Servicios admitidos de las ubicaciones de los recursos

La ubicación afecta los recursos que usa cada servicio de distintas maneras. Antes de agregar una restricción de las ubicaciones de un recurso a tu política de la organización, revisa la sección respectiva a continuación para ver cómo se comportarán los recursos en los que aplicas la política.

AI Platform

Las restricciones de ubicaciones de recursos se aplican a los siguientes recursos de AI Platform:

Los recursos de AI Platform Training y AI Platform Prediction solo admiten ubicaciones regionales. Las restricciones de ubicaciones de varias regiones y ubicaciones de zonas no tienen efecto en AI Platform. Sin embargo, las restricciones sobre grupos de valores que contienen regiones sí tienen un efecto. Por ejemplo, el valor asia en una política de la organización no tiene efecto en AI Platform, pero el valor in:asia-locations sí tiene un efecto.

Obtén más información sobre las regiones disponibles para AI Platform Training y regiones disponibles para AI Platform Prediction.

App Engine

App Engine es una propiedad del recurso application. La propiedad de la ubicación se aplica de forma forzosa en todos los entornos cuando creas una application. Puedes crear solo una application de App Engine en cada proyecto. Se crea un depósito de Cloud Storage de forma automática en la misma ubicación que la application. Si creas una application con una ubicación amplia que no cumple con la política de la organización, deberás crear un proyecto y una application de App Engine nuevos.

Cuando inhabilitas una application, no se entregará en el futuro, pero el código y los datos replicados permanecerán en las ubicaciones en las que se almacenó la application. Para borrar por completo estos datos, borra el proyecto superior.

El entorno flexible de App Engine se compiló sobre Compute Engine. Las instancias de ajuste de escala automático pueden fallar si alguna de las ubicaciones en las que se escala no está en la lista de ubicaciones admitidas que se definen en la política de la organización.

Para obtener una lista de las ubicaciones disponibles, consulta Ubicaciones de App Engine.

Artifact Registry

Puedes crear repositorios en una multirregión o una región. Artifact Registry aplica la política de la organización cuando creas un repositorio.

El cumplimiento de las políticas de la organización no se aplica forzosamente de forma retroactiva.Los artefactos se pueden agregar a cualquier repositorio existente, incluso si la política de la organización de las ubicaciones del recurso rechaza la ubicación del repositorio.Para aplicar una nueva política de la organización de ubicaciones de recursos en repositorios existentes, crea repositorios nuevos después de que se aplica la política de la organización y, luego, migra los artefactos de los repositorios antiguos a los nuevos. Puedes usar la herramienta gcrane para copiar imágenes entre repositorios.

Para obtener una lista de las ubicaciones disponibles, consulta la documentación de Artifact Registry.

BigQuery

Los recursos dataset de BigQuery pueden regionales y multirregionales. El cumplimiento de las políticas de la organización no se aplica forzosamente de forma retroactiva. Para aplicar de forma forzosa una nueva restricción de las ubicaciones del recurso en un dataset existente, borra el recurso dataset y vuelve a crearlo con la política de la organización aplicada en el recurso superior.

Puedes crear recursos Database dentro de un recurso dataset con una ubicación denegada en la política de la organización de las ubicaciones del recurso. La ubicación del recurso dataset no determina la ubicación del recurso database. Para aplicar de forma forzosa una nueva restricción de las ubicaciones del recurso en un disk existente, borra el recurso disk y vuelve a crearlo con la política de la organización aplicada en el recurso superior.

Para obtener una lista de las ubicaciones disponibles, consulta la página Ubicaciones de conjuntos de datos de BigQuery.

Certificate Authority Service

Los recursos del servicio de CA, como las plantillas de certificados, los grupos de autoridades certificadas (CA), y las CA, se pueden crear en cualquier ubicación disponible. Estos recursos no se pueden mover después de la creación.

Las plantillas de certificados se pueden replicar mediante los comandos de la herramienta de línea de comandos de gcloud. Puedes usar comandos de la herramienta de gcloud para crear recursos con el mismo nombre en otra ubicación admitida. Para obtener más información, consulta Crea plantillas de certificados.

