每项服务所使用的资源受位置的影响会有所不同。在向您的组织政策添加资源位置限制条件之前,请先查看以下相应部分,了解要应用该政策的目标资源将如何表现。
Agent Assist
当您在 Agent Assist 中创建 conversation profile 或 knowledge base 资源时,系统会强制执行组织政策。两项资源都是区域级资源。
如需查看可用位置和限制的列表,请参阅 Agent Assist 区域化和数据驻留页面。
Apigee
创建以下 Apigee 资源时,系统会强制执行资源位置限制条件:
如需查看可用位置的列表,请参阅 Apigee 位置。
如需详细了解如何设置具有资源位置限制条件的组织政策,请参阅限制资源位置。
AI Platform
资源位置限制适用于以下 AI Platform 资源:
AI Platform Training 和 AI Platform Prediction 资源仅支持区域位置。对多区域位置和地区位置的限制条件对 AI Platform 没有影响。但是,对包含区域的值组的限制确实起作用。例如,组织政策中的值 asia 对 AI Platform 没有影响,但值 in:asia-locations 对其有影响。
了解有关可用于 AI Platform Training 的区域和可用于 AI Platform Prediction 的区域的更多信息。
AlloyDB for PostgreSQL
系统会在创建集群、实例和特定类型的备份时强制执行组织政策。按需备份的创建受组织政策的约束;如果启用了自动和连续备份,则不必创建自动和连续备份以防止数据丢失。
AlloyDB for PostgreSQL 仅支持区域位置。对多区域位置和可用区位置的限制不会产生任何影响。但是,对包含区域的值组的限制会产生影响。例如,组织政策中的值 asia 不会产生任何影响,但值 in:asia-locations 会产生影响。
如需查看可用位置的列表,请参阅 AlloyDB for PostgreSQL 位置。
反洗钱 AI
资源位置限制条件适用于所有反洗钱 AI 资源,并且会在创建资源时强制执行。
如需查看可用位置的列表,请参阅 AML AI 位置。
Apigee Integration API
如果您使用 Apigee Integrations API 创建以下资源,则系统会强制执行组织政策:
- 集成
- 授权配置 (AuthConfig)
- 用于 AuthConfig 的证书
- 集成版本
- SFDC (Salesforce) 渠道
- SFDC (Salesforce) 实例
运行、安排或测试集成时,系统也会强制执行组织政策。
Apigee 集成因区域而异。也就是说,在特定区域中创建的集成只能访问该区域内的资源。
如需查看可创建集成的可用位置列表,请参阅支持的区域。
App Engine
App Engine 是 application 资源的属性。在所有环境中,系统都会在您创建 application 时实施位置属性。您只能在每个项目中创建一个 App Engine application。系统会自动在与 application 相同的位置创建一个 Cloud Storage 存储桶。如果您创建的 application 具有不符合组织政策的大范围位置,那么您必须创建新的项目和 App Engine application。
如果您停用了 application,则该应用未来不会再提供服务,但复制的代码和数据仍会保留在 application 的存储位置中。如需完全清除该数据,请删除父项目。
App Engine 柔性环境以 Compute Engine 为构建基础。 如果任何自动扩缩实例的位置不在组织政策所定义的允许位置列表中,则扩缩操作可能会失败。
如需查看可用位置的列表,请参阅 App Engine 位置。
Application Integration API
当您使用 Application Integration API 创建以下资源时,系统会强制执行组织政策:
运行、安排或测试集成时,系统也会强制执行组织政策。
Application Integration 是区域级的,这意味着在特定区域中创建的集成只能访问该区域内的资源。
如需查看可用位置的列表,请参阅 Application Integration 位置。
限制
以下 Application Integration 资源不支持您指定的资源位置限制条件:
- “发送电子邮件”任务的电子邮件主题和电子邮件正文
- AuthConfig 证书
Artifact Registry
