Faça a gestão de recursos do Compute Engine com restrições personalizadas

Trusted Cloud by S3NS A política da organização dá-lhe um controlo centralizado e programático sobre os recursos da sua organização. Enquanto administrador de políticas da organização, pode definir uma política da organização, que é um conjunto de restrições denominadas limitações que se aplicam aTrusted Cloud recursos e descendentes desses recursos na Trusted Cloud by S3NS hierarquia de recursos. Pode aplicar políticas da organização ao nível da organização, da pasta ou do projeto.

A política da organização oferece restrições predefinidas para vários Trusted Cloud serviços. No entanto, se quiser um controlo mais detalhado e personalizável sobre os campos específicos que estão restritos nas políticas da sua organização, também pode criar restrições personalizadas e usar essas restrições personalizadas numa política da organização personalizada.

Vantagens

  • Gestão de custos: use políticas organizacionais personalizadas para restringir os tamanhos e os tipos de instâncias de VMs e discos que podem ser usados na sua organização. Também pode restringir a família de máquinas usada para a instância da VM
  • Segurança, conformidade e governação: pode usar políticas da organização personalizadas para aplicar políticas da seguinte forma:
    • Para aplicar requisitos de segurança, pode exigir regras de portas de firewall específicas em VMs.
    • Para suportar o isolamento de hardware ou a conformidade com o licenciamento, pode exigir que todas as VMs num projeto ou numa pasta específicos sejam executadas em nós de inquilino único.
    • Para reger os scripts de automatização, pode usar políticas de organização personalizadas para verificar se as etiquetas correspondem a expressões especificadas.

Herança de políticas

Por predefinição, as políticas da organização são herdadas pelos descendentes dos recursos nos quais aplica a política. Por exemplo, se aplicar uma política a uma pasta, Trusted Cloud aplica a política a todos os projetos na pasta. Para saber mais acerca deste comportamento e como o alterar, consulte as regras de avaliação da hierarquia.

Preços

O serviço de políticas da organização, incluindo políticas da organização predefinidas e personalizadas, é oferecido sem custo financeiro.

Antes de começar

  • Se ainda não o tiver feito, configure a autenticação. A autenticação valida a sua identidade para aceder a Trusted Cloud by S3NS serviços e APIs. Para executar código ou exemplos a partir de um ambiente de desenvolvimento local, pode autenticar-se no Compute Engine selecionando uma das seguintes opções:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

    gcloud

    1. Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando: 

      gcloud init
    2. Set a default region and zone.

Funções necessárias

Para receber as autorizações de que precisa para gerir políticas da organização para recursos do Compute Engine, peça ao seu administrador para lhe conceder as seguintes funções do IAM:

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para gerir as políticas da organização para recursos do Compute Engine. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para gerir políticas de organização para recursos do Compute Engine:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set
  • Para testar as restrições:
    • compute.instances.create no projeto
    • Para usar uma imagem personalizada para criar a VM: compute.images.useReadOnly na imagem
    • Para usar um instantâneo para criar a VM: compute.snapshots.useReadOnly no instantâneo
    • Para usar um modelo de instância para criar a VM: compute.instanceTemplates.useReadOnly no modelo de instância
    • Para atribuir uma rede antiga à VM: compute.networks.use no projeto
    • Para especificar um endereço IP estático para a VM: compute.addresses.use no projeto
    • Para atribuir um endereço IP externo à VM quando usar uma rede antiga: compute.networks.useExternalIp no projeto
    • Para especificar uma sub-rede para a VM: compute.subnetworks.use no projeto ou na sub-rede escolhida
    • Para atribuir um endereço IP externo à VM quando usar uma rede VPC: compute.subnetworks.useExternalIp no projeto ou na sub-rede escolhida
    • Para definir os metadados da instância de VM para a VM: compute.instances.setMetadata no projeto
    • Para definir etiquetas para a VM: compute.instances.setTags na VM
    • Para definir etiquetas para a VM: compute.instances.setLabels na VM
    • Para definir uma conta de serviço para a VM usar: compute.instances.setServiceAccount na VM
    • Para criar um novo disco para a VM: compute.disks.create no projeto
    • Para anexar um disco existente no modo de leitura ou leitura/escrita: compute.disks.use no disco
    • Para anexar um disco existente no modo de leitura: compute.disks.useReadOnly no disco

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Recursos suportados do Compute Engine

Para o Compute Engine, pode definir restrições personalizadas nos seguintes recursos e campos.

