配置 VPC 流日志的组织政策限制条件

此页面介绍您可以为 VPC 流日志配置的组织政策限制条件。

管理员可以启用或停用 VPC 流日志。默认情况下,系统不会对启用或停用 VPC 流日志施加限制条件。

组织政策管理员可以使用 constraints/compute.requireVpcFlowLogs 限制条件,要求为政策范围内具有指定采样率的所有子网启用 VPC 流日志。系统会在创建子网更新子网上的 VPC 流日志配置时强制执行该政策。如果现有子网的 VPC 流日志配置未更新,则这些现有子网不会受到影响。

准备工作

IAM 权限

如需创建限制条件,主账号必须具有 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin)。

如需查看限制条件,主账号必须具有相应资源的 orgpolicy.policy.get 权限。例如,Organization Policy Viewer 角色 (roles/orgpolicy.policyViewer) 包含 orgpolicy.policy.get 权限。

组织政策背景

如果您先前没有使用过组织政策限制条件,请参阅以下页面:

规划限制条件

您可以在资源层次结构的以下级层创建限制条件:

  • 组织
  • 文件夹
  • 项目

默认情况下,在某个节点中创建的限制条件会由所有子节点继承。但是,给定文件夹的组织政策管理员可以决定给定文件夹是否从其父级继承,因此继承不是自动实现的。如需了解详情,请参阅“了解层次结构评估”中的继承

VPC 流日志的采样率

您可以使用 constraints/compute.requireVpcFlowLogs 限制条件来确保在子网上配置以下采样率

政策值 采样率
ESSENTIAL 大于或等于 0.1 (10%) 且小于 0.5 (50%)
LIGHT 大于或等于 0.5 (50%) 且小于 1.0 (100%)
COMPREHENSIVE 等于 1.0 (100%)

这些政策值可以合并使用。请参阅下表中的示例。

采样率 要在限制条件中包含的值
至少为 0.1 (10%) ESSENTIALLIGHTCOMPREHENSIVE
至少为 0.5 (50%) LIGHTCOMPREHENSIVE
1.0 (100%) COMPREHENSIVE

配置 VPC 流日志限制条件

控制台

如需详细了解如何使用 Google Cloud 控制台配置限制条件,请参阅为列表限制条件自定义政策

  1. 转到 Google Cloud 控制台中的必须提供 VPC 流日志的预定义政策政策页面:

    转到组织政策

  2. 点击修改

  3. 修改页面中,为应用对象选择一个值:

    • 继承父级的政策:如果您在为项目或文件夹配置政策,则会继承父级范围的政策。如果您在为组织配置政策,则该政策不会激活。

    • 由 Google 管理的默认值:停用政策,即便其已在父级范围内启用也是如此。

    • 自定义:允许您为当前范围内的所有子网启用和配置政策。

  4. 对于强制执行政策,选择替换

    VPC 流日志不允许使用与父资源规则合并选项。

  5. 规则部分中,点击添加规则

  6. 对于政策值,选择自定义

    VPC 流日志不允许使用其他值。

  7. 对于政策类型,选择允许

  8. 自定义值部分中,输入一个值来表示您想配置的采样率

    如果您需要指定多个值以配置所需采样率,请点击新政策值,然后输入下一个值。如果您需要指定第三个值,请重复上述步骤。

  9. 点击保存

gcloud

如需详细了解如何使用 Google Cloud CLI 配置限制条件,请参阅针对组织资源设置强制执行

  1. 使用 describe 命令获取组织资源的当前政策。此命令返回直接应用于此资源的政策。如果未设置任何政策,该命令会返回 NOT_FOUND 错误。

    gcloud org-policies describe \
        compute.requireVpcFlowLogs \
        [ --organization=ID | --folder=ID | --project=ID ]
    

    替换以下内容:

    • ID:这是您要应用限制条件的组织、文件夹或项目的 ID。
  2. 使用 set-policy 命令针对组织设置政策。此命令会覆盖当前附加至该资源的所有政策。

    1. 创建临时文件 /tmp/policy.yaml 以存储政策:

       name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs
       spec:
         rules:
         - values:
             allowedValues:
             - POLICY_VALUES
       

      替换以下内容:

      • RESOURCE_TYPE:这是您要为其应用政策的资源类型。有效选项包括 organizationsfoldersprojects

      • ID:这是您要应用限制条件的组织、文件夹或项目的 ID。

      • POLICY_VALUES:这是代表您要配置的采样率的值。您可以组合使用多个值。如需了解详情,请参阅 VPC 流日志的采样率

      这个示例限制条件要求组织级别的采样率至少为 10%:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - ESSENTIAL
           - LIGHT
           - COMPREHENSIVE
      

      这个示例限制条件要求组织级别的采样率至少为 50%:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - LIGHT
           - COMPREHENSIVE
      
      

      这个示例限制条件要求组织级别的采样率为 100%:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - COMPREHENSIVE
      
    2. 运行 set-policy 命令:

       gcloud org-policies set-policy /tmp/policy.yaml
       

  3. 使用 describe --effective 查看当前的有效政策。 此命令会返回组织政策,因为此时它是在包含继承政策的资源层次结构中进行评估。

    gcloud org-policies describe \
        compute.requireVpcFlowLogs --effective \
        [ --organization=ID | --folder=ID | --project=ID ]
    

设置 VPC 流日志要求的影响

如果使用 constraints/compute.requireVpcFlowLogs 限制条件配置组织政策,那么在创建子网或更新现有子网的 VPC 流日志配置时可能会发生错误,并且配置不满足政策的要求。

如果您看到错误,那么可能需要了解限制条件的配置方式,以便创建有效的配置。如果您因 IAM 权限不足而无法查看限制条件,请与您的组织管理员联系。

在设置政策之前创建的子网不受该政策的影响,只要其 VPC 流日志配置未更新即可。

对于子网创建的影响

在政策的范围内新建子网时,以下规则适用:

  • 如果 VPC 流日志的采样率明确符合政策的要求,则系统会在启用 VPC 流日志的情况下使用所请求的采样率创建子网。

  • 如果明确启用 VPC 流日志的采样率不符合政策的要求,系统将返回错误,并且不会创建子网。

  • 如果明确停用了 VPC 流日志,系统将返回错误,并且不会创建子网。

  • 如果未设置 VPC 流日志,并且未设置采样率,系统会创建启用了 VPC 流日志且使用政策所需最低采样率的子网。例如,如果政策中配置的政策值是 LIGHTCOMPREHENSIVE,则采样率设置为 0.5 (50%)。

对于子网更新的影响

在政策范围内更新现有子网时,以下规则适用:

  • 如果更新启用了 VPC 流日志,或者 VPC 流日志先前已经启用,并且采样率设置为符合政策要求的值,则子网会在启用 VPC 流日志的情况下使用所请求的采样率更新。

  • 如果更新启用了 VPC 流日志,或者 VPC 流日志先前已经启用,并且采样率设置为不符合政策要求的值,则系统会返回错误,并且子网不会更新。

  • 如果更新停用了 VPC 流日志,则系统会返回错误,并且子网不会更新。

  • 如果更新未启用或停用 VPC 流日志,并且未设置采样率,则系统会忽略该政策并更新子网。

对于自动模式 VPC 网络创建的影响

在创建自动模式 VPC 网络时,系统会在每个区域中自动创建子网。如果网络在 VPC 流日志政策的范围内,则在子网上启用 VPC 流日志,并且使用该政策定义的最低采样率。例如,如果政策中配置的政策值是 LIGHTCOMPREHENSIVE,则采样率设置为 0.5 (50%)。

后续步骤