您可以在多区域或单区域中创建代码库。Artifact Registry 会在您创建代码库时强制执行组织政策。
系统不会以追溯方式实施组织政策合规性。 即使代码库位置被资源位置组织政策拒绝,工件也可以添加到任何现有代码库。 如需对现有代码库强制执行新的资源位置组织政策, 请在应用该组织政策后创建新的代码库,然后将工件从旧代码库迁移到新代码库。您可以使用 gcrane 工具在代码库之间复制映像。
如需查看可用位置的列表,请参阅 Artifact Registry 文档。
Backup for GKE
当您创建前两个区域资源中的任何一个时,系统会强制执行组织政策:
BackupPlan:此资源的位置决定了在此方案下创建的备份的所有备份数据的目标区域。一个项目中可以有多个BackupPlan资源。RestorePlan:此资源的位置用于控制将备份中的数据恢复到的目标集群的允许区域。一个项目中可以有多个RestorePlan资源
如需了解详情,请参阅 Backup for GKE 位置。
BigQuery
BigQuery dataset 资源可以是单区域资源,也可以是多区域资源。系统不会以追溯方式实施组织政策合规性。如需对现有的 dataset 实施新的资源位置限制条件,请删除 dataset 资源,然后使用应用于父资源的组织政策重新创建该资源。
您可以在位于资源位置组织政策所拒绝位置的 dataset 资源内创建 Database 资源。dataset 资源的位置对 database 资源的位置没有决定性作用。如需对现有的 database 实施新的资源位置限制条件,请删除 database 资源,然后使用应用于父资源的组织政策重新创建该资源。
如需查看可用位置的列表,请参阅 BigQuery 数据集位置页面。
BigQuery Migration Service
MigrationWorkflow 资源介绍了构成迁移工作流的任务和子任务。运行迁移评估或 SQL 转换时,您可以使用 Google Cloud 控制台或 API 创建迁移实例。必须在其使用的资源所在的位置创建迁移工作流。例如,如果您的 BigQuery 数据集和 Cloud Storage 存储桶位于 US 多区域,那么可以在 US 多区域或 us-west1 区域创建迁移工作流。
只有在创建迁移工作流时才会检查组织政策,因为它是不可变的资源。
如需查看可用位置的列表,请参阅 BigQuery Migration Service 位置。
Certificate Authority Service
您可以在任何可用位置创建 CA 服务资源,例如证书模板、证书授权机构 (CA) 池和 CA。这些资源一经创建便无法移动。
您可以使用 Google Cloud CLI 命令复制证书模板。您可以使用 gcloud CLI 命令在另一个受支持的位置创建同名资源。如需了解详情,请参阅创建证书模板。
您可以从同一 CA 池中的现有 CA 克隆 CA。系统将在从其进行克隆的 CA 所在的位置创建这些新 CA。如需了解详情,请参阅创建证书授权机构。
如需查看可用位置的列表,请参阅 CA 服务位置。
Bigtable
Bigtable 实例资源是集群的逻辑容器。每个集群位于一个地区。实例中的所有数据均匀复制到该实例中包含的所有集群。组织政策在创建集群时强制执行。您不能在组织政策拒绝的位置创建新的存储容器。现有实例和集群会继续运行,即使它们位于组织政策后续更改拒绝的位置。
您可以通过在组织策略就位后删除它们并重新创建它们的方法手动纠正违反新组织政策的资源。例如,如果您有一个多集群实例,其中一个集群违反了新的组织策略,则可以将其删除,然后在允许的区域中添加一个新集群。
如需查看可用位置的列表,请参阅 Bigtable 位置页面。
Cloud Build
创建新的区域级 Cloud Build 资源时,系统会强制执行组织政策。虽然您可以在任何区域中创建资源,但 Cloud Build 可确保您选择组织批准的区域。仅当您创建组织政策后,系统才会对非全球区域中新创建的 Cloud Build 资源强制执行组织政策。
如需查看可用区域的列表,请参阅 Cloud Build 位置页面。
Cloud Composer
Cloud Composer 环境是下列资源的逻辑容器。在环境创建过程中,您可以选择环境的位置(区域/地区),并根据所选位置创建基础资源。
Cloud SQL 实例
运行 Airflow 网络服务器的 App Engine 虚拟机
Persistent Disk:用于 Airflow Web 服务器和 GKE 集群
Pub/Sub 主题
使用自定义 Python 依赖项构建和存储 Airflow 映像
