支持资源位置的服务

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

每项服务使用的资源受地理位置影响的方式不同。在向您的组织政策添加资源位置限制条件之前,请先查看以下相应部分,了解要应用该政策的目标资源将如何表现。

AI Platform

资源位置限制适用于以下 AI Platform 资源:

AI Platform Training 和 AI Platform Prediction 资源仅支持区域位置。对多地区位置和可用区位置的限制条件对 AI Platform 没有影响。但是,对包含区域的值组的限制确实有效。例如,组织政策中的值 asia 对 AI Platform 没有影响,但值 in:asia-locations 有效。

详细了解 AI Platform Training 可用的区域AI Platform Prediction 提供的区域

Apigee Integration API

当您使用 Apigee Integrations API 创建以下资源时,系统会强制执行组织政策:

  • 集成
  • 授权配置 (AuthConfig)
  • AuthConfig 的证书
  • 集成版本
  • SFDC (Salesforce) 渠道
  • SFDC (Salesforce) 实例

当您运行、安排或测试集成时,系统也会强制执行组织政策。

Apigee 集成因地区而异。这意味着在特定区域创建的集成只能访问该区域内的资源。

如需查看可用于创建集成的可用位置列表,请参阅支持的区域

App Engine

App Engine 是 application 资源的属性。 创建 application 时,系统会为所有环境强制执行位置属性。您在每个项目中只能创建一个 App Engine application。系统会自动在与 application 相同的位置创建一个 Cloud Storage 存储分区。如果您创建的 application 的广泛位置不符合组织政策,则您必须创建新项目和 App Engine application

停用 application 后,它将不会再提供,但复制的代码和数据仍会保留在 application 的存储位置。要完全清空这些数据,请删除父项目。

App Engine 柔性环境以 Compute Engine 为基础构建。 如果自动扩缩所出现的任何位置不在组织政策中定义的允许位置列表中,则自动扩缩实例可能会失败。

如需查看可用位置的列表,请参阅 App Engine 位置

Artifact Registry

您可以在多区域或单区域位置创建代码库。在创建代码库时,Artifact Registry 会强制执行组织政策。

不会追溯强制执行组织政策合规性。即使代码库位置被资源位置组织政策拒绝,您也可以将工件添加到任何现有代码库。如需对现有代码库强制执行新的资源位置组织政策,请在应用组织政策后创建新的代码库,然后将工件从旧代码库迁移到新代码库。您可以使用 gcrane 工具在代码库之间复制映像。

如需查看可用位置的列表,请参阅 Artifact Registry 文档

BigQuery

BigQuery dataset 资源可以是区域资源,也可以是多区域资源。不会追溯强制执行组织政策合规性。如需对现有的 dataset 实施新的资源位置限制条件,请删除 dataset 资源,然后使用应用于父资源的组织政策重新创建该资源。

您可以在 dataset 资源中创建 Database 资源,而该资源位置被资源位置组织政策拒绝。dataset 资源的位置并不能决定 database 资源的位置。如需对现有的 disk 实施新的资源位置限制条件,请删除 disk 资源,然后使用应用于父资源的组织政策重新创建该资源。

如需查看可用位置的列表,请参阅 BigQuery 数据集位置页面。

证书授权服务

CA 服务资源(例如证书模板、证书授权机构 (CA) 池和 CA)可以在任何可用位置创建。这些资源一经创建便无法移动。

您可以使用 Google Cloud CLI 命令复制证书模板。您可以使用 gcloud CLI 命令在其他受支持的位置创建具有相同名称的资源。如需了解详情,请参阅创建证书模板

您可以从同一证书授权机构池中的现有证书授权机构克隆证书授权机构。这些新的 CA 是在克隆它们的 CA 所在的位置。如需了解详情,请参阅创建证书授权机构

如需查看可用位置的列表,请参阅 CA 服务位置

Cloud Bigtable

Cloud Bigtable 实例资源是集群的逻辑容器。每个集群都位于一个区域中。一个实例中的所有数据都会统一复制到该实例中包含的所有集群。系统会在创建集群时强制执行组织政策。您无法在组织政策拒绝的位置创建新的存储容器。现有实例和集群会继续运行,即使它们位于组织政策更改后拒绝的位置也是如此。

您可以手动修复违反新组织政策的资源,方法是将其删除,然后在组织政策部署后重新创建它们。例如,如果您的多集群实例有一个集群违反了新的组织政策,您可以将其删除,然后在允许的区域中添加新集群。

