使用自定义约束条件管理函数资源

作为组织管理员,您可以为 Cloud Run 函数创建自定义约束条件。组织政策会在项目、文件夹或组织级别强制执行这些自定义限制。

组织政策为各种 Google Cloud 服务提供预定义限制条件。但是,如果您想要更精细地控制和自定义组织政策中受限的特定字段,还可以创建自定义组织政策。

本页详细介绍了如何为使用 Cloud Functions v2 API 创建的函数创建自定义约束条件,并在项目级别强制执行这些约束条件。如需了解自定义组织政策,请参阅创建和管理自定义组织政策

优势

  • 费用管理:使用自定义组织政策限制可在您的组织中使用的虚拟机实例以及磁盘大小和类型。 您还可以限制用于虚拟机实例的机器系列
  • 安全、合规性和治理
    • 如需强制执行安全要求,您可以要求遵守虚拟机上的特定防火墙端口规则。
    • 为支持硬件隔离或许可合规性,您可以要求特定项目或文件夹中的所有虚拟机都在单租户节点上运行。
    • 如需管理自动化脚本,您可以使用自定义组织政策来验证标签是否与必要的表达式匹配。

政策继承

对资源强制执行组织政策时,该资源的所有后代也会继承该组织政策。例如,如果您对某个文件夹强制执行一项政策,Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则

价格

组织政策服务(包括预定义组织政策和自定义组织政策)可免费使用。

限制

自定义组织政策存在以下限制:

  • 使用批量插入 API 时,不会强制执行虚拟机实例名称。
  • 仅对 Compute Engine 资源的 CREATE 方法强制执行。
  • 仅适用于 Cloud Functions v2 API。这些功能无法应用于 Cloud Run 函数(第 1 代)。
  • 仅在使用 Cloud Functions v2 API 时保护函数。您还可以通过 Cloud Run API 修改 Cloud Run 函数。为了获得额外的保护,您可能还需要对 Cloud Run 应用自定义限制条件

准备工作

所需的角色

创建自定义限制条件

自定义限制条件是在 YAML 文件中,由实施组织政策的服务所支持的资源、方法、条件和操作定义的。自定义限制条件的条件使用通用表达式语言 (CEL) 进行定义。如需详细了解如何使用 CEL 构建自定义限制条件中的条件,请参阅创建和管理自定义限制条件的 CEL 部分。

如需指定自定义约束条件,以拒绝创建最大实例数超过 150 的所有函数,请执行以下操作:

  • 创建包含以下内容的新 maxInstanceConstraint.yaml 文件:

    name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- cloudfunctions.googleapis.com/Function
methodTypes: 
- CREATE
- UPDATE
condition: resource.serviceConfig.maxInstanceCount > 150
actionType: DENY
displayName: Deny functions with max instance count greater than 150
description: Functions cannot be created with a max instance count greater than 150

ORGANIZATION_ID 替换为您的组织 ID,例如 123456789

如需了解详情,请参阅定义自定义查询

设置自定义限制条件

为新的自定义限制条件创建 YAML 文件后,您必须对其进行设置,以使其可用于组织中的组织政策。如需设置自定义限制条件,请使用 gcloud org-policies set-custom-constraint 命令: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH 替换为自定义限制条件文件的完整路径。例如 /home/user/customconstraint.yaml。完成后,您的自定义限制条件会成为 Google Cloud 组织政策列表中的组织政策。 如需验证自定义限制条件是否存在,请使用 gcloud org-policies list-custom-constraints 命令: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID 替换为您的组织资源的 ID。 如需了解详情,请参阅查看组织政策

强制执行自定义组织政策

如需强制执行布尔值限制条件,您可以创建引用该限制条件的组织政策,并将该组织政策应用于 Google Cloud 资源。

控制台

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到组织政策

  2. 在项目选择器中,选择要设置组织政策的项目。
  3. 组织政策页面上的列表中选择您的限制条件,以查看该限制条件的政策详情页面。
  4. 如需为该资源配置组织政策,请点击管理政策
  5. 修改政策页面,选择覆盖父级政策
  6. 点击添加规则
  7. 强制执行部分中,选择开启还是关闭此组织政策的强制执行。
  8. (可选)如需使组织政策成为基于某个标记的条件性政策,请点击添加条件。请注意,如果您向组织政策添加条件规则,则必须至少添加一个无条件规则,否则无法保存政策。如需了解详情,请参阅设置带有标记的组织政策
  9. 如果是自定义限制条件,您可以点击测试更改来模拟此组织政策的效果。如需了解详情,请参阅使用 Policy Simulator 测试组织政策更改
  10. 若要完成并应用组织政策,请点击设置政策。该政策最长需要 15 分钟才能生效。

gcloud

如需创建强制执行布尔值限制条件的组织政策,请创建引用该限制条件的 YAML 政策文件: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

请替换以下内容:

  • PROJECT_ID:要对其实施限制条件的项目。
  • CONSTRAINT_NAME:您为自定义限制条件定义的名称。例如,custom.cloudFunctionsMaxInstanceLimit

如需强制执行包含限制条件的组织政策,请运行以下命令: 

    gcloud org-policies set-policy POLICY_PATH

POLICY_PATH 替换为组织政策 YAML 文件的完整路径。该政策最长需要 15 分钟才能生效。

测试自定义组织政策

如需创建实例数上限为 151 的函数,请运行以下命令:

gcloud functions deploy FUNCTION_NAME \
  ...
  --max-instances 151

输出如下所示:

 Operation denied by custom org policy on resource: ["customConstraints/custom.cloudFunctionsMaxInstanceLimit": "Cloud Functions cannot be created with a max instance count greater than 150."]

Cloud Run 函数支持的资源和操作

资源类型 方法类型 API 参考文档
cloudfunctions.googleapis.com/Function CREATEUPDATE projects.locations.functions

常见的组织政策示例

下表介绍了一些可能对您有用的自定义组织政策的语法:

说明 限制条件语法
禁止使用特定语言创建函数 
    name: organizations/ORGANIZATION_IDcustomConstraints/custom.cloudFunctionRuntimeBlock
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.runtime == "python312"
    action_type: DENY
    display_name: Deny functions using Python 3.12
    description: Functions cannot be created with Python 3.12 as the language runtime
要求函数使用特定的工作器池 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.cloudFunctionsWorkerPool
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.workerPool == "WORKER_POOL"
    action_type: DENY
    display_name: Require worker pool
    description: Functions must use a worker pool
WORKER_POOL 替换为您的 Cloud Build 工作器池的名称。
要求函数将所有容器映像存储在特定映像代码库中 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.cloudFunctionsRepository
    resource_types: cloudfunctions.googleapis.com/Function
    method_types:
      - CREATE
      - UPDATE
    condition: resource.buildConfig.dockerRepository.startsWith("REPO_PATH")
    action_type: DENY
    display_name: Image repository constraint
    description: Functions must push images to a central image repository under REPO_PATH
REPO_PATH 替换为您希望所有函数将其容器映像存储在其中的映像存储库网址的 URI。

后续步骤