未指定位置限制时,根据配置,Composer 可能会在 GKE 集群或使用 Cloud Build 构建 Airflow 映像。如需了解详情,请参阅将 Python 依赖项安装到专用 IP 环境。根据 Composer 版本,Airflow 映像可能存储在所选区域中(使用 Artifact Registry)或所选区域所属的多区域(使用 Container Registry)中。
如果指定了位置限制,则 Cloud Composer 会在环境的 GKE 集群中构建 Airflow 映像,并将其存储在所选区域的 Artifact Registry 代码库中。
Cloud Monitoring:环境存储指标以及在您指定的区域中执行 Airflow DAG
- 某些指标标签可能包含 DAG 和 Cloud Composer 环境的名称。
Cloud Logging:默认情况下,Cloud Composer 将存储在 Cloud Logging 中,这是一项全球性的 Google Cloud 服务。如果您要将 Cloud Composer 日志存储在特定位置,则必须将日志重定向到此位置的 Cloud Storage 存储桶。
如需查看可用位置的列表,请参阅 Cloud Composer 区域。
如需详细了解 Cloud Composer 环境的详细架构,请参阅 Cloud Composer 文档。
Cloud Data Fusion
系统会在您创建实例时强制执行组织政策。此实例是在您指定的区域中创建的区域级资源。
使用客户管理的加密密钥 (CMEK) 创建实例时,密钥位置必须与实例位置相同。
默认情况下,Cloud Data Fusion 会在每个流水线的实例所在的区域中创建临时 Dataproc 集群。这些临时集群的位置可以更改,但资源位置组织政策不强制执行该位置。对于静态 Dataproc 集群,您可以使用 Dataproc 支持的任何位置,而资源位置组织政策不会强制执行这些位置。
如需查看可用位置的列表,请参阅支持 Cloud Data Fusion 的区域。
Cloud Deploy
以下是 Cloud Deploy 资源类型:
- 交付流水线
- 目标
- 发布版本
- 发布
- 作业运行
所有 Cloud Deploy 资源均在创建交付流水线的同一区域中创建。
如果您有不允许使用特定位置的组织政策,则无法在该区域(交付流水线、目标、版本或发布)中创建任何 Cloud Deploy 资源。
如需查看 Cloud Deploy 服务及其资源的可用位置列表,请参阅关于 Cloud Deploy 区域。
Cloud Functions
系统会在您创建或更新 Cloud Function 资源时强制执行组织政策。它不会对任何现有资源强制执行。
如需查看可用区域的列表,请参阅 Cloud Functions 位置。
Cloud Healthcare API
创建 dataset 资源时,将强制执行组织政策。dataset 资源是区域资源或多区域资源。可以将数据存储资源(例如 FHIR 存储)或其他较低级别的资源(例如 HL7v2 消息)添加到任何现有的 dataset 中,即使 dataset 资源位于组织拒绝的位置政策。为确保您的资源符合资源位置限制,请在应用组织策略后创建新的 dataset 资源,然后将数据从旧的 dataset 资源迁移到新的资源。
如需查看可用位置的列表,请参阅 Cloud Healthcare API 区域。
Cloud Interconnect
您可以在任何区域创建 Cloud 互连连接。但无法选择可用区。组织政策在创建 Cloud 互连连接时强制执行。
如需查看可用区域的列表,请参阅 Compute Engine 区域和可用区页面。
Cloud Intrusion Detection System
当您创建 Cloud IDS 端点(一种可用区级资源)时,系统会强制执行组织政策。系统不会以追溯方式实施组织政策合规性。现有端点将继续运行,即使它们位于组织政策拒绝的位置也是如此。要对现有 Cloud IDS 端点强制执行新的资源位置限制条件,请删除该实例,然后使用所应用的组织政策重新创建该实例。
如需查看可用位置的列表,请参阅按位置提供的产品。
Cloud Key Management Service
您可以在单区域位置、双区域位置、多区域位置或全球位置创建 Cloud KMS 资源。系统将在您创建该资源时实施组织政策。
如需了解详情,请参阅 Cloud KMS 的位置页面。
Cloud Logging
