ניהול משאבים של Memorystore for Redis Cluster באמצעות אילוצים בהתאמה אישית

Google Cloud מדיניות הארגון מאפשרת לכם שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. אדמינים של מדיניות הארגון יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים, שחלות על משאביGoogle Cloud ועל משאבים שנגזרים מהם בGoogle Cloud היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.

השירות Organization Policy מספק מגבלות מוגדרות מראש לשירותים שונים שלGoogle Cloud . עם זאת, אם אתם רוצים שליטה מפורטת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור מדיניות ארגונית בהתאמה אישית.

הטמעה של מדיניות ארגונית מותאמת אישית מאפשרת לאכוף הגדרות והגבלות עקביות. כך תוכלו לוודא שמופעי Memorystore for Redis Cluster עומדים בשיטות המומלצות לאבטחה ובדרישות הרגולטוריות.

יתרונות

אתם יכולים להשתמש במדיניות ארגונית מותאמת אישית כדי לאשר או לדחות משאבים ספציפיים של Memorystore for Redis Cluster. לדוגמה, אם בקשה ליצור או לעדכן אשכול Redis לא עומדת באימות של אילוץ מותאם אישית כפי שהוגדר במדיניות הארגונית, הבקשה תיכשל ותוחזר שגיאה למבצע השיחה.

העברה בירושה של מדיניות

כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.

תמחור

שירות מדיניות הארגון, כולל מדיניות ארגון מוגדרת מראש ומותאמת אישית, מוצע ללא תשלום.

מגבלות

בדומה לכל האילוצים של מדיניות הארגון, שינויים במדיניות לא חלים רטרואקטיבית על מקרים קיימים.

  • מדיניות חדשה לא משפיעה על הגדרות קיימות של מופעים.
  • הגדרת מכונה קיימת תישאר תקפה, אלא אם תשנו את הגדרת המכונה ממצב תאימות למצב אי-תאימות באמצעותGoogle Cloud המסוף, Google Cloud CLI או RPC.
  • עדכון תחזוקה מתוזמן לא גורם לאכיפת מדיניות, כי התחזוקה לא משנה את ההגדרה של המופעים.

לפני שמתחילים

  1. מגדירים את הפרויקט.
    1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    3. Verify that billing is enabled for your Google Cloud project.

    4. התקינו את ה-CLI של Google Cloud.

    5. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

    6. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

      gcloud init

    7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    8. Verify that billing is enabled for your Google Cloud project.

    9. התקינו את ה-CLI של Google Cloud.

    10. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

    11. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

      gcloud init
    12. חשוב לוודא שאתם יודעים מהו מספר הארגון שלכם.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול מדיניות הארגון, אתם צריכים לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Organization policy administrator (אדמין של מדיניות הארגון) ‏(roles/orgpolicy.policyAdmin) במשאב הארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

בנוסף, צריך להוסיף לחשבון המשתמש את התפקידים הנדרשים כדי ליצור Memorystore for Redis Cluster. הגדרת גישה למשאבים של Memorystore for Redis Cluster

יצירת אילוץ בהתאמה אישית

אפשר ליצור אילוץ בהתאמה אישית באמצעות קובץ YAML כדי להגדיר את המשאבים, השיטות, התנאים והפעולות שחלים עליהם האילוצים. ההגדרות האלה ספציפיות לשירות שבו אתם אוכפים את מדיניות הארגון. צריך להגדיר את התנאים של ההגבלות המותאמות אישית באמצעות Common Expression Language ‏(CEL). אפשר לעיין בדף של GitHub בנושא Common Expression Language ‏ (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.

כדי ליצור קובץ YAML לאילוץ בהתאמה אישית, משתמשים בתבנית הבאה:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- redis.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.

  • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית חייב להתחיל ב-custom., ויכול לכלול רק אותיות רישיות, אותיות קטנות או מספרים, לדוגמה, custom.restrictFiveShardClusters. האורך המקסימלי של השדה הזה הוא 70 תווים, לא כולל הקידומת, לדוגמה, organizations/123456789/customConstraints/custom.allowConstraint.

  • RESOURCE_NAME: השם (לא ה-URI) של משאב Memorystore for Redis Cluster שמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה, redis.googleapis.com/Cluster.

  • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. האורך המקסימלי של השדה הוא 1,000 תווים. מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים. לדוגמה, "resource.shardCount == 5".

  • ACTION: הפעולה שתתבצע אם התנאי condition יתקיים. האפשרויות הן ALLOW או DENY.

  • DISPLAY_NAME: שם קריא לאנשים של האילוץ. האורך המקסימלי של השדה הוא 200 תווים.

  • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ, שיוצג כהודעת שגיאה אם תהיה הפרה של המדיניות. האורך המקסימלי של השדה הוא 2,000 תווים.

מידע נוסף על יצירת אילוץ בהתאמה אישית זמין במאמר יצירה וניהול של מדיניות ארגונית בהתאמה אישית.

הגדרת אילוץ בהתאמה אישית

אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון שלכם.

כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה gcloud org-policies set-custom-constraint:

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml. אחרי שמגדירים אילוצים בהתאמה אישית, הם זמינים כמדיניות ארגונית ברשימתGoogle Cloud המדיניות הארגונית.

כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה gcloud org-policies list-custom-constraints:

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

מחליפים את ORGANIZATION_ID במזהה של משאב הארגון. למידע נוסף על מדיניות הארגון

אכיפה של מדיניות ארגון מותאמת אישית

כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. מכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. מהרשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
  4. כדי להגדיר את מדיניות הארגון עבור המשאב הזה, לוחצים על ניהול מדיניות.
  5. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
  6. לוחצים על Add a rule.
  7. בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
  8. אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף על מדיניות ארגונית עם תגים
  9. לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
  10. כדי לאכוף את המדיניות של הארגון במצב פרימטר לבדיקות, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.
  11. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.

gcloud

  1. כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ: 
    2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: true

dryRunSpec:
  rules:
  - enforce: true

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ.
    • CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה, custom.restrictFiveShardClusters.
  2. כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל dryRunSpec: 
    3. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

  3. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה org-policies set-policy והדגל spec: 
    4. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

בדיקת אילוץ בהתאמה אישית

כדי לבדוק אילוץ מותאם אישית, מריצים פקודת gcloud שמנסה ליצור אשכול Redis.

לדוגמה, נניח שיש אילוץ שמגביל את יצירת אשכולות Redis עם חמישה רסיסים. כדי לבדוק את האילוץ הזה, אפשר להריץ את הפקודה gcloud redis clusters create עם shard-count שמוגדר ל-5, כמו שמוצג בקטע הקוד הבא:


gcloud redis clusters create redis-cluster-test \
    --replica-count=0 \
    --region=us-east1 \
    --project=my-project \
    --network=projects/my-project/global/networks/default \
    --node-type=redis-shared-core-nano
    --shard-count=5 \

הפלט אמור להיראות כך:

Operation denied by custom org policies: ["customConstraints/custom.restrictFiveShardClusters": "Prevent users from creating Redis clusters with five shards."]

משאבים ופעולות נתמכים ב-Memorystore for Redis Cluster

אפשר להשתמש בשדות הבאים של אילוצים מותאמים אישית ב-Memorystore for Redis Cluster כשיוצרים או מעדכנים משאב של Memorystore for Redis Cluster.

  • Memorystore for Redis Cluster Cluster
    • resource.authorizationMode
    • resource.deletionProtectionEnabled
    • resource.name
    • resource.nodeType
    • resource.persistenceConfig.aofConfig.appendFsync
    • resource.persistenceConfig.mode
    • resource.persistenceConfig.rdbConfig.rdbSnapshotPeriod
    • resource.persistenceConfig.rdbConfig.rdbSnapshotStartTime
    • resource.pscConfigs.network
    • resource.redisConfigs
    • resource.replicaCount
    • resource.shardCount
    • resource.transitEncryptionMode

דוגמאות למגבלות מותאמות אישית

בטבלה הבאה מופיעה דוגמה להגבלה מותאמת אישית שמגבילה את השימוש באשכולות Redis עם חמישה רסיסים:

תיאור תחביר של אילוצים
הגבלת אשכולות Redis עם חמישה רסיסים 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictFiveShardClusters
    resourceTypes:
    - redis.googleapis.com/Cluster
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.shardCount == 5"
    actionType: DENY
    displayName: Restrict five shard Redis clusters
    description: Prevent users from creating Redis clusters with five shards.

המאמרים הבאים