Restringe el uso de Cloud Interconnect

En este documento, se describe cómo restringir el conjunto de redes de nube privada virtual (VPC) que pueden usar Cloud Interconnect.

De forma predeterminada, cualquier red de VPC puede usar Cloud Interconnect. Puedes establecer una política de la organización para controlar qué redes de VPC pueden usar Cloud Interconnect. Para obtener información general sobre las políticas de la organización, consulta Introducción al Servicio de políticas de la organización.

El uso de Cloud Interconnect para conectar una red de VPC a tu red local requiere un adjunto de VLAN. Una política de la organización para restringir el uso de Cloud Interconnect permite o rechaza la creación de adjuntos de VLAN desde redes de VPC especificadas. Puedes establecer una política que permita o rechace la creación de adjuntos de VLAN desde una red de VPC específica o todas las redes de VPC en un proyecto, carpeta o recurso de organización.

Puedes usar las siguientes restricciones cuando definas tu política:

  • constraints/compute.restrictDedicatedInterconnectUsage

    Esta restricción define el conjunto de redes de VPC que puedes usar cuando creas un adjunto de VLAN mediante la interconexión dedicada.

  • constraints/compute.restrictPartnerInterconnectUsage

    Esta restricción define el conjunto de redes de VPC que puedes usar cuando creas un adjunto de VLAN mediante la interconexión de socio.

Cuando configuras una política de la organización, solo restringe la creación de adjuntos de VLAN en el futuro. La política no afecta los adjuntos de VLAN creados con anterioridad.

Si un usuario intenta crear un adjunto de VLAN que infringe una política de la organización, verá un mensaje de error. A continuación, se muestra un mensaje de error de ejemplo de la ejecución de gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

En esta sección, se incluyen procedimientos de ejemplo para configurar políticas de la organización a fin de restringir el uso de Cloud Interconnect.

Si deseas obtener más información, incluidos los procedimientos generales para configurar las políticas de la organización, consulta los siguientes vínculos:

Antes de comenzar

Para configurar las políticas de la organización, debes tener la función Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).

Configura una política para rechazar una red de VPC específica

Para establecer una política que impida que una red de VPC específica el uso de Cloud Interconnect, sigue estos pasos:

  1. Ingresa el siguiente comando para buscar el ID de la organización:

    gcloud organizations list

    El resultado del comando se ve como el siguiente ejemplo.

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crea un archivo JSON que defina la política. El siguiente JSON de ejemplo define una política que impide que network-1 en project-1 use la interconexión dedicada.

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "deniedValues": [
          "projects/project-1/global/networks/network-1"
       ]
      }
    }
    
  3. Usa el comando gcloud de Resource Manager set-policy para configurar la política de la organización:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    Reemplaza los siguientes valores:

    • JSON_FILE_NAME: el nombre del archivo JSON que creaste en el paso anterior, como policy-name.json

    • ORGANIZATION_ID: el ID de la organización que encontraste con anterioridad

Configura una política para rechazar todas las redes de VPC

Para establecer una política que niegue que todas las redes de VPC usen Cloud Interconnect, sigue estos pasos:

  1. Ingresa el siguiente comando para buscar el ID de la organización:

    gcloud organizations list

    El resultado del comando se ve como el siguiente ejemplo.

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crea un archivo JSON que defina la política. El siguiente JSON de ejemplo define una política que impide que todas las redes de VPC usen la interconexión dedicada.

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "allValues": "DENY"
       }
    }
    
  3. Usa el comando gcloud de Resource Manager set-policy para configurar la política de la organización:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    Reemplaza los siguientes valores:

    • JSON_FILE_NAME: el nombre del archivo JSON que creaste en el paso anterior, como policy-name.json

    • ORGANIZATION_ID: el ID de la organización que encontraste con anterioridad

Configura una política a nivel de la organización, la carpeta o el proyecto

En las secciones anteriores, se describe cómo denegar una red de VPC específica o todas las redes de VPC. También puedes usar la sintaxis descrita en Restricciones de listas para permitir o denegar redes de VPC a nivel de la organización, del proyecto o de la carpeta.

¿Qué sigue?