Protokollweiterleitung verwenden

Compute Engine unterstützt die Protokollweiterleitung und damit die Erstellung von Weiterleitungsregelobjekten, die Pakete an eine nicht-NAT-codierte Zielinstanz senden können. Jede Zielinstanz enthält eine einzelne VM-Instanz, die Traffic über die entsprechenden Weiterleitungsregeln empfängt und verarbeitet.

Protokollweiterleitung kann in verschiedenen Szenarien verwendet werden, einschließlich der folgenden:

  • Virtuelles Hosting nach IP-Adressen

    Sie können mehrere externe IP-Adressen mit einer einzigen VM-Instanz verwenden. Dazu richten Sie mehrere Weiterleitungsregeln so ein, dass sie auf eine einzelne Zielinstanz verweisen. Sie können diese Vorgehensweise in Fällen verwenden, in denen Sie Daten von nur einer VM-Instanz, aber über verschiedene externe IP-Adressen bereitstellen möchten. Dies eignet sich insbesondere bei der Einrichtung des virtuellen SSL-Hostings.

  • Virtuelle private Netzwerke (VPN)

    Informationen hierzu unter:

  • Private VIPs

    Sie können die Protokollweiterleitung für private regionale Weiterleitungsregeln mit VPC-Subnetzbereichen verwenden. Verwenden Sie dieses Feature, um private Weiterleitungsregeln zu konfigurieren, die TCP- oder UDP-Traffic an eine Zielinstanz in derselben Region senden. Sie können private regionale Weiterleitungsregeln auch von Zielinstanzen auf Back-End-Dienste umstellen und umgekehrt.

  • Load-Balancing

    Weitere Informationen zum Weiterleiten von Traffic an einen Load-Balancer finden Sie unter Weiterleitungsregeln.

Beim virtuellen Hosting nach IP-Adressen, bei virtuellen privaten Netzwerken (VPN) und beim Load-Balancing unterstützt Compute Engine die Protokollweiterleitung für die folgenden Protokolle:

Bei privaten VIPs werden nur TCP und UDP unterstützt:

Die Gebühren für die Protokollweiterleitung sind identisch mit den Gebühren für den Load-Balancing-Dienst. Weitere Informationen finden Sie auf der Preisseite.

Hinweis

  • Achten Sie darauf, dass Sie die erforderlichen Berechtigungen zum Erstellen von Weiterleitungsregeln haben.

  • Achten Sie darauf, dass eine IAM-Bedingung (Identitäts- und Zugriffsverwaltung) keine Mitgliederbedingungen gewährt, die Mitgliedern nur das Erstellen interner Weiterleitungsregeln ermöglichen. Wenn eine solche Bedingung vorliegt, schlägt die Erstellung der Weiterleitungsregel mit einem Berechtigungsfehler fehl.

Weitere Informationen finden Sie unter Zugriffssteuerung.

Schnellstart

In dieser Kurzanleitung wird davon ausgegangen, dass Sie mit bash vertraut sind.

So erstellen Sie eine Weiterleitungsregel, die Traffic an eine einzelne Instanz sendet:

  1. Erstellen Sie eine Zielinstanz.

    Die Zielinstanz ist eine einzelne VM-Instanz. Diese Instanz kann beim Erstellen der Zielinstanz vorhanden sein oder später erstellt werden.

  2. Erstellen Sie eine Weiterleitungsregel.

    Die Zielinstanz muss vorhanden sein, bevor Sie eine Weiterleitungsregel erstellen. Wenn eingehende Pakete mit der von der Weiterleitungsregel bereitgestellten IP-Adresse, dem von der Weiterleitungsregel bereitgestellten Protokoll und (sofern zutreffend) dem von der Weiterleitungsregel bereitgestellten Portbereich übereinstimmen, leitet die Weiterleitungsregel diesen Traffic an die Zielinstanz weiter.

Im weiteren Verlauf dieser Kurzanleitung werden die oben aufgeführten Schritte umfassend erläutert. Dabei geschieht Folgendes:

  1. Apache-Server auf einer VM-Instanz einrichten
  2. Erstellen einer Zielinstanz und entsprechender Weiterleitungsregeln
  3. Traffic an eine einzelne Zielinstanz senden.