Las CA se pueden clonar desde las CA existentes en el mismo grupo de CA. Estas CA nuevas se crean en la misma ubicación que la CA desde la que se clonaron. Para obtener más información, consulta Crea autoridades certificadas.

Para obtener la lista de ubicaciones disponibles, consulta Ubicaciones del Servicio de CA.

Cloud Bigtable

Un recurso de la instancia de Cloud Bigtable es un contenedor lógico de clústeres. Cada uno de estos clústeres está ubicado en una zona. Todos los datos en una instancia se replican de forma uniforme en todos los clústeres que contiene esa instancia. La política de la organización se aplica de forma forzosa cuando se crea un clúster. No puedes crear nuevos contenedores de almacenamiento en una ubicación denegada por la política de la organización. Las instancias y los clústeres existentes seguirán funcionando incluso si se encuentran en ubicaciones denegadas por un cambio posterior en la política de la organización.

Puedes remediar manualmente los recursos que violan una nueva política de la organización si los eliminas y los vuelves a crear una vez que la política de la organización se haya implementado. Por ejemplo, si tienes una instancia de múltiples clústeres en la que un clúster violó una nueva política de la organización, podrías eliminarla y, luego, agregar un nuevo clúster en una zona permitida.

Para obtener una lista de las ubicaciones disponibles, consulta la página Ubicaciones de Cloud Bigtable.

Cloud Composer

Un entorno de Cloud Composer es un contenedor lógico para los recursos enumerados a continuación. Durante el proceso de creación del entorno, eliges una ubicación (región/zona) para el entorno, y los recursos subyacentes se crean según la ubicación seleccionada.

  • Clúster de Google Kubernetes Engine

  • Instancia de Cloud SQL

  • VM de App Engine que ejecutan el servidor web de Airflow

  • Persistent Disks: Los usan el servidor web de Airflow y el clúster de GKE

  • Temas de Pub/Sub

  • Cloud Storage

  • Compila y almacena imágenes de Airflow con dependencias personalizadas de Python

    • Cuando no se especifican restricciones de ubicación, según la configuración, Composer puede compilar imágenes de Airflow dentro del clúster de GKE o mediante Cloud Build. Obtén más información en Instala una dependencia de Python en un entorno de IP privada. Según la versión de Composer, las imágenes de Airflow pueden almacenarse en la región seleccionada (con Artifact Registry) o en la multirregión a la que pertenece la región seleccionada (con Container Registry).

    • Si se especifican restricciones de ubicación, Cloud Composer compila imágenes de Airflow en el clúster de GKE del entorno y las almacena en el repositorio de Artifact Registry de la región seleccionada.

  • Cloud Monitoring: almacena métricas para entornos y ejecuta DAG de Airflow en la región que especifiques.

    • Algunas etiquetas de métricas pueden contener nombres de DAG y entornos de Cloud Composer.
  • Cloud Logging: de forma predeterminada, Cloud Composer se almacena en Cloud Logging, que es un servicio global de Google Cloud. Si quieres almacenar los registros de Cloud Composer en una ubicación específica, debes redireccionar los registros a un bucket de Cloud Storage en esa ubicación.

Para obtener una lista de las ubicaciones disponibles, consulta Regiones de Cloud Composer.

La documentación de Cloud Composer proporciona más información sobre los detalles arquitectónicos de los entornos de Cloud Composer.

API de Cloud Healthcare

La política de la organización se aplica cuando creas un recurso dataset. Los recursos dataset son recursos regionales o multirregionales. Los recursos del almacén de datos, como el almacén FHIR u otros recursos de nivel inferior, como los mensajes HL7v2, se pueden agregar a cualquier dataset existente, incluso si el recurso dataset está en una ubicación que niega la política de la organización. Para garantizar que tus recursos cumplan con la restricción de ubicación de recursos, crea nuevos recursos dataset después de aplicar la política de la organización y, luego, migra los datos de los recursos dataset antiguos a los nuevos.

Para obtener una lista de ubicaciones disponibles, consulta Regiones de la API de Cloud Healthcare.