系统会在您创建新的日志存储分区时实施组织政策。虽然您可以在任何区域中创建新存储桶或者将其位置设置为 global,但 Logging 可以确保您选择组织批准的区域。创建组织政策后,仅在新创建的日志存储分区上实施组织政策
如需查看可用区域的列表,请参阅 Cloud Logging 存储概览页面的区域化部分。
Cloud NAT
您可以在任何区域位置创建 Cloud NAT 网关。但是,您无法为 Cloud NAT 网关选择区域。组织政策在您创建 Cloud NAT 网关时强制执行。
如需查看可用的区域位置列表,请参阅 Compute Engine 区域和可用区页面。
Cloud Router
您可以在任何区域位置创建 Cloud Router 路由器。但是,您无法为 Cloud Router 路由器选择区域。组织政策在您创建 Cloud Router 路由器时强制执行。
如需查看可用的区域位置列表,请参阅 Compute Engine 区域和可用区页面。
Cloud Load Balancing
可以在任何区域位置创建使用以下产品的负载平衡器:
- 区域外部应用负载均衡器
- 区域外部代理网络负载均衡器
- 区域内部应用负载均衡器
- 区域内部代理网络负载均衡器
- 外部直通式网络负载均衡器
- 内部直通式网络负载均衡器
但是,您无法为这些负载平衡器选择可用区。系统会在您创建负载均衡资源时强制执行组织政策。
如需查看可用的区域位置列表,请参阅 Compute Engine 区域和可用区页面。
Google Cloud Armor
创建 Google Cloud Armor 安全政策时,系统会根据您在创建请求中指定的区域强制执行组织政策。系统不会对现有资源强制执行该政策。全球资源不受资源位置限制条件的约束。
如需查看可用的区域位置列表,请参阅 Compute Engine 区域和可用区页面。
Cloud Run
系统会在您创建顶级资源(例如 Service)时强制执行组织政策。它不会针对任何现有资源或现有资源更新强制执行,即使这些更新会导致创建较低级别的资源(例如 Revision)也是如此。
如需查看可用区域的列表,请参阅 Cloud Run 位置页面。
Spanner
系统会在您创建实例时实施组织政策。实例是单区域或多区域资源。如果某个实例遭到资源位置组织政策屏蔽,那么您必须删除该实例才能让资源符合政策。被资源位置组织政策屏蔽的实例仍然可以读取、写入和创建数据库资源。
如需查看可用位置的列表,请参阅 Spanner 实例页面。
Cloud SQL
系统会在您创建实例时实施组织政策。该实例是区域资源,将创建不会实施资源位置限制的地区数据库。创建读取副本或数据库克隆时,新资源会被定位到与原始资源相同的位置,因此系统不会实施资源位置组织政策。
如需查看可用位置的列表,请参阅 Cloud SQL 实例位置页面。
Cloud Storage
系统会在您创建 bucket 资源时实施组织政策。Bucket 资源是单区域或多区域资源。Object 资源可以添加到任何现有 bucket,即使 object 位于资源位置组织政策所拒绝的位置也是如此。为确保您的资源符合资源位置组织政策,请在应用组织政策后创建新的 bucket 资源,然后将数据从旧 bucket 资源迁移到新资源。
如需查看可用位置的列表,请参阅 Cloud Storage 存储分区位置页面。
Cloud Tasks
系统会在您创建队列时强制执行组织政策。系统不会对设置组织政策之前创建的队列或更新此类队列强制执行政策。
如需查看可用位置的列表,请参阅按位置提供的产品。
限制
限制适用于以下区域:
us-central1us-central2(专用 Google Cloud 区域)
如需允许在上述任一区域中创建队列,您必须在组织政策中同时包含 us-central1 和 us-central2。即使您的组织不使用专用区域,您也可以在组织政策中添加区域 us-central2。
Cloud Translation - 高级版 API (v3)
如需确保您的 Cloud Translation 资源符合资源位置限制条件,请在创建资源时指定区域端点。资源位置限制条件会在您创建 Cloud Translation 资源时强制执行。
如需了解如何使用区域性端点,请参阅指定区域性端点。
Cloud VPN
您可以在任何区域位置创建 Cloud VPN 网关。但是,您无法为 Cloud VPN 网关选择可用区。组织政策会在您创建 Cloud VPN 网关时强制执行。
如需查看可用的区域位置列表,请参阅 Compute Engine 区域和可用区页面。
Cloud Workstations
