Von Ressourcenstandorten unterstützte Dienste

Der Standort wirkt sich auf die von den einzelnen Diensten verwendeten Ressourcen unterschiedlich aus. Bevor Sie bei Ihrer Organisationsrichtlinie die Ressourcenstandorte einschränken, sollten Sie den entsprechenden Abschnitt unten lesen, um zu erfahren, wie sich die Ressourcen, auf die Sie die Richtlinie anwenden möchten, dann verhalten werden.

AI Platform

Für die folgenden AI Platform-Ressourcen gelten Einschränkungen für Ressourcenstandorte:

AI Platform Training- und AI Platform Prediction-Ressourcen unterstützen nur Regionsstandorte. Einschränkungen für multiregionale Standorte und Zonenstandorte haben keine Auswirkungen auf AI Platform. Auf Wertgruppen, die Regionen enthalten, haben Einschränkungen jedoch keine Auswirkungen. Beispielsweise hat der Wert asia in einer Organisationsrichtlinie keine Auswirkungen auf AI Platform, aber der Wert in:asia-locations hat eine Auswirkung.

Weitere Informationen zu für AI Platform Training verfügbare Regionen und Regionen, die für AI Platform Prediction verfügbar sind

App Engine

App Engine ist ein Attribut der Ressource application. Das Attribut "location" wird für alle Umgebungen erzwungen, wenn Sie eine application erstellen. Sie können in jedem Projekt nur eine App Engine-application erstellen. Ein Cloud Storage-Bucket wird automatisch am selben Standort wie die application erstellt. Wenn Sie eine application mit einem breit definierten Standort erstellen, der nicht der Organisationsrichtlinie entspricht, müssen Sie ein neues Projekt und eine neue App Engine-application erstellen.

Wenn Sie eine application deaktivieren, wird sie nicht weiter bereitgestellt. Replizierter Code und Daten bleiben jedoch an den Speicherstandorten der application erhalten. Wenn Sie diese Daten vollständig löschen möchten, löschen Sie das übergeordnete Projekt.

Die flexible App Engine-Umgebung basiert auf Compute Engine. Wenn einer der Standorte, an denen die Skalierung erfolgt, in der Organisationsrichtlinie nicht als zulässiger Standort aufgelistet ist, kann das automatische Skalieren von Instanzen fehlschlagen.

Eine Liste der verfügbaren App Engine-Standorte finden Sie hier.

Compute Engine

Compute Engine bietet eine Vielzahl an Ressourcen, die global, regional oder zonal sein können. Regionale und zonale Ressourcen unterliegen den Einschränkungen des Ressourcenstandorts. Globale Ressourcen unterliegen nicht den Einschränkungen der Ressourcenstandorte, aber einige globale Ressourcen verwenden regionale und zonale Ressourcen. Diese regionalen und zonalen Ressourcen unterliegen den Einschränkungen der Ressourcenstandorte.

Eine Instanzvorlage ist beispielsweise eine globale Ressource. Sie können jedoch regionale oder zonale Laufwerke in einer Instanzvorlage angeben. Diese Laufwerke unterliegen den Einschränkungen für den Ressourcenstandort. Daher müssen Sie in Ihrer Instanzvorlage Laufwerke in Regionen und Zonen angeben, die Ihre Organisationsrichtlinie zulässt.

Beschränkungen

Alle Compute Engine-Ressourcen unterstützen die von Ihnen angegebenen Ressourcenstandortbeschränkungen. Es gibt jedoch folgende Ausnahmen:

  • Snapshots und Images

    • Wenn Sie einen Snapshot oder ein Image erstellen, müssen Sie einen Speicherort an einem zulässigen Standort angeben. Andernfalls schlägt die Erstellung des Snapshots oder Images möglicherweise fehl.
  • Verwaltete Instanzgruppen

    • Einige Vorgänge der verwalteten Instanzgruppe (MIG, Managed Instance Group) unterstützen die Erstellung oder Neuerstellung von VMs in zugelassenen Zonen. Zu diesen Vorgängen gehören: Das Hochskalieren (manuell oder per Autoscaling), die automatische Reparatur, die automatische Aktualisierung und die proaktive Umverteilung von Instanzen. Damit diese Vorgänge erfolgreich sind, müssen Ihre MIGs an Speicherorten vorhanden sein, die nicht gegen die Ressourcenstandorteinschränkungen Ihrer Organisation verstoßen.

    • Erstellen von MIGs an zulässigen Standorten. Wählen Sie für regionale MIGs Zonen aus, die nicht auf einen bestimmten Standort eingeschränkt sind.