Cloud Key Management Service

Los recursos de Cloud KMS se pueden crear en ubicaciones regionales, birregionales, multirregionales o globales. La política de la organización se aplicará de forma forzosa en el momento en que creas ese recurso.

Para obtener más información, consulta la página ubicaciones de Cloud KMS.

Cloud Logging

La política de la organización se aplica cuando creas depósitos de registro nuevos. Si bien puedes crear un bucket nuevo en cualquier región o establecer su ubicación en global, Logging garantiza que selecciones una región aprobada por tu organización. La política de la organización solo se aplica en los depósitos de registro recién creados después de que creas la política de la organización.

Para obtener una lista de las regiones disponibles, consulta la sección Regionalización de la página Descripción general del almacenamiento de Cloud Logging.

Cloud Run

La política de la organización se aplica de forma forzosa cuando creas un recurso de nivel superior, como Service. No se aplica en ningún recurso que ya exista ni en actualizaciones de recursos existentes, incluso si esas actualizaciones conducen a la creación de un recurso de nivel inferior, como un Revision.

Para obtener una lista de las regiones disponibles, consulta la página ubicaciones de Cloud Run.

Cloud Spanner

La política de la organización se aplica de forma forzosa cuando creas una instancia. Las instancias son recursos regionales o multirregionales. Si la política de la organización de las ubicaciones del recurso bloquea una instancia, la única forma de hacer que el recurso cumpla es a través de la eliminación de la instancia. Las instancias que bloquea la política de la organización de las ubicaciones del recurso aún permitirán las lecturas, las escrituras y la creación de recursos de bases de datos.

Para obtener una lista de las ubicaciones disponibles, consulta la página Instancias de Cloud Spanner.

Cloud SQL

La política de la organización se aplica de forma forzosa cuando creas una instancia. La instancia es un recurso regional que creará una base de datos zonal, en la que no se aplicará de forma forzosa la ubicación del recurso. Cuando creas réplicas de lectura o clones de bases de datos, ubicas los recursos nuevos en la misma región que el original, por lo que no se aplica de forma forzosa la política de la organización de las ubicaciones del recurso.

Para obtener una lista de ubicaciones disponibles, consulta la página Ubicaciones de las instancias de Cloud SQL.

Cloud Storage

La política de la organización se aplica de forma forzosa cuando creas un recurso bucket. Los recursos Bucket son regionales o multirregionales. Se pueden agregar recursos Object a cualquier bucket existente, incluso si el object se encuentra en una ubicación denegada en la política de la organización de las ubicaciones del recurso. Para asegurarte de que tus recursos cumplan con la política de la organización de las ubicaciones del recurso, crea recursos bucket nuevos después de aplicar la política de la organización y, luego, migra los datos de los recursos bucket antiguos a los nuevos.

Para obtener una lista de las ubicaciones disponibles, consulta la página Ubicaciones de buckets de Cloud Storage.

API de Cloud Translation Advanced (v3)

Para asegurarte de que tus recursos de Cloud Translation cumplan con la restricción de ubicación de recursos, especifica un extremo regional cuando crees el recurso. La restricción de ubicación de recursos se aplica cuando creas un recurso de Cloud Translation.

Para obtener información sobre cómo usar los extremos regionales, consulta Especifica un extremo regional.

Compute Engine

Compute Engine ofrece una variedad de recursos, y estos pueden ser globales, regionales o zonales. Los recursos regionales y zonales están sujetos a las restricciones de ubicación de recursos. Los recursos globales no están sujetos a la restricción de ubicaciones de recursos, pero algunos recursos globales usan recursos regionales y zonales; esos recursos regionales y zonales están sujetos a la restricción de ubicaciones de recursos.

Por ejemplo, una plantilla de instancia es un recurso global, pero puede especificar discos regionales o zonales en una plantilla de instancia. Esos discos están sujetos a las restricciones de ubicaciones de recursos, por lo tanto, en tu plantilla de instancia, debes especificar discos en regiones y zonas que permitan tu política de organización.