如需查看可用位置的列表,请参阅 Cloud Bigtable 位置页面。

Cloud Composer

Cloud Composer 环境是下列资源的逻辑容器。在环境创建过程中,请为环境选择一个位置(区域/可用区),然后系统会根据所选位置创建底层资源。

  • Google Kubernetes Engine 集群

  • Cloud SQL 实例

  • 运行 Airflow Web 服务器的 App Engine 虚拟机

  • 永久性磁盘:供 Airflow Web 服务器和 GKE 集群使用

  • Pub/Sub 主题

  • Cloud Storage

  • 使用自定义 Python 依赖项构建和存储 Airflow 映像

    • 如果未指定位置限制,根据配置,Composer 可能会在 GKE 集群中或使用 Cloud Build 构建 Airflow 映像。如需了解详情,请参阅将 Python 依赖项安装到专用 IP 环境。根据 Composer 版本,Airflow 映像可能存储在所选区域(使用 Artifact Registry)或所选区域所属的多区域(使用 Container Registry)中。

    • 如果指定了位置限制,Cloud Composer 会在环境的 GKE 集群中构建 Airflow 映像,并将其存储在所选区域的 Artifact Registry 代码库中。

  • Cloud Monitoring:在您指定的区域中存储环境和已执行的 Airflow DAG 的指标

    • 某些指标标签可能包含 DAG 和 Cloud Composer 环境的名称。
  • Cloud Logging:默认情况下,Cloud Composer 存储在 Cloud Logging(一项全球 Google Cloud 服务)中。如果要将 Cloud Composer 日志存储在特定位置,则必须将日志重定向到此位置中的 Cloud Storage 存储分区。

如需查看可用位置的列表,请参阅 Cloud Composer 区域

Cloud Composer 文档详细介绍了 Cloud Composer 环境的架构详细信息。

Cloud Healthcare API

系统会在您创建 dataset 资源时实施组织政策。 dataset 资源是区域资源或多区域资源。数据存储区资源(例如 FHIR 存储区)或其他较低级别的资源(例如 HL7v2 消息)可以添加到任何现有的 dataset 中,即使 dataset 资源位于组织政策拒绝的位置也是如此。为了确保您的资源符合资源位置限制,请在应用组织政策后创建新的 dataset 资源,然后将数据从旧资源 dataset 迁移到新资源。

如需查看可用位置的列表,请参阅 Cloud Healthcare API 区域

Cloud Key Management Service

您可以在区域、双区域、多区域或全球位置创建 Cloud KMS 资源。组织政策将在您创建该资源时强制执行。

如需了解详情,请参阅 Cloud KMS 位置页面。

Cloud Logging

系统会在您创建新日志存储分区时实施组织政策。虽然您可以在任何区域中创建新的存储分区,或者将其位置设置为 global,但 Logging 可确保您选择组织批准的区域。组织政策仅在创建组织政策后针对新创建的日志存储分区强制执行。

如需查看可用区域的列表,请参阅 Cloud Logging 存储概览页面的区域化部分。

Cloud Run

系统会在您创建顶级资源(如 Service)时实施组织政策。不对任何现有资源或现有资源的更新强制执行,即使这些更新导致创建较低级别的资源(如 Revision)也是如此。

如需查看可用区域的列表,请参阅 Cloud Run 位置页面。

Cloud Spanner

系统会在您创建实例时实施组织政策。实例是区域或多区域资源。如果实例被资源位置组织政策屏蔽,则使资源符合合规性的唯一方法是删除实例。被资源位置组织政策屏蔽的实例仍然可以读取、写入和创建数据库资源。

如需查看可用位置的列表,请参阅 Cloud Spanner 实例页面。

Cloud SQL

系统会在您创建实例时实施组织政策。该实例是将创建一个地区数据库的区域资源,对于该资源,系统不会对其执行资源位置。创建读取副本或数据库克隆时,新资源会与原始资源位于同一区域中,因此资源位置组织政策不会强制执行。

如需查看可用位置的列表,请参阅 Cloud SQL 实例位置页面。

Cloud Storage

组织政策在创建 bucket 资源时强制执行。Bucket 资源属于区域或多区域资源。即使 object 位于资源位置组织政策拒绝的位置,您也可以将 Object 资源添加到任何现有 bucket。为确保您的资源符合资源位置组织政策,请在应用组织政策后创建新的 bucket 资源,然后将数据从旧资源 bucket 迁移到新资源。

如需查看可用位置的列表,请参阅 Cloud Storage 存储分区位置页面。

Cloud Translation 高级版 (v3)

为确保您的 Cloud Translation 资源符合资源位置限制条件,请在创建资源时指定区域端点。资源位置限制条件会在您创建 Cloud Translation 资源时强制执行。

如需了解如何使用地区端点,请参阅指定地区端点

Compute Engine

Compute Engine 提供了各种资源,这些资源可以是全球资源、区域资源或地区资源。区域和地区资源受资源位置限制的约束。全球资源不受资源位置限制,但一些全球资源使用地区和区域资源;这些地区和区域资源受资源位置限制的约束。