创建新的区域级资源(例如工作站集群、工作站配置和工作站)时,系统会强制执行组织政策。创建工作站配置可能会导致创建 Compute Engine 永久性磁盘和虚拟机,因此您只能在组织政策允许的地区创建这些资源。
如需查看可用位置的列表,请参阅 Cloud Workstations 位置。
Compute Engine
Compute Engine 提供了多种资源,这些资源可以是全球资源、区域资源或地区资源。区域和地区资源受资源位置的限制。全局资源不受资源位置限制,但是某些全局资源使用区域和地区资源;这些区域和地区资源受资源位置限制。
例如,实例模板是全局资源,但是您可以在实例模板中指定区域或地区磁盘。这些磁盘受资源位置限制,因此,在实例模板中,必须在组织策略允许的区域和地区中指定磁盘。
限制
所有 Compute Engine 资源均支持您指定的资源位置限制,以下情况除外。
快照和映像
- 创建快照或映像时,必须在允许的位置指定存储位置,否则快照或映像的创建可能会失败。
托管实例组
某些托管实例组 (MIG) 操作依赖于允许地区中虚拟机的创建或重新创建。这些操作包括:横向扩容(手动或通过自动扩展)、自动修复、自动更新和主动实例重新分配。为了使这些操作成功,您的 MIG 必须存在于组织的资源位置限制所允许的位置。
在允许的位置创建 MIG。对于区域 MIG,选择不受位置限制的地区。
如果您已有可用区级或区域级 MIG,并且稍后设置了资源位置限制条件,则 MIG 操作如果违反该限制条件,操作将会失败。您必须在允许的位置重新创建 MIG。
单租户节点
- 如果您已有一个节点组,并且稍后设置了资源位置限制条件,则当该组的位置违反该限制条件时,您无法通过手动方式或通过自动扩缩来为这个组扩容以添加新的主机。
如需查看可用位置的列表,请参阅 Compute Engine 区域和地区页面。
Config Controller
Config Controller 使用 Compute Engine 区域和可用区。创建集群时,系统会在 Compute Engine 资源层级强制执行资源位置。如需通过添加更多实例来扩缩集群,这些新增实例也必须位于允许的位置。
如需创建具有足够冗余的集群,请使用值组来控制受限制的位置。如果手动设置位置,则该区域中的所有可用区都必须在允许列表中才能具有相同的冗余级别。如果进行调节的任何位置不在组织政策中定义的允许位置列表中,则自动调节集群可能会发生故障。
Contact Center AI Insights
当您在 Contact Center AI Insights 中创建 conversation 时,系统会强制执行组织政策。conversation 资源是区域级资源。
如需查看可用位置的列表,请参阅 Contact Center AI 数据分析位置页面。
Dataflow
系统会在您创建 job 时实施组织政策。job 是同时使用 Cloud Storage 和 Compute Engine 的区域资源。
您可以通过指定地区参数,将 Compute Engine 工作器配置为在作业所在区域以外的地区执行。在这种情况下,Dataflow 控制面板将在指定区域执行,而数据处理工作器将在指定地区执行。如果您未指定工作器所在的地区,则系统将在被配置为运行 job 的区域内创建工作器。
如果您未指定 job 所在的地区,则工作器的位置将位于被配置为运行 job 的区域内的某个地区。
Dataflow 将根据地区的可用容量来选择地区。job 所在区域内的所有地区都应设为资源位置组织政策允许的值。
如果进行伸缩的任何位置不在组织政策中定义的允许位置列表中,则自动伸缩集群可能会发生故障。
如需查看可用位置的列表,请参阅 Dataflow 区域端点页面。
Dataform
Dataform 资源是区域性的。创建 Dataform 代码库时,该代码库及其所有子资源将限制为创建代码库时指定的区域。
如需查看可用位置的列表,请参阅 Dataform 位置。
Dataproc
当您创建 cluster 时,系统会根据您在创建请求中指定的区域实施组织政策。当调用 submit 方法时,job 的位置受其父级 cluster 的位置约束。
如需查看可用位置的列表,请参阅 Dataproc 区域端点页面。
Dataproc Metastore
当您创建 service 时,系统会根据您在创建请求中指定的区域实施组织政策。当调用 importMetadata 和 backupService 方法时,backups 和 metadataImports 的位置受其父级 service 的位置限制。
如需查看可用位置的列表,请参阅 Dataproc Metastore 位置页面。
数据存储区