Limitaciones

Todos los recursos de Compute Engine admiten las restricciones de ubicación de recursos que especifiques, con las siguientes excepciones.

  • Instantáneas e imágenes

  • Grupos de instancias administrados

    • Algunas operaciones de grupo de instancias administradas (MIG) dependen de la creación o recreación de máquinas virtuales en zonas permitidas. Estas operaciones incluyen: escalamiento horizontal (manual o mediante ajuste de escala automático), reparación automática, actualización automática y redistribución proactiva de instancias. Para que esas operaciones tengan éxito, sus MIG deben existir en ubicaciones permitidas por la restricción de ubicación de recursos de su organización.

    • Crea MIG en ubicaciones permitidas. Para MIG regionales, selecciona zonas que no están restringidas por ubicación.

    • Si tienes un MIG zonal o regional preexistente, y, luego, estableces una restricción de ubicación de recursos, las operaciones de MIG fallarán si violan la restricción. Debes recrear el MIG en una ubicación permitida.

  • Nodos de usuario único

    • Si tienes un grupo de nodos preexistente y luego estableces una restricción de ubicación de recursos, no puedes escalar horizontalmente el grupo para agregar nuevos hosts (manualmente o mediante ajuste de escala automático) si la ubicación del grupo viola la restricción.
  • Puerta de enlace de VPN con alta disponibilidad

    • Puede crear una puerta de enlace de VPN con alta disponibilidad en cualquier ubicación. Las puertas de enlace de VPN con alta disponibilidad no están restringidas por restricciones de ubicación de recursos.

Para obtener una lista de las ubicaciones disponibles, consulta la página Regiones y zonas de Compute Engine.

Dataflow

La política de la organización se aplica de forma forzosa cuando creas un job. Un job es un recurso regional que usa Cloud Storage y Compute Engine. Puedes configurar los trabajadores de Compute Engine para que se ejecuten en una zona fuera de la región del trabajo mediante la especificación del parámetro de la zona. En este caso, el plano de control de Dataflow se ejecutará en la región especificada, mientras que los trabajadores de procesamiento de datos se ejecutarán en la zona especificada. Si no especificas la zona de los trabajadores, estos se crearán dentro de la región en la que se configuró el job para que se ejecute.

Si no especificas la zona del job, la ubicación de los trabajadores estará en una de las zonas dentro de la región en la que se configuró el job para que se ejecute. Dataflow seleccionará la zona en función de la capacidad disponible en la zona. Todas las zonas dentro de la región del job se deben configurar como valores admitidos en la política de la organización de las ubicaciones del recurso.

Los clústeres de ajuste de escala automático pueden romperse si alguna de las ubicaciones en las que se escala no está en la lista de ubicaciones admitidas definidas en la política de la organización.

Para obtener una lista de las ubicaciones disponibles, consulta la página Extremos regionales de Dataflow.

Dataproc

Cuando creas un cluster, la política de la organización se aplica de forma forzosa en función de la región que especificaste en la solicitud de creación. A la ubicación de un job la vincula la ubicación del cluster, que es su superior, cuando se llama al método submit.

Para obtener una lista de las ubicaciones disponibles, consulta la página Extremos regionales de Dataproc.

Dataproc Metastore

Cuando creas un service, la política de la organización se aplica de forma forzosa en función de la región que especificaste en la solicitud de creación. La ubicación de backups y metadataImports está vinculada por la ubicación de service, que es su superior, cuando se llama a los métodos importMetadata y backupService.

Para obtener una lista de las ubicaciones disponibles, consulta la página sobre las ubicaciones de Dataproc Metastore.

Datastore

Los recursos database de Datastore dependen directamente de la aplicación de App Engine en el proyecto superior y su ubicación definida. La inhabilitación de la aplicación de App Engine bloqueará el acceso a la API para la base de datos asociada. Para borrar datos replicados de las ubicaciones físicas, borra el proyecto como se describe en la sección App Engine.

Para obtener una lista de las ubicaciones disponibles, consulta la página sobre las ubicaciones de Datastore.