Am Ende dieser Anleitung sollten Sie wissen, wie die Protokollweiterleitung über mehrere Weiterleitungsregeln an eine einzelne Zielinstanz eingerichtet wird.

VM-Instanz einrichten und Apache installieren

So erstellen Sie eine einzelne VM-Instanz, auf der Apache installiert ist:

  1. Erstellen Sie einige Startskripts für die neue Instanz.

    Je nach Betriebssystem sind unterschiedliche Startskripts möglich.

    • Wenn Sie auf der Instanz ein Debian-Image verwenden möchten, führen Sie den folgenden Befehl aus:

      me@local:~$ echo "sudo apt update && sudo apt -y install apache2 && mkdir -p /var/www1 &&
      mkdir -p /var/www2 && mkdir -p /var/www3 && hostname > /var/www/html/index.html &&
      echo w1 > /var/www1/index.html && echo w2 > /var/www2/index.html && echo w3 > /var/www3/index.html" > 
      $HOME/pf_startup.sh

    • Wenn Sie auf der Instanz ein CentOS-Image verwenden möchten, führen Sie den folgenden Befehl aus:

      me@local:~$ echo "sudo yum -y install httpd && sudo service httpd restart && mkdir -p /var/www1 &&
      mkdir -p /var/www2 && mkdir /var/www3 && hostname > /var/www/html/index.html &&
      echo w1 > /var/www1/index.html && echo w2 > /var/www2/index.html && echo w3 > /var/www3/index.html" > 
      $HOME/pf_startup.sh

  2. Erstellen Sie ein Tag für Ihre zukünftige VM, um später eine Firewall anzuwenden:

    me@local:~$ TAG="www-tag"
    
  3. Erstellen Sie eine VM-Instanz zur Verarbeitung von Traffic für Ihre Weiterleitungsregeln:

    gcloud compute instances create pf-instance \
        --image-project debian-cloud --image-family debian-9 --tags $TAG \
        --metadata-from-file startup-script=$HOME/pf_startup.sh
    
  4. Erstellen Sie eine Firewallregel, um externen Traffic zu dieser VM-Instanz zuzulassen:

    gcloud compute firewall-rules create www-firewall --target-tags $TAG --allow tcp
    

Sie haben die VM-Instanz erfolgreich eingerichtet. Jetzt können Sie die Konfiguration der Protokollweiterleitung einrichten.

Zielinstanz und entsprechende Weiterleitungsregeln erstellen

  1. Erstellen Sie eine Zielinstanz.

    Zielinstanzen enthalten eine einzelne VM-Instanz, die Traffic von einer Weiterleitungsregel empfängt und verarbeitet. Zielinstanzen haben keine NAT-Richtlinie, sodass Sie sie zur Einrichtung Ihrer eigenen VPN-Verbindungen direkt mit IPsec-Protokollen verwenden können.

    Sie müssen eine Zielinstanz erstellen, bevor Sie ein Weiterleitungsregelobjekt erstellen können, weil Weiterleitungsregeln auf eine vorhandene Zielressource verweisen müssen. Sie können keine Weiterleitungsregel erstellen, die Traffic an eine nicht vorhandene Zielressource weiterleitet. Erstellen Sie für dieses Beispiel eine Zielinstanz:

    gcloud compute target-instances create pf-target-instance --instance pf-instance
    
  2. Erstellen Sie Weiterleitungsregelobjekte.

    Ein Weiterleitungsregelobjekt leitet Traffic, der mit dem IP-Protokoll und dem Port übereinstimmt, an eine angegebene Zielinstanz weiter. Weitere Informationen finden Sie in der Dokumentation zu Weiterleitungsregeln.

