支持资源位置的服务

每项服务所使用的资源受位置的影响会有所不同。在向您的组织政策添加资源位置限制条件之前,请先查看以下相应部分,了解要应用该政策的目标资源将如何表现。

AI 平台

资源位置限制适用于以下 AI Platform 资源:

AI Platform Training 和 AI Platform Prediction 资源仅支持区域位置。对多区域位置和地区位置的限制条件对 AI Platform 没有影响。但是,对包含区域的值组的限制确实起作用。例如,组织政策中的值 asia 对 AI Platform 没有影响,但值 in:asia-locations 对其有影响。

了解有关可用于 AI Platform Training 的区域可用于 AI Platform Prediction 的区域的更多信息。

App Engine

App Engine 是 application 资源的属性。在所有环境中,系统都会在您创建 application 时实施位置属性。您只能在每个项目中创建一个 App Engine application。系统会自动在与 application 相同的位置创建一个 Cloud Storage 存储分区。如果您创建的 application 具有不符合组织政策的大范围位置,那么您必须创建新的项目和 App Engine application

如果您停用了 application,则该应用未来不会再提供服务,但复制的代码和数据仍会保留在 application 的存储位置中。如需完全清除该数据,请删除父项目。

App Engine 柔性环境以 Compute Engine 为构建基础。 如果任何自动扩缩实例的位置不在组织政策所定义的允许位置列表中,则扩缩操作可能会失败。

如需查看可用位置的列表,请参阅 App Engine 位置

Compute Engine

Compute Engine 提供了多种资源,这些资源可以是全球资源、区域资源或地区资源。区域和地区资源受资源位置的限制。全局资源不受资源位置限制,但是某些全局资源使用区域和地区资源;这些区域和地区资源受资源位置限制。

例如,实例模板是全局资源,但是您可以在实例模板中指定区域或地区磁盘。这些磁盘受资源位置限制,因此,在实例模板中,必须在组织策略允许的区域和地区中指定磁盘。

限制

所有 Compute Engine 资源均支持您指定的资源位置限制,以下情况除外。

  • 快照和映像

    • 创建快照或映像时,必须在允许的位置指定存储位置,否则快照或映像的创建可能会失败。
  • 托管实例组

    • 某些托管实例组 (MIG) 操作依赖于允许地区中虚拟机的创建或重新创建。这些操作包括:横向扩容(手动或通过自动扩展)、自动修复、自动更新和主动实例重新分配。为了使这些操作成功,您的 MIG 必须存在于组织的资源位置限制所允许的位置。

    • 在允许的位置创建 MIG。对于区域 MIG,选择不受位置限制的地区

    • 如果您具有预先存在的区域或地区 MIG,并且稍后又设置了资源位置限制,如果违反该限制,则 MIG 操作将失败。您必须在允许的位置重新创建 MIG。

  • 单租户节点

    • 如果您有一个预先存在的节点组,并且后来又设置了资源位置限制,如果该组的位置违反了该限制,则无法横向扩容该组以添加新主机(手动或通过自动扩展)。
  • 高可用性 VPN 网关

    • 您可以在任何位置创建高可用性 VPN 网关。高可用性 VPN 网关不受资源位置限制的限制。

如需查看可用位置的列表,请参阅 Compute Engine 区域和地区页面。

Google Kubernetes Engine

Google Kubernetes Engine 会使用 Compute Engine 区域和地区。当您为集群创建虚拟机时,系统会在 Compute Engine 资源级层实施资源位置限制条件。如果您想要通过添加更多实例或添加其他地区来调节集群,这些新添加项也必须位于允许的位置。

若要创建具有足够冗余的集群,请使用值组来控制受限制的位置。如果您手动设置位置,则该区域中的所有地区必须都位于允许列表中才能具有相同的冗余级别。如果进行调节的任何位置不在组织政策中定义的允许位置列表中,则自动调节集群可能会发生故障。

Cloud Bigtable

Cloud Bigtable 实例资源是集群的逻辑容器。每个集群位于一个地区。实例中的所有数据均匀复制到该实例中包含的所有集群。组织政策在创建集群时强制执行。您不能在组织政策拒绝的位置创建新的存储容器。现有实例和集群会继续运行,即使它们位于组织政策后续更改拒绝的位置。

您可以通过在组织策略就位后删除它们并重新创建它们的方法手动纠正违反新组织政策的资源。例如,如果您有一个多集群实例,其中一个集群违反了新的组织策略,则可以将其删除,然后在允许的区域中添加一个新集群。

如需查看可用位置的列表,请参阅 Cloud Bigtable 位置页面。

Datastore

Datastore database 资源直接依赖于父项目中的 App Engine 应用及其定义的位置。如果您停用 App Engine 应用,则系统将阻止对关联数据库的 API 访问。如需从物理位置删除复制的数据,请按 App Engine 部分中的说明删除项目。

如需查看可用位置的列表,请参阅 Datastore 位置页面。

Cloud Spanner

组织政策在创建实例时强制执行。实例是单区域或多区域资源。如果某个实例遭到资源位置组织政策屏蔽,那么您必须删除该实例才能让资源符合政策。被资源位置组织政策屏蔽的实例仍然可以读取、写入和创建数据库资源。

如需查看可用位置的列表,请参阅 Cloud Spanner 实例页面。

Cloud SQL

系统会在您创建实例时实施组织政策。该实例是区域资源,将创建不会实施资源位置限制的地区数据库。创建读取副本或数据库克隆时,新资源会被定位到与原始资源相同的位置,因此系统不会实施资源位置组织政策。