Dialogflow

La política de la organización se aplica cuando creas un recurso agent o location setting en Dialogflow CX (Dialogflow ES aún no aplica la política de la organización). Los recursos agent y location setting son regionales o multirregionales. Se pueden agregar otros recursos de Dialogflow, como intents o flows, a cualquier agent existente, incluso si el recurso agent está en una ubicación rechazada por el política de la organización. Para asegurarte de que los recursos cumplan con la restricción de ubicación de recursos, crea recursos agent nuevos después de aplicar la política de la organización y, luego, migra los datos de los recursos agent anteriores a los nuevos.

Para obtener una lista de las ubicaciones disponibles, consulta la página Ubicaciones de Dialogflow.

Document AI

Los recursos de Document AI son regionales. Cuando creas un recurso Processor o LabelerPool, la política de la organización de ubicación de recursos se aplica y restringe las regiones en las que se pueden crear o almacenar nuevos recursos.

El cumplimiento de las políticas de la organización no se aplica forzosamente de forma retroactiva. Los recursos nuevos de Document AI se pueden crear en recursos superiores existentes, incluso si la política de la organización de las ubicaciones del recurso rechaza la ubicación del recurso superior. Para aplicar una restricción de ubicación de recursos nueva a un recurso existente, bórralo y vuelve a crearlo con la política de la organización aplicada.

Si deseas obtener una lista de las ubicaciones disponibles, consulta la página Asistencia multirregional de Document AI.

Eventarc

La política de la organización se aplica cuando creas un activador de Eventarc. La política no se aplica a los recursos existentes ni a las actualizaciones de los recursos existentes. Los activadores pueden ser un recurso global o regional. Los recursos globales no están sujetos a la restricción de ubicaciones de recursos. Si no se aplica ninguna política de la organización, no hay una restricción de ubicaciones de recursos.

Si se aplica una política de la organización, solo se pueden crear activadores regionales cuyas regiones coincidan de forma exacta con las aplicadas en la restricción de ubicaciones de recursos o se incluyan en el grupo de valores. Por ejemplo, si us-central1 o us-locations están en la lista de ubicaciones permitidas definidas en la política de la organización, puedes crear un activador us-central1.

Para obtener una lista de las ubicaciones disponibles, consulta la página Ubicaciones de Eventarc.

Filestore

La política de la organización se aplica de forma forzosa cuando creas una instancia de Filestore, que es un recurso zonal. El cumplimiento de las políticas de la organización no se aplica forzosamente de forma retroactiva. Las instancias existentes seguirán funcionando incluso si se encuentran en ubicaciones denegadas en la política de la organización. Para aplicar de forma forzosa una nueva restricción de ubicación de recursos en una instancia de Filestore existente, borra la instancia y vuelve a crearla con la política de la organización aplicada.

Para obtener una lista de las ubicaciones disponibles, consulta la página Regiones y zonas de Filestore.

Firestore

Los recursos database de Firestore dependen directamente de la aplicación de App Engine en el proyecto superior y su ubicación definida. La inhabilitación de la aplicación de App Engine bloqueará el acceso a la API para la base de datos asociada. Para borrar datos replicados de las ubicaciones físicas, borra el proyecto como se describe en la sección App Engine.

Para obtener una lista de las ubicaciones disponibles, consulta la página Ubicaciones de Firestore.

Google Kubernetes Engine

Google Kubernetes Engine usa regiones y zonas de Compute Engine. La aplicación forzosa de las ubicaciones del recurso se controla a nivel del recurso de Compute Engine cuando se crea la VM de un clúster. Si deseas escalar un clúster mediante el agregado de más instancias o de otra zona, estos agregados nuevos también deben estar en una ubicación admitida.

Para crear clústeres con suficiente redundancia, usa grupos de valores para controlar las ubicaciones que se restringen. Si configuras las ubicaciones de forma manual, todas las zonas de esa región deben estar en la lista de las ubicaciones admitidas para tener el mismo nivel de redundancia. Los clústeres de ajuste de escala automático pueden romperse si alguna de las ubicaciones en las que se escala no se encuentra en la lista de las ubicaciones permitidas definidas en la política de la organización.

