本文档介绍如何限制能够使用 Cloud Interconnect 的 Virtual Private Cloud (VPC) 网络集。
默认情况下,任何 VPC 网络都可以使用 Cloud Interconnect。如需控制哪些 VPC 网络可以使用 Cloud Interconnect,您可以设置组织政策。如需了解有关组织政策的一般信息,请参阅组织政策服务简介。
如需使用 Cloud Interconnect 将 VPC 网络连接到本地网络,您需要 VLAN 连接。限制使用 Cloud Interconnect 的组织政策允许或拒绝从指定的 VPC 网络创建 VLAN 连接。您可以设置政策,用于允许或拒绝从项目、文件夹或组织资源中的特定 VPC 网络或所有 VPC 网络创建 VLAN 连接。
定义政策时,您可以使用以下限制条件:
constraints/compute.restrictDedicatedInterconnectUsage
该限制条件定义了您在使用专用互连创建 VLAN 连接时可以使用的 VPC 网络集。
constraints/compute.restrictPartnerInterconnectUsage
该限制条件定义您在使用合作伙伴互连创建 VLAN 连接时可以使用的 VPC 网络集。
当您设置组织政策时,它只会限制将来创建 VLAN 连接的操作。该政策不会影响先前创建的 VLAN 连接。
如果用户尝试创建违反组织政策的 VLAN 连接,则会看到一条错误消息。以下是运行 gcloud compute interconnects attachments partner create
的示例错误消息:
ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource: - Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project. projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.
本页面包含用于设置组织政策以限制使用 Cloud Interconnect 的示例过程。
如需了解详情(包括设置组织政策的一般过程),请参阅以下内容:
准备工作
如需设置组织政策,您必须具有 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin
)。
设置政策以拒绝特定的 VPC 网络
如需设置政策以拒绝特定 VPC 网络使用 Cloud Interconnect,请执行以下步骤:
输入以下命令,查找您的组织 ID:
gcloud organizations list
命令输出类似于以下示例:
DISPLAY NAME ID example-organization 29252605212
创建用于定义政策的 JSON 文件。以下示例 JSON 文件定义了阻止
project-1
中的network-1
使用专用互连的政策:{ "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage", "listPolicy": { "deniedValues": [ "projects/project-1/global/networks/network-1" ] } }
使用
gcloud
Resource Managerset-policy
命令设置组织政策:gcloud resource-manager org-policies set-policy JSON_FILE_NAME --organization=ORGANIZATION_ID
替换以下值:
JSON_FILE_NAME
:您在上一步中创建的 JSON 文件的名称,例如policy-name.json
ORGANIZATION_ID
:您之前找到的组织的 ID
设置政策以拒绝所有 VPC 网络
如需将政策设置为拒绝所有 VPC 网络使用 Cloud Interconnect,请执行以下步骤:
输入以下命令,查找您的组织 ID:
gcloud organizations list
命令输出类似于以下示例:
DISPLAY NAME ID example-organization 29252605212
创建用于定义政策的 JSON 文件。以下示例 JSON 文件定义了阻止所有 VPC 网络使用专用互连的政策:
{ "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage", "listPolicy": { "allValues": "DENY" } }
使用
gcloud
Resource Managerset-policy
命令设置组织政策:gcloud resource-manager org-policies set-policy JSON_FILE_NAME --organization=ORGANIZATION_ID
替换以下值:
JSON_FILE_NAME
:您在上一步中创建的 JSON 文件的名称,例如policy-name.json
ORGANIZATION_ID
:您之前找到的组织的 ID
在组织、文件夹或项目级设置政策
前面几个部分介绍了如何拒绝特定 VPC 网络或所有 VPC 网络。您还可以使用列表限制条件中描述的语法在组织、项目或文件夹级别允许或拒绝 VPC 网络。
后续步骤
如需详细了解 Cloud Interconnect 选项,请参阅 Cloud Interconnect 概览。
如需帮助解决使用 Cloud Interconnect 时可能会遇到的常见问题,请参阅问题排查。