    • Wenn Sie eine vorhandene zonale oder eine regionale MIG haben und später eine Ressourcenstandort-Einschränkung festlegen, schlagen MIG-Vorgänge fehl, wenn sie gegen die Einschränkung verstoßen. Sie müssen die MIG an einem zulässigen Standort neu erstellen.

  • Knoten für einzelne Mandanten

    • Wenn Sie eine bereits vorhandene Knotengruppe haben und später eine Ressourcenstandortbeschränkung festlegen, können Sie die Gruppe nicht horizontal skalieren, um neue Hosts hinzuzufügen (manuell oder durch Autoscaling), wenn der Standort der Gruppe gegen die Einschränkung verstößt.
  • HA VPN-Gateway

    • Sie können an jedem Standort ein HA VPN-Gateway erstellen. HA VPN-Gateways sind nicht durch Einschränkungen des Ressourcenstandorts eingeschränkt.

Eine Liste der verfügbaren Standorte finden Sie auf der Compute Engine-Seite Regionen und Zonen.

Google Kubernetes Engine

In Google Kubernetes Engine werden Compute Engine-Regionen und -Zonen verwendet. Die Ressourcenstandorte werden auf der Ebene der Compute Engine-Ressource erzwungen, wenn Sie die VM für einen Cluster erstellen. Wenn Sie einen Cluster durch Einfügen weiterer Instanzen oder anderer Zonen skalieren möchten, müssen sich diese ebenfalls an einem zulässigen Standort befinden.

Verwenden Sie zum Erstellen von Clustern mit ausreichender Redundanz Wertgruppen, um die eingeschränkten Standorte zu steuern. Wenn Sie die Standorte manuell festlegen, müssen alle Zonen in dieser Region zu den zulässigen Standorten gehören, damit sie dieselbe Redundanzstufe haben. Das automatische Skalieren von Clustern kann fehlschlagen, wenn einer der Standorte, an denen die Skalierung erfolgt, in der Organisationsrichtlinie nicht als zulässiger Standort aufgelistet ist.

Cloud Bigtable

Eine Cloud Bigtable-Instanzressource ist ein logischer Container mit Clustern. Jeder dieser Cluster befindet sich in einer Zone. Alle Daten einer Instanz werden einheitlich auf allen in der Instanz enthaltenen Clustern repliziert. Die Organisationsrichtlinie wird beim Erstellen eines Clusters erzwungen. Sie können keine neuen Speichercontainer an einem Standort erstellen, der von der Organisationsrichtlinie abgelehnt wird. Bestehende Instanzen und Cluster funktionieren auch dann weiter, wenn sie sich an Standorten befinden, die durch eine spätere Änderung der Organisationsrichtlinie abgelehnt werden.

Sie können Ressourcen, die gegen eine neue Organisationsrichtlinie verstoßen, manuell korrigieren. Löschen Sie dazu die Ressourcen und erstellen Sie sie neu, nachdem die Organisationsrichtlinie eingeführt wurde. Beispiel: Wenn Sie eine Instanz mit mehreren Clustern wählen, in der ein Cluster gegen eine neue Organisationsrichtlinie verstößt, können Sie diese löschen und dann einen neuen Cluster in einer zulässigen Zone hinzufügen.

Eine Liste der verfügbaren Cloud Bigtable-Standorte finden Sie hier.

Datastore

Die database-Ressourcen von Datastore hängen direkt von der App Engine-Anwendung im übergeordneten Projekt und deren festgelegtem Standort ab. Durch Deaktivieren der App Engine-Anwendung wird der API-Zugriff der verknüpften Datenbank blockiert. Wenn Sie replizierte Daten an den physischen Standorten löschen möchten, löschen Sie das Projekt wie im Abschnitt "App Engine" beschrieben.

Eine Liste der verfügbaren Standorte finden Sie auf der Seite Standorte für Cloud Firestore im Datastore-Modus.

Cloud Spanner

Die Organisationsrichtlinie wird beim Erstellen einer Instanz erzwungen. Instanzen sind entweder regionale oder multiregionale Ressourcen. Wenn eine Instanz durch die Organisationsrichtlinie für Ressourcenstandorte blockiert wird, ist die Konformität der Ressource nur durch Löschen der Instanz gewährleistbar. Auf Instanzen, die durch die Organisationsrichtlinie für Ressourcenstandorte blockiert sind, können weiterhin Lese- und Schreibvorgänge durchgeführt und Datenbankressourcen erstellt werden.

Eine Liste der verfügbaren Standorte finden Sie auf der Cloud Spanner-Seite Instanzen.