例如,实例模板属于全球资源,但您可以在实例模板中指定区域或地区磁盘。这些磁盘受资源位置限制的约束,因此,您必须在实例模板中指定相关磁盘,以符合组织政策允许的区域和地区。

局限性

所有 Compute Engine 资源均支持您指定的资源位置限制,但以下情况除外。

  • 快照和图片

    • 创建快照或映像时,您必须在允许的位置指定存储位置,否则快照或映像的创建可能会失败。
  • 托管实例组

    • 某些代管实例组 (MIG) 操作依赖于在允许地区中创建或重新创建虚拟机。这些操作包括:横向扩容(手动或通过自动扩缩)、自动修复、自动更新和主动式实例重新分布。要成功执行这些操作,您的 MIG 必须存在于组织的资源位置限制允许的位置。

    • 在允许的位置创建 MIG。对于地区级 MIG,请选择不受位置限制的区域

    • 如果您有现有的可用区级或区域级 MIG,并且以后设置了资源位置限制条件,则 MIG 操作如果违反限制条件,则会失败。您必须在允许的位置重新创建 MIG。

  • 单租户节点

    • 如果您已有节点组,并且后来设置了资源位置限制,则当节点组的位置违反限制条件时,您无法对该节点组进行横向扩容(手动或通过自动扩缩)。
  • 高可用性 VPN 网关

    • 您可以在任何位置创建高可用性 VPN 网关。高可用性 VPN 网关不受资源位置限制的限制。

如需查看可用位置的列表,请参阅 Compute Engine 区域和地区页面。

Dataflow

系统会在您创建 job 时实施组织政策。job 是一种同时使用 Cloud Storage 和 Compute Engine 的区域级资源。您可以通过指定地区参数,将 Compute Engine 工作器配置为在作业所在区域以外的区域中执行。在这种情况下,Dataflow 控制层面将在指定区域中执行,而数据处理工作器将在指定区域中执行。如果您未指定工作器所在的地区,则系统会在配置运行 job 的区域内创建工作器。

如果您未指定 job 的地区,则工作器的位置将是 job 配置运行的区域内的地区之一。Dataflow 将根据区域中的可用容量选择区域。job 区域内的所有地区都应设置为资源位置组织政策中允许的值。

如果自动扩缩的任何位置不在组织政策中定义的允许位置列表中,则自动扩缩集群可能会中断。

如需查看可用位置的列表,请参阅 Dataflow 区域端点页面。

Dataproc

创建 cluster 时,系统会根据您在创建请求中指定的区域实施组织政策。当调用 submit 方法时,job 的位置受其父级 cluster 的位置限制。

如需查看可用位置的列表,请参阅 Dataproc 区域端点页面。

Dataproc Metastore

创建 service 时,系统会根据您在创建请求中指定的区域实施组织政策。当调用 importMetadatabackupService 方法时,backupsmetadataImports 的位置受其父级 service 的位置约束。

如需查看可用位置的列表,请参阅 Dataproc Metastore 位置页面。

Datastore

Datastore database 资源直接依赖于父项目中的 App Engine 应用及其定义的位置。停用 App Engine 应用将阻止对关联数据库的 API 访问。如需从物理位置删除复制的数据,请按照 App Engine 部分中的说明删除项目。

如需查看可用位置的列表,请参阅 Datastore 位置页面。

Dialogflow

当您在 Dialogflow CX 中创建 agentlocation setting 资源时,系统会强制执行组织政策(Dialogflow ES 尚未实施组织政策)。agent 资源和 location setting 资源均为区域或多区域资源。其他 Dialogflow 资源(例如 intentsflows)可以添加到任何现有 agent,即使 agent 资源位于组织政策拒绝的位置也是如此。为确保您的资源符合资源位置限制,请在应用组织政策后创建新的 agent 资源,然后将数据从旧的 agent 资源迁移到新的资源。

如需查看可用位置的列表,请参阅 Dialogflow 位置页面。

Document AI

Document AI 资源具有区域性。创建 ProcessorLabelerPool 资源时,资源位置组织政策将强制执行,并限制在其中创建或存储新资源的地区。

不会追溯强制执行组织政策合规性。即使父资源的资源位置因资源位置组织政策而遭到拒绝,也可以在现有父资源下创建新的 Document AI 资源。要对现有资源实施新的资源位置限制条件,请删除该资源,然后重新应用组织政策。

如需查看可用位置的列表,请参阅 Document AI 多区域支持页面。

Eventarc 订单项

系统会在您创建 Eventarc 触发器时实施组织政策。系统不会对现有资源或现有资源的更新强制执行该政策。触发器可以是全球资源,也可以是区域资源。全球资源不受资源位置限制的约束。如果未应用组织政策,则没有资源位置限制。