    In diesem Beispiel erstellen die folgenden Befehle drei Weiterleitungsregeln mit jeweils einer sitzungsspezifischen IP-Adresse, die TCP-Traffic an die Zielinstanz weiterleitet. Optional können Sie einige statische externe IP-Adressen mit diesen Weiterleitungsregeln verwenden. Geben Sie dazu das Flag --address IP-ADDRESS an.

    gcloud compute forwarding-rules create pf-rule1 --ip-protocol TCP \
        --ports 80 --target-instance pf-target-instance
    
    gcloud compute forwarding-rules create pf-rule2 --ip-protocol TCP \
        --ports 80 --target-instance pf-target-instance
    
    gcloud compute forwarding-rules create pf-rule3 --ip-protocol TCP \
        --ports 80 --target-instance pf-target-instance
    

Sie können jetzt Traffic an die Zielinstanz senden.

Traffic an die Instanz senden

  1. Rufen Sie die externen IP-Adressen der neuen Weiterleitungsregeln ab.

    Führen Sie gcloud compute forwarding-rules list aus, um die externen IP-Adressen Ihrer Weiterleitungsregeln abzurufen. In der folgenden Tabelle sind z. B. die sitzungsspezifischen IP-Adressen aufgeführt, die den zuvor erstellten Weiterleitungsregeln zugewiesen sind.

    Wenn Sie sich für die Verwendung reservierter IP-Adressen entschieden haben, werden diese hier anstelle der sitzungsspezifischen IP-Adressen aufgeführt.

    gcloud compute forwarding-rules list
    
    NAME     REGION      IP_ADDRESS     IP_PROTOCOL TARGET
    pf-rule1 us-central1 [ADDRESS_1]    TCP         us-central1-a/targetInstances/pf-target-instance
    pf-rule2 us-central1 [ADDRESS_2]    TCP         us-central1-a/targetInstances/pf-target-instance
    pf-rule3 us-central1 [ADDRESS_3]    TCP         us-central1-a/targetInstances/pf-target-instance

    Halten Sie die IP-Adressen für den nächsten Schritt fest.

  2. Konfigurieren Sie die virtuellen Apache-Hosts der VM-Instanz so, dass auf Basis der Ziel-URL unterschiedliche Informationen bereitgestellt werden.

    Stellen Sie zuerst eine Verbindung zur Instanz her:

    gcloud compute ssh pf-instance
    

    Bearbeiten Sie dann die Datei /etc/apache2/sites-enabled/000-default.conf und fügen Sie die folgenden Zeilen hinzu. Geben Sie in den VirtualHost-Zeilen die IP-Adressen ein, die im vorherigen Schritt aufgeführt wurden.

    <VirtualHost [ADDRESS_1]>
     DocumentRoot /var/www1
     <Directory /var/www1>
      Require all granted
     </Directory>
    </VirtualHost>
    <VirtualHost [ADDRESS_2]>
     DocumentRoot /var/www2
     <Directory /var/www2>
      Require all granted
     </Directory>
    </VirtualHost>
    <VirtualHost [ADDRESS_3]>
     DocumentRoot /var/www3
     <Directory /var/www3>
      Require all granted
     </Directory>
    </VirtualHost>
    

    Starten Sie zum Schluss Apache neu:

    user@myinst:~$ sudo /etc/init.d/apache2 restart
    
  3. Versuchen Sie, Traffic an die Instanz zu senden.

    Senden Sie auf Ihrem lokalen Computer eine Anfrage an die externen IP-Adressen, die von den erstellten Weiterleitungsregeln bereitgestellt werden.

    Verwenden Sie curl, um Traffic an die IP-Adressen zu senden. Die Antwort gibt je nach IP-Adresse w1, w2 oder w3 zurück.

    me@local:~$curl ADDRESS_1
    w1
    
    me@local:~$ curl ADDRESS_2
    w2
    
    me@local:~$ curl ADDRESS_3
    w3
    

    Sie haben die Konfiguration für die Protokollweiterleitung abgeschlossen.

Weiterleitungsregeln

Weiterleitungsregeln werden in Verbindung mit Zielinstanzen verwendet, um Protokollweiterleitungsfeatures zu unterstützen. Während Weiterleitungsregeln auch bei anderen Produkten wie Cloud Load Balancing verwendet werden, werden in diesem Abschnitt nur Weiterleitungsregeln als Teil der Protokollweiterleitung an eine einzelne VM behandelt.

