Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שליטה בגישה לתמונות של מערכות הפעלה של מכונות וירטואליות ב-Batch

בדף הזה נסביר איך להגדיר את האילוץ של מדיניות בנושא קובצי אימג' מהימנים. כך תוכלו לשלוט בגישה לקובצי אימג' של מערכת ההפעלה (OS) שאפשר להשתמש בהם כדי ליצור את דיסקי האתחול לכל המופעים של מכונות וירטואליות (VM) ב-Compute Engine.

כברירת מחדל, משתמש יכול להשתמש בכל תמונה ציבורית או בכל תמונה מותאמת אישית ששותפה איתו עבור מכונות וירטואליות של Compute Engine שמריצות את משימות ה-Batch שלו. אם האילוץ של מדיניות בנושא קובצי אימג' מהימנים לא מופעל ואתם לא רוצים להגביל את קובצי האימג' של מערכת ההפעלה של המכונות הווירטואליות, אתם יכולים להפסיק לקרוא את המסמך הזה.

אם רוצים לדרוש מכל המשתמשים בפרויקט, בתיקייה או בארגון ליצור מכונות וירטואליות שמכילות תוכנה מאושרת שעומדת בדרישות המדיניות או בדרישות האבטחה, צריך להפעיל את האילוץ של מדיניות בנושא קובצי אימג' מהימנים. אם מופעלת מגבלת המדיניות בנושא קובצי אימג' מהימנים, המשתמשים המושפעים לא יכולים להריץ משימות באצווה אלא אם קובץ האימג' של מערכת ההפעלה של המכונה הווירטואלית עבור המשימה שלהם מותר. כדי ליצור ולהריץ משימות כשהאילוץ של מדיניות בנושא קובצי אימג' מהימנים מופעל, צריך לבצע לפחות אחת מהפעולות הבאות:

אפשר לבקש מהמשתמשים לציין תמונת מערכת הפעלה של מכונה וירטואלית שכבר מותרת.
מאפשרים את קובצי האימג' של מערכת ההפעלה של מכונות וירטואליות מ-Batch, כמו שמוצג במסמך הזה.

מידע נוסף על תמונות של מערכות הפעלה של מכונות וירטואליות ועל דיסקים לאתחול זמין במאמר סקירה כללית על סביבת מערכת ההפעלה של מכונות וירטואליות. כדי לדעת אילו מגבלות מדיניות הופעלו בפרויקט, בתיקייה או בארגון, צריך לעיין במדיניות הארגון.

לפני שמתחילים

אם עוד לא השתמשתם ב-Batch, כדאי לעיין במאמר תחילת העבודה עם Batch ולהפעיל את Batch על ידי השלמת הדרישות המוקדמות לפרויקטים ולמשתמשים.
כדי לקבל את ההרשאות שדרושות להגדרת מדיניות הארגון, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

אפשר להשתמש בתמונות מ-Batch

בשלבים הבאים מוסבר איך לשנות את האילוץ של מדיניות בנושא קובצי אימג' מהימנים כדי לאפשר את כל קובצי האימג' של מערכת ההפעלה של מכונות וירטואליות מ-Batch באמצעותGoogle Cloud המסוף או Google Cloud CLI.

הוראות נוספות לשימוש באילוץ המדיניות של קובצי אימג' מהימנים (compute.trustedImageProjects) זמינות במאמר הגדרת מדיניות בנושא קובצי אימג' מהימנים במאמרי העזרה של Compute Engine.

המסוף

עוברים לדף מדיניות הארגון.

מעבר למדיניות הארגון
ברשימת כללי המדיניות, לוחצים על הגדרת פרויקטים מהימנים של תמונות.

ייפתח הדף פרטי המדיניות.
בדף פרטי המדיניות, לוחצים על ניהול המדיניות. ייפתח הדף עריכת מדיניות.
בדף עריכת מדיניות, בוחרים באפשרות התאמה אישית.
בקטע אכיפת מדיניות, בוחרים אפשרות אכיפה.
לוחצים על הוספת כלל.
ברשימה ערכי מדיניות, אפשר לבחור אם להוסיף כלל שמאפשר גישה לכל פרויקטי התמונות שלא צוינו, שדוחה גישה לכל פרויקטי התמונות שלא צוינו, או שמציין קבוצה מותאמת אישית של פרויקטים שאליהם הגישה מותרת או נדחית. כדי לאפשר את כל התמונות מ-Batch:
1. ברשימה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית. מופיעים השדה סוג המדיניות והשדה ערכים מותאמים אישית.
2. ברשימה סוג המדיניות, בוחרים באפשרות הרשאה.
3. בשדה ערכים מותאמים אישית, מזינים projects/batch-custom-image.
כדי לשמור את הכלל, לוחצים על סיום.
כדי לשמור את מדיניות הארגון ולהחיל אותה, לוחצים על שמירה.

gcloud

בדוגמה הבאה מוסבר איך לאפשר תמונות מ-Batch לפרויקט ספציפי:

כדי לקבל את הגדרות המדיניות הקיימות של פרויקט, מריצים את הפקודה resource-manager org-policies describe:
```
gcloud resource-manager org-policies describe \
   compute.trustedImageProjects --project=PROJECT_ID \
   --effective > policy.yaml
```
מחליפים את PROJECT_ID במזהה הפרויקט שרוצים לעדכן.
פותחים את הקובץ policy.yaml בכלי לעריכת טקסט. לאחר מכן, משנים את האילוץ compute.trustedImageProjects על ידי הוספת projects/batch-custom-image לשדה allowedValues. לדוגמה, כדי לאפשר רק תמונות של מערכת הפעלה של מכונות וירטואליות מ-Batch, מגדירים את האילוץ compute.trustedImageProjects באופן הבא:
```
constraint: constraints/compute.trustedImageProjects
listPolicy:
 allowedValues:
    - projects//batch-custom-image
```
בסיום העריכה של קובץ policy.yaml, שומרים את השינויים.
כדי להחיל את הקובץ policy.yaml על הפרויקט, משתמשים בפקודה resource-manager org-policies set-policy:
```
gcloud resource-manager org-policies set-policy \
   policy.yaml --project=PROJECT_ID
```
מחליפים את PROJECT_ID במזהה הפרויקט שרוצים לעדכן.

אחרי שמסיימים לעדכן את האילוצים, מומלץ לבדוק אותם כדי לוודא שהם פועלים כמו שרציתם.

המאמרים הבאים

ליצור ולהריץ משימות, כמו המשימות הבאות:
- יצירה והרצה של עבודה בסיסית, שמשתמשת כברירת מחדל בקובץ אימג' של מערכת הפעלה של מכונה וירטואלית מ-Batch.
- יצירה והרצה של משימה שמשתמשת באימג' ספציפי של מערכת הפעלה של מכונה וירטואלית.
מידע נוסף על תמונות של מערכות הפעלה של מכונות וירטואליות ועל דיסקים לאתחול

שליטה בגישה לתמונות של מערכות הפעלה של מכונות וירטואליות ב-Batch קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.