Restringir el uso de Cloud Interconnect

En este documento, se describe cómo restringir el conjunto de redes de la nube privada virtual (VPC) que puede usar Cloud Interconnect.

De forma predeterminada, cualquier red de VPC puede usar Cloud Interconnect. Puedes establecer una política de la organización para controlar qué redes de VPC pueden usar Cloud Interconnect. Para obtener información general sobre las políticas de la organización, consulta Introducción al Servicio de políticas de la organización.

El uso de Cloud Interconnect para conectar una red de VPC a tu red local requiere un adjunto de VLAN. Una política de la organización para restringir el uso de Cloud Interconnect permite o rechaza la creación de adjuntos de VLAN desde redes de VPC especificadas. Puedes establecer una política que permita o rechace la creación de adjuntos de VLAN desde una red de VPC específica o todas las redes de VPC en un proyecto, carpeta o recurso de organización.

Puedes usar las siguientes restricciones cuando definas tu política:

  • constraints/compute.restrictDedicatedInterconnectUsage

    Esta restricción define el conjunto de redes de VPC que puedes usar cuando creas un adjunto de VLAN mediante la interconexión dedicada.

  • constraints/compute.restrictPartnerInterconnectUsage

    Esta restricción define el conjunto de redes de VPC que puedes usar cuando creas un adjunto de VLAN mediante la interconexión de socio.

Cuando configuras una política de la organización, solo restringe la creación de adjuntos de VLAN en el futuro. La política no afecta los adjuntos de VLAN creados con anterioridad.

Si un usuario intenta crear un adjunto de VLAN que infringe una política de la organización, aparece un mensaje de error. El siguiente es un mensaje de error de ejemplo de la ejecución de gcloud compute interconnects attachments partner create:

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

En esta sección, se incluyen procedimientos de ejemplo para configurar políticas de la organización a fin de restringir el uso de Cloud Interconnect.

Si deseas obtener más información, incluidos los procedimientos generales para configurar las políticas de la organización, consulta los siguientes vínculos:

Antes de comenzar

Para configurar las políticas de la organización, debes tener el rol de administrador de las políticas de la organización (roles/orgpolicy.policyAdmin).

Configura una política para rechazar una red de VPC específica

Para establecer una política que impida que una red de VPC específica el uso de Cloud Interconnect, sigue estos pasos:

  1. Ingresa el siguiente comando para buscar el ID de la organización:

    gcloud organizations list

    El resultado del comando se ve como el siguiente ejemplo.

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crea un archivo JSON que defina la política. El siguiente JSON de ejemplo define una política que impide que network-1 en project-1 use la interconexión dedicada.

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "deniedValues": [
          "projects/project-1/global/networks/network-1"
       ]
      }
    }
    
  3. Usa el comando gcloud de Resource Manager set-policy para configurar la política de la organización:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    Reemplaza los siguientes valores:

    • JSON_FILE_NAME: El nombre del archivo JSON que creaste en el paso anterior, como policy-name.json

    • ORGANIZATION_ID: El ID de la organización que encontraste antes

Configura una política para rechazar todas las redes de VPC

Sigue estos pasos para establecer una política que impida que todas las redes de VPC usen Cloud Interconnect:

  1. Ingresa el siguiente comando para buscar el ID de la organización:

    gcloud organizations list

    El resultado del comando se ve como el siguiente ejemplo.

    DISPLAY NAME             ID
    example-organization     29252605212
    
  2. Crea un archivo JSON que defina la política. El siguiente JSON de ejemplo define una política que impide que todas las redes de VPC usen la interconexión dedicada.

    {
      "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
      "listPolicy": {
        "allValues": "DENY"
       }
    }
    
  3. Usa el comando gcloud de Resource Manager set-policy para configurar la política de la organización:

    gcloud resource-manager org-policies set-policy JSON_FILE_NAME
       --organization=ORGANIZATION_ID
    

    Reemplaza los siguientes valores:

    • JSON_FILE_NAME: El nombre del archivo JSON que creaste en el paso anterior, como policy-name.json

    • ORGANIZATION_ID: El ID de la organización que encontraste antes

Configura una política a nivel de la organización, la carpeta o el proyecto

En las secciones anteriores, se describe cómo rechazar una red de VPC específica o todas las redes de VPC. También puedes usar la sintaxis descrita en las Restricciones de lista para permitir o denegar redes de VPC a nivel de organización, proyecto o carpeta.

¿Qué sigue?