Neste documento, descrevemos como restringir o conjunto de redes de nuvem privada virtual (VPC) que podem usar o Cloud Interconnect.
Por padrão, qualquer rede VPC pode usar o Cloud Interconnect. Para controlar quais redes VPC podem usar o Cloud Interconnect, defina políticas da organização. Para informações gerais sobre políticas da organização, consulte Introdução ao serviço de política da organização.
O uso do Cloud Interconnect para conectar uma rede VPC à sua rede local requer um anexo da VLAN. A política da organização para restringir o uso do Cloud Interconnect permite ou recusa a criação de anexos da VLAN de redes VPC específicas. É possível definir uma política que permita ou recuse a criação de anexos da VLAN de uma rede VPC específica ou de todas as redes VPC em um recurso da organização, do projeto ou da pasta.
É possível usar as seguintes restrições ao definir sua política:
constraints/compute.restrictDedicatedInterconnectUsage
Essa restrição define o conjunto de redes VPC que podem ser usadas ao criar um anexo da VLAN usando a Interconexão dedicada.
constraints/compute.restrictPartnerInterconnectUsage
Essa restrição define o conjunto de redes VPC que podem ser usadas ao criar um anexo da VLAN usando a Interconexão por parceiro.
A definição de uma política da organização só restringe a criação de anexos da VLAN no futuro. A política não afeta anexos da VLAN criados anteriormente.
Se um usuário tentar criar um anexo da VLAN que viole uma política da
organização, ele verá uma mensagem de erro. Veja abaixo um exemplo de mensagem de erro
da execução de gcloud compute interconnects attachments partner create
:
ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource: - Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project. projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.
Esta página mostra exemplos de procedimentos para configurar políticas da organização que restringem o uso do Cloud Interconnect.
Para mais informações, como os procedimentos gerais para configurar as políticas da organização, consulte:
- Noções básicas sobre restrições
- Como usar restrições
- Como criar e gerenciar políticas da organização
Antes de começar
Para definir as políticas da organização, é necessário ter o papel Administrador da política da organização (roles/orgpolicy.policyAdmin
).
Definir uma política para recusar uma rede VPC específica
Para definir uma política para impedir que uma rede VPC específica use o Cloud Interconnect, siga estas etapas:
Encontre o ID da sua organização digitando o seguinte comando:
gcloud organizations list
A resposta ao comando se parece com o exemplo a seguir:
DISPLAY NAME ID example-organization 29252605212
Crie um arquivo JSON que defina sua política. O exemplo de arquivo JSON a seguir define uma política que impede que
network-1
emproject-1
use a Interconexão dedicada.{ "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage", "listPolicy": { "deniedValues": [ "projects/project-1/global/networks/network-1" ] } }
Use o comando
gcloud
do Resource Managerset-policy
para definir a política da organização:gcloud resource-manager org-policies set-policy JSON_FILE_NAME --organization=ORGANIZATION_ID
Substitua os seguintes valores:
JSON_FILE_NAME
: é o nome do arquivo JSON criado na etapa anterior, comopolicy-name.json
.ORGANIZATION_ID
: o ID da organização que você encontrou anteriormente.
Definir uma política para recusar todas as redes VPC
Para definir uma política para impedir que todas as redes VPC usem o Cloud Interconnect, siga estas etapas:
Encontre o ID da sua organização digitando o seguinte comando:
gcloud organizations list
A resposta ao comando se parece com o exemplo a seguir:
DISPLAY NAME ID example-organization 29252605212
Crie um arquivo JSON que defina sua política. O exemplo de arquivo JSON a seguir define uma política que impede todas as redes VPC de usar a Interconexão dedicada.
{ "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage", "listPolicy": { "allValues": "DENY" } }
Use o comando
gcloud
do Resource Managerset-policy
para definir a política da organização:gcloud resource-manager org-policies set-policy JSON_FILE_NAME --organization=ORGANIZATION_ID
Substitua os seguintes valores:
JSON_FILE_NAME
: é o nome do arquivo JSON criado na etapa anterior, comopolicy-name.json
.ORGANIZATION_ID
: o ID da organização que você encontrou anteriormente.
Definir uma política no nível da organização, da pasta ou do projeto
As seções anteriores descrevem como negar uma rede VPC específica ou todas as redes VPC. É possível também usar a sintaxe descrita em Restrições de lista para permitir ou negar redes VPC no nível da organização, do projeto ou da pasta.
A seguir
Para saber mais sobre as opções do Cloud Interconnect, consulte Visão geral do Cloud Interconnect.
Para ajudar a resolver problemas comuns que você pode encontrar ao usar o Cloud Interconnect, consulte Solução de problemas.