Produk yang dijelaskan dalam dokumentasi ini, GKE di Azure, kini dalam mode pemeliharaan dan akan dihentikan pada 17 Maret 2027.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Membuat dan mengelola batasan kustom

Halaman ini menunjukkan cara mengaktifkan dan menggunakan batasan kustom dalam lingkungan GKE di Azure Anda. Google CloudLayanan Kebijakan Organisasi membantu Anda mengelola konfigurasi resource dan membuat batasan di lingkungan cloud Anda.

Ringkasan

Dengan kebijakan organisasi kustom, Anda dapat membuat kebijakan resource terperinci di seluruh lingkungan GKE Multi-Cloud untuk memenuhi persyaratan keamanan dan kepatuhan spesifik organisasi Anda. Anda juga dapat membuat kebijakan organisasi dalam mode uji coba untuk menguji kebijakan baru tanpa memengaruhi workload produksi Anda.

Untuk mempelajari kebijakan organisasi lebih lanjut, lihat Pengantar Layanan Kebijakan Organisasi.

Sebelum memulai

Sebelum memulai, pastikan Anda memahami topik berikut.

Pewarisan kebijakan

Secara default, kebijakan organisasi diwarisi oleh turunan resource tempat Anda menerapkan kebijakan tersebut. Misalnya, jika Anda menerapkan kebijakan pada organisasi, Google Cloud kebijakan tersebut akan diterapkan pada semua project di organisasi. Untuk mempelajari lebih lanjut pewarisan kebijakan dan cara mengubah aturan evaluasi, lihat Aturan evaluasi hierarki.

Batasan

Sebelum membuat batasan kustom, perhatikan batasan berikut:

Batasan kustom hanya dapat diterapkan pada metode CREATE atau UPDATE untuk resource GKE di Azure.
Batasan kustom yang baru diterapkan tidak otomatis berlaku untuk resource yang ada. Anda harus memperbarui resource yang ada untuk menerapkan batasan. Untuk menemukan resource yang ada yang perlu diperbarui, Anda dapat menerapkan kebijakan organisasi uji coba.
Untuk membuat batasan dan menerapkan kebijakan organisasi, Anda memerlukan peran IAM Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) di organisasi Google Cloud Anda. Untuk mengetahui informasi selengkapnya tentang izin yang diperlukan untuk mengelola kebijakan organisasi dengan batasan kustom, lihat Peran yang diperlukan.

Harga

Kebijakan organisasi dan batasan kustom ditawarkan tanpa biaya.

Membuat batasan kustom

Batasan kustom harus ditentukan menggunakan kolom dalam spesifikasi resource AzureCluster, AzureNodepool, dan AzureClient API, tidak termasuk kolom yang dijelaskan sebagai "Output only".

Membuat batasan kustom

Untuk membuat batasan kustom baru, tentukan batasan dalam file YAML dan terapkan batasan kustom di organisasi Anda menggunakan Google Cloud CLI. Batasan ini harus merangkum kebijakan spesifik yang ingin Anda terapkan di seluruh resource GKE di Azure.

Buat file YAML untuk menentukan batasan kustom pada cluster Anda:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- gkemulticloud.googleapis.com/AzureCluster
methodTypes:
- CREATE
condition: CONDITION
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Untuk menentukan batasan kustom pada node pool Anda, gunakan konfigurasi YAML berikut:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- gkemulticloud.googleapis.com/AzureNodePool
methodTypes:
- CREATE
condition: CONDITION
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Ganti kode berikut:

ORGANIZATION_ID : ID organisasi Anda, seperti 123456789.
CONSTRAINT_NAME : nama batasan kustom baru Anda. Batasan kustom harus dimulai dengan custom., dan hanya dapat menyertakan huruf besar, huruf kecil, atau angka. Misalnya, custom.allowClusterCreateIfAnnotationPresent. Panjang maksimum kolom ini adalah 70 karakter, tidak termasuk awalan, misalnya, organizations/123456789/customConstraints/custom.
CONDITION : kondisi yang ditulis terhadap representasi Google Cloud resource. Kondisi ditulis dalam Common Expression Language (CEL). Kolom ini memiliki panjang maksimum 1.000 karakter. Misalnya, condition: "key" in resource.annotations && resource.annotations.key == "created-by".
ACTION : tindakan yang akan diambil jika kondisi terpenuhi. Tindakan ini dapat berupa ALLOW atau DENY.
DISPLAY_NAME : nama tampilan untuk batasan. Kolom ini memiliki panjang maksimum 200 karakter.
DESCRIPTION : deskripsi batasan yang akan ditampilkan sebagai pesan error saat kebijakan dilanggar, misalnya, "Allow new clusters only when certain annotations are set." Kolom ini memiliki panjang maksimum 2.000 karakter.

