalam kebijakan organisasi menentukan apakah Anda dapat membuat VM bertingkat. Batasan boolean untuk virtualisasi bertingkat adalah batasan, yang berarti ketika diterapkan, batasan ini memberi tahu kebijakan organisasi untuk membatasi pembuatan VM bertingkat. Untuk informasi selengkapnya tentang batasan boolean, lihat Memahami batasan.

Batasan Nonaktifkan virtualisasi bertingkat VM tidak diterapkan secara default, sehingga Anda tidak perlu mengubah batasan boolean untuk mengaktifkan virtualisasi bertingkat. Meskipun demikian, Google merekomendasikan untuk menetapkan nilai batasan secara eksplisit sehingga organisasi, folder, dan project Anda tidak bergantung pada setelan default. Jika project Anda tidak berada di bawah suatu organisasi, batasan tersebut tidak diterapkan secara default dan Anda tidak dapat mengubah batasan tersebut.

Sebelum memulai

Siapkan autentikasi, jika Anda belum melakukannya. Autentikasi adalah proses verifikasi identitas Anda untuk akses ke layanan dan API Google Cloud. Untuk menjalankan kode atau contoh dari lingkungan pengembangan lokal, Anda dapat melakukan autentikasi ke Compute Engine sebagai berikut.

Pilih tab untuk melihat bagaimana Anda berencana menggunakan contoh di halaman ini:
Konsol

Saat menggunakan Konsol Google Cloud untuk mengakses API dan layanan Google Cloud, Anda tidak perlu menyiapkan autentikasi.
gcloud
1. Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
```
gcloud init
```
  Catatan: Jika Anda telah menginstal gcloud CLI sebelumnya, pastikan Anda memiliki versi baru dengan menjalankan gcloud components update.
2. Menetapkan region dan zona default.
REST

Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, gunakan kredensial yang Anda berikan ke gcloud CLI.

Memeriksa apakah virtualisasi bertingkat diizinkan

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus memiliki izin berikut:

orgpolicy.policy.get di organisasi, folder, atau project

Periksa apakah virtualisasi bertingkat diizinkan untuk sebuah organisasi, folder, atau project menggunakan Konsol Google Cloud, Google Cloud CLI, atau REST.

Konsol

Periksa apakah Anda dapat membuat VM bertingkat di organisasi, folder, atau project dengan memeriksa apakah batasan boolean untuk menonaktifkan virtualisasi bertingkat tidak diterapkan. Jika batasan Nonaktifkan virtualisasi bertingkat VM tidak diterapkan oleh kebijakan organisasi, Anda dapat membuat VM bertingkat.

Di konsol Google Cloud, buka halaman Organization policies.

Buka Organization policies
Pada pemilih organisasi, folder, dan project, pilih entity untuk melihat kebijakan organisasinya.
Pilih batasan Nonaktifkan virtualisasi bertingkat VM untuk membuka halaman Detail kebijakan.
Lihat nilai untuk Penerapan:
- Jika nilainya Tidak diterapkan, virtualisasi bertingkat akan diaktifkan, dan Anda dapat membuat VM bertingkat.
- Jika nilainya adalah Diterapkan, virtualisasi bertingkat akan dinonaktifkan, dan Anda tidak dapat membuat VM bertingkat.

gcloud

Periksa nilai batasan boolean compute.disableNestedVirtualization menggunakan perintah gcloud resource-manager org-policies describe.

Jika output Google Cloud CLI tidak menampilkan nilai untuk booleanPolicy, virtualisasi bertingkat diizinkan dan Anda dapat membuat VM bertingkat.

Jika nilai output Google Cloud CLI untuk booleanPolicy adalah enforced: true, kebijakan organisasi akan menerapkan batasan penonaktifan virtualisasi bertingkat dan Anda tidak dapat membuat VM bertingkat.

gcloud resource-manager org-policies \
  describe constraints/compute.disableNestedVirtualization \
  (--organization=ORGANIZATION_ID | --folder=FOLDER_ID |
  --project=PROJECT_ID) --effective

Ganti hanya salah satu dari berikut ini:

ORGANIZATION_ID: ID organisasi untuk mendapatkan nilai batasan. Untuk daftar organisasi yang dapat diakses beserta ID-nya, jalankan perintah gcloud organizations list.
FOLDER_ID: ID folder untuk mendapatkan nilai batasan. Untuk daftar folder yang dapat diakses dan ID-nya, jalankan perintah gcloud resource-manager folders list.
PROJECT_ID: ID project untuk mendapatkan nilai batasan. Untuk daftar project yang dapat diakses dan ID-nya, jalankan perintah gcloud projects list.

REST

Gunakan REST untuk memeriksa nilai batasan boolean compute.disableNestedVirtualization, yang menentukan apakah Anda dapat membuat VM bertingkat di organisasi, folder, atau project.

Jika respons REST tidak menampilkan nilai "booleanPolicy" untuk batasan tersebut, virtualisasi bertingkat tidak akan dinonaktifkan dan Anda dapat membuat VM bertingkat.

Jika nilai untuk "booleanPolicy" dalam output adalah "enforced": true, virtualisasi bertingkat akan dinonaktifkan dan Anda tidak dapat membuat VM bertingkat.

