Crea i tag prima di provare ad associarli alle risorse o a utilizzarli e i criteri firewall di rete. Per controllare l'accesso alla rete, i tag vengono non è efficace se associato a istanze VM.
Per una panoramica, consulta Tag per i firewall.
Concedi le autorizzazioni ai tag
Il ruolo tagAdmin
ti consente di creare nuovi tag o di aggiornare ed eliminare quelli esistenti
Tag. Un amministratore dell'organizzazione può concedere questo ruolo all'interno dell'organizzazione
e un proprietario del progetto può concederlo a livello di progetto.
gcloud
Concedi il ruolo
tagAdmin
all'utente.gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagAdmin
Sostituisci quanto segue:
ORGANIZATION_ID
: l'ID della tua organizzazioneEMAIL_ADDRESS
: l'indirizzo email dell'utente
Concedi il ruolo
tagUser
all'utente.gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Sostituisci quanto segue:
ORGANIZATION_ID
: ID della tua organizzazioneTAG_KEY
: la chiave TagEMAIL_ADDRESS
: l'indirizzo email dell'utente
Ruoli personalizzati per gestire i tag
Il ruolo tagAdmin
ti consente di eseguire le seguenti azioni: creare nuovi tag,
aggiornare ed eliminare i tag esistenti. Se hai bisogno di alcune di queste funzionalità, puoi creare un ruolo IAM personalizzato con le autorizzazioni pertinenti e assegnare il nuovo ruolo all'utente di destinazione. Per l'elenco delle autorizzazioni pertinenti, consulta IAM.
autorizzazioni.
I tag utilizzati nei criteri firewall devono essere designati con un Scopo GCE_FIREWALL. Sebbene lo scopo GCE_FIREWALL sia obbligatorio per l'utilizzo del tag nelle funzionalità di rete, puoi utilizzarlo per altre azioni.
I tag utilizzati nei criteri firewall di rete devono avere un ambito limitato a un un singolo VPC.
Creare le chiavi e i valori tag
Prima di associare tag ai criteri firewall di rete, devi creare il tag le chiavi e i valori.
gcloud
Dopo aver ottenuto le autorizzazioni richieste, crea la chiave tag.
gcloud resource-manager tags keys create TAG_KEY \ --parent organizations/ORGANIZATION_ID \ --purpose GCE_FIREWALL \ --purpose-data network=PROJECT_ID/NETWORK
Sostituisci quanto segue:
TAG_KEY
: la chiave TagORGANIZATION_ID
: ID della tua organizzazionePROJECT_ID
: l'ID del tuo progettoNETWORK
: il nome della tua rete
Aggiungi i valori di tag pertinenti alle chiavi tag. esegui il comando. più volte per aggiungere più valori. Assicurati che ogni valore di tag aggiunto alla chiave tag sia univoca.
gcloud resource-manager tags values create TAG_VALUE \ --parent ORGANIZATION_ID/TAG_KEY
Sostituisci quanto segue:
ORGANIZATION_ID
: ID della tua organizzazioneTAG_KEY
: la chiave TagTAG_VALUE
: il valore da assegnare alla chiave Tag
Crea un criterio firewall di rete
Dopo aver creato un tag, puoi utilizzarlo nei criteri firewall di rete. In caso contrario se è già presente un criterio firewall di rete, creane uno nuovo.
gcloud
Creare un criterio firewall di rete.
gcloud compute network-firewall-policies create \ FIREWALL_POLICY_NAME \ --global
Sostituisci quanto segue:
FIREWALL_POLICY_NAME
: il nome della nuova rete criterio firewall di rete globale
Crea una regola di criterio firewall con tag
Dopo aver creato un tag e un criterio firewall di rete, puoi creare una rete regola del criterio firewall con i valori del tag di origine e i valori del tag di destinazione specifici per consentire il traffico desiderato tra le VM con i tag di origine tag di destinazione.
gcloud
Crea una regola del criterio firewall di rete con l'origine e la destinazione specifiche le chiavi e i valori.
gcloud compute network-firewall-policies rules create 1 \ --firewall-policy FIREWALL_POLICY_NAME \ --src-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --target-secure-tags ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --direction DIRECTION \ --action ACTION \ --layer4-configs tcp:PORT \ --global-firewall-policy
Sostituisci quanto segue:
FIREWALL_POLICY_NAME
: il nome del nuovo criterio di firewall di rete globaleORGANIZATION_ID
: ID della tua organizzazioneTAG_KEY
: la chiave TagTAG_VALUE
: il valore da assegnare alla chiave tagDIRECTION
: indica se la regola èingress
oegress
regolaACTION
: una delle seguenti azioni:allow
: consente le connessioni che corrispondono alla regoladeny
: nega le connessioni che corrispondono alla regolagoto_next
: passa la valutazione della connessione al livello successivo tra la gerarchia, ovvero una cartella o
PORT
: il numero di porta per accedere alla risorsa
Associa tag alle istanze VM
Gli amministratori dei tag possono associare i tag a singole istanze VM.