Datastore database 资源直接依赖于父项目中的 App Engine 应用及其定义的位置。如果您停用 App Engine 应用,则系统将阻止对关联数据库的 API 访问。如需从物理位置删除复制的数据,请按 App Engine 部分中的说明删除项目。
如需查看可用位置的列表,请参阅 Datastore 位置页面。
Dialogflow
当您在 Dialogflow CX 中创建 agent 或 location setting 资源时,系统会强制执行组织政策(Dialogflow ES 尚未强制执行组织政策)。agent 资源和 location setting 资源均为区域或多区域资源。其他 Dialogflow 资源(例如 intents 或 flows)可以添加到任何现有 agent,即使 agent 资源位于组织政策。为确保您的资源符合资源位置限制,请在应用组织策略后创建新的 agent 资源,然后将数据从旧的 agent 资源迁移到新的资源。
如需查看可用位置的列表,请参阅 Dialogflow 位置页面。
Document AI
Document AI 资源是区域性的。创建 Processor 或 LabelerPool 资源时,系统会强制执行资源位置组织政策,并限制可以在其中创建或存储新资源的区域。
不会追溯强制执行组织政策遵从。即使父级的资源位置被资源位置组织政策拒绝,也可以在现有父级资源下创建新的 Document AI 资源。如需对现有资源实施新的资源位置限制条件,请删除该资源,然后使用应用的组织政策重新创建该资源。
如需查看可用位置的列表,请参阅 Document AI 多区域支持页面。
Eventarc
系统会在您创建 Eventarc 触发器时强制执行组织政策。系统不会对现有资源或对现有资源的更新强制执行此政策。触发器可以是全球资源,也可以是区域资源。全球资源不受资源位置限制条件的约束。
如果强制执行资源位置限制条件,则只能创建其区域与资源位置限制条件中应用的区域完全匹配或包含在值组中的区域触发器。例如,如果 us-central1 或 us-locations 出现在组织政策中定义的允许位置列表中,您可以创建 us-central1 触发器。
如需查看可用位置的列表,请参阅 Eventarc 位置。
Filestore
系统会在您创建 Filestore 实例(地区资源)时实施组织政策。系统不会以追溯方式实施组织政策合规性。现有实例会继续运行,即使它们位于组织政策拒绝的位置。如需对现有 Filestore 实例执行新的资源位置限制条件,请删除该实例,然后使用已应用组织政策重新创建。
如需查看可用位置列表,请参阅 Filestore 地区和区域页面。
Firestore
Firestore database 资源直接依赖于父项目中的 App Engine 应用及其定义的位置。如果您停用 App Engine 应用,则系统将阻止对关联数据库的 API 访问。如需从物理位置删除复制的数据,请按 App Engine 部分中的说明删除项目。
如需查看可用位置的列表,请参阅 Firestore 位置页面。
舰队
Cloud 舰队 membership 资源仅支持 Compute Engine 区域和可用区中的区域位置。注册集群时,系统会在 membership 资源级别强制执行资源位置。全球和地区位置支持舰队成员资格。
如需创建具有足够冗余的成员,请使用值组来控制受限制的区域。对多区域位置和可用区位置的限制对舰队 membership 没有影响。但是,对包含区域的值组的限制确实会产生影响。例如,组织政策中的值 asia 对舰队成员资格没有影响,但值 in:asia-locations 会产生影响。
Vertex AI 上的生成式 AI
资源位置限制适用于 Vertex AI 资源上的所有生成式 AI。系统不会追溯强制执行组织政策合规性。这意味着应用资源位置限制条件不会影响任何现有资源或对这些资源的更新。
如需查看可用区域的列表,请参阅在 Vertex AI 位置使用生成式 AI。
GKE Multi-cloud
当您使用 GKE Multi-Cloud API 创建以下集群时,系统会强制执行组织政策:
- GKE on AWS
- GKE on Azure
- GKE 关联集群
如需查看可用位置的列表,请参阅每个集群平台的以下页面。
Google Kubernetes Engine
Google Kubernetes Engine 使用 Compute Engine 区域和地区。当您为集群创建虚拟机时,系统会在 Compute Engine 资源级层实施资源位置限制条件。如果您想要通过添加更多实例或添加其他地区来扩展集群,那么这些新添加项也必须位于允许的位置。
