Limite dell'utilizzo di Cloud Interconnect

Questo documento descrive come limitare l'insieme di reti Virtual Private Cloud (VPC) che possono utilizzare Cloud Interconnect.

Per impostazione predefinita, qualsiasi rete VPC può utilizzare Cloud Interconnect. Per controllare quali reti VPC possono utilizzare Cloud Interconnect, puoi impostare un criterio dell'organizzazione. Per informazioni generali sui criteri dell'organizzazione, consulta la presentazione del servizio Criteri dell'organizzazione.

L'utilizzo di Cloud Interconnect per connettere una rete VPC alla rete on-premise richiede un collegamento VLAN. Un criterio dell'organizzazione per limitare l'utilizzo di Cloud Interconnect consente o nega la creazione di collegamenti VLAN da reti VPC specificate. Puoi impostare un criterio che consente o nega la creazione di collegamenti VLAN da una specifica rete VPC o da tutte le reti VPC in un progetto, una cartella o una risorsa organizzazione.

Puoi utilizzare i seguenti vincoli quando definisci il criterio:

• constraints/compute.restrictDedicatedInterconnectUsage

  Questo vincolo definisce l'insieme di reti VPC che puoi utilizzare durante la creazione di un collegamento VLAN mediante Dedicated Interconnect.

• constraints/compute.restrictPartnerInterconnectUsage

  Questo vincolo definisce l'insieme di reti VPC che puoi utilizzare durante la creazione di un collegamento VLAN mediante Partner Interconnect.

Quando imposti un criterio dell'organizzazione, limita solo la creazione di collegamenti VLAN in futuro. Il criterio non influisce sui collegamenti VLAN creati in precedenza.

Se un utente tenta di creare un collegamento VLAN che viola un criterio dell'organizzazione, verrà visualizzato un messaggio di errore. Di seguito è riportato un messaggio di errore di esempio proveniente dall'esecuzione di gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

Questa pagina include procedure di esempio per impostare i criteri dell'organizzazione per limitare l'utilizzo di Cloud Interconnect.

Per ulteriori informazioni, incluse le procedure generali per l'impostazione dei criteri dell'organizzazione, vedi quanto segue:

• Informazioni sui vincoli
• Utilizzo dei vincoli
• Creazione e gestione dei criteri dell'organizzazione

Prima di iniziare

Per impostare i criteri dell'organizzazione, devi avere il ruolo Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin).

Imposta un criterio per negare una rete VPC specifica

Per impostare un criterio per negare a una rete VPC specifica l'utilizzo di Cloud Interconnect, segui questi passaggi:

1. Trova l'ID organizzazione inserendo il seguente comando:

   gcloud organizations list

   L'output comando è simile al seguente esempio:

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. Crea un file JSON che definisce il criterio. Il seguente file JSON di esempio definisce un criterio che impedisce a network-1 in project-1 di utilizzare Dedicated Interconnect:

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "deniedValues": [
         "projects/project-1/global/networks/network-1"
      ]
     }
   }
   

3. Utilizza il comando gcloud Resource Managerset-policy per impostare il criterio dell'organizzazione:

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   Sostituisci i seguenti valori:

   • JSON_FILE_NAME: il nome del file JSON creato nel passaggio precedente, ad esempio policy-name.json

   • ORGANIZATION_ID: l'ID dell'organizzazione trovato in precedenza

Imposta un criterio per negare tutte le reti VPC

Per impostare un criterio per impedire a tutte le reti VPC di utilizzare Cloud Interconnect, segui questi passaggi:

1. Trova l'ID organizzazione inserendo il seguente comando:

   gcloud organizations list

   L'output comando è simile al seguente esempio:

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. Crea un file JSON che definisce il criterio. Il seguente file JSON di esempio definisce un criterio che impedisce a tutte le reti VPC di utilizzare Dedicated Interconnect:

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "allValues": "DENY"
      }
   }
   

3. Utilizza il comando gcloud Resource Managerset-policy per impostare il criterio dell'organizzazione:

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   Sostituisci i seguenti valori:

   • JSON_FILE_NAME: il nome del file JSON creato nel passaggio precedente, ad esempio policy-name.json

   • ORGANIZATION_ID: l'ID dell'organizzazione trovato in precedenza

Imposta un criterio a livello di organizzazione, cartella o progetto

Le sezioni precedenti descrivono come negare una specifica rete VPC o tutte le reti VPC. Puoi inoltre utilizzare la sintassi descritta in Elenca vincoli per consentire o negare le reti VPC a livello di organizzazione, progetto o cartella.

Passaggi successivi

• Per ulteriori informazioni sulle opzioni di Cloud Interconnect, consulta la panoramica di Cloud Interconnect.

• Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud Interconnect, consulta Risoluzione dei problemi.