Nutzung von Cloud Interconnect einschränken

In diesem Dokument wird beschrieben, wie Sie die Gruppe von VPC-Netzwerken (Virtual Private Cloud) einschränken, die Cloud Interconnect verwenden können.

Standardmäßig kann jedes VPC-Netzwerk Cloud Interconnect nutzen. Über eine Organisationsrichtlinie können Sie bestimmen, welche VPC-Netzwerke Cloud Interconnect verwenden können. Allgemeine Informationen zu Organisationsrichtlinien finden Sie in der Einführung in den Organisationsrichtliniendienst.

Wenn Sie Cloud Interconnect zum Verbinden eines VPC-Netzwerks mit Ihrem lokalen Netzwerk verwenden, ist ein VLAN-Anhang erforderlich. Mit einer Organisationsrichtlinie zum Einschränken der Nutzung von Cloud Interconnect kann das Erstellen von VLAN-Anhängen aus angegebenen VPC-Netzwerken zugelassen oder verweigert werden. Sie können eine Richtlinie festlegen, mit der das Erstellen von VLAN-Anhängen aus einem bestimmten oder allen VPC-Netzwerken in einer Projekt-, Ordner- oder Organisationsressource zugelassen oder verweigert wird.

Beim Definieren Ihrer Richtlinie können Sie die folgenden Einschränkungen verwenden:

• constraints/compute.restrictDedicatedInterconnectUsage

  Mit dieser Einschränkung wird die Gruppe von VPC-Netzwerken definiert, die Sie beim Erstellen eines VLAN-Anhangs über Dedicated Interconnect verwenden können.

• constraints/compute.restrictPartnerInterconnectUsage

  Mit dieser Einschränkung wird die Gruppe von VPC-Netzwerken definiert, die Sie beim Erstellen eines VLAN-Anhangs über Partner Interconnect verwenden können.

Wenn Sie eine Organisationsrichtlinie festlegen, wird dadurch nur das Erstellen von zukünftigen VLAN-Anhängen eingeschränkt. Die Richtlinie wirkt sich nicht auf zuvor erstellte VLAN-Anhänge aus.

Wenn ein Nutzer versucht, einen VLAN-Anhang zu erstellen, der gegen eine Organisationsrichtlinie verstößt, wird eine Fehlermeldung angezeigt. Im Folgenden finden Sie ein Beispiel für eine Fehlermeldung beim Ausführen von gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

Dieser Abschnitt enthält Beispielverfahren zum Festlegen von Organisationsrichtlinien, um die Cloud Interconnect-Nutzung zu beschränken.

Weitere Informationen, einschließlich allgemeiner Verfahren zum Festlegen von Organisationsrichtlinien, finden Sie hier:

• Informationen zu Einschränkungen
• Einschränkungen verwenden
• Organisationsrichtlinien erstellen und verwalten

Hinweis

Zum Festlegen von Organisationsrichtlinien müssen Sie die Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin) haben.

Richtlinie zum Ablehnen eines bestimmten VPC-Netzwerks festlegen

So legen Sie ein Richtlinie fest, die verhindert, dass ein bestimmtes VPC-Netzwerk Cloud Interconnect verwendet:

1. Ermitteln Sie Ihre Organisations-ID durch Eingabe des folgenden Befehls:

   gcloud organizations list

   Die Befehlsausgabe sieht so aus:

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. Erstellen Sie eine JSON-Datei, die Ihre Richtlinie definiert. Im folgenden JSON-Beispiel wird eine Richtlinie definiert, die verhindert, dass network-1 in project-1 Dedicated Interconnect verwendet.

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "deniedValues": [
         "projects/project-1/global/networks/network-1"
      ]
     }
   }
   

3. Verwenden Sie den Befehl set-policy des gcloud Resource Manager, um die Organisationsrichtlinie festzulegen:

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   Ersetzen Sie die folgenden Werte:

   • JSON_FILE_NAME: Name der JSON-Datei, die Sie im vorherigen Schritt erstellt haben, z. B. policy-name.json

   • ORGANIZATION_ID: ID der zuvor gefundenen Organisation

Richtlinie zum Ablehnen aller VPC-Netzwerke festlegen

Führen Sie die folgenden Schritte aus, um mit einer Richtlinie alle VPC-Netzwerke daran zu hindern, Cloud Interconnect zu verwenden:

1. Ermitteln Sie Ihre Organisations-ID durch Eingabe des folgenden Befehls:

   gcloud organizations list

   Die Befehlsausgabe sieht so aus:

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. Erstellen Sie eine JSON-Datei, die Ihre Richtlinie definiert. Im folgenden JSON-Beispiel wird eine Richtlinie definiert, die allen VPC-Netzwerken den Zugriff auf Dedicated Interconnect verweigert.

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "allValues": "DENY"
      }
   }
   

3. Verwenden Sie den Befehl set-policy des gcloud Resource Manager, um die Organisationsrichtlinie festzulegen:

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   Ersetzen Sie die folgenden Werte:

   • JSON_FILE_NAME: Name der JSON-Datei, die Sie im vorherigen Schritt erstellt haben, z. B. policy-name.json

   • ORGANIZATION_ID: ID der zuvor gefundenen Organisation

Richtlinie auf Organisations-, Ordner- oder Projektebene festlegen

In den vorherigen Abschnitten wurde beschrieben, wie Sie ein bestimmtes oder alle VPC-Netzwerke ablehnen. Sie können auch die unter Listeneinschränkungen beschriebene Syntax verwenden, um VPC-Netzwerke auf Organisations-, Projekt- oder Ordnerebene zuzulassen oder abzulehnen.

Nächste Schritte

• Weitere Informationen zu den Cloud Interconnect-Optionen finden Sie unter Cloud Interconnect – Übersicht.

• Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud Interconnect finden Sie unter Fehlerbehebung.