Servicio administrado para Microsoft Active Directory

La política de la organización se aplica cuando creas dominios administrados de Microsoft AD o actualizas los recursos existentes de AD. Microsoft AD administrado requiere que se permita la ubicación global. Si la ubicación global no está permitida, la creación del dominio y las actualizaciones de recursos fallarán.

Aprende a ver y actualizar la restricción de ubicación de recursos a global.

Persistent Disk

La política de la organización se aplica de forma forzosa cuando creas un recurso disk, que luego se puede adjuntar a máquinas virtuales:

  • Después de crear un recurso disk zonal, puedes adjuntarlo a las instancias de máquinas virtuales en la misma zona.
  • Después de crear un recurso disk regional, puedes adjuntarlo a las instancias de máquinas virtuales en una de las dos zonas en las que reside el disk.

El cumplimiento de las políticas de la organización no se aplica forzosamente de forma retroactiva. Para aplicar de forma forzosa una nueva política de la organización de las ubicaciones del recurso en recursos disk existentes, debes borrar los recursos disk y volver a crearlos con la política de la organización aplicada al recurso superior.

Para obtener una lista de las ubicaciones disponibles, consulta la página Regiones y zonas de Compute Engine.

Pub/Sub

La política de la organización de las ubicaciones del recurso afecta las ubicaciones en las que los mensajes publicados en un topic pueden persistir en reposo. La política de la organización se aplica de forma forzosa cuando publicas mensajes en un topic. Ten en cuenta que un topic sigue siendo un recurso global al que los clientes autorizados pueden acceder desde cualquier parte del mundo.

Los cambios en la política de la organización no son retroactivos y no se aplicarán a topics existente. Si una restricción de ubicaciones de recursos nueva rechaza una ubicación en la que ya se almacenan los mensajes publicados en un topic, esos mensajes no se moverán de forma automática.

Para obtener más información, consulta la página de Pub/Sub sobre cómo restringir las ubicaciones del recurso de Pub/Sub.

Pub/Sub Lite

La política de la organización de las ubicaciones del recurso afecta las ubicaciones en las que se puede crear un topic, que determina dónde se conservarán los mensajes. Una topic es un recurso zonal, pero los mensajes se pueden solicitar desde cualquier ubicación, incluso fuera de Google Cloud.

Los cambios en la política de la organización no son retroactivos y no se aplicarán a topics existente. Si una restricción de ubicaciones de recursos nueva rechaza una ubicación en la que ya se almacenan los mensajes publicados en un topic, esos mensajes no se moverán de forma automática.

Secret Manager

Los secretos pueden tener una política de replicación automática o una política de replicación administrada por el usuario.

Cuando se utiliza una política de replicación automática, los datos de carga útil se replican sin restricción. El administrador de secretos requiere que la ubicación global se permita cuando se crea un secreto con una política de replicación automática. Si la ubicación global no está permitida, la creación del secreto fallará.

Cuando se utiliza una política de replicación administrada por el usuario, los datos de carga útil se replican en un conjunto de ubicaciones admitidas definidas por el usuario. Secret Manager requiere que todas las ubicaciones en la política de replicación se permitan cuando se crea un secreto con una política de replicación administrada por el usuario. Si no se permite ninguna de las ubicaciones en la política de replicación de un secreto, fallará la creación de secretos.

La política de la organización se aplicará de forma forzosa en el momento en que creas ese secreto.

Para obtener más información, consulta la página ubicaciones de Secret Manager.

Vertex AI

Las restricciones de ubicaciones de recursos se aplican a todos los recursos de Vertex AI, excepto a los recursos de DataLabelingJob.

Vertex AI solo es compatible con ubicaciones de región. Las restricciones de ubicaciones multirregión y ubicaciones de zona no tienen efecto en Vertex AI. Sin embargo, las restricciones sobre grupos de valores que contienen regiones sí tienen un efecto. Por ejemplo, el valor asia en una política de la organización no tiene efecto en AI Platform, pero el valor in:asia-locations sí tiene un efecto.

Obtén más información sobre las regiones disponibles para AI Platform Training.