Cloud SQL

Die Organisationsrichtlinie wird beim Erstellen einer Instanz erzwungen. Die Instanz ist eine regionale Ressource, die eine zonale Datenbank erstellt, für die der Ressourcenstandort nicht erzwungen wird. Wenn Sie Lesereplikate oder Datenbankklone erstellen, platzieren Sie die neuen Ressourcen in derselben Region wie das Original, sodass die Organisationsrichtlinie für Ressourcenstandorte nicht erzwungen wird.

Eine Liste der verfügbaren Standorte finden Sie auf der Cloud SQL-Seite Instanzstandorte.

Cloud Storage

Die Organisationsrichtlinie wird erzwungen, wenn Sie eine bucket-Ressource erstellen. Bucket-Ressourcen sind regional oder multiregional. Object-Ressourcen können zu allen vorhandenen buckets hinzugefügt werden, auch wenn sich das object an einem Standort befindet, der von der Organisationsrichtlinie für Ressourcenstandorte abgelehnt wird. Wenn Sie prüfen möchten, ob Ihre Ressourcen die Organisationsrichtlinie für Ressourcenstandorte erfüllen, erstellen Sie neue bucket-Ressourcen, nachdem die Organisationsrichtlinie angewendet wurde, und migrieren Sie dann die Daten von den alten bucket-Ressourcen zu den neuen Ressourcen.

Eine Liste der verfügbaren Standorte finden Sie auf der Cloud Storage-Seite Bucket-Standorte.

Nichtflüchtiger Speicher

Die Organisationsrichtlinie wird erzwungen, wenn Sie eine disk-Ressource erstellen, die dann an virtuelle Maschinen angehängt werden kann:

  • Nachdem Sie eine zonale disk-Ressource erstellt haben, können Sie sie an VM-Instanzen in derselben Zone anhängen.
  • Nachdem Sie eine regionale disk-Ressource erstellt haben, können Sie sie an VM-Instanzen in einer der beiden Zonen anhängen, in denen sich disk befindet.

Die Einhaltung der Organisationsrichtlinie wird nicht rückwirkend erzwungen. Wenn Sie eine neue Organisationsrichtlinie für Ressourcenstandorte für vorhandene disk-Ressourcen erzwingen möchten, müssen Sie die disk-Ressourcen löschen und neu erstellen, nachdem die Organisationsrichtlinie auf deren übergeordnete Ressource angewendet wurde.

Eine Liste der verfügbaren Standorte finden Sie auf der Compute Engine-Seite Regionen und Zonen.

BigQuery

BigQuery-dataset-Ressourcen können sowohl regional als auch multiregional sein. Die Einhaltung der Organisationsrichtlinie wird nicht rückwirkend erzwungen. Wenn Sie eine neue Einschränkung der Ressourcenstandorte für ein vorhandenes dataset erzwingen möchten, löschen Sie die Ressource dataset und erstellen Sie sie noch einmal, nachdem die Organisationsrichtlinie auf deren übergeordnete Ressource angewendet wurde.

Sie können innerhalb einer dataset-Ressource Database-Ressourcen mit einem Standort erstellen, der von der Organisationsrichtlinie für Ressourcenstandorte abgelehnt wird. Der Standort der Ressource dataset bestimmt nicht den Standort der Ressource database. Wenn Sie eine neue Einschränkung der Ressourcenstandorte für eine vorhandene disk-Ressource erzwingen möchten, löschen Sie die Ressource disk und erstellen Sie sie noch einmal, nachdem die Organisationsrichtlinie auf deren übergeordnete Ressource angewendet wurde.

Eine Liste der verfügbaren Standorte finden Sie auf der BigQuery-Seite Dataset-Standorte.

Dataflow

Die Organisationsrichtlinie wird erzwungen, wenn Sie einen job erstellen. Ein job ist eine regionale Ressource, die sowohl Cloud Storage als auch Compute Engine verwendet. Sie können Compute Engine-Worker durch Angabe des Zonenparameters so konfigurieren, dass sie in einer Zone außerhalb der Jobregion ausgeführt werden. Die Dataflow-Steuerungsebene wird in diesem Fall in der angegebenen Region ausgeführt, während Datenverarbeitungs-Worker in der festgelegten Zone ausgeführt werden. Wenn Sie für die Worker keine Zone angeben, werden die Worker in der Region erstellt, in der der job ausgeführt wird.

Wenn Sie die Zone von job nicht angeben, werden die Worker in einer der Zonen in der Region erstellt, in der der job ausgeführt wird. Dataflow wählt die Zone anhand der verfügbaren Kapazität in der Zone aus. Alle Zonen innerhalb der Region der Ressource job sollten in der Organisationsrichtlinie für Ressourcenstandorte als zulässige Werte festgelegt sein.

