Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מדיניות הארגון ב-Compute Engine

שירות מדיניות הארגון מספק שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. אתם יכולים להשתמש במדיניות הארגון כדי לאכוף אילוצים על אופן ההגדרה של משאבי Compute Engine, כמו מכונות וירטואליות (VM), דיסקים ורשתות. מידע נוסף על מדיניות הארגון זמין במאמר מבוא לשירות של מדיניות הארגון.

אפשר להגדיר מדיניות ברמת הארגון, התיקייה או הפרויקט. משאבי צאצא יורשים את כללי המדיניות, כך שאפשר לאכוף אמצעי בקרה נרחבים ברמת הארגון ולהחיל אילוצים ספציפיים יותר ברמת התיקייה או הפרויקט.

במאמר הזה מוסבר איך אפשר להשתמש במדיניות הארגון כדי לנהל את המשאבים שלכם ב-Compute Engine.

תרחישים לדוגמה

אתם יכולים להשתמש במדיניות הארגון כדי לאכוף את הממשל על משאבי Compute Engine. יעדים נפוצים כוללים:

ניהול עלויות: שליטה בהוצאות על ידי הגבלת סוגי מכונות וירטואליות או גדלי Persistent Disk שאפשר ליצור בפרויקט נתון.
מצב האבטחה: אוכפים שיטות מומלצות לאבטחה, כמו דרישה של OS Login לכל גישה למכונות וירטואליות, או השבתה של המסוף הטורי האינטראקטיבי.
תאימות: עמידה בדרישות רגולטוריות, כמו הדרישה שמכונות וירטואליות בפרויקט מסוים יפעלו בצמתים עם דייר יחיד כדי לתמוך בבידוד חומרה.

סוגי אילוצים

כשמשתמשים במדיניות הארגון, אפשר להחיל את סוגי האילוצים הבאים:

אילוצים מנוהלים: אילוצים מוגדרים מראש שסופקו על ידי Google ונבנו על פלטפורמה מודרנית. האילוצים האלה מזוהים על ידי הקידומת compute.managed.*. הם תומכים בכלים לפריסה בטוחה, כמו הרצה יבשה וסימולטור מדיניות, ובהצהרות מותנות בתגים, שמאפשרות להעניק פטורים מפורטים למשאבים ספציפיים.
אילוצים מנוהלים (מאמר שמתייחס לגרסה קודמת): אילוצים מוגדרים מראש ש-Google מספקת, שאפשר לזהות לפי התחילית compute.*. הם אמנם פועלים, אבל בדרך כלל אין בהם תמיכה בכלים מודרניים לפריסה בטוחה, כמו Dry Run ו-Policy Simulator, והם לא תומכים בהצהרות מותנות בתגים. אם יש חלופה שוות ערך, מומלץ לעבור למגבלות מנוהלות כדי ליהנות מיכולות משופרות של ניהול ופריסה בטוחה.
אילוצים מותאמים אישית: אילוצים שאתם יוצרים בהתאם לצרכים הספציפיים שלכם באמצעות Common Expression Language ‏ (CEL). אילוצים בהתאמה אישית מאפשרים לאכוף מדיניות בשדות ספציפיים שלא נכללים באילוצים מנוהלים. בדומה לאילוצים מנוהלים, מגבלות בהתאמה אישית תומכות בהצהרות מותנות בתגים ובכלים לפריסה בטוחה, כמו Dry Run ו-Policy Simulator. מידע נוסף על יצירה וניהול של הגבלות מותאמות אישית ב-Compute Engine זמין במאמר הגבלות מותאמות אישית.

יש מגבלה של 20 אילוצים לכל משאב של Compute Engine, שחלה על המספר הכולל של אילוצים מנוהלים ואילוצים מותאמים אישית ביחד. המגבלה הזו לא כוללת אילוצים מנוהלים מדור קודם.

מגבלות של Compute Engine

בקטעים הבאים מפורטות המגבלות של Compute Engine שנתמכות על ידי Organization Policy.

אילוצים מנוהלים

אילוצים מנוהלים ב-Compute Engine מפשטים את תהליך השליטה בתרחישי אבטחה נפוצים, ומשולבים עם כלים להשקה בטוחה, כמו הרצה יבשה וסימולטור מדיניות, שמאפשרים לבדוק את ההשפעה שלהם לפני האכיפה. רשימה של אילוצים מנוהלים ב-Compute Engine מופיעה במאמר בנושא אילוצים מנוהלים.

אילוצים מנוהלים (גרסה קודמת)

המגבלות האלה הן מהדור הקודם, ולא תומכות בכלים לפריסה בטוחה. מומלץ לעבור לאילוצים מנוהלים כשזמינה מקבילה.