Associare un tag a una risorsa allega un valore Tag a una risorsa. Sebbene un tag possa avere più valori per una determinata chiave, puoi associare solo un valore per chiave tag a una risorsa. Ad esempio, non puoi legare entrambi i valori dei tag web-backend e mysql alla stessa istanza VM perché appartengono alla stessa chiave tag vm-function.
Ad esempio, lo sviluppatore Sasha vuole configurare un'applicazione che consta un backend API e un archivio di database di supporto. Per consentire il traffico tra il backend e il server di database, Sasha deve associare i valori dei tag web-backend e mysql a VM diverse.
gcloud
Concedi il ruolo
tagUser
.gcloud resource-manager tags keys add-iam-policy-binding ORGANIZATION_ID/TAG_KEY \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Sostituisci quanto segue:
ORGANIZATION_ID
: ID della tua organizzazioneTAG_KEY
: la chiave TagEMAIL_ADDRESS
: l'indirizzo email dell'utente
In questo comando, all'utente viene concesso l'utilizzo di tutte le risorse attuali e future valori della chiave. Puoi anche concedere l'accesso in modo selettivo solo a valori specifici di un tag, come segue:
gcloud resource-manager tags values add-iam-policy-binding ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Sostituisci quanto segue:
ORGANIZATION_ID
: ID della tua organizzazioneTAG_KEY
: la chiave TagTAG_VALUE
: il valore da assegnare alla chiave tagEMAIL_ADDRESS
: l'indirizzo email dell'utente
Concedi il ruolo
tagUser
alle risorse a cui vuoi associare i tag.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:EMAIL_ADDRESS \ --role=roles/resourcemanager.tagUser
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progettoEMAIL_ADDRESS
: l'indirizzo email dell'utente
Ottieni il valore
PARENT
per la coppia chiave-valore tag:Definisci il prefisso del nome completo per il progetto e la zona:
FULL_NAME_PREFIX=//compute.googleapis.com/projects/PROJECT_NUMBER/zones/ZONE/instances/
Recupera l'ID VM:
VM_ID=$(gcloud compute instances describe VM_NAME --zone ZONE--format='value(id)')
Concatena i valori di
FULL_NAME_PREFIX
eVM_ID
:PARENT="$FULL_NAME_PREFIX$VM_ID" echo $PARENT
Sostituisci quanto segue:
PROJECT_NUMBER
: il numero del progettoZONE
: la zona in cui si trova la VMVM_NAME
: il nome della VM su cui stai lavorando
Elenca le associazioni.
gcloud resource-manager tags bindings list \ --location LOCATION_NAME \ --parent PARENT
Sostituisci quanto segue:
LOCATION_NAME
: la posizione a cui appartiene il tag; qui, la zona dell'istanza VMPARENT
: il nome completo della risorsa associata alla associazione, come dedotto nel comando precedente
Elimina e crea le associazioni.
gcloud resource-manager tags bindings delete \ --location LOCATION_NAME \ --tag-value ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --parent PARENT gcloud resource-manager tags bindings create \ --location LOCATION_NAME \ --tag-value ORGANIZATION_ID/TAG_KEY/TAG_VALUE \ --parent PARENT
Sostituisci quanto segue:
LOCATION_NAME
: la posizione a cui appartiene il tagORGANIZATION_ID
: l'ID della tua organizzazioneTAG_KEY
: la chiave TagTAG_VALUE
: il valore della chiave tagPARENT
: il nome completo della risorsa da collegare al valore tag
Utilizzare i tag in reti connesse in peer
Puoi utilizzare i tag nel peering di rete. Esegui le seguenti attività nell'ordine specificato per utilizzare i tag in due reti connesse in peer.
- Assegna il ruolo
tagAdmin
a due utenti: uno in ogni rete di peer. Un amministratore dell'organizzazione concede i ruoli ditagAdmin
a utenti a livello di organizzazione e un proprietario del progetto può concederlo a livello di progetto. - Consenti al primo utente della rete di creare chiavi e valori tag nella la prima rete.
- Consenti all'utente della seconda rete di creare chiavi e valori dei tag nella seconda rete.
- Concedi le autorizzazioni necessarie a entrambi gli utenti per associare i tag in entrambe le reti.
- Collega i tag agli utenti e alle risorse della prima rete.
- Associa i tag a utenti e risorse nella seconda rete.
- All'utente della seconda rete, concedi le autorizzazioni
tagUser
nella prima rete. - All'utente della prima rete, concedi le autorizzazioni
tagUser
. nella seconda rete. - Crea una regola di criterio firewall nella prima rete.
- Crea una regola del criterio firewall nella seconda rete.
Passaggi successivi
- Per ulteriori dettagli sulla creazione di Tag, consulta Creazione e gestione dei tag.