Wenn einer der Standorte, an denen die Skalierung erfolgt, in der Organisationsrichtlinie nicht als zulässiger Standort aufgelistet ist, kann das automatische Skalieren von Clustern fehlschlagen.

Eine Liste der verfügbaren Standorte finden Sie auf der Dataflow-Seite Regionale Endpunkte.

Dataproc

Wenn Sie einen cluster erstellen, wird die Organisationsrichtlinie auf Basis der Region erzwungen, die Sie in der Erstellungsanfrage angegeben haben. Wenn die Methode submit aufgerufen wird, wird der Standort einer job-Ressource an den Standort des clusters gebunden, der deren übergeordnete Ressource ist.

Eine Liste der verfügbaren Standorte finden Sie auf der Dataproc-Seite Regionale Endpunkte.

Pub/Sub

Die Organisationsrichtlinie für Ressourcenstandorte wirkt sich auf die Standorte aus, in denen die in einem topic veröffentlichten Nachrichten im inaktiven Zustand gespeichert werden können. Die Organisationsrichtlinie wird erzwungen, wenn Sie Nachrichten in einem topic veröffentlichen. Beachten Sie, dass ein topic weiterhin eine globale Ressource ist, auf die autorisierte Clients weltweit zugreifen können.

Änderungen an der Organisationsrichtlinie werden nicht automatisch auf vorhandene topics angewendet. Wenn eine neue Organisationsrichtlinie für Ressourcenstandorte einen Standort ablehnt, an dem Nachrichten, die in einem topic veröffentlicht wurden, bereits gespeichert sind, werden diese Nachrichten nicht automatisch verschoben.

Weitere Informationen finden Sie auf der Pub/Sub-Seite Beschränkung von Ressourcenstandorten.

Cloud Healthcare API

Die Organisationsrichtlinie wird erzwungen, wenn Sie eine dataset-Ressource erstellen. dataset-Ressourcen sind entweder regionale oder multiregionale Ressourcen. Datenspeicherressourcen wie der FHIR-Speicher oder andere untergeordnete Ressourcen wie HL7v2-Nachrichten können zu vorhandenen dataset-Nachrichten hinzugefügt werden, selbst wenn sich die dataset-Ressource an einem von der Organisationsrichtlinie abgelehnten Standort befindet. Um sicherzustellen, dass Ihre Ressourcen den Einschränkungen für den Ressourcenstandort entsprechen, erstellen Sie nach Anwendung der Organisationsrichtlinie neue dataset-Ressourcen und migrieren Sie dann Daten von alten dataset-Ressourcen zu den neuen.

Eine Liste der verfügbaren Standorte findet sich unter Regionen für die Cloud Healthcare API.

Cloud Key Management Service

Cloud KMS-Ressourcen können an regionalen, dual-regionalen, multiregionalen oder globalen Standorten erstellt werden. Die Organisationsrichtlinie wird beim Erstellen der Ressource erzwungen.

Weitere Informationen finden Sie auf der Cloud KMS-Seite Cloud KMS-Standorte.

Managed Service for Microsoft Active Directory

Die Organisationsrichtlinie wird erzwungen, wenn Sie Managed Microsoft AD-Domains erstellen oder vorhandene AD-Ressourcen aktualisieren. Für Managed Microsoft AD muss der Standort global zugelassen sein. Ist der Standort global nicht zulässig, so schlägt das Erstellen der Domain und das Aktualisieren der Ressourcen fehl.

Weitere Informationen dazu, wie Sie die Einschränkung des Ressourcenstandorts auf global anzeigen und aktualisieren.

Secret Manager

Secrets können eine automatische Replikationsrichtlinie oder eine vom Nutzer verwaltete Replikationsrichtlinie haben.

Bei Verwendung einer automatischen Replikationsrichtlinie werden Nutzlastdaten ohne Einschränkung repliziert. Secret Manager muss beim Erstellen eines Secrets mit einer automatischen Replikationsrichtlinie den global-Standort zulassen. Ist der Standort global nicht zulässig, so schlägt das Erstellen des Secrets fehl.

Bei Verwendung einer vom Nutzer verwalteten Replikationsrichtlinie werden Nutzlastdaten in eine benutzerdefinierte Reihe unterstützter Standorte repliziert. Secret Manager erfordert, dass alle Standorte in der Replikationsrichtlinie zugelassen sind, wenn ein Secret mit einer vom Nutzer verwalteten Replikationsrichtlinie erstellt wird. Ist einer der Standorte in der Replikationsrichtlinie eines Secrets nicht zulässig, so schlägt das Erstellen des Secrets fehl.

Die Organisationsrichtlinie wird erzwungen, wenn Sie dieses Secret erstellen.

Weitere Informationen finden sich auf der Seite Standorte des Secret Managers.