若要创建具有足够冗余的集群,请使用值组来控制受限制的位置。如果您手动设置位置,则该区域中的所有地区必须都位于允许列表中才能具有相同的冗余级别。如果进行调节的任何位置不在组织政策中定义的允许位置列表中,则自动调节集群可能会发生故障。
Infrastructure Manager
Infrastructure Manager 使用这些 Google Cloud 区域创建基础架构管理器部署。
此外,Infrastructure Manager 使用 HCL 作为配置语言,通过 Terraform 执行资源。
系统将针对基础架构管理器部署资源以及 HCL 中定义的受支持 Google Cloud 资源强制执行资源位置限制条件。
Integration Connectors API
如果您使用 Integration Connectors API 创建以下资源,系统会强制执行组织政策:
如需查看可用位置的列表,请参阅集成连接器位置。
Looker (Google Cloud Core)
可以在单区域位置创建 Looker (Google Cloud Core) 资源。系统将在您创建该资源时强制执行组织政策。
如需查看可用区域的列表,请参阅创建 Looker (Google Cloud Core) 实例页面。
Managed Service for Microsoft Active Directory
创建托管 Microsoft AD 网域或更新现有 AD 资源时,将强制执行组织政策。托管 Microsoft AD 需要允许的 global 位置。如果不允许 global 位置,则网域创建和资源更新将失败。
Memorystore for Memcached
系统会在您创建实例时强制执行组织政策。该实例是一种区域级资源,可以根据所选节点数创建一个或多个地区缓存。使用纵向扩容操作添加节点时,新资源位于原始实例所在的区域中。系统会在纵向扩容期间强制执行位置组织政策。
如需查看可用位置的列表,请参阅 Memorystore for Memcached 区域和可用区页面。
Memorystore for Redis
系统会在您创建实例时实施组织政策。该实例属于区域级资源,将根据所选实例层级创建一个或多个可用区级缓存。基本层级实例会在指定区域和可用区内部署单个缓存。标准层级实例会部署一个可用区级缓存以及一个或多个位于实例区域内的可用区级缓存副本。创建额外副本时,请将新资源置于原始可用区级缓存所在的区域中。创建额外副本时,系统会强制执行位置组织政策。
如需查看可用位置的列表,请参阅 Memorystore for Redis 区域和可用区页面。
Network Connectivity Center
您可以在全球位置创建 Network Connectivity Center Hub 和 VPC Spoke 资源。您可以在任何单区域位置创建 Network Connectivity Center 混合 Spoke 资源。系统将在您创建该资源时强制执行组织政策。
如需查看可用的区域位置列表,请参阅 Compute Engine 区域和可用区页面。
Network Intelligence Center -Connectivity Tests
您可在全球位置创建 Connectivity Tests 资源。系统将在您创建该资源时强制执行组织政策。
Persistent Disk
系统会在您创建 disk 资源(之后可挂接到虚拟机)时实施组织政策:
- 创建地区
disk资源后,您可以将其挂接到同一地区中的虚拟机实例。 - 创建区域
disk资源后,您可以将其挂接到disk所在的两个地区之一中的虚拟机实例。
系统不会以追溯方式实施组织政策合规性。如需对现有的 disk 资源实施新的资源位置组织政策,您需要删除 disk 资源,然后使用应用于父资源的组织政策重新创建这些资源。
如需查看可用位置的列表,请参阅 Compute Engine 区域和地区页面。
Pub/Sub
资源位置组织政策会影响发布到 topic 的消息可以静态保留的位置。系统会在您将消息发布到 topic 时实施组织政策。请注意,topic 仍然是全球资源,可供已获授权的客户端从世界上的任何位置进行访问。
对组织政策的更改不可追溯,也不会应用于现有的 topics。如果新资源位置限制条件拒绝某个位置,而发布到 topic 的消息已存储在该位置,则系统不会自动移动这些消息。
如需了解详情,请参阅 Pub/Sub 的限制 Pub/Sub 资源位置页面。
Pub/Sub Lite
