Einschränkungen für Organisationsrichtlinien

Auf dieser Seite finden Sie Informationen zu den Einschränkungen für Organisationsrichtlinien, die Sie für Cloud NAT konfigurieren können.

Netzwerkadministratoren können Cloud NAT-Konfigurationen erstellen und angeben, welche Subnetzwerke (Subnetze) das Gateway verwenden können. Standardmäßig gibt es keine Beschränkungen dafür, welche Subnetze der Administrator erstellt oder welche davon Cloud NAT-Konfigurationen verwenden können.

Ein Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) kann die Einschränkung constraints/compute.restrictCloudNATUsage verwenden, um festzulegen, welche Subnetze Cloud NAT verwenden können.

Organisationseinschränkungen werden in einer Organisationsrichtlinie erstellt und erzwungen.

Vorbereitung

IAM-Berechtigungen

• Die Person, die die Einschränkungen erstellt, muss die Rolle roles/orgpolicy.policyAdmin haben.
• Wenn Sie eine gemeinsam genutzte VPC verwenden, muss sich die Nutzerrolle im Hostprojekt befinden.

Hintergrundinformationen zu Organisationsrichtlinien

Wenn Sie bisher noch nicht mit Einschränkungen für Organisationsrichtlinien gearbeitet haben, lesen Sie zuerst die folgende Dokumentation:

• Informationen zu Einschränkungen
• Informationen zur Bewertung der Hierarchie

Einschränkungen planen

Sie können allow- und deny-Einschränkungen auf den folgenden Ebenen der Ressourcenhierarchie erstellen:

• Organisation
• Ordner
• Projekt
• Subnetzwerk

Standardmäßig wird eine von einem Knoten erstellte Einschränkung von allen untergeordneten Knoten übernommen. Ein Organisationsrichtlinien-Administrator für einen bestimmten Ordner kann jedoch entscheiden, ob ein bestimmter Ordner etwas von seinen übergeordneten Projekten übernimmt, sodass die Übernahme nicht automatisch erfolgt. Weitere Informationen finden Sie unter Übernahme im Abschnitt Informationen zur Bewertung der Hierarchie.

Einschränkungen werden nicht rückwirkend angewendet. Vorhandene Konfigurationen funktionieren auch dann, wenn sie gegen die Einschränkungen verstoßen.

Einschränkungen bestehen aus allow- und deny-Einstellungen.

Interaktion zwischen zulässigen und abgelehnten Werten

• Wenn eine restrictCloudNatUsage-Einschränkung konfiguriert ist, aber weder allowedValues noch deniedValues angegeben ist, ist alles zulässig.
• Wenn allowedValues konfiguriert ist, deniedValues aber nicht, wird alles abgelehnt, was nicht in allowedValues angegeben ist.
• Wenn deniedValues konfiguriert ist, allowedValues aber nicht, ist alles zulässig, was nicht in deniedValues angegeben ist.
• Wenn sowohl allowedValues als auch deniedValues konfiguriert ist, wird alles abgelehnt, was nicht in allowedValues angegeben ist.
• Wenn zwei Werte in Konflikt stehen, hat deniedValues Vorrang.

Interaktion zwischen Subnetzen und Gateways

Einschränkungen verhindern nicht, dass Subnetze ein NAT-Gateway verwenden. Stattdessen verhindern Einschränkungen, dass eine Konfiguration gegen die Einschränkung verstößt, indem verhindert wird, dass entweder ein Gateway oder ein Subnetz erstellt wird.

Beispiel 1: Versuch, ein Subnetz zu erstellen, das gegen eine deny-Regel verstößt

1. Ein Gateway ist in einer Region vorhanden.
2. Das Gateway ist so konfiguriert, dass es von allen Subnetzen in einer Region verwendet werden kann.
3. Ein einzelnes Subnetz (subnet-1) ist in der Region vorhanden.
4. Es wurde eine Einschränkung erstellt, damit nur subnet-1 das Gateway verwenden kann.
5. Administratoren können in diesem Netzwerk in dieser Region keine weiteren Subnetze erstellen. Die Einschränkung verhindert, dass Subnetze erstellt werden, die das Gateway verwenden könnten. Wenn die neuen Subnetze vorhanden sein sollen, kann der Administrator für Organisationsrichtlinien diese Subnetze der Liste der zugelassenen Subnetze hinzufügen.

Beispiel 2: Versuch, ein Gateway zu erstellen, das gegen eine deny-Regel verstößt

1. In einer Region sind zwei Subnetze (subnet-1 und subnet-2) vorhanden.
2. Es ist eine Einschränkung vorhanden, die nur subnet-1 erlaubt, ein Gateway zu verwenden.
3. Administratoren können kein Gateway erstellen, das für alle Subnetze in der Region offen ist. Stattdessen müssen sie entweder ein Gateway erstellen, das nur subnet-1 bedient, oder der Organisationsrichtlinien-Administrator muss subnet-2 der Liste der zulässigen Subnetze hinzufügen.

Einschränkungen erstellen

Informationen zum Erstellen einer Organisationsrichtlinie mit einer bestimmten Einschränkung finden Sie unter Einschränkungen verwenden.

Nächste Schritte

• Informationen zur Verwendung benutzerdefinierter Organisationsrichtlinien
• Public NAT-Gateway einrichten
• Private NAT-Gateway einrichten