מגבלות שקשורות למדיניות הארגון
בדף הזה מוסבר על האילוצים של מדיניות הארגון שאפשר להגדיר עבור Cloud NAT.
מנהלי רשת יכולים ליצור הגדרות של Cloud NAT ולציין אילו רשתות משנה יכולות להשתמש בשער. כברירת מחדל, אין הגבלות על רשתות המשנה שהאדמין יוצר או על רשתות המשנה שיכולות להשתמש בהגדרת Cloud NAT.
אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin) יכול להשתמש באילוץ constraints/compute.restrictCloudNATUsage כדי להגביל את השימוש ב-Cloud NAT לרשתות משנה מסוימות.
אתם יוצרים ואוכפים אילוצים ארגוניים במדיניות הארגון.
דרישות מוקדמות
הרשאות IAM
- לאדם שיוצר את האילוצים צריכה להיות ההרשאה roles/orgpolicy.policyAdmin.
- אם משתמשים ב-VPC משותף, תפקיד המשתמש צריך להיות בפרויקט המארח.
רקע על מדיניות הארגון
אם לא השתמשתם בעבר באילוצים של מדיניות הארגון, כדאי קודם לעיין במסמכים הבאים:
תכנון המגבלות
אפשר ליצור אילוצים מסוג allow או deny ברמות הבאות של היררכיית המשאבים:
- ארגון
- תיקייה
- פרויקט
- רשת משנה
כברירת מחדל, אילוץ שנוצר בצומת עובר בירושה לכל צמתי הצאצאים. עם זאת, אדמין של מדיניות הארגון בתיקייה מסוימת יכול להחליט אם התיקייה יורשת את המדיניות מהתיקיות הראשיות שלה, כך שהירושה לא מתבצעת באופן אוטומטי. מידע נוסף מופיע בקטע ירושה במאמר הסבר על הערכת ההיררכיה.
ההגבלות לא חלות רטרואקטיבית. הגדרות קיימות ימשיכו לפעול גם אם הן לא עומדות בדרישות.
האילוצים כוללים את ההגדרות של allow ושל deny.
אינטראקציה בין ערכים מותרים לבין ערכים אסורים
- אם מוגדר אילוץ
restrictCloudNatUsageאבל לא מצויניםallowedValuesאוdeniedValues, הכול מותר. - אם
allowedValuesמוגדר ו-deniedValuesלא מוגדר, כל מה שלא מצוין ב-allowedValuesנדחה. - אם המדיניות
deniedValuesמוגדרת והמדיניותallowedValuesלא מוגדרת, כל מה שלא מצוין ב-deniedValuesמותר. - אם גם
allowedValuesוגםdeniedValuesמוגדרות, כל מה שלא מצוין ב-allowedValuesנדחה. - אם יש שני ערכים סותרים, הערך של
deniedValuesמקבל עדיפות.
אינטראקציה בין רשתות משנה לבין שערים
אילוצים לא מונעים מרשתות משנה להשתמש בשער NAT. במקום זאת, מגבלות מונעות הגדרה שתפר את המגבלה, על ידי מניעת יצירה של שער או רשת משנה.
דוגמה 1: ניסיון ליצור רשת משנה שמפרה כלל deny
- שער קיים באזור.
- השער מוגדר כך שכל תת-הרשתות באזור יוכלו להשתמש בו.
- רשת משנה אחת (
subnet-1) קיימת באזור. - נוצרת מגבלה כך שרק
subnet-1יכול להשתמש בשער. - האדמינים לא יכולים ליצור עוד רשתות משנה באותה רשת באותו אזור. ההגבלה מונעת יצירה של רשתות משנה שיכולות להשתמש בשער. אם רשתות המשנה החדשות צריכות להתקיים, אדמין של מדיניות הארגון יכול להוסיף את רשתות המשנה האלה לרשימת רשתות המשנה המותרות.
דוגמה 2: ניסיון ליצור שער שמפר כלל של deny
- קיימות שתי רשתות משנה (
subnet-1ו-subnet-2) באזור. - קיימת מגבלה שמאפשרת רק ל-
subnet-1להשתמש בשער. - אדמינים לא יכולים ליצור שער שפתוח לכל רשתות המשנה באזור. במקום זאת, הם צריכים ליצור שער שמשרת רק את
subnet-1, או שאדמין של מדיניות הארגון צריך להוסיף אתsubnet-2לרשימת רשתות המשנה המותרות.
יצירת האילוצים
במאמר שימוש באילוצים מוסבר איך ליצור מדיניות ארגון עם אילוץ מסוים.
המאמרים הבאים
- איך משתמשים במדיניות ארגונית בהתאמה אישית
- הגדרה וניהול של תרגום כתובות רשת באמצעות Public NAT
- הגדרה וניהול של תרגום כתובות רשת באמצעות NAT פרטי