Weiterleitungsregelressourcen sind in der Sammlung der Weiterleitungsregeln enthalten. Jede Weiterleitungsregel vergleicht eine bestimmte IP-Adresse, ein bestimmtes Protokoll und – optional – einen Portbereich mit einem einzelnen Zielpool. Wenn Traffic an eine externe IP-Adresse gesendet wird, die von einer Weiterleitungsregel bereitgestellt wird, leitet die Weiterleitungsregel den Traffic an die Zielinstanz weiter.

Bei der Arbeit mit Weiterleitungsregeln müssen einige Punkte berücksichtigt werden:

  • Der Name einer Weiterleitungsregel muss in diesem Projekt einmalig sein, 1 bis 63 Zeichen umfassen und mit dem regulären Ausdruck [a-z]([-a-z0-9]*[a-z0-9])? übereinstimmen. Daher muss das erste Zeichen kleingeschrieben werden und alle weiteren Zeichen müssen aus Bindestrichen, Kleinbuchstaben oder Ziffern bestehen. Das letzte Zeichen darf kein Bindestrich sein.

  • Wenn Sie kein Weiterleitungsregelprotokoll angeben, wird das Standard-TCP verwendet. Weitere unterstützte Protokolle sind UDP ESP, AH, SCTP, ICMP und L3_DEFAULT (derzeit in Vorschau).

    <<../../load-balancing/docs/_shared/_shared_all_protocol_support.md>>

    Die Protokolleinstellung L3_DEFAULT wird nur unterstützt, wenn das Load-Balancing-Schema EXTERNAL ist.

  • Portbereiche können nur für TCP-, UDP- und SCTP-Protokolle angegeben werden.

  • Alle Ports müssen konfiguriert werden, wenn:

    • Sie L3_DEFAULT-Weiterleitungsregeln verwenden.

    • Sie fragmentierte UDP-Datenpakete erwarten. Verwenden Sie nur eine UDP-Weiterleitungsregel pro Ziel und konfigurieren Sie die Weiterleitungsregel so, dass Traffic an allen Ports akzeptiert wird. Dadurch wird gewährleistet, dass alle Fragmente zur selben Weiterleitungsregel gelangen, auch wenn sie nicht denselben Zielport haben.

    Um alle Ports zu konfigurieren, stellen Sie entweder --ports=ALL mithilfe von gcloud ein oder setzen SIe allPorts mithilfe der API auf True.

Weiterleitungsregel hinzufügen

Zum Hinzufügen einer neuen Weiterleitungsregel können Sie den Befehl gcloud compute forwarding-rules create verwenden oder eine HTTP POST-Anfrage an die Sammlung der Weiterleitungsregeln erstellen.

gcloud

So fügen Sie eine neue Weiterleitungsregel mit gcloud hinzu:

gcloud compute forwarding-rules create FORWARDING_RULE_NAME \
    --load-balancing-scheme SCHEME \
    --region REGION \
    --target-instance-zone ZONE \
    --ip-protocol PROTOCOL \
    --ports PORTS \
    --target-instance TARGET_INSTANCE_NAME

Wenn Sie das Flag --target-instance-zone weglassen, werden Sie vom gcloud-Befehlszeilentool zur Auswahl einer Zone aufgefordert, sofern Sie nicht das Attribut compute/zone mit gcloud config set compute/zone festgelegt haben. Weitere Informationen finden Sie unter Standardattribute festlegen.

Wenn Sie das Flag --region weglassen, werden Sie vom gcloud-Befehlszeilentool zur Auswahl einer Region aufgefordert, sofern Sie nicht das Attribut compute/region mit gcloud config set compute/region festgelegt haben. Weitere Informationen finden Sie unter Standardattribute festlegen.

Wenn Sie eine vollständige Beschreibung der Flags erhalten möchten, die Sie verwenden können, führen Sie den Befehl create für die Weiterleitungsregeln aus oder geben Sie gcloud compute forwarding-rules create --help ein.