资源位置组织政策会影响可在其中创建 topic 的位置,而位置将决定消息的永久保留位置。topic 是可用区级资源,但可以从任何位置(包括 Google Cloud 外部)请求消息。
对组织政策的更改不可追溯,也不会应用于现有的 topics。如果新资源位置限制条件拒绝某个位置,而发布到 topic 的消息已存储在该位置,则系统不会自动移动这些消息。
Secret Manager
Secret 可以具有自动复制政策或用户管理的复制政策。
使用自动复制政策时,系统会复制载荷数据,而不会受到任何限制。在使用自动复制政策创建密钥时,Secret Manager 要求允许使用 global 位置。如果不允许 global 位置,则创建密钥将失败。
使用用户管理的复制政策时,载荷数据会复制到一组用户定义的受支持位置。在使用用户管理的复制政策创建密钥时,Secret Manager 要求允许使用复制政策中的所有位置。如果密钥的复制政策中有任何不允许使用的位置,则创建密钥将失败。
系统将在您创建该密钥时实施组织政策。
如需了解详情,请参阅 Secret Manager 的位置页面。
Secure Source Manager
当您创建新的 Secure Source Manager 实例时,系统会强制执行组织政策。Secure Source Manager 会确保您选择组织批准的区域。系统只会在您创建组织政策后区域中新建的 Secure Source Manager 实例实施组织政策。
如需了解详情,请参阅 Secure Source Manager 概览页面。
敏感数据保护
资源位置限制条件适用于所有敏感数据保护资源。
对组织政策的更改不具有追溯性,也不会应用于现有资源。
详细了解支持敏感数据保护的区域。
Speaker ID
资源位置组织政策会影响可以创建 speaker 资源的位置,该位置决定了注册短语和语音图的存储位置。
资源位置组织政策还会影响可以更新 settings 的位置。
详细了解可使用音箱 ID 的地区。
语音转文本
资源位置组织政策会影响可以创建任何 Speech-to-Text 资源的位置。它还会影响 config 资源可以更新的位置。
Speech-to-Text v1 可在 global、eu 和 us 区域使用。详细了解 Speech-to-Text v2 可用区域。
Timeseries Insights API
资源位置限制条件适用于所有 Timeseries Insights API 资源。
Timeseries Insights API 仅支持区域位置。在特定区域中创建的集成只能访问该区域内的资源。对多区域位置和可用区位置的限制对 Timeseries Insights API 没有影响。但是,对包含区域的值组的约束会产生影响。例如,组织政策中的值 asia 对 Timeseries Insights API 没有影响,但值 in:asia-locations 会产生影响。
如需查看可创建集成的可用位置列表,请参阅支持的区域。
Transcoder API
job 和 jobTemplate 资源是区域性资源。您可以在创建资源时指定位置。系统会在您创建资源时强制执行组织政策。
如需查看可用区域的列表,请参阅 Transcoder API 位置。
Vertex AI
除 DataLabelingJob 资源之外,资源位置限制条件适用于所有 Vertex AI 资源。
Vertex AI 仅支持区域位置。对多区域位置和地区位置的限制不会影响 Vertex AI。但是,对包含区域的值组的限制确实起作用。例如,组织政策中的值 asia 对 Vertex AI 没有影响,但值 in:asia-locations 对其有影响。
详细了解可用于 AI Platform Training 的区域。
Vertex AI Search
资源位置限制适用于所有 Vertex AI Search 资源。系统不会追溯强制执行组织政策合规性。这意味着应用资源位置限制条件不会影响任何现有资源或对这些资源的更新。
如需查看可用区域的列表,请参阅 Vertex AI Search 位置。
Workflows
系统会在创建 Workflows 工作流时强制执行组织政策。系统不会对现有资源或对现有资源的更新强制执行此政策。Workflows 属于区域级资源,并且受资源位置限制条件的约束。
如果强制执行资源位置限制条件,则只能创建其区域与资源位置限制条件中应用的区域完全匹配或包含在值组中的工作流。例如,如果 us-central1 或 us-locations 在组织政策中定义的允许位置列表中,您可以创建 us-central1 工作流。
如需查看可用位置的列表,请参阅 Workflows 位置。