Limite dell'utilizzo di Cloud Interconnect

Questo documento descrive come limitare l'insieme di reti Virtual Private Cloud (VPC) che possono utilizzare Cloud Interconnect.

Per impostazione predefinita, qualsiasi rete VPC può utilizzare Cloud Interconnect. Per controllare quali reti VPC possono utilizzare Cloud Interconnect, puoi impostare un criterio dell'organizzazione. Per informazioni generali sui criteri dell'organizzazione, consulta Introduzione al Servizio Criteri dell'organizzazione.

L'utilizzo di Cloud Interconnect per connettere una rete VPC alla rete on-premise richiede un collegamento VLAN. Un criterio dell'organizzazione per limitare l'utilizzo di Cloud Interconnect consente o nega la creazione di collegamenti VLAN da reti VPC specifiche. Puoi impostare un criterio che consenta o neghi la creazione di collegamenti VLAN da una rete VPC specifica o da tutte le reti VPC in una risorsa di progetto, cartella o organizzazione.

Quando definisci il criterio, puoi utilizzare i seguenti vincoli:

  • constraints/compute.restrictDedicatedInterconnectUsage

    Questo vincolo definisce l'insieme di reti VPC che puoi utilizzare per creare un collegamento VLAN utilizzando Dedicated Interconnect.

  • constraints/compute.restrictPartnerInterconnectUsage

    Questo vincolo definisce l'insieme di reti VPC che puoi utilizzare quando crei un collegamento VLAN utilizzando Partner Interconnect.

Quando imposti un criterio dell'organizzazione, questo limita solo la creazione di attacchi VLAN in futuro. Il criterio non influisce sui collegamenti VLAN creati in precedenza.

Se un utente tenta di creare un collegamento VLAN che viola un criterio dell'organizzazione, viene visualizzato un messaggio di errore. Di seguito è riportato un esempio di messaggio di errore generato dall'esecuzione di gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

Questa pagina include procedure di esempio per l'impostazione delle norme dell'organizzazione per limitare l'utilizzo di Cloud Interconnect.

Per ulteriori informazioni, tra cui le procedure generali per l'impostazione dei criteri dell'organizzazione, consulta quanto segue:

Prima di iniziare

Per impostare i criteri dell'organizzazione, devi disporre del ruolo Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin).

Impostare un criterio per negare una rete VPC specifica

Per impostare un criterio per negare a una rete VPC specifica l'utilizzo di Cloud Interconnect, segui questi passaggi:

  1. Per trovare l'ID organizzazione, inserisci il seguente comando:

    gcloud organizations list

    L'output del comando è simile all'esempio seguente:

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crea un file JSON che definisce il criterio. Il seguente file JSON di esempio definisce un criterio che impedisce a network-1 in project-1 di utilizzare Dedicated Interconnect:

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "deniedValues": [
          "projects/project-1/global/networks/network-1"
       ]
      }
    }
    
  3. Utilizza il comando gcloud Resource Manager set-policy per impostare il criterio dell'organizzazione:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    Sostituisci i seguenti valori:

    • JSON_FILE_NAME: il nome del file JSON creato nel passaggio precedente, ad esempio policy-name.json

    • ORGANIZATION_ID: l'ID dell'organizzazione che hai trovato in precedenza

Imposta un criterio per negare tutte le reti VPC

Per impostare un criterio per negare a tutte le reti VPC l'utilizzo di Cloud Interconnect, segui questi passaggi:

  1. Per trovare l'ID organizzazione, inserisci il seguente comando:

    gcloud organizations list

    L'output del comando è simile all'esempio seguente:

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crea un file JSON che definisce il criterio. Il seguente file JSON di esempio definisce un criterio che impedisce a tutte le reti VPC di utilizzare Dedicated Interconnect:

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "allValues": "DENY"
       }
    }
    
  3. Utilizza il comando gcloud Resource Manager set-policy per impostare il criterio dell'organizzazione:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    Sostituisci i seguenti valori:

    • JSON_FILE_NAME: il nome del file JSON creato nel passaggio precedente, ad esempio policy-name.json

    • ORGANIZATION_ID: l'ID dell'organizzazione che hai trovato in precedenza

Impostare un criterio a livello di organizzazione, cartella o progetto

Le sezioni precedenti descrivono come negare una rete VPC specifica o tutte le reti VPC. Puoi anche utilizzare la sintassi descritta in Vincoli dell'elenco per consentire o negare le reti VPC a livello di organizzazione, progetto o cartella.

Passaggi successivi