ניהול אילוצים מותאמים אישית לפרויקטים

בדף הזה מוסבר איך ליצור אילוצים מותאמים אישית למשאבי Cloud Run ברמת הפרויקט ולאכוף אותם. מידע על מדיניות ארגונית בהתאמה אישית זמין במאמר יצירה וניהול של מדיניות ארגונית בהתאמה אישית.

אם יצרתם או פרסתם פונקציות של Cloud Run באמצעות פקודות gcloud functions או ממשקי Cloud Functions v2 API, כדאי לעיין במאמר ניהול משאבי פונקציות באמצעות אילוצים מותאמים אישית.

Google Cloud מדיניות הארגון מאפשרת לכם שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. אדמינים של מדיניות הארגון יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים, שחלות על משאבים ב-Google Cloud ועל משאבים שנגזרים מהם בGoogle Cloud היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.

השירות Organization Policy מספק מגבלות מוגדרות מראש לשירותים שונים שלGoogle Cloud . עם זאת, אם אתם רוצים שליטה מפורטת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור מדיניות ארגונית בהתאמה אישית.

יתרונות

  • ניהול עלויות: אפשר להשתמש במדיניות הארגון כדי להגביל את הגדלים והסוגים של מכונות וירטואליות ודיסקים שאפשר להשתמש בהם בארגון. אפשר גם להגביל את משפחת המכונות שמשמשת למופע של מכונה וירטואלית.
  • אבטחה, תאימות וממשל:
    • כדי לאכוף דרישות אבטחה, אתם יכולים לדרוש כללים ספציפיים של יציאות חומת אש במכונות וירטואליות.
    • כדי לתמוך בבידוד חומרה או בתאימות לרישוי, אתם יכולים לדרוש שכל מכונות ה-VM בפרויקט או בתיקייה מסוימים יפעלו בצמתים עם דייר יחיד.
    • כדי לשלוט בסקריפטים לאוטומציה, אפשר להשתמש במדיניות ארגונית בהתאמה אישית כדי לוודא שהתוויות תואמות לביטויים הנדרשים.

באמצעות Cloud Run אפשר לכתוב כל מספר של אילוצים בהתאמה אישית, תוך שימוש ברוב השדות שהמשתמש מגדיר ב-Cloud Run Admin API. לדוגמה, אפשר ליצור אילוץ מותאם אישית שמציין שצריך להגדיר שירות כפנימי, או אילוץ שמונע שלבי השקה שאינם GA.

אחרי שמחילים את המדיניות, בקשות שמפירות מדיניות שמחילה אילוץ מותאם אישית מציגות הודעת שגיאה ב-CLI של gcloud וביומנים של Cloud Run. הודעת השגיאה מכילה את מזהה האילוץ ואת תיאור האילוץ המותאם אישית שהופר.

העברה בירושה של מדיניות

כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.

תמחור

שירות מדיניות הארגון, כולל מדיניות ארגון מוגדרת מראש ומותאמת אישית, מוצע ללא תשלום.

מגבלות

לפני שמתחילים

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול מדיניות הארגון, אתם צריכים לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Organization policy administrator (אדמין של מדיניות הארגון) ‏(roles/orgpolicy.policyAdmin) במשאב הארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות לניהול מדיניות הארגון. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לנהל את מדיניות הארגון, נדרשות ההרשאות הבאות:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

משאבים נתמכים ב-Cloud Run לשירותים, למשימות ולמאגרי עובדים

בשירותים, במשימות ובמאגרי העובדים של Cloud Run, אפשר לכתוב כל מספר של אילוצים בהתאמה אישית לשדות שהמשתמש מגדיר במפרטי השדות של Cloud Run API v1. אין תמיכה רק בתוויות ובשדות ברמה העליונה.

יצירת אילוץ בהתאמה אישית

אילוץ בהתאמה אישית מוגדר בקובץ YAML לפי המשאבים, השיטות, התנאים והפעולות שנתמכים על ידי השירות שבו אתם אוכפים את מדיניות הארגון. התנאים להגבלות המותאמות אישית מוגדרים באמצעות Common Expression Language ‏ (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.

כדי ליצור קובץ YAML לאילוץ בהתאמה אישית ב-Cloud Run, אפשר להיעזר בדוגמה הבאה:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- run.googleapis.com/RESOURCE_TYPE
methodTypes: 
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.

