Einschränkungen der Organisationsrichtlinien für Cloud NAT

Auf dieser Seite finden Sie Informationen zu den Einschränkungen für Organisationsrichtlinien, die Sie für Cloud NAT konfigurieren können.

Netzwerkadministratoren können Cloud NAT-Konfigurationen erstellen und angeben, welche Subnetzwerke (Subnetze) das Gateway verwenden können. Standardmäßig gibt es keine Beschränkungen dafür, welche Subnetze der Administrator erstellt oder welche davon eine Cloud NAT-Konfiguration verwenden kann.

Ein Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) kann die Einschränkung constraints/compute.restrictCloudNATUsage verwenden, um festzulegen, welche Subnetze Cloud NAT verwenden können.

Organisationseinschränkungen werden in einer Organisationsrichtlinie erstellt und erzwungen.

Vorbereitung

IAM-Berechtigungen

  • Die Person, die die Einschränkungen erstellt, muss die Rolle roles/orgpolicy.policyAdmin haben.
  • Wenn Sie eine freigegebene VPC verwenden, muss sich die Nutzerrolle im Hostprojekt befinden.

Hintergrund der Organisationsrichtlinie

Wenn Sie bisher noch nicht mit Einschränkungen für Organisationsrichtlinien gearbeitet haben, lesen Sie zuerst die folgende Dokumentation:

Einschränkungen planen

Sie können allow- und deny-Einschränkungen auf den folgenden Ebenen der Ressourcenhierarchie erstellen:

  • Organisation
  • Ordner
  • Projekt
  • Subnetzwerk

Standardmäßig wird eine von einem Knoten erstellte Einschränkung von allen untergeordneten Knoten übernommen. Ein Administrator für Organisationsrichtlinien für einen bestimmten Ordner kann jedoch entscheiden, ob ein bestimmter Ordner von seinen übergeordneten Ordnern übernommen wird, sodass die Übernahme nicht automatisch erfolgt. Weitere Informationen finden Sie unter Übernahme im Abschnitt Informationen zu Evaluierungen der Hierarchie.

Einschränkungen werden nicht rückwirkend angewendet. Vorhandene Konfigurationen funktionieren auch dann, wenn sie gegen die Einschränkungen verstoßen.

Die Einschränkungen bestehen aus den Einstellungen allow und deny.

Interaktion zwischen zulässigen und abgelehnten Werten

  • Wenn eine restrictCloudNatUsage-Einschränkung konfiguriert ist, aber weder allowedValues noch deniedValues angegeben ist, ist alles zulässig.
  • Wenn allowedValues konfiguriert ist und deniedValues nicht konfiguriert ist, wird alles abgelehnt, was nicht in allowedValues angegeben ist.
  • Wenn deniedValues konfiguriert ist und allowedValues nicht konfiguriert ist, ist alles zulässig, was nicht in deniedValues angegeben ist.
  • Wenn sowohl allowedValues als auch deniedValues konfiguriert sind, wird alles abgelehnt, was nicht in allowedValues angegeben ist.
  • Wenn zwei Werte in Konflikt stehen, hat deniedValues Vorrang.

Interaktion zwischen Subnetzen und Gateways

Einschränkungen verhindern nicht, dass Subnetze ein NAT-Gateway verwenden. Stattdessen verhindern Einschränkungen, dass eine Konfiguration gegen die Einschränkung verstößt, indem verhindert wird, dass ein Gateway oder ein Subnetz erstellt wird.

Beispiel 1: Versuch, ein Subnetz zu erstellen, das gegen eine deny-Regel verstößt

  1. Ein Gateway ist in einer Region vorhanden.
  2. Das Gateway ist so konfiguriert, dass es von allen Subnetzen in einer Region verwendet werden kann.
  3. Ein einzelnes Subnetz (subnet-1) ist in der Region vorhanden.
  4. Es wurde eine Einschränkung erstellt, damit nur subnet-1 das Gateway verwenden kann.
  5. Administratoren können in diesem Netzwerk in dieser Region keine weiteren Subnetze mehr erstellen. Die Einschränkung verhindert, dass Subnetze erstellt werden, die das Gateway verwenden können. Wenn die neuen Subnetze vorhanden sein sollen, kann der Administrator für Organisationsrichtlinien diese Subnetze der Liste der zugelassenen Subnetze hinzufügen.

Beispiel 2: Versuch, ein Gateway zu erstellen, das gegen eine deny-Regel verstößt

  1. In einer Region sind zwei Subnetze (subnet-1 und subnet-2) vorhanden.
  2. Eine Einschränkung, die nur subnet-1 ermöglicht, ein Gateway zu verwenden.
  3. Administratoren können kein Gateway erstellen, das für alle Subnetze in der Region offen ist. Stattdessen muss entweder ein Gateway erstellt werden, das nur subnet-1 bedient, oder der Organisationsrichtlinienadministrator muss subnet-2 zur Liste der zulässigen Subnetze hinzufügen.

Einschränkungen erstellen

Informationen zum Erstellen einer Organisationsrichtlinie mit einer bestimmten Einschränkung finden Sie unter Einschränkungen verwenden.

Nächste Schritte