Contraintes applicables aux règles d'administration pour Cloud NAT

Cette page fournit des informations sur les contraintes liées aux règles d'administration que vous pouvez configurer pour Cloud NAT.

Les administrateurs réseau peuvent créer des configurations Cloud NAT et spécifier les sous-réseaux qui sont autorisés à utiliser la passerelle. Par défaut, aucune limite ne s'applique aux sous-réseaux créés par l'administrateur ou à ceux qui peuvent utiliser une configuration Cloud NAT.

Un administrateur des règles d'administration (roles/orgpolicy.policyAdmin) peut utiliser la contrainte constraints/compute.restrictCloudNATUsage pour limiter les sous-réseaux autorisés à utiliser Cloud NAT.

Vous pouvez créer et appliquer des contraintes organisationnelles dans une règle d'administration.

Prérequis

Autorisations IAM

  • La personne qui crée les contraintes doit disposer du rôle roles/orgpolicy.policyAdmin.
  • Si vous utilisez un VPC partagé, le rôle utilisateur doit se trouver dans le projet hôte.

Arrière-plan des règles d'administration

Si vous n'avez jamais utilisé les contraintes de règles d'administration auparavant, consultez d'abord la documentation suivante :

Planifier vos contraintes

Vous pouvez créer des contraintes allow ou deny aux niveaux suivants de la hiérarchie des ressources :

  • Organisation
  • Dossier
  • Projet
  • Subnetwork (Sous-réseau)

Par défaut, lorsqu'une contrainte est créée sur un nœud, tous ses nœuds enfants héritent de la contrainte. Toutefois, un administrateur des règles d'administration associé à un dossier donné peut décider si un sous-dossier hérite de ses parents ou non. L'héritage n'est donc pas automatique. Pour en savoir plus, consultez la section Héritage de la page Comprendre le processus d'évaluation hiérarchique.

Les contraintes ne s'appliquent pas rétroactivement. Les configurations existantes continuent de fonctionner même si elles enfreignent les contraintes.

Les contraintes se composent de paramètres allow (autoriser) et deny (refuser).

Interaction entre des valeurs autorisées et refusées

  • Si une contrainte restrictCloudNatUsage est configurée, mais que ni allowedValues, ni deniedValues ne sont spécifiées, toutes les valeurs sont autorisées.
  • Si allowedValues est configuré et si deniedValues n'est pas configuré, tous les éléments non spécifiés dans allowedValues sont refusés.
  • Si deniedValues est configuré et si allowedValues n'est pas configuré, tous les éléments spécifiés dans deniedValues sont autorisés.
  • Si les options allowedValues et deniedValues sont configurées, tous les éléments non spécifiés dans allowedValues sont refusés.
  • En cas de conflit entre deux valeurs, deniedValues est prioritaire.

Interaction entre les sous-réseaux et les passerelles

Les contraintes n'empêchent pas les sous-réseaux d'utiliser une passerelle NAT. En revanche, elles empêchent toute configuration susceptible d'enfreindre la contrainte en empêchant la création d'une passerelle ou d'un sous-réseau.

Exemple 1 : Créer un sous-réseau qui enfreint une règle deny

  1. Une passerelle existe dans une région.
  2. La passerelle est configurée pour autoriser tous les sous-réseaux d'une région à l'utiliser.
  3. Un seul sous-réseau (subnet-1) existe dans la région.
  4. Une contrainte est créée de sorte que seul subnet-1 puisse utiliser la passerelle.
  5. Les administrateurs ne sont pas autorisés à créer d'autres sous-réseaux au sein de ce réseau dans cette région. La contrainte empêche la création de sous-réseaux qui seraient en mesure d'utiliser la passerelle. Si de nouveaux sous-réseaux deviennent nécessaires, l'administrateur des règles d'administration peut les ajouter à la liste des sous-réseaux autorisés.

Exemple 2 : Créer une passerelle qui enfreint une règle deny

  1. Il existe deux sous-réseaux (subnet-1 et subnet-2) dans une région.
  2. Une contrainte autorise uniquement subnet-1 à utiliser une passerelle.
  3. Les administrateurs ne sont pas autorisés à créer une passerelle ouverte à tous les sous-réseaux de la région. Soit ils doivent créer une passerelle qui ne diffuse que le réseau subnet-1, soit l'administrateur des règles d'administration doit ajouter subnet-2 à la liste des sous-réseaux autorisés.

Créer vos contraintes

Pour créer une règle d'administration avec une contrainte particulière, consultez la page Utiliser des contraintes.

Étape suivante