如果已应用组织政策,则可以创建其区域与资源位置限制条件中应用的区域完全匹配或包含在值组中的区域触发器。例如,如果 us-central1us-locations 位于组织政策中定义的允许位置列表中,则您可以创建 us-central1 触发器。

如需查看可用位置的列表,请参阅 Eventarc 位置页面。

Filestore

系统会在您创建 Filestore 实例(属于区域性资源)时实施组织政策。组织政策合规性没有追溯执行。现有实例会继续运行,即使它们位于组织政策拒绝的位置也是如此。如需对现有 Filestore 实例实施新的资源位置限制,请删除该实例,然后使用应用的组织政策重新创建该实例。

如需查看可用位置的列表,请参阅 Filestore 区域和地区页面。

Firestore

Firestore database 资源直接依赖于父项目中的 App Engine 应用及其定义的位置。停用 App Engine 应用将阻止对关联数据库的 API 访问。如需从物理位置删除复制的数据,请按照 App Engine 部分中的说明删除项目。

如需查看可用位置的列表,请参阅 Firestore 位置页面。

Google Kubernetes Engine

Google Kubernetes Engine 使用 Compute Engine 地区和区域。为集群创建虚拟机时,系统会在 Compute Engine 资源级别处理资源位置实施。如果您要通过添加更多实例或添加其他区域来扩缩集群,这些新添加项还必须位于允许的位置。

如需创建具有足够冗余的集群,请使用值组来控制受限制的位置。如果您手动设置位置,则该区域中的所有区域都必须在允许列表中,以便具有相同的冗余级别。如果发生扩缩的任何位置不在组织政策中定义的允许位置列表中,则自动扩缩集群可能会中断。

Managed Service for Microsoft Active Directory

系统会在创建 Managed Microsoft AD 网域或更新现有 AD 资源时实施组织政策。代管式 Microsoft AD 要求允许 global 位置。如果不允许 global 位置,则网域创建和资源更新将失败。

了解如何查看并将资源位置限制更新为 global

Persistent Disk

系统会在您创建 disk 资源时实施组织政策,然后将该资源附加到虚拟机:

  • 创建地区 disk 资源后,您可以将其挂接到同一地区的虚拟机实例。
  • 创建区域 disk 资源后,您可以将其挂接到 disk 所在两个区域之一中的虚拟机实例。

不会追溯强制执行组织政策合规性。如需对现有的 disk 资源强制执行新的资源位置组织政策,您需要删除 disk 资源,然后使用应用于父资源的组织政策重新创建这些资源。

如需查看可用位置的列表,请参阅 Compute Engine 区域和地区页面。

Pub/Sub

资源位置组织政策会影响可以静态存储发布到 topic 的消息的位置。当您将消息发布到 topic 时,会强制执行组织政策。请注意,topic 仍然是全球资源,可供世界各地的客户端访问。

对组织政策的更改不具有追溯性,也不会应用于现有的 topics。如果新的资源位置限制条件拒绝存储在发布到 topic 的消息的位置,则这些消息不会自动移动。

如需了解详情,请参阅 Pub/Sub 限制 Pub/Sub 资源位置页面。

Pub/Sub 精简版

资源位置组织政策会影响 topic 的创建位置,该位置决定着消息将在何处保留。 topic 是区域性资源,但可以从任何位置(包括 Google Cloud 外部)请求消息。

对组织政策的更改不具有追溯性,也不会应用于现有的 topics。如果新的资源位置限制条件拒绝存储在发布到 topic 的消息的位置,则这些消息不会自动移动。

Secret Manager

Secret 可以具有自动复制政策或用户管理的复制政策。

使用自动复制政策时,系统会复制负载数据,且不受任何限制。在使用自动复制政策创建 Secret 时,Secret Manager 要求允许 global 位置。如果不允许 global 位置,则 Secret 创建将失败。

使用用户管理的复制政策时,载荷数据会复制到一组用户定义的受支持位置。在使用用户管理的复制政策创建 Secret 时,Secret Manager 要求允许复制政策中的所有位置。如果不允许使用 Secret 的复制政策中的任何位置,则 Secret 创建将失败。

组织政策将在您创建 Secret 时强制执行。

如需了解详情,请参阅 Secret Manager 位置页面。

Vertex AI

资源位置限制适用于除 DataLabelingJob 资源之外的所有 Vertex AI 资源。

Vertex AI 仅支持区域位置。对多地区位置和区域位置的限制条件对 Vertex AI 没有任何影响。但是,对包含区域的值组实施限制也会生效。例如,组织政策中的值 asia 对 Vertex AI 没有影响,但值 in:asia-locations 有效。

详细了解可用于 AI Platform Training 的区域