Neste documento, descrevemos como verificar se a virtualização aninhada está ativada e como modificar a restrição booleana que controla se ela está ativada para sua organização, projeto ou pasta.
Uma restrição booleana em uma política da organização determina se é possível criar VMs aninhadas. A restrição booleana para virtualização aninhada é uma restrição. Isso significa que, quando aplicada, ela informa à política da organização para restringir a criação de VMs aninhadas. Para mais informações sobre restrições booleanas, consulte Noções básicas sobre restrições.
A restrição Desativar virtualização aninhada da VM não é aplicada por padrão. Portanto, não é necessário modificar nenhuma restrição booleana para ativar a virtualização aninhada. Mesmo assim, o Google recomenda definir explicitamente o valor da restrição para que sua organização, pastas e projetos não dependam da configuração padrão. Se o projeto não estiver subordinado a uma organização, a restrição não será aplicada por padrão e não será possível alterá-la.
Antes de começar
-
Configure a autenticação, caso ainda não tenha feito isso.
A autenticação é
o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud.
Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no
Compute Engine da seguinte maneira.
Selecione a guia para como planeja usar as amostras nesta página:
Console
Quando você usa o console do Google Cloud para acessar os serviços e as APIs do Google Cloud, não é necessário configurar a autenticação.
gcloud
-
Instale a Google Cloud CLI e inicialize-a executando o seguinte comando:
gcloud init
- Defina uma região e uma zona padrão.
REST
Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para a CLI gcloud.
Instale a Google Cloud CLI e inicialize-a executando o seguinte comando:
gcloud init
-
Verificar se a virtualização aninhada é permitida
Verifique se a virtualização aninhada é permitida para uma organização, pasta ou um projeto usando o console do Google Cloud, a CLI do Google Cloud ou REST.
Console
Verifique se é possível criar VMs aninhadas na organização, pasta ou projeto verificando se a restrição booleana para desativar a virtualização aninhada não é aplicada. Se a restrição Desativar virtualização aninhada da VM não for aplicada pela política da organização, será possível criar VMs aninhadas.
No Console do Google Cloud, acesse a página Políticas da organização.
Na organização, pasta e seletor de projetos, selecione a entidade para visualizar as políticas da organização.
Selecione a restrição Desativar virtualização aninhada da VM para abrir a página Detalhes da política.
Veja o valor de Aplicação:
Se o valor for Não aplicado, a virtualização aninhada estará ativada e será possível criar VMs aninhadas.
Se o valor for Aplicado, a virtualização aninhada estará desativada, e não será possível criar VMs aninhadas.
gcloud
Verifique o valor da restrição booleana compute.disableNestedVirtualization
usando o comando gcloud resource-manager org-policies describe.
Se a saída da Google Cloud CLI não mostrar um valor para booleanPolicy,
a virtualização aninhada será permitida e será possível criar VMs aninhadas.
Se o valor de saída da Google Cloud CLI para booleanPolicy for enforced: true, a
política da organização aplicará a restrição de desativação de virtualização
aninhada e você não poderá criar VMs aninhadas.
gcloud resource-manager org-policies \ describe constraints/compute.disableNestedVirtualization \ (--organization=ORGANIZATION_ID | --folder=FOLDER_ID | --project=PROJECT_ID) --effective
Substitua exatamente uma das seguintes opções:
ORGANIZATION_ID: o ID da organização que contém o valor de restrição. Para ver uma lista de organizações acessíveis e os respectivos códigos, execute o comandogcloud organizations list.FOLDER_ID: o ID da pasta em que está o valor de restrição. Para ver uma lista de pastas acessíveis e seus IDs, execute o comandogcloud resource-manager folders list.PROJECT_ID: o ID do projeto em que o valor de restrição está. Para ver uma lista de projetos acessíveis e os respectivos IDs, execute o comandogcloud projects list.
REST
Use a REST para verificar o valor da restrição booleana compute.disableNestedVirtualization, que determina se é possível criar VMs aninhadas na organização, pasta ou no projeto.
Se a resposta REST não retornar um valor de "booleanPolicy" para a restrição, a virtualização aninhada não será desativada e será possível criar VMs aninhadas.
