מגבלות שקשורות למדיניות הארגון

בדף הזה מוסבר על האילוצים של מדיניות הארגון שאפשר להגדיר עבור Cloud NAT.

מנהלי רשת יכולים ליצור הגדרות של Cloud NAT ולציין אילו רשתות משנה יכולות להשתמש בשער. כברירת מחדל, אין הגבלות על רשתות המשנה שהאדמין יוצר או על רשתות המשנה שיכולות להשתמש בהגדרת Cloud NAT.

אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin) יכול להשתמש באילוץ constraints/compute.restrictCloudNATUsage כדי להגביל את השימוש ב-Cloud NAT לרשתות משנה מסוימות.

אתם יוצרים ואוכפים אילוצים ארגוניים במדיניות הארגון.

דרישות מוקדמות

הרשאות IAM

  • לאדם שיוצר את האילוצים צריכה להיות ההרשאה roles/orgpolicy.policyAdmin.
  • אם משתמשים ב-VPC משותף, תפקיד המשתמש צריך להיות בפרויקט המארח.

רקע על מדיניות הארגון

אם לא השתמשתם בעבר באילוצים של מדיניות הארגון, כדאי קודם לעיין במסמכים הבאים:

תכנון המגבלות

אפשר ליצור אילוצים מסוג allow או deny ברמות הבאות של היררכיית המשאבים:

  • ארגון
  • תיקייה
  • פרויקט
  • רשת משנה

כברירת מחדל, אילוץ שנוצר בצומת עובר בירושה לכל צמתי הצאצאים. עם זאת, אדמין של מדיניות הארגון בתיקייה מסוימת יכול להחליט אם התיקייה יורשת את המדיניות מהתיקיות הראשיות שלה, כך שהירושה לא מתבצעת באופן אוטומטי. מידע נוסף מופיע בקטע ירושה במאמר הסבר על הערכת ההיררכיה.

ההגבלות לא חלות רטרואקטיבית. הגדרות קיימות ימשיכו לפעול גם אם הן לא עומדות בדרישות.

האילוצים כוללים את ההגדרות של allow ושל deny.

אינטראקציה בין ערכים מותרים לבין ערכים אסורים

  • אם מוגדר אילוץ restrictCloudNatUsage אבל לא מצוינים allowedValues או deniedValues, הכול מותר.
  • אם allowedValues מוגדר ו-deniedValues לא מוגדר, כל מה שלא מצוין ב-allowedValues נדחה.
  • אם המדיניות deniedValues מוגדרת והמדיניות allowedValues לא מוגדרת, כל מה שלא מצוין ב-deniedValues מותר.
  • אם גם allowedValues וגם deniedValues מוגדרות, כל מה שלא מצוין ב-allowedValues נדחה.
  • אם יש שני ערכים סותרים, הערך של deniedValues מקבל עדיפות.

אינטראקציה בין רשתות משנה לבין שערים

אילוצים לא מונעים מרשתות משנה להשתמש בשער NAT. במקום זאת, מגבלות מונעות הגדרה שתפר את המגבלה, על ידי מניעת יצירה של שער או רשת משנה.

דוגמה 1: ניסיון ליצור רשת משנה שמפרה כלל deny

  1. שער קיים באזור.
  2. השער מוגדר כך שכל תת-הרשתות באזור יוכלו להשתמש בו.
  3. רשת משנה אחת (subnet-1) קיימת באזור.
  4. נוצרת מגבלה כך שרק subnet-1 יכול להשתמש בשער.
  5. האדמינים לא יכולים ליצור עוד רשתות משנה באותה רשת באותו אזור. ההגבלה מונעת יצירה של רשתות משנה שיכולות להשתמש בשער. אם רשתות המשנה החדשות צריכות להתקיים, אדמין של מדיניות הארגון יכול להוסיף את רשתות המשנה האלה לרשימת רשתות המשנה המותרות.

דוגמה 2: ניסיון ליצור שער שמפר כלל של deny

  1. קיימות שתי רשתות משנה (subnet-1 ו-subnet-2) באזור.
  2. קיימת מגבלה שמאפשרת רק ל-subnet-1 להשתמש בשער.
  3. אדמינים לא יכולים ליצור שער שפתוח לכל רשתות המשנה באזור. במקום זאת, הם צריכים ליצור שער שמשרת רק את subnet-1, או שאדמין של מדיניות הארגון צריך להוסיף את subnet-2 לרשימת רשתות המשנה המותרות.

יצירת האילוצים

במאמר שימוש באילוצים מוסבר איך ליצור מדיניות ארגון עם אילוץ מסוים.

המאמרים הבאים