API

Wenn Sie eine Weiterleitungsregel mithilfe der API hinzufügen möchten, senden Sie eine HTTP POST-Anfrage an den folgenden URI:

https://compute.googleapis.com/compute/v1/projects/[project ID]/regions/us-central1/forwardingRules

Der Anfragetext muss die folgenden Felder enthalten:

{
 "name": "example-forwarding-rule",
 "IPAddress": "`10.1.1.1",
 "IPProtocol": "TCP",
 "portRange": "80",
 "target": "zones/us-central1-f/targetInstances/example-target-instances"
}

Informationen dazu, wie Sie Weiterleitungsregeln auflisten, Daten zu einer bestimmten Weiterleitungsregel abrufen und Weiterleitungsregeln löschen, finden Sie auf den gcloud SDK- und API-Referenzseiten:

Zielinstanzen

Eine Zielinstanzressource enthält eine einzelne VM-Instanz, die Traffic von einer oder mehreren Weiterleitungsregeln verarbeitet. Sie eignet sich ideal für die Weiterleitung bestimmter Arten von Protokolltraffic, die von einer einzigen Quelle verwaltet werden sollen (z. B. ESP und AH). Sie können jedoch auch eine Zielinstanz für die Protokolle TCP und UDP verwenden. Da auf Zielinstanzen keine NAT-Richtlinien angewendet werden, können Sie sie für Traffic einsetzen, der nicht-NAT-basierten IPsec-Traffic für virtuelle private Netzwerke (VPNs) erfordert.

Zielinstanzen müssen sich in derselben Region wie die Weiterleitungsregel befinden. Zielinstanzen müssen sich auch in derselben Zone wie die VM-Instanz befinden. Wenn die Weiterleitungsregel beispielsweise in us-central1 und die zu verwendende Instanz in us-central1-a liegt, muss sich die Zielinstanz in us-central1-a befinden. Wenn die Instanz in us-central1-b liegt, muss sich die Zielinstanz ebenfalls in us-central1-b befinden.

Zielinstanz hinzufügen

Wenn Sie eine neue Zielinstanz hinzufügen möchten, können Sie den gcloud compute target-instances-Befehl verwenden oder eine HTTP POST-Anfrage an die Sammlung der Zielinstanzen senden. Zielinstanzressourcen lassen sich nicht mit der Cloud Console erstellen. Das folgende Beispiel zeigt, wie Sie mit dem gcloud-Befehlszeilentool eine Zielinstanz erstellen:

gcloud compute target-instances create [TARGET_INSTANCE] --instance INSTANCE

Wenn Sie das Flag --zone weglassen, werden Sie vom gcloud-Befehlszeilentool zur Auswahl einer Zone aufgefordert, sofern Sie nicht das Attribut compute/zone mit gcloud config set compute/zone festgelegt haben. Weitere Informationen finden Sie unter Standardattribute festlegen.

Wenn Sie eine vollständige Beschreibung der Flags erhalten möchten, die Sie verwenden können, führen Sie den Befehl create aus oder geben Sie gcloud compute target-instances create --help ein.

Stellen Sie in der API eine Anfrage HTTP POST an folgenden URI:

https://compute.googleapis.com/compute/v1/projects/myproject/zones/us-central1-f/targetInstances

Verwenden Sie dabei folgenden Anfragetext:

body = {
  "name": "example-target-instance",
  "instance": "zones/us-central1-f/instances/example-instance"
}

Informationen dazu, wie Sie Zielinstanzen auflisten, Daten zu einer bestimmten Zielinstanz erhalten und Zielinstanzen löschen, finden Sie auf den gcloud SDK- und API-Referenzseiten:

Protokollweiterleitung für private VIPs

Die Protokollweiterleitung kann für private regionale Weiterleitungsregeln verwendet werden. Verwenden Sie dieses Feature, um private Weiterleitungsregeln zu konfigurieren, die TCP- oder UDP-Traffic an eine Zielinstanz in derselben Region senden. Sie können private regionale Weiterleitungsregeln auch leicht von Zielinstanzen auf Back-End-Dienste umstellen und umgekehrt.

