הגבלת השימוש ב-Cloud Interconnect

במאמר הזה מוסבר איך להגביל את קבוצת הרשתות בענן וירטואלי פרטי (VPC) שיכולות להשתמש ב-Cloud Interconnect.

כברירת מחדל, כל רשת VPC יכולה להשתמש ב-Cloud Interconnect. כדי לקבוע באילו רשתות VPC אפשר להשתמש ב-Cloud Interconnect, אפשר להגדיר מדיניות ארגונית. מידע כללי על מדיניות הארגון זמין במאמר מבוא לשירות של מדיניות הארגון.

כדי להשתמש ב-Cloud Interconnect כדי לחבר רשת VPC לרשת המקומית, צריך צירוף ל-VLAN. מדיניות ארגון להגבלת השימוש ב-Cloud Interconnect מאפשרת או אוסרת יצירה של קבצים מצורפים של VLAN מרשתות VPC שצוינו. אפשר להגדיר מדיניות שמאפשרת או דוחה את היצירה של קבצים מצורפים של VLAN מרשת VPC ספציפית או מכל רשתות ה-VPC במשאב של פרויקט, תיקייה או ארגון.

אפשר להשתמש באילוצים הבאים כשמגדירים את המדיניות:

• constraints/compute.restrictDedicatedInterconnectUsage

  ההגבלה הזו מגדירה את קבוצת רשתות ה-VPC שבהן אפשר להשתמש כשיוצרים צירוף ל-VLAN באמצעות Dedicated Interconnect.

• constraints/compute.restrictPartnerInterconnectUsage

  ההגבלה הזו מגדירה את קבוצת רשתות ה-VPC שבהן אפשר להשתמש כשיוצרים צירוף ל-VLAN באמצעות Partner Interconnect.

כשמגדירים מדיניות ארגונית, היא מגבילה רק את היצירה של קובצי מצורף של VLAN בעתיד. המדיניות לא משפיעה על חיבורי VLAN שנוצרו בעבר.

אם משתמש מנסה ליצור צירוף ל-VLAN שמפר את מדיניות הארגון, תוצג לו הודעת שגיאה. הודעת שגיאה לדוגמה מהרצת gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

בדף הזה מפורטות דוגמאות להליכים להגדרת מדיניות הארגון כדי להגביל את השימוש ב-Cloud Interconnect.

למידע נוסף, כולל נהלים כלליים להגדרת מדיניות ארגונית, אפשר לעיין במאמרים הבאים:

• הסבר על אילוצים
• שימוש באילוצים
• יצירה וניהול של מדיניות ארגונית

לפני שמתחילים

כדי להגדיר מדיניות ארגונית, צריך להיות לכם התפקיד 'אדמין של מדיניות הארגון' (roles/orgpolicy.policyAdmin).

הגדרת מדיניות לדחיית רשת VPC ספציפית

כדי להגדיר מדיניות שתמנע מרשת VPC ספציפית להשתמש ב-Cloud Interconnect, מבצעים את השלבים הבאים:

1. כדי למצוא את מזהה הארגון, מזינים את הפקודה הבאה:

   gcloud organizations list

   פלט הפקודה נראה כמו הדוגמה הבאה:

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. יוצרים קובץ JSON שמגדיר את המדיניות. קובץ ה-JSON הבא מגדיר מדיניות שמונעת מnetwork-1 ב-project-1 להשתמש ב-Dedicated Interconnect:

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "deniedValues": [
         "projects/project-1/global/networks/network-1"
      ]
     }
   }
   

3. משתמשים בפקודה gcloud מנהל המשאבים set-policy כדי להגדיר את מדיניות הארגון:

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫JSON_FILE_NAME: השם של קובץ ה-JSON שיצרתם בשלב הקודם, למשל policy-name.json

   • ‫ORGANIZATION_ID: המזהה של הארגון שמצאתם קודם

הגדרת מדיניות לדחיית כל רשתות ה-VPC

כדי להגדיר מדיניות שתמנע מכל רשתות ה-VPC להשתמש ב-Cloud Interconnect, צריך לבצע את השלבים הבאים:

1. כדי למצוא את מזהה הארגון, מזינים את הפקודה הבאה:

   gcloud organizations list

   פלט הפקודה נראה כמו הדוגמה הבאה:

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. יוצרים קובץ JSON שמגדיר את המדיניות. קובץ ה-JSON הבא מגדיר מדיניות שמונעת מכל רשתות ה-VPC להשתמש ב-Dedicated Interconnect:

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "allValues": "DENY"
      }
   }
   

3. משתמשים בפקודה gcloud מנהל המשאבים set-policy כדי להגדיר את מדיניות הארגון:

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫JSON_FILE_NAME: השם של קובץ ה-JSON שיצרתם בשלב הקודם, למשל policy-name.json

   • ‫ORGANIZATION_ID: המזהה של הארגון שמצאתם קודם

הגדרת מדיניות ברמת הארגון, התיקייה או הפרויקט

בקטעים הקודמים הוסבר איך לדחות רשת VPC ספציפית או את כל רשתות ה-VPC. אפשר גם להשתמש בתחביר שמתואר במאמר בנושא רשימת אילוצים כדי לאפשר או לחסום רשתות VPC ברמת הארגון, הפרויקט או התיקייה.

המאמרים הבאים

• מידע נוסף על האפשרויות של Cloud Interconnect זמין במאמר סקירה כללית על Cloud Interconnect.

• כדי לעזור לכם לפתור בעיות נפוצות שאתם עשויים להיתקל בהן במהלך השימוש ב-Cloud Interconnect, תוכלו לעיין במאמר בנושא פתרון בעיות.