תנאים מדור קודם

מגבלה	תיאור
`compute.allowedDeviceEncryptionKeys`	מגביל את המפתחות של Cloud Key Management Service שאפשר להשתמש בהם כדי להצפין משאבי מכשירים.
`compute.disableAllIpv6`	האפשרות הזו משביתה את היצירה או העדכון של מחסניות של רשתות משנה מסוג `IPV4_IPV6`, אבל לא משפיעה על רשתות משנה קיימות מסוג `IPV4_IPV6`. אם האילוץ הזה פעיל, רשתות משנה קיימות מסוג `IPV4_IPV6` stack ימשיכו לפעול. עם זאת, אם יש תת-רשתות מסוג `IPV4_IPV6` stack בפרויקט כשההגבלה הזו מופעלת, צריך למחוק אותן לפני שאפשר ליצור תת-רשת מסוג `IPV4_ONLY` stack באותו אזור, גם אם משתמשים ברשת VPC אחרת.
`compute.disableGuestAttributes`	משבית את מאפייני האורח של Compute Engine, שאפשר להשתמש בהם כדי לפרסם שמות מארחים, כתובות IP ומידע אחר שקשור למכונה מתוך מופע של מכונה וירטואלית.
`compute.disableInstanceDataAccessApis`	ההרשאה הזו משביתה את הגישה לממשקי API של מטא-נתונים של מכונות Compute Engine שנדרשים לגישה למטא-נתונים רגישים של מכונות, כמו sshKeys,‏ serialPortLogging ו-startup-/shutdown-scripts.
`compute.disableInternetNetworkEndpointGroup`	השבתה של יצירת קבוצות של נקודות קצה ברשת באינטרנט.
`compute.disableNestedVirtualization`	אם מגדירים את הערך `true`, משביתים את הווירטואליזציה המקוננת עם האצת חומרה לכל המכונות הווירטואליות של Compute Engine בפרויקט.
`compute.disableSerialPortAccess`	ההגדרה הזו משביתה את הגישה ליציאות טוריות במכונות וירטואליות של Compute Engine.
`compute.disableSerialPortLogging`	האפשרות הזו משביתה את הרישום ביומן של יציאות טוריות ב-Google Cloud Observability ממכונות וירטואליות ב-Compute Engine.
`compute.disableVpcExternalIpv6`	אם האילוץ הזה פעיל, אי אפשר ליצור רשתות VPC עם טווחי כתובות IPv6 פנימיות של ULA, או להקצות כתובות IPv6 חיצוניות למכונות וירטואליות ברשתות VPC. המגבלה הזו לא משפיעה על כתובות IPv6 פנימיות ברשתות VPC.
`compute.enableComplianceMemoryProtection`	הפעלת תכונות להגנה על הזיכרון במכונות וירטואליות של Compute Engine.
`compute.requireConfidentialVm`	כל המכונות הווירטואליות החדשות ב-Compute Engine חייבות להיות מכונות וירטואליות חסויות.
`compute.requireGuestAttributes`	נדרשים מאפייני אורח של Compute Engine, שאפשר להשתמש בהם כדי לפרסם שמות מארחים, כתובות IP ומידע אחר שקשור למכונה מתוך מכונה וירטואלית.
`compute.requireOsLogin`	ההגדרה מחייבת הפעלה של OS Login בכל המכונות הווירטואליות החדשות של Compute Engine.
`compute.requireShieldedVm`	כל המכונות הווירטואליות החדשות חייבות להיות מכונות וירטואליות מוגנות.
`compute.restrictCloudNATUsage`	הגבלת השימוש ב-Cloud NAT רק לרשתות VPC שצוינו.
`compute.restrictDedicatedInterconnectUsage`	מגביל את השימוש ב-Dedicated Interconnect רק לרשתות VPC שצוינו.
`compute.restrictLoadBalancerCreationForTypes`	הגבלה של יצירת מאזני עומסים רק לסוגים מותרים.
`compute.restrictPartnerInterconnectUsage`	הגבלת השימוש ב-Partner Interconnect רק לרשתות VPC שצוינו.
`compute.restrictProtocolForwardingCreationForTypes`	מגביל את יצירת העברת פרוטוקולים למופעי יעד פנימיים או חיצוניים.
`compute.restrictSharedVpcHostProjects`	מגביל את קבוצת הפרויקטים המארחים שאליהם יכולים להתחבר פרויקטים בהיקף.
`compute.restrictSharedVpcSubnetworks`	מגביל את קבוצת תת-הרשתות של ה-VPC המשותף שפרויקטים בהיקף יכולים להשתמש בהן.
`compute.restrictVpcPeering`	מגביל את הקישור בין רשתות VPC שכנות (peering) רק לרשתות VPC מותרות.
`compute.restrictVpnPeerIPs`	מגביל את כתובות ה-IP של עמיתי ה-VPN רק לכתובות IP מותרות.
`compute.setNewProjectDefaultToZonalDnsOnly`	אם מגדירים את האפשרות `true`, פרויקטים חדשים מוגדרים כברירת מחדל ל-DNS אזורי בלבד. למכונות וירטואליות שנוצרו בפרויקטים האלה יש שמות DNS אזוריים (`.zone.c.project-id.internal`). אי אפשר להחזיר פרויקטים שבהם ה-DNS הגלובלי מושבת ל-DNS גלובלי.
`compute.skipDefaultNetworkCreation`	מדלג על היצירה האוטומטית של `default`רשת ה-VPC ומשאבים קשורים Google Cloud במהלך יצירת הפרויקט.
`compute.storageResourceUseRestrictions`	מגביל את השימוש במשאבי אחסון של Compute Engine (כמו PD-Standard,‏ PD-SSD, ‏ PD-Balanced, ‏ Local-SSD) על סמך המיקום.
`compute.trustedImageProjects`	הגישה לתמונות מוגבלת לתמונות מהימנות בלבד מהפרויקטים שצוינו.
`compute.vmCanIpForward`	הגבלת המכונות הווירטואליות שיכולות להפעיל העברת IP.
`compute.vmExternalIpAccess`	המדיניות הזו מגבילה את המכונות הווירטואליות שמורשות להשתמש בכתובות IP חיצוניות.

המאמרים הבאים

כדי ללמוד איך להחיל את האילוצים האלה, ראו יצירה וניהול של מדיניות הארגון בתיעוד של מנהל המשאבים.
כדי לבדוק את ההשפעה של מדיניות חדשה לפני שמחילים אותה, אפשר לעיין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
במאמר אילוצים בהתאמה אישית מוסבר איך יוצרים אילוצים בהתאמה אישית.
רשימה מלאה של כל המגבלות שזמינות ב- Google Cloudמופיעה במאמר בנושא מגבלות שקשורות למדיניות הארגון.

מדיניות הארגון ב-Compute Engine קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.