מגבלות שקשורות למדיניות הארגון

בדף הזה מוסבר על האילוצים של מדיניות הארגון שאפשר להגדיר ל-Cloud NAT.

מנהלי רשת יכולים ליצור הגדרות של Cloud NAT ולציין אילו רשתות משנה יכולות להשתמש בשער. כברירת מחדל, אין הגבלות על רשתות המשנה שהאדמין יוצר או על רשתות המשנה שיכולות להשתמש בהגדרת Cloud NAT.

אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin) יכול להשתמש באילוץ constraints/compute.restrictCloudNATUsage כדי להגביל את השימוש ב-Cloud NAT לרשתות משנה מסוימות.

אפשר ליצור ולאכוף אילוצים ארגוניים במדיניות הארגון.

דרישות מוקדמות

הרשאות IAM

• לאדם שיוצר את האילוצים צריכה להיות ההרשאה roles/orgpolicy.policyAdmin.
• אם משתמשים ב-VPC משותף, תפקיד המשתמש צריך להיות בפרויקט המארח.

רקע על מדיניות הארגון

אם לא עבדתם בעבר עם הגבלות של מדיניות ארגונית, כדאי קודם לעיין במסמכים הבאים:

• הסבר על אילוצים
• הסבר על הערכת ההיררכיה

תכנון המגבלות

אפשר ליצור אילוצי allow או deny ברמות הבאות של היררכיית המשאבים:

• ארגון
• תיקייה
• פרויקט
• רשת משנה

כברירת מחדל, אילוץ שנוצר בצומת עובר בירושה לכל צמתי הצאצאים. עם זאת, אדמין של מדיניות הארגון בתיקייה מסוימת יכול להחליט אם התיקייה יורשת את המדיניות מהתיקיות הראשיות שלה, כך שהירושה לא מתבצעת באופן אוטומטי. מידע נוסף מופיע בקטע ירושה במאמר הסבר על הערכת ההיררכיה.

האילוצים לא חלים רטרואקטיבית. הגדרות קיימות ימשיכו לפעול גם אם הן לא עומדות בדרישות.

האילוצים כוללים את ההגדרות allow ו-deny.

אינטראקציה בין ערכים מותרים לבין ערכים אסורים

• אם מוגדר אילוץ restrictCloudNatUsage אבל לא מצוינים allowedValues או deniedValues, הכול מותר.
• אם allowedValues מוגדר ו-deniedValues לא מוגדר, כל מה שלא מצוין ב-allowedValues נדחה.
• אם המדיניות deniedValues מוגדרת והמדיניות allowedValues לא מוגדרת, כל מה שלא מצוין במדיניות deniedValues מותר.
• אם גם allowedValues וגם deniedValues מוגדרים, כל מה שלא מצוין ב-allowedValues נדחה.
• אם יש סתירה בין שני ערכים, הערך של deniedValues מקבל עדיפות.

אינטראקציה בין רשתות משנה לשערים

אילוצים לא מונעים מרשתות משנה להשתמש בשער NAT. במקום זאת, מגבלות מונעות הגדרה שתפר את המגבלה על ידי מניעת יצירה של שער או רשת משנה.

דוגמה 1: ניסיון ליצור רשת משנה שמפרה כלל deny

1. שער קיים באזור.
2. השער מוגדר כך שכל תת-הרשתות באזור יוכלו להשתמש בו.
3. קיימת תת-רשת אחת (subnet-1) באזור.
4. נוצרת מגבלה כך שרק subnet-1 יכול להשתמש בשער.
5. האדמינים לא יכולים ליצור עוד רשתות משנה באותה רשת באותו אזור. ההגבלה מונעת יצירה של רשתות משנה שיכולות להשתמש בשער. אם רשתות המשנה החדשות צריכות להתקיים, אדמין של מדיניות הארגון יכול להוסיף את רשתות המשנה האלה לרשימת רשתות המשנה המותרות.

דוגמה 2: ניסיון ליצור שער שמפר כלל של deny

1. קיימות שתי רשתות משנה (subnet-1 ו-subnet-2) באזור.
2. קיימת מגבלה שמאפשרת רק ל-subnet-1 להשתמש בשער.
3. אדמינים לא יכולים ליצור שער שפתוח לכל רשתות המשנה באזור. במקום זאת, הם צריכים ליצור שער שמשרת רק את subnet-1, או שאדמין של מדיניות הארגון צריך להוסיף את subnet-2 לרשימת רשתות המשנה המותרות.

יצירת האילוצים

כדי ליצור מדיניות ארגון עם אילוץ מסוים, ראו שימוש באילוצים.

המאמרים הבאים

• מידע נוסף על שימוש במדיניות ארגונית בהתאמה אישית
• מגדירים שער NAT ציבורי.
• מגדירים שער NAT פרטי.