Restreindre l'utilisation de Cloud Interconnect

Ce document explique comment restreindre l'ensemble de réseaux VPC autorisés à utiliser Cloud Interconnect.

Par défaut, tous les réseaux VPC peuvent utiliser Cloud Interconnect. Pour contrôler les réseaux VPC qui peuvent utiliser Cloud Interconnect, vous pouvez définir une règle d'administration. Pour obtenir des informations générales sur les règles d'administration, consultez la page Présentation du service de règles d'administration.

La connexion d'un réseau VPC à votre réseau sur site avec Cloud Interconnect nécessite un rattachement de VLAN. Une règle d'administration permettant de restreindre l'utilisation de Cloud Interconnect peut autoriser ou refuser la création de rattachements de VLAN à partir de réseaux VPC spécifiés. Vous pouvez définir une règle qui autorise ou refuse la création de rattachements de VLAN à partir d'un réseau VPC spécifique ou de tous les réseaux VPC d'un projet, d'un dossier ou d'une ressource "Organisation".

Vous pouvez utiliser les contraintes suivantes lorsque vous définissez votre règle :

• constraints/compute.restrictDedicatedInterconnectUsage

  Cette contrainte définit l'ensemble des réseaux VPC que vous pouvez utiliser lorsque vous créez un rattachement de VLAN à l'aide de l'interconnexion dédiée.

• constraints/compute.restrictPartnerInterconnectUsage

  Cette contrainte définit l'ensemble de réseaux VPC que vous pouvez utiliser lorsque vous créez un rattachement de VLAN à l'aide de l'interconnexion partenaire.

Lorsque vous définissez une règle d'administration, celle-ci ne limite que la création de rattachements de VLAN dans le futur. La règle n'affecte pas les rattachements de VLAN créés précédemment.

Si un utilisateur tente de créer un rattachement de VLAN qui enfreint une règle d'administration, un message d'erreur s'affiche. Voici un exemple de message d'erreur lié à l'exécution de gcloud compute interconnects attachments partner create :

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

Cette section présente des exemples de procédures permettant de définir des règles d'administration destinées à la restriction de l'utilisation de Cloud Interconnect.

Pour en savoir plus, y compris sur les procédures générales de définition des règles d'administration, consultez les ressources suivantes :

• Comprendre les contraintes
• Utiliser des contraintes
• Créer et gérer des règles d'administration

Avant de commencer

Pour définir des règles d'administration, vous devez disposer du rôle Administrateur des règles d'administration (roles/orgpolicy.policyAdmin).

Définir une règle pour refuser un réseau VPC spécifique

Pour définir une règle permettant d'empêcher un réseau VPC spécifique d'utiliser Cloud Interconnect, procédez comme suit :

1. Recherchez l'ID de votre organisation en saisissant la commande suivante :

   gcloud organizations list

   Le résultat de la commande correspond à l'exemple suivant.

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. Créez un fichier JSON qui définit votre règle. L'exemple JSON suivant définit une règle qui empêche le réseau network-1 du projet project-1 d'utiliser une interconnexion dédiée :

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "deniedValues": [
         "projects/project-1/global/networks/network-1"
      ]
     }
   }
   

3. Exécutez la commande gcloud Resource Manager set-policy pour définir la règle d'administration :

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   Remplacez les valeurs suivantes :

   • JSON_FILE_NAME correspond au nom du fichier JSON que vous avez créé à l'étape précédente, tel que policy-name.json.

   • ORGANIZATION_ID correspond à l'ID de l'organisation que vous avez trouvé précédemment.

Définir une règle pour refuser tous les réseaux VPC

Pour définir une règle empêchant tous les réseaux VPC d'utiliser Cloud Interconnect, procédez comme suit :

1. Recherchez l'ID de votre organisation en saisissant la commande suivante :

   gcloud organizations list

   Le résultat de la commande correspond à l'exemple suivant.

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. Créez un fichier JSON qui définit votre règle. L'exemple JSON suivant définit une règle qui empêche tous les réseaux VPC d'utiliser l'interconnexion dédiée :

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "allValues": "DENY"
      }
   }
   

3. Exécutez la commande gcloud Resource Manager set-policy pour définir la règle d'administration :

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   Remplacez les valeurs suivantes :

   • JSON_FILE_NAME correspond au nom du fichier JSON que vous avez créé à l'étape précédente, tel que policy-name.json.

   • ORGANIZATION_ID correspond à l'ID de l'organisation que vous avez trouvé précédemment.

Définir une règle au niveau d'une organisation, d'un dossier ou d'un projet

Les sections précédentes décrivent comment refuser un réseau VPC spécifique ou tous les réseaux VPC. Vous pouvez également utiliser la syntaxe décrite dans la section Contraintes de liste pour autoriser ou refuser les réseaux VPC au niveau de l'organisation, du projet ou du dossier.

Étape suivante

• Pour en savoir plus sur les options de Cloud Interconnect, consultez la page Présentation de Cloud Interconnect.

• Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud Interconnect, consultez la page Dépannage.