限制 Cloud Interconnect 用量

本文档介绍如何限制能够使用 Cloud Interconnect 的 Virtual Private Cloud (VPC) 网络集。

默认情况下，任何 VPC 网络都可以使用 Cloud Interconnect。如需控制哪些 VPC 网络可以使用 Cloud Interconnect，您可以设置组织政策。如需了解有关组织政策的一般信息，请参阅组织政策服务简介。

如需使用 Cloud Interconnect 将 VPC 网络连接到本地网络，您需要 VLAN 连接。限制使用 Cloud Interconnect 的组织政策允许或拒绝从指定的 VPC 网络创建 VLAN 连接。您可以设置政策，用于允许或拒绝从项目、文件夹或组织资源中的特定 VPC 网络或所有 VPC 网络创建 VLAN 连接。

定义政策时，您可以使用以下限制条件：

• constraints/compute.restrictDedicatedInterconnectUsage

  该限制条件定义了您在使用专用互连创建 VLAN 连接时可以使用的 VPC 网络集。

• constraints/compute.restrictPartnerInterconnectUsage

  该限制条件定义您在使用合作伙伴互连创建 VLAN 连接时可以使用的 VPC 网络集。

当您设置组织政策时，它只会限制将来创建 VLAN 连接的操作。该政策不会影响先前创建的 VLAN 连接。

如果用户尝试创建违反组织政策的 VLAN 连接，则会看到一条错误消息。以下是运行 gcloud compute interconnects attachments partner create 的示例错误消息：

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

本页面包含用于设置组织政策以限制使用 Cloud Interconnect 的示例过程。

如需了解详情（包括设置组织政策的一般过程），请参阅以下内容：

• 了解限制条件
• 使用限制条件
• 创建和管理组织政策

准备工作

如需设置组织政策，您必须具有 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin)。

设置政策以拒绝特定的 VPC 网络

如需设置政策以拒绝特定 VPC 网络使用 Cloud Interconnect，请执行以下步骤：

1. 输入以下命令，查找您的组织 ID：

   gcloud organizations list

   命令输出类似于以下示例：

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. 创建用于定义政策的 JSON 文件。以下示例 JSON 文件定义了阻止 project-1 中的 network-1 使用专用互连的政策：

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "deniedValues": [
         "projects/project-1/global/networks/network-1"
      ]
     }
   }
   

3. 使用 gcloud Resource Manager set-policy 命令设置组织政策：

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   替换以下值：

   • JSON_FILE_NAME：您在上一步中创建的 JSON 文件的名称，例如 policy-name.json

   • ORGANIZATION_ID：您之前找到的组织的 ID

设置政策以拒绝所有 VPC 网络

如需将政策设置为拒绝所有 VPC 网络使用 Cloud Interconnect，请执行以下步骤：

1. 输入以下命令，查找您的组织 ID：

   gcloud organizations list

   命令输出类似于以下示例：

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. 创建用于定义政策的 JSON 文件。以下示例 JSON 文件定义了阻止所有 VPC 网络使用专用互连的政策：

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "allValues": "DENY"
      }
   }
   

3. 使用 gcloud Resource Manager set-policy 命令设置组织政策：

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   替换以下值：

   • JSON_FILE_NAME：您在上一步中创建的 JSON 文件的名称，例如 policy-name.json

   • ORGANIZATION_ID：您之前找到的组织的 ID

在组织、文件夹或项目级设置政策

前面几个部分介绍了如何拒绝特定 VPC 网络或所有 VPC 网络。您还可以使用列表限制条件中描述的语法在组织、项目或文件夹级别允许或拒绝 VPC 网络。

后续步骤

• 如需详细了解 Cloud Interconnect 选项，请参阅 Cloud Interconnect 概览。

• 如需帮助解决使用 Cloud Interconnect 时可能会遇到的常见问题，请参阅问题排查。