如需查看可用位置的列表,请参阅 Cloud SQL 实例位置页面。

Filestore

系统会在您创建 Filestore 实例(地区资源)时实施组织政策。系统不会以追溯方式实施组织政策合规性。现有实例会继续运行,即使它们位于组织政策拒绝的位置。如需对现有 Filestore 实例执行新的资源位置限制条件,请删除该实例,然后使用已应用组织政策重新创建。

如需查看可用位置列表,请参阅 Filestore 地区和区域页面。

Cloud Storage

系统会在您创建 bucket 资源时实施组织政策。Bucket 资源是单区域或多区域资源。Object 资源可以添加到任何现有 bucket,即使 object 位于资源位置组织政策所拒绝的位置也是如此。为确保您的资源符合资源位置组织政策,请在应用组织政策后创建新的 bucket 资源,然后将数据从旧 bucket 资源迁移到新资源。

如需查看可用位置的列表,请参阅 Cloud Storage 存储分区位置页面。

Persistent Disk

系统会在您创建 disk 资源(之后可挂接到虚拟机)时实施组织政策:

  • 创建地区 disk 资源后,您可以将其挂接到同一地区中的虚拟机实例。
  • 创建区域 disk 资源后,您可以将其挂接到 disk 所在的两个地区之一中的虚拟机实例。

系统不会以追溯方式实施组织政策合规性。如需对现有的 disk 资源实施新的资源位置组织政策,您需要删除 disk 资源,然后使用应用于父资源的组织政策重新创建这些资源。

如需查看可用位置的列表,请参阅 Compute Engine 区域和地区页面。

BigQuery

BigQuery dataset 资源可以是单区域资源,也可以是多区域资源。系统不会以追溯方式实施组织政策合规性。如需对现有的 dataset 实施新的资源位置限制条件,请删除 dataset 资源,然后使用应用于父资源的组织政策重新创建该资源。

您可以在位于资源位置组织政策所拒绝位置的 dataset 资源内创建 Database 资源。dataset 资源的位置并不能决定 database 资源的位置。如需对现有的 disk 实施新的资源位置限制条件,请删除 disk 资源,然后使用应用于父资源的组织政策重新创建该资源。

如需查看可用位置的列表,请参阅 BigQuery 数据集位置页面。

Dataflow

系统会在您创建 job 时实施组织政策。job 是同时使用 Cloud Storage 和 Compute Engine 的区域资源。 您可以通过指定地区参数,将 Compute Engine 工作器配置为在作业所在区域以外的地区执行。在这种情况下,Dataflow 控制面板将在指定区域执行,而数据处理工作器将在指定地区执行。如果您未指定工作器所在的地区,则系统将在被配置为运行 job 的区域内创建工作器。

如果您未指定 job 所在的地区,则工作器的位置将位于被配置为运行 job 的区域内的某个地区。 Dataflow 将根据地区的可用容量来选择地区。job 所在区域内的所有地区都应设为资源位置组织政策允许的值。

如果任何自动扩缩集群的位置不在组织政策所定义的允许位置列表中,则扩缩操作可能会发生中断。

如需查看可用位置的列表,请参阅 Dataflow 区域端点页面。

Dataproc

当您创建 cluster 时,系统会根据您在创建请求中指定的区域实施组织政策。当调用 submit 方法时,job 的位置受其父级 cluster 的位置约束。

如需查看可用位置的列表,请参阅 Dataproc 区域端点页面。

Pub/Sub

资源位置组织政策会影响可以静态保留发布到 topic 的消息的位置。系统会在您将消息发布到 topic 时实施组织政策。请注意,topic 仍然是全球资源,可供已获授权的客户端从世界上的任何位置进行访问。

对组织政策的更改不会自动应用于现有 topics。如果新资源位置组织政策拒绝某个位置,而发布到 topic 的消息已存储在该位置,则系统不会自动移动这些消息。

如需了解详情,请参阅 Pub/Sub 的限制 Pub/Sub 资源位置页面。

Cloud Healthcare API

创建 dataset 资源时,将强制执行组织政策。dataset 资源是区域资源或多区域资源。可以将数据存储资源(例如 FHIR 存储)或其他较低级别的资源(例如 HL7v2 消息)添加到任何现有的 dataset 中,即使 dataset 资源位于组织拒绝的位置政策。为确保您的资源符合资源位置限制,请在应用组织策略后创建新的 dataset 资源,然后将数据从旧的 dataset 资源迁移到新的资源。

如需查看可用位置的列表,请参阅 Cloud Healthcare API 区域

Cloud Key Management Service

您可以在单区域位置、双区域位置、多区域位置或全球位置创建 Cloud KMS 资源。系统将在您创建该资源时实施组织政策。

如需了解详情,请参阅 Cloud KMS 的位置页面。

Managed Service for Microsoft Active Directory

创建托管 Microsoft AD 网域或更新现有 AD 资源时,将强制执行组织政策。托管 Microsoft AD 需要允许的 global 位置。如果不允许 global 位置,则网域创建和资源更新将失败。

了解如何查看资源位置约束并将其更新为 global

Secret Manager

Secret 可以具有自动复制政策或用户管理的复制政策。

使用自动复制政策时,系统会复制载荷数据,而不会受到任何限制。在使用自动复制政策创建密钥时,Secret Manager 要求允许使用 global 位置。如果不允许 global 位置,则创建密钥将失败。

使用用户管理的复制政策时,载荷数据将复制到用户定义的一组受支持的位置。在使用用户管理的复制政策创建密钥时,Secret Manager 要求允许使用复制政策中的所有位置。如果密钥的复制政策中有任何不允许使用的位置,则创建密钥将失败。

系统将在您创建该密钥时实施组织政策。

如需了解详情,请参阅 Secret Manager 的位置页面。