Cloud NAT의 조직 정책 제약조건

이 페이지에서는 Cloud NAT에 구성할 수 있는 조직 정책 제약조건에 대한 정보를 제공합니다.

네트워크 관리자는 Cloud NAT 구성을 만들고 게이트웨이를 사용할 수 있는 서브네트워크(서브넷)를 지정할 수 있습니다. 기본적으로 관리자가 만드는 서브넷 또는 Cloud NAT 구성을 사용할 수 있는 서브넷에는 제한이 없습니다.

조직 정책 관리자(roles/orgpolicy.policyAdmin)는 constraints/compute.restrictCloudNATUsage 제약조건을 사용하여 Cloud NAT를 사용할 수 있는 서브넷을 제한할 수 있습니다.

조직 정책에 조직 제약조건을 만들고 적용합니다.

기본 요건

IAM 권한

  • 제약조건을 만드는 사람에게 roles/orgpolicy.policyAdmin 역할이 있어야 합니다.
  • 공유 VPC를 사용하는 경우 사용자 역할은 호스트 프로젝트에 있어야 합니다.

조직 정책 배경

이전에 조직 정책 제약조건을 사용한 적이 없다면 먼저 다음 문서를 검토하세요.

제약조건 계획

리소스 계층 구조의 다음 수준에서 allow 또는 deny 제약조건을 만들 수 있습니다.

  • 조직
  • 폴더
  • 프로젝트
  • 서브네트워크

기본적으로 노드에서 생성된 제약조건은 모든 하위 노드로 상속됩니다. 하지만 지정된 폴더의 조직 정책 관리자는 지정된 폴더가 상위 폴더에서 상속되는지 여부를 결정하므로 상속은 자동으로 수행되지 않습니다. 자세한 내용은 계층 구조 평가 이해상속을 참조하세요.

제약조건은 소급 적용되지 않습니다. 기존 구성은 제약조건을 위반하더라도 계속 작동합니다.

제약조건은 allowdeny 설정으로 구성됩니다.

허용된 값 및 거부된 값 간의 상호작용

  • restrictCloudNatUsage 제약조건이 구성되었지만 allowedValues 또는 deniedValues가 지정되지 않았으면 모든 것이 허용됩니다.
  • allowedValues가 구성되고 deniedValues가 구성되지 않은 경우 allowedValues에 지정되지 않은 모든 것이 거부됩니다.
  • deniedValues가 구성되고 allowedValues가 구성되지 않은 경우 deniedValues에 지정되지 않은 모든 것이 허용됩니다.
  • allowedValuesdeniedValues가 모두 구성된 경우 allowedValues에 지정되지 않은 모든 것이 거부됩니다.
  • 두 값이 충돌하면 deniedValues가 우선합니다.

서브넷 및 게이트웨이 간의 상호작용

제약조건은 서브넷이 NAT 게이트웨이를 사용하는 것을 제한하지 않습니다. 대신 제약조건은 게이트웨이 또는 서브넷 생성을 제한하여 제약조건을 위반하는 구성을 제한합니다.

예시 1: deny 규칙을 위반하는 서브넷 만들기

  1. 리전에는 게이트웨이가 있습니다.
  2. 게이트웨이는 리전의 모든 서브넷에 사용할 수 있도록 구성됩니다.
  3. 리전에 단일 서브넷(subnet-1)이 있습니다.
  4. subnet-1만 게이트웨이를 사용할 수 있도록 제약조건이 생성됩니다.
  5. 관리자는 해당 리전의 네트워크에서 추가 서브넷을 만들 수 없습니다. 이 제약조건은 게이트웨이를 사용할 수 있는 서브넷 생성을 제한합니다. 새 서브넷이 있어야 하는 경우 조직 정책 관리자는 허용되는 서브넷 목록에 이러한 서브넷을 추가할 수 있습니다.

예시 2: deny 규칙을 위반하는 게이트웨이 만들기

  1. 한 리전에 두 개의 서브넷(subnet-1subnet-2)이 있습니다.
  2. subnet-1만 게이트웨이를 사용할 수 있도록 하는 제약조건이 있습니다.
  3. 관리자는 리전의 모든 서브넷에 열려 있는 게이트웨이를 만들 수 없습니다. 대신 subnet-1만 제공하는 게이트웨이를 만들어야 하거나 조직 정책 관리자가 subnet-2를 허용된 서브넷 목록에 추가해야 합니다.

제약조건 만들기

특정 제약조건이 있는 조직 정책을 만들려면 제약조건 사용을 참조하세요.

다음 단계