Limite dell'utilizzo di Cloud Interconnect

Questo documento descrive come limitare il set di VPC (Virtual Private Cloud) che possono utilizzare Cloud Interconnect.

Per impostazione predefinita, qualsiasi rete VPC può utilizzare Cloud Interconnect. Per controllare quali reti VPC possono utilizzare Cloud Interconnect, puoi impostare un criterio dell'organizzazione. Per informazioni generali sui criteri dell'organizzazione, consulta Introduzione al Servizio Criteri dell'organizzazione.

Utilizzo di Cloud Interconnect per connettere una rete VPC a la rete on-premise richiede Collegamento VLAN. Un criterio dell'organizzazione per limitare Cloud Interconnect consente o nega la creazione di collegamenti VLAN da indirizzi reti VPC. Puoi impostare un criterio che consenta o neghi la creazione di collegamenti VLAN da una rete VPC specifica o da tutte le reti VPC in una risorsa di progetto, cartella o organizzazione.

Quando definisci il criterio, puoi utilizzare i seguenti vincoli:

  • constraints/compute.restrictDedicatedInterconnectUsage

    Questo vincolo definisce l'insieme di reti VPC che puoi da utilizzare quando si crea un collegamento VLAN con Dedicated Interconnect.

  • constraints/compute.restrictPartnerInterconnectUsage

    Questo vincolo definisce l'insieme di reti VPC che puoi per creare un collegamento VLAN con Partner Interconnect.

Quando imposti un criterio dell'organizzazione, limita solo la creazione di VLAN allegati in futuro. Il criterio non influisce sulla VLAN creata in precedenza allegati.

Se un utente tenta di creare un collegamento VLAN che viola un'organizzazione viene visualizzato un messaggio di errore. Di seguito è riportato un esempio di messaggio di errore generato dall'esecuzione di gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

Questa pagina include procedure di esempio per l'impostazione dei criteri dell'organizzazione per limitare l'utilizzo di Cloud Interconnect.

Per ulteriori informazioni, incluse le procedure generali per impostare l'organizzazione di Google, consulta le seguenti risorse:

Prima di iniziare

Per impostare i criteri dell'organizzazione, è necessario disporre Ruolo Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin).

Imposta un criterio per negare una rete VPC specifica

Per impostare un criterio per negare a una rete VPC specifica di utilizzare Cloud Interconnect, segui questi passaggi:

  1. Per trovare l'ID organizzazione, inserisci il comando seguente:

    gcloud organizations list

    L'output comando è simile all'esempio seguente:

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crea un file JSON che definisce il criterio. Il seguente codice JSON di esempio definisce un criterio che impedisce a network-1 in project-1 di utilizzare Dedicated Interconnect:

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "deniedValues": [
          "projects/project-1/global/networks/network-1"
       ]
      }
    }
    
  3. Usa il comando gcloud Resource Manager set-policy per impostare l'organizzazione norme:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    Sostituisci i seguenti valori:

    • JSON_FILE_NAME: il nome del file JSON che vuoi creato nel passaggio precedente, ad esempio policy-name.json

    • ORGANIZATION_ID: l'ID dell'organizzazione che hai trovato in precedenza

Imposta un criterio per negare tutte le reti VPC

Per impostare un criterio per negare a tutte le reti VPC l'utilizzo Cloud Interconnect, segui questi passaggi:

  1. Per trovare l'ID organizzazione, inserisci il comando seguente:

    gcloud organizations list

    L'output comando è simile all'esempio seguente:

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crea un file JSON che definisce il criterio. Il seguente codice JSON di esempio definisce un criterio che impedisce a tutte le reti VPC utilizzando Dedicated Interconnect:

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "allValues": "DENY"
       }
    }
    
  3. Usa il comando gcloud Resource Manager set-policy per impostare l'organizzazione norme:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    Sostituisci i seguenti valori:

    • JSON_FILE_NAME: il nome del file JSON che vuoi creato nel passaggio precedente, ad esempio policy-name.json

    • ORGANIZATION_ID: l'ID dell'organizzazione di cui trovato in precedenza

Impostare un criterio a livello di organizzazione, cartella o progetto

Le sezioni precedenti descrivono come negare una rete VPC specifica o tutte le reti VPC. Puoi anche utilizzare la sintassi descritta in Vincoli dell'elenco per consentire o negare le reti VPC a livello di organizzazione, progetto o cartella.

Passaggi successivi