本页介绍了如何配置可信映像政策限制条件。这样一来,您就可以控制对操作系统 (OS) 映像的访问权限,这些映像可用于为任何 Compute Engine 虚拟机 (VM) 实例创建启动磁盘。
默认情况下,用户可以使用任何公共映像或与其共享的任何自定义映像来创建运行 Batch 作业的 Compute Engine 虚拟机。 如果未启用可信映像政策限制条件,并且您不想限制虚拟机操作系统映像,则可以停止阅读本文档。
如果您想要求项目、文件夹或组织中的所有用户创建包含符合政策或安全要求的获准软件的虚拟机,请启用可信映像政策限制条件。 如果启用了可信映像政策限制,受影响的用户无法运行 Batch 作业,除非其作业的虚拟机操作系统映像是允许的。在启用可信映像政策限制的情况下创建和运行作业时,请执行以下至少一项操作:
- 让用户指定已获许可的虚拟机操作系统映像。
- 允许使用 Batch 中的默认虚拟机操作系统映像,如本文档所示。
如需详细了解虚拟机操作系统映像和启动磁盘,请参阅虚拟机操作系统环境概览。如需了解您的项目、文件夹或组织已启用哪些政策限制条件,请查看组织政策。
准备工作
- 如果您之前未使用过 Batch,请查看开始使用 Batch 并完成项目和用户的前提条件,以启用 Batch。
-
如需获得配置组织政策所需的权限,请让您的管理员为您授予组织的 Organization Policy Administrator (
roles/orgpolicy.policyAdmin) IAM 角色。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
允许使用 Batch 中的图片
以下步骤介绍了如何使用Google Cloud 控制台或 Google Cloud CLI 修改可信映像政策限制,以允许来自 Batch 的所有虚拟机操作系统映像。
如需详细了解如何使用可信映像 (compute.trustedImageProjects) 政策限制条件,请参阅 Compute Engine 文档中的设置可信映像政策。
控制台
转到组织政策页面。
在政策列表中,点击定义可信映像项目。
系统会打开政策详情页面。
在政策详情页面上,点击 管理政策。系统随即会打开修改政策页面。
在修改政策页面上,选择自定义。
在强制执行政策部分,选择强制执行选项。
点击添加规则。
在政策值列表中,您可以选择添加一条规则,以允许访问所有未指定的映像项目、拒绝访问所有未指定的映像项目,或者指定一组自定义项目以允许或拒绝访问。如需允许来自 Batch 的所有映像,请执行以下操作:
- 在政策值列表中,选择自定义。 系统会显示政策类型和自定义值字段。
- 在政策类型列表中,选择允许。
- 在自定义值字段中,输入
projects/batch-custom-image。
如需保存规则,请点击完成。
如需保存并应用组织政策,请点击保存。
gcloud
以下示例介绍了如何允许特定项目的 Batch 映像:
如需获取项目的现有政策设置,请运行
resource-manager org-policies describe命令:gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
将 PROJECT_ID 替换为您要更新的项目的项目 ID。
在文本编辑器中打开
policy.yaml文件。然后,通过将projects/batch-custom-image添加到allowedValues字段来修改compute.trustedImageProjects限制条件。 例如,如需仅允许来自 Batch 的虚拟机操作系统映像,请将compute.trustedImageProjects限制条件设置为以下值:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects//batch-custom-image修改完
policy.yaml文件后,请保存更改。如需将
policy.yaml文件应用于您的项目,请使用resource-manager org-policies set-policy命令:gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
将 PROJECT_ID 替换为您要更新的项目的项目 ID。
更新完限制条件后,建议您测试这些限制条件,以验证它们是否按预期运行。
后续步骤
- 创建并运行作业,例如:
- 创建并运行基本作业,该作业默认使用 Batch 中的虚拟机操作系统映像。
- 创建并运行使用特定虚拟机操作系统映像的作业。
- 详细了解虚拟机操作系统映像和启动磁盘。