Questo documento descrive come limitare l'insieme di reti Virtual Private Cloud (VPC) che possono utilizzare Cloud Interconnect.
Per impostazione predefinita, qualsiasi rete VPC può utilizzare Cloud Interconnect. Per controllare quali reti VPC possono utilizzare Cloud Interconnect, puoi impostare un criterio dell'organizzazione. Per informazioni generali sui criteri dell'organizzazione, consulta Introduzione al Servizio Criteri dell'organizzazione.
L'utilizzo di Cloud Interconnect per connettere una rete VPC alla rete on-premise richiede un collegamento VLAN. Un criterio dell'organizzazione per limitare l'utilizzo di Cloud Interconnect consente o nega la creazione di collegamenti VLAN da reti VPC specifiche. Puoi impostare un criterio che consenta o neghi la creazione di collegamenti VLAN da una rete VPC specifica o da tutte le reti VPC in una risorsa di progetto, cartella o organizzazione.
Quando definisci il criterio, puoi utilizzare i seguenti vincoli:
constraints/compute.restrictDedicatedInterconnectUsage
Questo vincolo definisce l'insieme di reti VPC che puoi utilizzare per creare un collegamento VLAN utilizzando Dedicated Interconnect.
constraints/compute.restrictPartnerInterconnectUsage
Questo vincolo definisce l'insieme di reti VPC che puoi utilizzare quando crei un collegamento VLAN utilizzando Partner Interconnect.
Quando imposti un criterio dell'organizzazione, questo limita solo la creazione di attacchi VLAN in futuro. Il criterio non influisce sui collegamenti VLAN creati in precedenza.
Se un utente tenta di creare un collegamento VLAN che viola un criterio dell'organizzazione, viene visualizzato un messaggio di errore. Di seguito è riportato un esempio di messaggio di errore
generato dall'esecuzione di gcloud compute interconnects attachments partner create
:
ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource: - Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project. projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.
Questa pagina include procedure di esempio per l'impostazione delle norme dell'organizzazione per limitare l'utilizzo di Cloud Interconnect.
Per ulteriori informazioni, tra cui le procedure generali per l'impostazione dei criteri dell'organizzazione, consulta quanto segue:
Prima di iniziare
Per impostare i criteri dell'organizzazione, devi disporre del ruolo Amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin
).
Impostare un criterio per negare una rete VPC specifica
Per impostare un criterio per negare a una rete VPC specifica l'utilizzo di Cloud Interconnect, segui questi passaggi:
Per trovare l'ID organizzazione, inserisci il seguente comando:
gcloud organizations list
L'output del comando è simile all'esempio seguente:
DISPLAY NAME ID example-organization 29252605212
Crea un file JSON che definisce il criterio. Il seguente file JSON di esempio definisce un criterio che impedisce a
network-1
inproject-1
di utilizzare Dedicated Interconnect:{ "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage", "listPolicy": { "deniedValues": [ "projects/project-1/global/networks/network-1" ] } }
Utilizza il comando
gcloud
Resource Managerset-policy
per impostare il criterio dell'organizzazione:gcloud resource-manager org-policies set-policy JSON_FILE_NAME --organization=ORGANIZATION_ID
Sostituisci i seguenti valori:
JSON_FILE_NAME
: il nome del file JSON creato nel passaggio precedente, ad esempiopolicy-name.json
ORGANIZATION_ID
: l'ID dell'organizzazione che hai trovato in precedenza
Imposta un criterio per negare tutte le reti VPC
Per impostare un criterio per negare a tutte le reti VPC l'utilizzo di Cloud Interconnect, segui questi passaggi:
Per trovare l'ID organizzazione, inserisci il seguente comando:
gcloud organizations list
L'output del comando è simile all'esempio seguente:
DISPLAY NAME ID example-organization 29252605212
Crea un file JSON che definisce il criterio. Il seguente file JSON di esempio definisce un criterio che impedisce a tutte le reti VPC di utilizzare Dedicated Interconnect:
{ "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage", "listPolicy": { "allValues": "DENY" } }
Utilizza il comando
gcloud
Resource Managerset-policy
per impostare il criterio dell'organizzazione:gcloud resource-manager org-policies set-policy JSON_FILE_NAME --organization=ORGANIZATION_ID
Sostituisci i seguenti valori:
JSON_FILE_NAME
: il nome del file JSON creato nel passaggio precedente, ad esempiopolicy-name.json
ORGANIZATION_ID
: l'ID dell'organizzazione che hai trovato in precedenza
Impostare un criterio a livello di organizzazione, cartella o progetto
Le sezioni precedenti descrivono come negare una rete VPC specifica o tutte le reti VPC. Puoi anche utilizzare la sintassi descritta in Vincoli dell'elenco per consentire o negare le reti VPC a livello di organizzazione, progetto o cartella.
Passaggi successivi
Per scoprire di più sulle opzioni di Cloud Interconnect, consulta la panoramica di Cloud Interconnect.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud Interconnect, consulta la sezione Risoluzione dei problemi.