Eine Zielinstanz enthält eine Back-End-Instanz, die den Traffic von einer oder mehreren Weiterleitungsregeln handhabt. Sie können nur jeweils eine private Weiterleitungsregel zum Verweisen auf eine Zielinstanz konfigurieren.

Private Weiterleitungsregel mit einer Zielinstanz (zum Vergrößern klicken)
Private Weiterleitungsregel mit einer Zielinstanz (zum Vergrößern klicken)

Verwenden Sie unter folgenden Umständen die Protokollweiterleitung mit privaten Weiterleitungsregeln:

  • Sie möchten eine einzelne Back-End-Instanz für Ihren Dienst erstellen und Systemdiagnosen und andere Aspekte selbst verwalten.
  • Sie möchten die private IP-Adresse einer Weiterleitungsregel beibehalten und die Zielinstanz ändern, auf die die Weiterleitungsregel verweist.
  • Sie möchten das Deployment dadurch stabil halten, dass Sie problemlos von einer einzelnen Instanz (Zielinstanz) zu mehreren Back-End-Instanzen (Back-End-Dienst) wechseln können, ohne die IP-Adresse der privaten Weiterleitungsregel zu ändern.

Übergang zwischen einer Zielinstanz und einem Back-End-Dienst

Sie können eine private Weiterleitungsregel so aktualisieren, dass der bisher an eine Zielinstanz mit einer einzelnen VM-Instanz geleitete Traffic an einen Back-End-Dienst geleitet wird oder umgekehrt. Wenn Sie eine private Weiterleitungsregel auf diese Weise aktualisieren, wird die IP-Adresse der Weiterleitungsregel beibehalten. Bestehende Verbindungen werden möglicherweise während dieses Übergangs unterbrochen, da die Änderung das Load-Balancing für Back-End-Dienstinstanzen aktiviert bzw. deaktiviert.

Übergang von einem Back-End-Dienst zu einer Zielinstanz (zum Vergrößern klicken)
Übergang von einem Back-End-Dienst zu einer Zielinstanz (zum Vergrößern klicken)

Der Wechsel zwischen einer Zielinstanz und einem Back-End-Dienst ist nur mit privaten Weiterleitungsregeln möglich. Bei der Protokollweiterleitung mit externen Weiterleitungsregeln ist dies nicht möglich.

Ziel einer privaten Weiterleitungsregel aktualisieren

Wenn es sich bei Ihrer Weiterleitungsregel um eine private Weiterleitungsregel handelt, können Sie von einem Verweis auf eine Zielinstanz zu einem Verweis auf einen Back-End-Dienst wechseln:

    gcloud compute forwarding-rules set-target my-forwarding-rule
        --backend-service my-backend-service

Sie können dann zu einer Zielinstanz zurückkehren:

    gcloud compute forwarding-rules set-target my-forwarding-rule
        --target-instance my-target-instance

Einstellungen zur Protokollweiterleitung für ein Projekt, einen Ordner oder eine Organisation erzwingen

Verwenden Sie eine Organisationsrichtlinie, um die Protokollweiterleitungstypen einzuschränken, die in Ihrer Organisation erstellt werden können. Legen Sie die folgende Einschränkung für die Organisationsrichtlinie fest:

constraints/compute.restrictProtocolForwardingCreationForTypes

Wenn Sie die Einschränkung compute.restrictProtocolForwardingCreationForTypes festlegen, geben Sie die unzulässigen Protokollweiterleitungstypen an. Eine Liste der verfügbaren Typen finden Sie unter Einschränkungen für bestimmte Dienste.

