限制 Cloud Interconnect 用量

本文档介绍如何限制能够使用 Cloud Interconnect 的 Virtual Private Cloud (VPC) 网络集。

默认情况下,任何 VPC 网络都可以使用 Cloud Interconnect。如需控制哪些 VPC 网络可以使用 Cloud Interconnect,您可以设置组织政策。如需了解有关组织政策的一般信息,请参阅组织政策服务简介

如需使用 Cloud Interconnect 将 VPC 网络连接到本地网络,您需要 VLAN 连接。限制使用 Cloud Interconnect 的组织政策允许或拒绝从指定的 VPC 网络创建 VLAN 连接。您可以设置政策,用于允许或拒绝从项目、文件夹或组织资源中的特定 VPC 网络或所有 VPC 网络创建 VLAN 连接。

定义政策时,您可以使用以下限制条件:

  • constraints/compute.restrictDedicatedInterconnectUsage

    该限制条件定义了您在使用专用互连创建 VLAN 连接时可以使用的 VPC 网络集。

  • constraints/compute.restrictPartnerInterconnectUsage

    该限制条件定义您在使用合作伙伴互连创建 VLAN 连接时可以使用的 VPC 网络集。

当您设置组织政策时,它只会限制将来创建 VLAN 连接的操作。该政策不会影响先前创建的 VLAN 连接。

如果用户尝试创建违反组织政策的 VLAN 连接,则会看到一条错误消息。以下是运行 gcloud compute interconnects attachments partner create 的示例错误消息:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

本页面包含用于设置组织政策以限制使用 Cloud Interconnect 的示例过程。

如需了解详情(包括设置组织政策的一般过程),请参阅以下内容:

准备工作

如需设置组织政策,您必须具有 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin)。

设置政策以拒绝特定的 VPC 网络

如需设置政策以拒绝特定 VPC 网络使用 Cloud Interconnect,请执行以下步骤:

  1. 输入以下命令,查找您的组织 ID:

    gcloud organizations list

    命令输出类似于以下示例:

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. 创建用于定义政策的 JSON 文件。以下示例 JSON 文件定义了阻止 project-1 中的 network-1 使用专用互连的政策:

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "deniedValues": [
          "projects/project-1/global/networks/network-1"
       ]
      }
    }
    
  3. 使用 gcloud Resource Manager set-policy 命令设置组织政策:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    替换以下值:

    • JSON_FILE_NAME:您在上一步中创建的 JSON 文件的名称,例如 policy-name.json

    • ORGANIZATION_ID:您之前找到的组织的 ID

设置政策以拒绝所有 VPC 网络

如需将政策设置为拒绝所有 VPC 网络使用 Cloud Interconnect,请执行以下步骤:

  1. 输入以下命令,查找您的组织 ID:

    gcloud organizations list

    命令输出类似于以下示例:

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. 创建用于定义政策的 JSON 文件。以下示例 JSON 文件定义了阻止所有 VPC 网络使用专用互连的政策:

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "allValues": "DENY"
       }
    }
    
  3. 使用 gcloud Resource Manager set-policy 命令设置组织政策:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    替换以下值:

    • JSON_FILE_NAME:您在上一步中创建的 JSON 文件的名称,例如 policy-name.json

    • ORGANIZATION_ID:您之前找到的组织的 ID

在组织、文件夹或项目级设置政策

前面几个部分介绍了如何拒绝特定 VPC 网络或所有 VPC 网络。您还可以使用列表限制条件中描述的语法在组织、项目或文件夹级别允许或拒绝 VPC 网络。

后续步骤

  • 如需详细了解 Cloud Interconnect 选项,请参阅 Cloud Interconnect 概览

  • 如需帮助解决使用 Cloud Interconnect 时可能会遇到的常见问题,请参阅问题排查