  • RESOURCE_TYPE: המשאב של Cloud Run, כמו Service,‏ Job או WorkerPool. אפשר לציין רק סוג משאב אחד בקובץ ה-YAML.

  • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ החדש בהתאמה אישית. אילוץ מותאם אישית חייב להתחיל ב-custom., ויכול לכלול רק אותיות גדולות, אותיות קטנות או מספרים. לדוגמה, custom.ingressInternal. האורך המקסימלי של השדה הזה הוא 70 תווים, לא כולל הקידומת, לדוגמה, organizations/123456789/customConstraints/custom.

  • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. האורך המקסימלי של השדה הוא 1,000 תווים. לדוגמה, condition: "'run.googleapis.com/ingress' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/ingress'] == 'internal'".

  • ACTION: הפעולה שיש לבצע אם התנאי condition מתקיים. הערך יכול להיות ALLOW או DENY.

  • DISPLAY_NAME: שם קריא לאנשים של האילוץ. האורך המקסימלי של השדה הוא 200 תווים.

  • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה כשמדיניות מופרת. לדוגמה: "נדרש להגדיר את הכניסה כפנימית". האורך המקסימלי של השדה הוא 2,000 תווים.

מידע נוסף על יצירת אילוץ בהתאמה אישית זמין במאמר הגדרת אילוצים בהתאמה אישית.

הגדרת אילוץ בהתאמה אישית

המסוף

כדי ליצור אילוץ בהתאמה אישית:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. לוחצים על Custom constraint (הגבלה מותאמת אישית).
  4. בתיבה שם לתצוגה, מזינים שם שאנשים יכולים לקרוא למגבלה. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לצורך זיהוי וניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות לתצוגה, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
  5. בתיבה Constraint ID (מזהה ההגבלה), מזינים את המזהה שרוצים להגדיר להגבלה החדשה בהתאמה אישית. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל custom.ingressInternal. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
  6. בתיבה Description, מזינים תיאור של האילוץ שכתוב בצורה שקריאה לאנשים. התיאור הזה משמש כהודעת שגיאה כשמתבצעת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע אישי רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
  7. בתיבה Resource type, בוחרים את השם של משאב REST‏ Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה, container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
  8. אפשר לאכוף את ההגבלה הזו רק בשיטת REST‏ CREATE.
  9. כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות בקטע שירותים שתומכים באילוצים בהתאמה אישית.

  10. כדי להגדיר תנאי, לוחצים על Edit condition.
    1. בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה, resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית.
    2. לוחצים על Save.
  11. בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.
  12. הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מוערך כ-True.

    הפעולה allow (אישור) אומרת שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.

  13. לוחצים על יצירת אילוץ.
  14. אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה לאילוץ המותאם אישית הזה.

gcloud

  1. כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא:
  2. name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
    resourceTypes: RESOURCE_NAME
    methodTypes:
      - CREATE
    condition: "CONDITION"
    actionType: ACTION
    displayName: DISPLAY_NAME
    description: DESCRIPTION

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון, למשל 123456789.
    • CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל, custom.ingressInternal. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.) – לדוגמה, organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה.
    • RESOURCE_NAME: השם מוגדר במלואו של המשאב Google Cloudשמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה: run.googleapis.com/Service. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל.
    • methodTypes: שיטות ה-REST שבהן האילוץ נאכף. הערך יכול להיות רק CREATE.
    • כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות ב שירותים שתומכים באילוצים בהתאמה אישית.

    • CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה: condition: "'run.googleapis.com/ingress' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/ingress'] == 'internal'".
    • מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.

    • ACTION: הפעולה שתתבצע אם התנאי condition יתקיים. הערך יכול להיות רק ALLOW.
    • הפעולה allow (אישור) אומרת שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, חוץ מהמקרה שמופיע במפורש בתנאי, ייחסם.

    • DISPLAY_NAME: שם קריא לאנשים של האילוץ. השם הזה מופיע בהודעות שגיאה ויכול לשמש לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
    • DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים.
  3. אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה gcloud org-policies set-custom-constraint:
  4. gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.