Se o valor de "booleanPolicy" na saída for "enforced": true, a virtualização aninhada será desativada e não será possível criar VMs aninhadas.
POST https://cloudresourcemanager.googleapis.com/v1/RESOURCE/RESOURCE_ID:getOrgPolicy
{
"constraint": "compute.disableNestedVirtualization"
}
Substitua:
RESOURCE: o recurso para o qual a política da organização será recebida. Defina como uma destas opções:organizations: chama o métodoorganizations.getOrgPolicyfolders: chama o métodofolders.getOrgPolicyprojects: chama o métodoprojects.getOrgPolicy
RESOURCE_ID: a organização, a pasta ou o projeto em que o status da restrição de virtualização aninhada será desativado.
Modificar a política da organização de virtualização aninhada
Se você tiver o papel apropriado, poderá controlar se uma organização, pasta ou projeto pode criar VMs aninhadas. Controle essa aplicação usando a restrição booleana para virtualização aninhada.
Use o console do Google Cloud, a CLI do Google Cloud ou REST para ativar a virtualização aninhada para uma organização, pasta ou um projeto.
Console
Para ativar a virtualização aninhada, desative a aplicação da restrição booleana Desativar virtualização aninhada da VM e, para desativar a virtualização aninhada, ative a aplicação da restrição booleana.
No Console do Google Cloud, acesse a página Políticas da organização.
Na organização, pasta e seletor de projetos, selecione a entidade em que você quer editar as políticas da organização.
Selecione a restrição Desativar virtualização aninhada da VM para abrir a página Detalhes da política.
Clique em Editar e selecione Personalizar.
Em Aplicação, selecione uma das seguintes opções para a restrição booleana Desativar virtualização aninhada da VM:
- Ativado: ativar a aplicação e desativar a virtualização aninhada
- Desativada: desative a aplicação e ative a virtualização aninhada
Clique em Save.
gcloud
Use o comando gcloud resource-manager org-policies para ativar ou desativar a aplicação da restrição booleana de políticas da organização compute.disableNestedVirtualization.
Se você desativar a restrição compute.disableNestedVirtualization usando o comando disable-enforce, poderá criar VMs com a virtualização aninhada ativada.
Se você ativar a restrição usando o comando enable-enforce, não será possível criar VMs com a virtualização aninhada ativada.
gcloud resource-manager org-policies \ ( disable-enforce | enable-enforce ) compute.disableNestedVirtualization \ (--organization=ORGANIZATION_ID | --folder=FOLDER_ID | --project=PROJECT_ID)
Substitua exatamente uma das seguintes opções:
ORGANIZATION_ID: o ID da organização que terá o valor de restrição modificado. Para ver uma lista de organizações acessíveis e seus respectivos IDs, execute o comandogcloud organizations list.FOLDER_ID: o ID da pasta em que o valor de restrição será modificado. Para ver uma lista de pastas acessíveis e seus IDs, execute o comandogcloud resource-manager folders list.PROJECT_ID: o ID do projeto em que o valor de restrição está. Para ver uma lista de projetos acessíveis e os respectivos IDs, execute o comandogcloud projects list.
REST
Use a REST para modificar o valor da restrição booleana compute.disableNestedVirtualization, que determina se é possível criar VMs aninhadas na organização, pasta ou no projeto.
POST https://cloudresourcemanager.googleapis.com/v1/RESOURCE/RESOURCE_ID:setOrgPolicy
{
"policy": {
"booleanPolicy": {
"enforced": ENFORCE
},
"constraint": "constraints/compute.disableNestedVirtualization"
}
}
Substitua:
RESOURCE: o recurso para modificar a política da organização. Defina como uma destas opções:organizations: chama o métodoorganizations.setOrgPolicyfolders: chama o métodofolders.setOrgPolicyprojects: chama o métodoprojects.setOrgPolicy
RESOURCE_ID: a organização, a pasta ou o projeto em que o status da restrição de virtualização aninhada será desativado.ENFORCE: determina se a política da organização impõe a restrição booleanacompute.disableNestedVirtualization. Defina como uma destas opções:true: para aplicar a restrição. Com essa configuração, não é possível criar VMs com virtualização aninhada ativada.false: para não aplicar a restrição. Com essa configuração, é possível criar VMs com a virtualização aninhada ativada.