אכיפה של מדיניות הארגון

במדריך הזה מוסבר איך להגדיר מדיניות ארגון שכוללת את המגבלה מיקומי משאבים, ואיך לבדוק את המגבלה הזו אחרי שהיא מוחלת במסוףGoogle Cloud .

לפני שמתחילים

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות להגבלת המקומות שבהם אפשר ליצור דיסקים של Compute Engine, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

הפעלת ממשקי ה-API

מפעילים את ממשקי ה-API של Compute Engine ושל מנהל המשאבים.

תפקידים שנדרשים להפעלת ממשקי API

כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

הפעלת ממשקי ה-API

יצירת פרויקט

  1. מוודאים שיש לכם את תפקיד ה-IAM 'Project Creator' (roles/resourcemanager.projectCreator). איך מקצים תפקידים

  2. נכנסים לדף לבחירת הפרויקט במסוף Google Cloud .

    כניסה לדף לבחירת הפרויקט

  3. לוחצים על יצירת פרויקט.

  4. נותנים שם לפרויקט. רושמים או זוכרים את מזהה הפרויקט שנוצר.

  5. עורכים את שאר השדות לפי הצורך.

  6. לוחצים על יצירה.

יצירת דיסק ב-Compute Engine

כדי לבדוק את הפונקציונליות של האילוץ 'מיקומי משאבים', מגדירים דיסק לאחסון מתמיד אזורי ב-Compute Engine. כשיוצרים דיסק מתמשך אזורי, צריך לציין את המיקום שבו הוא יישמר. מידע נוסף על יצירת דיסקים לאחסון מתמיד של אזור ב-Compute Engine זמין במאמר בנושא יצירה וניהול של דיסקים אזוריים.

  1. נכנסים לדף Disks במסוף Google Cloud .

    לפתיחת הדף Disks

  2. בוחרים את הפרויקט שיצרתם.

    1. אם מופיעה בקשה לקשר חשבון לחיוב לפרויקט, עושים זאת עכשיו. מידע נוסף על הפעלת החיוב זמין במאמר הפעלת החיוב בפרויקט.

  3. לוחצים על Create disk.

  4. מציינים Name (שם) לדיסק.

  5. בקטע מיקום, בוחרים באפשרות אזורי.

  6. בקטע אזור, בוחרים באפשרות europe-north1 (Finland).

  7. בשדה Zone, בוחרים באפשרות europe-north1-a.

  8. בוחרים את אזור הרפליקה באותו אזור.

  9. לוחצים על יצירה.

אחרי שהדיסק נוצר בהצלחה, מופיע סימן וי ירוק ליד השם.

הגדרת מדיניות הארגון

כדי להגדיר מדיניות ארגונית בפרויקט שיצרתם:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. לוחצים על בחירה.

  3. בוחרים את הפרויקט שיצרתם.

  4. לוחצים על Google Cloud Platform - Resource Location Restriction (פלטפורמת Google Cloud – הגבלת מיקום משאבים) ואז על Manage policy (ניהול מדיניות).

  5. בקטע מקור המדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.

  6. בקטע אכיפת מדיניות, בוחרים באפשרות החלפה.

  7. לוחצים על הוספת כלל.

  8. בקטע ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.

  9. בקטע סוג המדיניות, בוחרים באפשרות אישור.

  10. בתיבה ערכים מותאמים אישית, מזינים in:asia-locations.

  11. לוחצים על סיום ואז על הגדרת מדיניות. תוצג התראה לאישור עדכון המדיניות.

asia-locations הוא קבוצת ערכים שנוצרה על ידי Google וכוללת כל מיקום באזור גיאוגרפי מסוים. במקרה כזה, כל אזור באסיה מוגדר כמיקום מותר לכל המשאבים שנוצרו אחרי הנקודה הזו. הערה: המדיניות החדשה הזו לא משפיעה על דיסק אזורי מתמשך שיצרתם, כי המדיניות לא חלה רטרואקטיבית.

בדיקת מדיניות הארגון

עכשיו שמדיניות הארגון בתוקף, אי אפשר ליצור משאבים באזורים שלא צוינו כחלק ממדיניות הארגון. כדי לבדוק את זה, נסו ליצור דיסק לאחסון מתמיד אזורי במיקום לא תקין:

  1. נכנסים לדף Disks במסוף Google Cloud .

    לפתיחת הדף Disks

  2. בוחרים את הפרויקט שיצרתם.

  3. לוחצים על Create Disk.

  4. מציינים Name (שם) לדיסק.

  5. בקטע מיקום, בוחרים באפשרות אזורי.

  6. בקטע אזור, בוחרים באפשרות europe-north1 (Finland).

  7. בשדה Zone, בוחרים באפשרות europe-north1-a.

  8. בוחרים את אזור הרפליקה באותו אזור.

  9. לוחצים על יצירה.

ליד השם מופיע סימן קריאה אדום, ומוצגת הודעת שגיאה:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

כאשר RESOURCE_ID הוא נתיב המשאב המלא של הפרויקט והדיסק. הדיסק לא נוצר.

יצירת דיסק אזורי של אחסון מתמיד במיקום תקין

המגבלה של מדיניות הארגון חוסמת את יצירת המשאבים, אלא אם מציינים מיקום תקין:

  1. נכנסים לדף Disks במסוף Google Cloud .

    לפתיחת הדף Disks

  2. בוחרים את הפרויקט שיצרתם.

  3. לוחצים על Create Disk.

  4. מציינים Name (שם) לדיסק.

  5. בקטע מיקום, בוחרים באפשרות אזורי.

  6. בקטע אזור, בוחרים באפשרות asia-east2 (Hong Kong).

  7. בשדה Zone, בוחרים באפשרות asia-east2-a.

  8. בוחרים את אזור הרפליקה באותו אזור.

  9. לוחצים על יצירה.

המשאב נוצר בהצלחה כי כל האזורים שמתחת ל-asia-east2 נמצאים בקבוצת הערכים asia-locations.

הסרת המשאבים

כדי לא לצבור חיובים לחשבון Google Cloud על המשאבים שבהם השתמשתם בדף הזה, פועלים לפי השלבים הבאים:

מחיקת דיסקים לאחסון מתמיד אזורי

מוחקים את הדיסקים לאחסון מתמיד אזורי שיצרתם במדריך למתחילים:

  1. נכנסים לדף Disks במסוף Google Cloud .

    לפתיחת הדף Disks

  2. ברשימה שמופיעה, בוחרים את שני הדיסקים שיצרתם.

  3. לוחצים על Delete.

  4. בתיבת הדו-שיח לאישור שמופיעה, לוחצים על מחיקה.

תופיע תיבת דו-שיח עם הודעה שמאשרת שהדיסקים נמחקו.

מחיקת הפרויקט

כדי להסיר את המשאבים, מוחקים את הפרויקט שיצרתם במדריך למתחילים:

  1. במסוף Google Cloud , נכנסים לדף Manage resources.

    כניסה לדף Manage resources

  2. ברשימת המשאבים שמופיעה, בוחרים את הפרויקט שיצרתם ולוחצים על מחיקה.

  3. בתיבת הדו-שיח Shut down project שמופיעה, מזינים את מזהה הפרויקט ולוחצים על Shut down anyway.

המאמרים הבאים