Untuk mengetahui informasi selengkapnya tentang cara membuat batasan kustom, lihat Menentukan batasan kustom.

Mengaitkan batasan dengan resource Anda

Setelah membuat file YAML untuk batasan kustom baru, Anda harus menyiapkan file tersebut agar batasan tersedia untuk kebijakan organisasi.

Untuk menyiapkan batasan kustom, gunakan perintah gcloud org-policies set-custom-constraint:
```
gcloud org-policies set-custom-constraint PATH_TO_FILE
```
Ganti PATH_TO_FILE dengan jalur definisi YAML batasan kustom Anda.

Untuk memverifikasi bahwa batasan kustom dibuat, gunakan perintah gcloud org-policies list-custom-constraints:

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Output mencantumkan kebijakan yang dibuat:

CUSTOM_CONSTRAINT: custom.allowClusterCreateIfAnnotationPresent
ACTION_TYPE: ALLOW
METHOD_TYPES: CREATE
RESOURCE_TYPES: gkemulticloud.googleapis.com/AzureCluster
DISPLAY_NAME: Allow new clusters only when certain annotations are set.

Menerapkan batasan kustom

Untuk menerapkan batasan kustom baru, buat kebijakan organisasi yang mereferensikan batasan, lalu terapkan kebijakan organisasi.

Buat file YAML untuk kebijakan organisasi:
```
name: RESOURCE_HIERARCHY/policies/POLICY_NAME
spec:
  rules:
  - enforce: true
```
Ganti kode berikut:
- RESOURCE_HIERARCHY: lokasi kebijakan baru, yang memengaruhi cakupan penerapan. Gunakan Google Cloud hierarki resource sebagai panduan. Misalnya, jika Anda ingin menerapkan kebijakan dalam project tertentu, gunakan projects/PROJECT_ID. Untuk menerapkan kebijakan di organisasi tertentu, gunakan organizations/ORGANIZATION_ID.
- POLICY_NAME: nama kebijakan baru.
Terapkan kebijakan:
```
gcloud org-policies set-policy PATH_TO_POLICY
```
Ganti PATH_TO_POLICY dengan jalur ke file definisi kebijakan Anda.
Pastikan kebijakan ada:
```
gcloud org-policies list --RESOURCE_FLAG=RESOURCE_ID
```
Ganti kode berikut:
- RESOURCE_FLAG: sumber daya tempat Anda menerapkan kebijakan. Google Cloud Misalnya, project atau organisasi.
- RESOURCE_ID: ID resource tempat Anda menerapkan kebijakan. Misalnya, ID project atau ID organisasi Anda.
Outputnya mirip dengan hal berikut ini:
```
CONSTRAINT: custom.allowClusterCreateIfAnnotationPresent
LIST_POLICY: -
BOOLEAN_POLICY: SET
ETAG: CPjb27wGEOijhL4B-
```

Menguji kebijakan

Uji kebijakan organisasi dengan membuat Cluster Azure baru dalam project yang dibatasi.

Buat cluster Azure dalam project yang dibatasi.

gcloud container azure clusters create CLUSTER_NAME \
    --location GOOGLE_CLOUD_LOCATION \
    --fleet-project FLEET_PROJECT \
    --azure-tenant-id "${TENANT_ID}" \
    --azure-application-id "${APPLICATION_ID}" \
    --azure-region AZURE_REGION \
    --pod-address-cidr-blocks POD_CIDR \
    --service-address-cidr-blocks SERVICE_CIDR \
    --vm-size VM_SIZE \
    --cluster-version 1.31.1-gke.1800 \
    --ssh-public-key "$SSH_PUBLIC_KEY" \
    --resource-group-id "$CLUSTER_RG_ID" \
    --vnet-id "$VNET_ID" \
    --subnet-id "$SUBNET_ID" # Optional, see following note \
    --tags "control-plane=CLUSTER_NAME" \
    --admin-users ADMIN_USERS_LIST

Outputnya mirip dengan hal berikut ini:

FAILED_PRECONDITION: Operation denied by org policy on resource 'projects/PROJECT_NUMBER/locations/GOOGLE_CLOUD_REGION': ["customConstraints/custom.allowClusterCreateIfAnnotationPresent": "Allow new clusters only when certain annotations are set."]

'@type': type.googleapis.com/google.rpc.ErrorInfo
domain: googleapis.com
metadata:
  customConstraints: customConstraints/custom.allowClusterCreateIfAnnotationPresent
service: gkemulticloud.googleapis.com
reason: CUSTOM_ORG_POLICY_VIOLATION