Questo documento descrive come limitare l'insieme di reti Virtual Private Cloud (VPC) che possono utilizzare Cloud Interconnect.
Per impostazione predefinita, qualsiasi rete VPC può utilizzare Cloud Interconnect. Per controllare quali reti VPC possono utilizzare Cloud Interconnect, puoi impostare un criterio dell'organizzazione. Per informazioni generali sui criteri dell'organizzazione, consulta la presentazione del servizio Criteri dell'organizzazione.
L'utilizzo di Cloud Interconnect per connettere una rete VPC alla rete on-premise richiede un collegamento VLAN. Un criterio dell'organizzazione per limitare l'utilizzo di Cloud Interconnect consente o nega la creazione di collegamenti VLAN da reti VPC specificate. Puoi impostare un criterio che consente o nega la creazione di collegamenti VLAN da una specifica rete VPC o da tutte le reti VPC in un progetto, una cartella o una risorsa organizzazione.
Puoi utilizzare i seguenti vincoli quando definisci il criterio:
constraints/compute.restrictDedicatedInterconnectUsage
Questo vincolo definisce l'insieme di reti VPC che puoi utilizzare durante la creazione di un collegamento VLAN mediante Dedicated Interconnect.
constraints/compute.restrictPartnerInterconnectUsage
Questo vincolo definisce l'insieme di reti VPC che puoi utilizzare durante la creazione di un collegamento VLAN mediante Partner Interconnect.
Quando imposti un criterio dell'organizzazione, limita solo la creazione di collegamenti VLAN in futuro. Il criterio non influisce sui collegamenti VLAN creati in precedenza.
Se un utente tenta di creare un collegamento VLAN che viola un criterio dell'organizzazione, verrà visualizzato un messaggio di errore. Di seguito è riportato un messaggio di errore di esempio proveniente dall'esecuzione di gcloud compute interconnects attachments partner create
:
ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource: - Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project. projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.
Questa pagina include procedure di esempio per impostare i criteri dell'organizzazione per limitare l'utilizzo di Cloud Interconnect.
Per ulteriori informazioni, incluse le procedure generali per l'impostazione dei criteri dell'organizzazione, vedi quanto segue:
Prima di iniziare
Per impostare i criteri dell'organizzazione, devi avere il ruolo Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin
).
Imposta un criterio per negare una rete VPC specifica
Per impostare un criterio per negare a una rete VPC specifica l'utilizzo di Cloud Interconnect, segui questi passaggi:
Trova l'ID organizzazione inserendo il seguente comando:
gcloud organizations list
L'output comando è simile al seguente esempio:
DISPLAY NAME ID example-organization 29252605212
Crea un file JSON che definisce il criterio. Il seguente file JSON di esempio definisce un criterio che impedisce a
network-1
inproject-1
di utilizzare Dedicated Interconnect:{ "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage", "listPolicy": { "deniedValues": [ "projects/project-1/global/networks/network-1" ] } }
Utilizza il comando
gcloud
Resource Managerset-policy
per impostare il criterio dell'organizzazione:gcloud resource-manager org-policies set-policy JSON_FILE_NAME --organization=ORGANIZATION_ID
Sostituisci i seguenti valori:
JSON_FILE_NAME
: il nome del file JSON creato nel passaggio precedente, ad esempiopolicy-name.json
ORGANIZATION_ID
: l'ID dell'organizzazione trovato in precedenza
Imposta un criterio per negare tutte le reti VPC
Per impostare un criterio per impedire a tutte le reti VPC di utilizzare Cloud Interconnect, segui questi passaggi:
Trova l'ID organizzazione inserendo il seguente comando:
gcloud organizations list
L'output comando è simile al seguente esempio:
DISPLAY NAME ID example-organization 29252605212
Crea un file JSON che definisce il criterio. Il seguente file JSON di esempio definisce un criterio che impedisce a tutte le reti VPC di utilizzare Dedicated Interconnect:
{ "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage", "listPolicy": { "allValues": "DENY" } }
Utilizza il comando
gcloud
Resource Managerset-policy
per impostare il criterio dell'organizzazione:gcloud resource-manager org-policies set-policy JSON_FILE_NAME --organization=ORGANIZATION_ID
Sostituisci i seguenti valori:
JSON_FILE_NAME
: il nome del file JSON creato nel passaggio precedente, ad esempiopolicy-name.json
ORGANIZATION_ID
: l'ID dell'organizzazione trovato in precedenza
Imposta un criterio a livello di organizzazione, cartella o progetto
Le sezioni precedenti descrivono come negare una specifica rete VPC o tutte le reti VPC. Puoi inoltre utilizzare la sintassi descritta in Elenca vincoli per consentire o negare le reti VPC a livello di organizzazione, progetto o cartella.
Passaggi successivi
Per ulteriori informazioni sulle opzioni di Cloud Interconnect, consulta la panoramica di Cloud Interconnect.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud Interconnect, consulta Risoluzione dei problemi.