    אחרי שהפעולה הזו תושלם, האילוצים המותאמים אישית יהיו זמינים כמדיניות ארגונית ברשימת Google Cloud מדיניות הארגון.

  5. כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה gcloud org-policies list-custom-constraints:
  6. gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.

    מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.

החלת אילוץ מותאם אישית

כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. מכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
  3. מהרשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
  4. כדי להגדיר את מדיניות הארגון עבור המשאב הזה, לוחצים על ניהול מדיניות.
  5. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
  6. לוחצים על Add a rule.
  7. בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
  8. אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף על מדיניות ארגונית עם תגים
  9. לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
  10. כדי לאכוף את המדיניות של הארגון במצב פרימטר לבדיקות, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.
  11. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.

gcloud

  1. כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ:
  2. name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
    spec:
      rules:
      - enforce: true
    
    dryRunSpec:
      rules:
      - enforce: true

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ.
    • CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה, custom.ingressInternal.
  3. כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל dryRunSpec:
  4. gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

  5. אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה org-policies set-policy והדגל spec:
  6. gcloud org-policies set-policy POLICY_PATH --update-mask=spec

    מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.

בדיקת האילוץ המותאם אישית

כדי לבדוק את הדוגמה שמגבילה את הגדרות הכניסה, מנסים לפרוס שירות Cloud Run בפרויקט עם הגדרת כניסה all:

gcloud run deploy org-policy-test \
    --project=PROJECT_ID \
    --region=REGION_ID \
    --ingress=all

הפלט שיתקבל:

Operation denied by custom org policies: ["customConstraints/custom.ingressConstraint": "Require ingress to be set to internal."]

דוגמאות למדיניות הארגון מותאמת אישית לתרחישים נפוצים

בטבלה הבאה מפורטות דוגמאות לאילוצים בהתאמה אישית שיכולים להיות שימושיים עם משאבי Cloud Run:

בוחרים את משאב Cloud Run:

או מסננים לפי סוג המשאב:

תיאור תחביר של אילוצים משאב רלוונטי
לדרוש מגבלת זיכרון מותאמת אישית לכל הקונטיינרים במשאב Cloud Run.
name: organizations/ORGANIZATION_ID/customConstraints/custom.memoryLimit
resourceTypes:
- run.googleapis.com/RESOURCE_TYPE
methodTypes:
- CREATE
- UPDATE
condition: "resource.spec.template.spec.containers.all(container, 'memory' in container.resources.limits && container.resources.limits['memory'] <= 'MEMORY_LIMIT')"
actionType: ALLOW
displayName: memoryLimitCap
description: Require the container memory limit to be set to <= MEMORY_LIMIT.
מחליפים את מה שכתוב בשדות הבאים:
  • ORGANIZATION_ID: המזהה של משאב הארגון.
  • RESOURCE_TYPE: המשאב שלכם ב-Cloud Run, כמו Service,‏ Job או WorkerPool. אפשר לציין רק סוג משאב אחד בקובץ ה-YAML.
שירות, משימה או מאגר עובדים
למנוע שינוי של שלב ההשקה של Cloud Run מ-GA (זמינות כללית) ל-GA (זמינות כללית) שאינה ברירת המחדל.
name: organizations/ORGANIZATION_ID/customConstraints/custom.launchStage
resourceTypes:
- run.googleapis.com/RESOURCE_TYPE
methodTypes:
- CREATE
- UPDATE
condition: "!('run.googleapis.com/launch-stage' in resource.metadata.annotations) || resource.metadata.annotations['run.googleapis.com/launch-stage'] == 'GA'"
actionType: ALLOW
displayName: launchStage
description: Only allow users to create and update Cloud Run resources with either an unset launch stage (default is GA) or a launch stage explicitly set to GA.
מחליפים את מה שכתוב בשדות הבאים:
  • ORGANIZATION_ID: המזהה של משאב הארגון.
  • RESOURCE_TYPE: המשאב שלכם ב-Cloud Run, כמו Service,‏ Job או WorkerPool. אפשר לציין רק סוג משאב אחד בקובץ ה-YAML.
שירות, משרות או מאגר עובדים
הדרישה היא ש-Binary Authorization יהיה מוגדר כברירת מחדל.
name: organizations/ORGANIZATION_ID/customConstraints/custom.binaryAuthorization
resourceTypes:
- run.googleapis.com/RESOURCE_TYPE
methodTypes:
- CREATE
- UPDATE
condition: "'run.googleapis.com/binary-authorization' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/binary-authorization'] == 'default'"
actionType: ALLOW
displayName: binaryAuthorization
description: Require binaryAuthorization to be set to default.
מחליפים את מה שכתוב בשדות הבאים:
  • ORGANIZATION_ID: המזהה של משאב הארגון.
  • RESOURCE_TYPE: המשאב שלכם ב-Cloud Run, כמו Service,‏ Job או WorkerPool. אפשר לציין רק סוג משאב אחד בקובץ ה-YAML.
שירות, משימה או מאגר עובדים
הגדרת דרישה של בדיקת פעילות לכל קונטיינר במשאב Cloud Run.
name: organizations/ORGANIZATION_ID/customConstraints/custom.livenessProbe
resourceTypes:
- run.googleapis.com/RESOURCE_TYPE
methodTypes:
- CREATE
- UPDATE
condition: "resource.spec.template.spec.containers.all(container, has(container.livenessProbe.initialDelaySeconds))"
actionType: ALLOW
displayName: livenessProbe
description: Require all containers to have a liveness probe configured with initialDelaySeconds.
מחליפים את מה שכתוב בשדות הבאים:
  • ORGANIZATION_ID: המזהה של משאב הארגון.
  • RESOURCE_TYPE: המשאב שלכם ב-Cloud Run, כמו Service,‏ Job או WorkerPool. אפשר לציין רק סוג משאב אחד בקובץ ה-YAML.
שירות, משימה או מאגר עובדים
הגדרת שירות Cloud Run כפנימי.
name: organizations/ORGANIZATION_ID/customConstraints/custom.ingressInternal
resourceTypes:
- run.googleapis.com/Service
methodTypes:
- CREATE
- UPDATE
condition: "'run.googleapis.com/ingress' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/ingress'] == 'internal'"
actionType: ALLOW
displayName: IngressInternal
description: Require ingress to be set to internal.
מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.
שירות בלבד
הכלל מחייב שלשירות יהיה לפחות קונטיינר sidecar אחד שמשתמש בתמונה שמתחילה בקידומת שצוינה ובפורט ששווה למספר שצוין.
name: organizations/ORGANIZATION_ID/customConstraints/custom.requireSidecar
resourceTypes:
- run.googleapis.com/Service
methodTypes:
- CREATE
- UPDATE
condition: "resource.spec.template.spec.containers.exists(container, container.image.startsWith('us-docker.pkg.dev/cloud-ops-agents-artifacts/cloud-run-gmp-sidecar/') && container.ports.exists(port, port.containerPort == 8081))"
actionType: ALLOW
displayName: requireSidecar
description: Require at least one container with an image that starts with "us-docker.pkg.dev/cloud-ops-agents-artifacts/cloud-run-gmp-sidecar/" and uses port 8081.
מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.
שירות בלבד.
אפשר רק ליצור ולערוך פונקציות.
name: organizations/ORGANIZATION_ID/customConstraints/custom.allowcrf
resource_types: run.googleapis.com/Service
method_types:
- CREATE
- UPDATE
condition: "resource.spec.template.spec.containers.exists(container, container.image.startsWith('gcr.io/cloudrun/placeholder')) || (has(resource.metadata.annotations) && 'run.googleapis.com/build-function-target' in resource.metadata.annotations)"
action_type: ALLOW
display_name: runFunctionsOnly
description: Only allow the creation and editing of Cloud Run functions.
מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.
שירות בלבד.
הגדרת דרישה להשבית את כתובת ה-URL שמוגדרת כברירת מחדל run.app בשירותי Cloud Run.
name: organizations/ORGANIZATION_ID/customConstraints/custom.disableRunApp
resourceTypes:
- run.googleapis.com/Service
methodTypes:
- CREATE
- UPDATE
condition: "'run.googleapis.com/default-url-disabled' in resource.metadata.annotations && resource.metadata.annotations['run.googleapis.com/default-url-disabled'] == 'true'"
actionType: ALLOW
displayName: disableRunApp
description: Require services to disable run.app URL.
מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.
שירות בלבד.

המאמרים הבאים