POST https://cloudresourcemanager.googleapis.com/v1/RESOURCE/RESOURCE_ID:getOrgPolicy

{
  "constraint": "compute.disableNestedVirtualization"
}

Ganti kode berikut:

RESOURCE: resource untuk mendapatkan kebijakan organisasi. Tetapkan ke salah satu opsi berikut:
- organizations: memanggil metode organizations.getOrgPolicy
- folders: memanggil metode folders.getOrgPolicy
- projects: memanggil metode projects.getOrgPolicy
RESOURCE_ID: organisasi, folder, atau project tempat memeriksa status batasan penonaktifan virtualisasi bertingkat

Mengubah kebijakan organisasi virtualisasi bertingkat

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus memiliki izin berikut:

orgpolicy.policy.get di organisasi, folder, atau project
orgpolicy.policy.set di organisasi, folder, atau project

Jika Anda memiliki peran yang sesuai, Anda dapat mengontrol apakah organisasi, folder, atau project dapat membuat VM bertingkat. Kontrol penerapan ini dengan menggunakan batasan boolean untuk virtualisasi bertingkat.

Gunakan konsol Google Cloud, Google Cloud CLI, atau REST untuk mengaktifkan virtualisasi bertingkat untuk organisasi, folder, atau project.

Konsol

Untuk mengaktifkan virtualisasi bertingkat, nonaktifkan penerapan batasan boolean Nonaktifkan virtualisasi bertingkat VM, dan untuk menonaktifkan virtualisasi bertingkat, aktifkan penerapan batasan boolean.

Di konsol Google Cloud, buka halaman Organization policies.

Buka Organization policies
Pada pemilih organisasi, folder, dan project, pilih entity untuk melihat kebijakan organisasinya.
Pilih batasan Nonaktifkan virtualisasi bertingkat VM untuk membuka halaman Detail kebijakan.
Klik Edit, lalu pilih Sesuaikan.
Di bagian Penerapan, pilih salah satu opsi penerapan berikut untuk batasan boolean Nonaktifkan virtualisasi bertingkat VM:
- Aktif: mengaktifkan penerapan dan menonaktifkan virtualisasi bertingkat
- Nonaktif: menonaktifkan penerapan dan mengaktifkan virtualisasi bertingkat
Klik Simpan.

gcloud

Gunakan perintah gcloud resource-manager org-policies untuk mengaktifkan atau menonaktifkan penerapan batasan boolean kebijakan organisasi compute.disableNestedVirtualization.

Jika Anda menonaktifkan batasan compute.disableNestedVirtualization menggunakan perintah disable-enforce, Anda dapat membuat VM dengan virtualisasi bertingkat yang diaktifkan

Jika Anda mengaktifkan batasan menggunakan perintah enable-enforce, Anda tidak dapat membuat VM dengan virtualisasi bertingkat yang diaktifkan.

gcloud resource-manager org-policies \
  ( disable-enforce | enable-enforce ) compute.disableNestedVirtualization \
  (--organization=ORGANIZATION_ID | --folder=FOLDER_ID |
  --project=PROJECT_ID)

Ganti hanya salah satu dari berikut ini:

ORGANIZATION_ID: ID organisasi untuk mengubah nilai batasan. Untuk daftar organisasi yang dapat diakses beserta ID-nya, jalankan perintah gcloud organizations list.
FOLDER_ID: ID folder untuk mengubah nilai batasan. Untuk daftar folder yang dapat diakses dan ID-nya, jalankan perintah gcloud resource-manager folders list.
PROJECT_ID: ID project untuk mengubah nilai batasan. Untuk daftar project yang dapat diakses dan ID-nya, jalankan perintah gcloud projects list.

REST

Gunakan REST untuk mengubah nilai batasan boolean compute.disableNestedVirtualization, yang menentukan apakah Anda dapat membuat VM bertingkat di organisasi, folder, atau project.

POST https://cloudresourcemanager.googleapis.com/v1/RESOURCE/RESOURCE_ID:setOrgPolicy

{
  "policy": {
    "booleanPolicy": {
      "enforced": ENFORCE
    },
    "constraint": "constraints/compute.disableNestedVirtualization"
  }
}

Ganti kode berikut:

RESOURCE: resource untuk mengubah kebijakan organisasi. Tetapkan ke salah satu opsi berikut:
- organizations: memanggil metode organizations.setOrgPolicy
- folders: memanggil metode folders.setOrgPolicy
- projects: memanggil metode projects.setOrgPolicy
RESOURCE_ID: organisasi, folder, atau project tempat memeriksa status batasan penonaktifan virtualisasi bertingkat
ENFORCE: menentukan apakah kebijakan organisasi menerapkan batasan boolean compute.disableNestedVirtualization atau tidak. Tetapkan ke salah satu opsi berikut:
- true: untuk menerapkan batasan. Dengan setelan ini, Anda tidak dapat membuat VM dengan virtualisasi bertingkat yang diaktifkan.
- false: untuk tidak menerapkan batasan. Dengan setelan ini, Anda dapat membuat VM dengan virtualisasi bertingkat yang diaktifkan.

Mengelola batasan virtualisasi bertingkat

Sebelum memulai

Konsol

gcloud

REST

Memeriksa apakah virtualisasi bertingkat diizinkan

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

REST

Mengubah kebijakan organisasi virtualisasi bertingkat

Izin yang diperlukan untuk langkah ini

Konsol

gcloud

REST

Langkah selanjutnya