Einschränkungen für Organisationsrichtlinien
Auf dieser Seite finden Sie Informationen zu den Einschränkungen für Organisationsrichtlinien, die Sie für Cloud NAT konfigurieren können.
Netzwerkadministratoren können Cloud NAT-Konfigurationen erstellen und angeben, welche Subnetzwerke (Subnetze) das Gateway verwenden können. Standardmäßig gibt es keine Beschränkungen dafür, welche Subnetze der Administrator erstellt oder welche Cloud Interconnect-Konfigurationen verwenden kann.
Ein Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin
) kann die Einschränkung constraints/compute.restrictCloudNATUsage
verwenden, um festzulegen, welche Subnetze Cloud NAT verwenden können.
Organisationseinschränkungen werden in einer Organisationsrichtlinie erstellt und erzwungen.
Vorbereitung
IAM-Berechtigungen
- Die Person, die die Einschränkungen erstellt, muss die Rolle roles/orgpolicy.policyAdmin haben.
- Wenn Sie eine freigegebene VPC verwenden, muss sich die Nutzerrolle im Hostprojekt befinden.
Hintergrund der Organisationsrichtlinie
Wenn Sie bisher noch nicht mit Einschränkungen für Organisationsrichtlinien gearbeitet haben, lesen Sie zuerst die folgende Dokumentation:
Einschränkungen planen
Sie können allow
- und deny
-Einschränkungen auf den folgenden Ebenen der Ressourcenhierarchie erstellen:
- Organisation
- Ordner
- Projekt
- Subnetzwerk
Standardmäßig wird eine von einem Knoten erstellte Einschränkung von allen untergeordneten Knoten übernommen. Ein Administrator für Organisationsrichtlinien für einen bestimmten Ordner kann jedoch entscheiden, ob ein bestimmter Ordner von seinen übergeordneten Projekten übernommen wird, sodass die Übernahme nicht automatisch erfolgt. Weitere Informationen finden Sie unter Übernahme im Abschnitt Informationen zu Evaluierungen der Hierarchie.
Einschränkungen werden nicht rückwirkend angewendet. Vorhandene Konfigurationen funktionieren auch dann, wenn sie gegen die Einschränkungen verstoßen.
Die Einschränkungen bestehen aus den Einstellungen allow
und deny
.
Interaktion zwischen zulässigen und abgelehnten Werten
- Wenn eine
restrictCloudNatUsage
-Einschränkung konfiguriert ist, aber wederallowedValues
nochdeniedValues
angegeben ist, ist alles zulässig. - Wenn
allowedValues
konfiguriert ist unddeniedValues
nicht konfiguriert ist, wird alles abgelehnt, was nicht inallowedValues
angegeben ist. - Wenn
deniedValues
konfiguriert ist undallowedValues
nicht konfiguriert ist, ist alles zulässig, was nicht indeniedValues
angegeben ist. - Wenn sowohl
allowedValues
als auchdeniedValues
konfiguriert sind, wird alles abgelehnt, was nicht inallowedValues
angegeben ist. - Wenn zwei Werte in Konflikt stehen, hat
deniedValues
Vorrang.
Interaktion zwischen Subnetzen und Gateways
Beschränkungen verhindern nicht, dass Subnetze ein NAT-Gateway verwenden. Stattdessen verhindern Einschränkungen, dass eine Konfiguration gegen die Einschränkung verstößt, indem verhindert wird, dass ein Gateway oder ein Subnetz erstellt wird.
Beispiel 1: Versuch, ein Subnetz zu erstellen, das gegen eine deny
-Regel verstößt
- Ein Gateway ist in einer Region vorhanden.
- Das Gateway ist so konfiguriert, dass es von allen Subnetzen in einer Region verwendet werden kann.
- Ein einzelnes Subnetz (
subnet-1
) ist in der Region vorhanden. - Es wurde eine Einschränkung erstellt, damit nur
subnet-1
das Gateway verwenden kann. - Administratoren können in dieser Region in der Region keine weiteren Subnetze mehr erstellen. Die Einschränkung verhindert, dass Subnetze erstellt werden, die das Gateway verwenden können. Wenn die neuen Subnetze vorhanden sein sollen, kann der Administrator für Organisationsrichtlinien diese Subnetze der Liste der zugelassenen Subnetze hinzufügen.
Beispiel 2: Versuch, ein Gateway zu erstellen, das gegen eine deny
-Regel verstößt
- In einer Region sind zwei Subnetze (
subnet-1
undsubnet-2
) vorhanden. - Eine Einschränkung, die nur
subnet-1
ermöglicht, ein Gateway zu verwenden. - Administratoren können kein Gateway erstellen, das für alle Subnetze in der Region offen ist. Stattdessen müssen entweder ein Gateway erstellt werden, das nur
subnet-1
bedient, oder der Organisationsrichtlinienadministrator musssubnet-2
der Liste der zulässigen Subnetze hinzufügen.
Einschränkungen erstellen
Informationen zum Erstellen einer Organisationsrichtlinie mit einer bestimmten Einschränkung finden Sie unter Einschränkungen verwenden.
Nächste Schritte
- Weitere Informationen zur Verwendung benutzerdefinierter Organisationsrichtlinien
- Richten Sie ein öffentliches NAT-Gateway ein.
- Richten Sie ein privates NAT-Gateway ein.