限制 Cloud Interconnect 用量

本文件說明如何限制可使用 Cloud Interconnect 的虛擬私人雲端 (VPC) 網路組合。

根據預設，任何 VPC 網路都能使用 Cloud Interconnect。如要控制哪些虛擬私人雲端網路可以使用 Cloud Interconnect，您可以設定機構政策。如要進一步瞭解機構政策，請參閱「機構政策服務簡介」。

如要使用 Cloud Interconnect 將 VPC 網路連線至內部部署網路，您必須建立VLAN 連結。限制 Cloud Interconnect 用量的機構政策可允許或拒絕從指定虛擬私有雲網路建立 VLAN 連結。您可以設定政策，允許或拒絕在專案、資料夾或機構資源中的特定 VPC 網路或所有 VPC 網路，建立 VLAN 連結。

定義政策時，您可以使用下列限制：

• constraints/compute.restrictDedicatedInterconnectUsage

  這項限制定義了您在使用專屬互連網路建立 VLAN 連結時，可使用的 VPC 網路組合。

• constraints/compute.restrictPartnerInterconnectUsage

  這項限制定義了您在使用合作夥伴互連網路建立 VLAN 連結時，可使用的 VPC 網路組合。

設定機構政策後，系統只會限制日後建立 VLAN 連結的行為。這項政策不會影響先前建立的 VLAN 連結。

如果使用者嘗試建立違反機構政策的 VLAN 連結，系統會顯示錯誤訊息。以下是執行 gcloud compute interconnects attachments partner create 時的錯誤訊息範例：

ERROR: (gcloud.compute.interconnects.attachments.partner.create) Could not fetch resource:
- Constraint constraints/compute.restrictPartnerInterconnectUsage violated for projects/example-project.
projects/example-project/global/networks/example-network is not allowed to use the Partner Interconnect.

本頁提供設定機構政策的範例程序，以便限制 Cloud Interconnect 用量。

如需詳細資訊，包括設定組織政策的一般程序，請參閱以下文章：

• 瞭解限制
• 使用限制
• 建立及管理機構政策

事前準備

如要設定機構政策，您必須具備機構政策管理員角色 (roles/orgpolicy.policyAdmin)。

設定拒絕特定 VPC 網路的政策

如要設定政策，禁止特定虛擬私人雲端網路使用 Cloud Interconnect，請按照下列步驟操作：

1. 輸入下列指令，找出機構 ID：

   gcloud organizations list

   指令輸出內容如下所示：

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. 建立定義政策的 JSON 檔案。以下 JSON 檔案範例定義的政策可防止 network-1 在 project-1 中使用專屬互連網路：

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "deniedValues": [
         "projects/project-1/global/networks/network-1"
      ]
     }
   }
   

3. 使用 gcloud Resource Manager set-policy 指令設定機構政策：

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   更改下列內容：

   • JSON_FILE_NAME：您在前一個步驟建立的 JSON 檔案名稱，例如 policy-name.json

   • ORGANIZATION_ID：您先前找到的機構 ID

設定拒絕所有虛擬私有雲網路的政策

如要設定政策，禁止所有 VPC 網路使用 Cloud Interconnect，請按照下列步驟操作：

1. 輸入下列指令，找出機構 ID：

   gcloud organizations list

   指令輸出內容如下所示：

   DISPLAY NAME             ID
   example-organization     29252605212
   

2. 建立定義政策的 JSON 檔案。以下 JSON 檔案範例定義了政策，可防止所有 VPC 網路使用專屬互連網路：

   {
     "Constraint": "constraints/compute.restrictDedicatedInterconnectUsage",
     "listPolicy": {
       "allValues": "DENY"
      }
   }
   

3. 使用 gcloud Resource Manager set-policy 指令設定機構政策：

   gcloud resource-manager org-policies set-policy JSON_FILE_NAME
      --organization=ORGANIZATION_ID
   

   更改下列內容：

   • JSON_FILE_NAME：您在前一個步驟建立的 JSON 檔案名稱，例如 policy-name.json

   • ORGANIZATION_ID：您先前找到的機構 ID

在機構、資料夾或專案層級設定政策

前幾節說明如何拒絕特定 VPC 網路或所有 VPC 網路。您也可以使用「清單限制」一文所述的語法，在機構、專案或資料夾層級允許或拒絕虛擬私有雲網路。

後續步驟

• 如要進一步瞭解 Cloud Interconnect 選項，請參閱 Cloud Interconnect 總覽。

• 如要解決使用 Cloud Interconnect 時可能遇到的常見問題，請參閱疑難排解。