Organisationsrichtlinie einrichten

Console

So legen Sie eine Organisationsrichtlinie für die Protokollweiterleitung in der Console fest:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zur Seite "Organisationsrichtlinien"

  2. Geben Sie im Feld Filter protocol ein und wählen Sie constraints/compute.restrictProtocolForwardingCreationForTypes aus.
  3. Klicken Sie auf Restrict Protocol Forwarding Based on type of IP Address.
  4. Klicken Sie auf Bearbeiten, um die vorhandenen Einschränkungen für die Protokollweiterleitung zu bearbeiten.
  5. Zum Erstellen einer benutzerdefinierten Richtlinie wählen Sie Anpassen aus.
  6. Nachdem Sie Änderungen vorgenommen haben, klicken Sie auf Speichern, um die Einstellungen für die Einschränkung zu übernehmen.

gcloud

Verwenden Sie den Befehl gcloud resource-manager org-policies enable-enforce, um eine Organisationsrichtlinie für die Protokollweiterleitung festzulegen.

  1. Ermitteln Sie Ihre Organisations-ID.

    gcloud organizations list
  2. Erstellen Sie die Richtliniendatei, wie in den folgenden Beispielen gezeigt.

    Werte auflisten, die abgelehnt werden sollen

    {
      "constraint": "constraints/compute.restrictProtocolForwardingCreationForTypes",
       "listPolicy": {
         "deniedValues": [
           "INTERNAL",
           "EXTERNAL"
         ]
       }
     }
     

    Interne Weiterleitungsregeln zulassen

    {
      "constraint": "constraints/compute.restrictProtocolForwardingCreationForTypes",
       "listPolicy": {
         "deniedValues": [
           "EXTERNAL"
         ]
       }
     }
     

    Alle Weiterleitungsregeln ablehnen

    {
      "constraint": "constraints/compute.restrictProtocolForwardingCreationForTypes",
      "listPolicy": {
        "allValues": "DENY"
      }
    }
    
  3. Legen Sie die Einschränkung in Ihrer Organisation fest. Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

    gcloud resource-manager org-policies set-policy POLICY_FILE \
        --organization=ORGANIZATION_ID
    

    Sie können die Organisationsrichtlinie für die Protokollweiterleitung auch mithilfe des Flags --folder oder --project und der Ordner- bzw. Projekt-ID auf einen Ordner oder ein Projekt anwenden.

    Führen Sie für Ordner den folgenden Befehl aus:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
        --folder=FOLDER_ID
    

    Führen Sie für Projekte den folgenden Befehl aus, um ein Projekt zu erstellen:

    gcloud resource-manager org-policies set-policy POLICY_FILE \
        --project=PROJECT_ID
    

    Dabei gilt:

Nachdem Sie die Richtlinie festgelegt haben, wird die Richtlinie erzwungen, wenn Sie die entsprechenden Weiterleitungsregeln von Google Cloud hinzufügen.

Die Einschränkung wird bei bestehenden Konfigurationen der Protokollweiterleitung nicht erzwungen.

Wenn Sie versuchen, eine Protokollweiterleitung eines Typs zu erstellen, der gegen die Einschränkung verstößt, schlägt der Versuch fehl und eine Fehlermeldung wird erzeugt. Die Fehlermeldung hat folgendes Format:

Constraint constraints/compute.restrictProtocolForwardingCreationForTypes
violated for projects/PROJECT_NAME. Forwarding Rule projects/PROJECT_NAME/region/REGION/forwardingRules/FORWARDING_RULE_NAME
of type SCHEME is not allowed.

Wenn Sie mehrere restrictProtocolForwardingCreationForTypes-Einschränkungen auf verschiedenen Ressourcenebenen festlegen und das Feld inheritFromParent auf true setzen, werden die Einschränkungen hierarchisch durchgesetzt.

Weitere Informationen zum Festlegen von Organisationsrichtlinien, einschließlich Beschreibungen der verfügbaren Optionen, finden Sie unter Organisationsrichtlinien erstellen und verwalten und Einschränkungen verwenden.

Beschränkungen

  • Wenn Sie Zielinstanzen mit privaten Weiterleitungsregeln verwenden, werden nur die Protokolle TCP und UDP unterstützt.

Limits

  • Sie können pro Netzwerk 100 private Weiterleitungsregeln konfigurieren, die auf Zielinstanzen verweisen.

  • Sie können 5 Ports pro private Weiterleitungsregel haben.

Nächste Schritte