Como restringir o uso do Cloud Interconnect

Neste documento, descrevemos como restringir o conjunto de redes de nuvem privada virtual (VPC) que podem usar o Cloud Interconnect.

Por padrão, qualquer rede VPC pode usar o Cloud Interconnect. Para controlar quais redes VPC podem usar o Cloud Interconnect, defina políticas da organização. Para informações gerais sobre políticas da organização, consulte Introdução ao serviço de política da organização.

O uso do Cloud Interconnect para conectar uma rede VPC à sua rede local requer um anexo da VLAN. A política da organização para restringir o uso do Cloud Interconnect permite ou recusa a criação de anexos da VLAN de redes VPC específicas. É possível definir uma política que permita ou recuse a criação de anexos da VLAN de uma rede VPC específica ou de todas as redes VPC em um recurso da organização, do projeto ou da pasta.

É possível usar as seguintes restrições ao definir sua política:

  • constraints/compute.restrictDedicatedInterconnectUsage

    Essa restrição define o conjunto de redes VPC que podem ser usadas ao criar um anexo da VLAN usando a Interconexão dedicada.

  • constraints/compute.restrictPartnerInterconnectUsage

    Essa restrição define o conjunto de redes VPC que podem ser usadas ao criar um anexo da VLAN usando a Interconexão por parceiro.

A definição de uma política da organização só restringe a criação de anexos da VLAN no futuro. A política não afeta anexos da VLAN criados anteriormente.

Se um usuário tentar criar um anexo da VLAN que viole uma política da organização, ele verá uma mensagem de erro. Veja abaixo um exemplo de mensagem de erro da execução de gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

Esta página mostra exemplos de procedimentos para configurar políticas da organização que restringem o uso do Cloud Interconnect.

Para mais informações, como os procedimentos gerais para configurar as políticas da organização, consulte:

Antes de começar

Para definir as políticas da organização, é necessário ter o papel Administrador da política da organização (roles/orgpolicy.policyAdmin).

Como definir uma política para recusar uma rede VPC específica

Para definir uma política para impedir que uma rede VPC específica use o Cloud Interconnect, siga estas etapas:

  1. Encontre o ID da sua organização digitando o seguinte comando:

    gcloud organizations list

    A resposta ao comando se parece com o exemplo a seguir:

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crie um arquivo JSON que defina sua política. O exemplo de arquivo JSON a seguir define uma política que impede que network-1 em project-1 use a Interconexão dedicada.

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "deniedValues": [
          "projects/project-1/global/networks/network-1"
       ]
      }
    }
    
  3. Use o comando gcloud do Resource Manager set-policypara definir a política da organização:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    Substitua os seguintes valores:

    • JSON_FILE_NAME: é o nome do arquivo JSON criado na etapa anterior, como policy-name.json.

    • ORGANIZATION_ID: o ID da organização que você encontrou anteriormente.

Como definir uma política para recusar todas as redes VPC

Para definir uma política para impedir que todas as redes VPC usem o Cloud Interconnect, siga estas etapas:

  1. Encontre o ID da sua organização digitando o seguinte comando:

    gcloud organizations list

    A resposta ao comando se parece com o exemplo a seguir:

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crie um arquivo JSON que defina sua política. O exemplo de arquivo JSON a seguir define uma política que impede todas as redes VPC de usar a Interconexão dedicada.

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "allValues": "DENY"
       }
    }
    
  3. Use o comando gcloud do Resource Manager set-policypara definir a política da organização:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    Substitua os seguintes valores:

    • JSON_FILE_NAME: é o nome do arquivo JSON criado na etapa anterior, como policy-name.json.

    • ORGANIZATION_ID: o ID da organização que você encontrou anteriormente.

Como definir uma política no nível da organização, da pasta ou do projeto

As seções anteriores descrevem como negar uma rede VPC específica ou todas as redes VPC. É possível também usar a sintaxe descrita em Restrições de lista para permitir ou negar redes VPC no nível da organização, do projeto ou da pasta.

A seguir