  • Disco persistente: compute.googleapis.com/Disk
    • Tipo de Persistent Disk: resource.type
    • Tamanho do Persistent Disk: resource.sizeGb
    • Licenças do Persistent Disk: resource.licenses
    • Códigos de licença do Persistent Disk: resource.licenseCodes
    • Computação confidencial do Persistent Disk: resource.enableConfidentialCompute
    • Imagem de origem do Persistent Disk: resource.sourceImage
  • Imagem: compute.googleapis.com/Image
    • Origem do disco não processada: resource.rawDisk.source
  • Instância de VM: compute.googleapis.com/Instance
    • Funcionalidades avançadas de máquina:
      • resource.advancedMachineFeatures.enableNestedVirtualization
      • resource.advancedMachineFeatures.threadsPerCore
      • resource.advancedMachineFeatures.performanceMonitoringUnit
    • Configurações de instâncias de VMs confidenciais:
      • resource.confidentialInstanceConfig.enableConfidentialCompute
      • resource.confidentialInstanceConfig.confidentialInstanceType
    • Proteção contra eliminação: resource.deletionProtection
    • Encaminhamento de IP: resource.canIpForward
    • Acesso privado ao Google (IPv6): resource.privateIpv6GoogleAccess
    • Etiquetas: resource.labels
    • Aceleradores:
      • resource.guestAccelerators.acceleratorType
      • resource.guestAccelerators.acceleratorCount
    • Tipo de máquina: resource.machineType
    • Plataforma de CPU mínima: resource.minCpuPlatform
    • Interface de rede:
      • resource.networkInterfaces.network
      • resource.networkInterfaces.subnetwork
      • resource.networkInterfaces.networkAttachment
      • resource.networkInterfaces.accessConfigs.name
      • resource.networkInterfaces.accessConfigs.natIP
    • Afinidade de nós:
      • resource.scheduling.nodeAffinities.key
      • resource.scheduling.nodeAffinities.operator
      • resource.scheduling.nodeAffinities.values
    • Afinidade de reserva:
      • resource.scheduling.reservationAffinity.key
      • resource.scheduling.reservationAffinity.values
    • Configuração da instância protegida:
      • resource.shieldedInstanceConfig.enableSecureBoot
      • resource.shieldedInstanceConfig.enableVtpm
      • resource.shieldedInstanceConfig.enableIntegrityMonitoring
    • Zona: resource.zone
  • Outros recursos de computação suportados:

Configure uma restrição personalizada

Uma restrição personalizada é definida pelos recursos, métodos, condições e ações suportados pelo serviço no qual está a aplicar a política da organização. As condições para as restrições personalizadas são definidas através do Idioma de expressão comum (IEC). Para mais informações sobre como criar condições em restrições personalizadas através da CEL, consulte a secção CEL do artigo Criar e gerir políticas organizacionais personalizadas.

Pode criar uma restrição personalizada e configurá-la para utilização em políticas de organização através da Trusted Cloud consola ou da CLI gcloud.

Consola

  1. Na Trusted Cloud consola, aceda à página Políticas de organização.

    Aceda às políticas da organização

  2. Selecione o Selecionador de projetos na parte superior da página.

  3. No seletor de projetos, selecione o recurso para o qual quer definir a política de organização.

  4. Clique em Restrição personalizada.

  5. Na caixa Nome a apresentar, introduza um nome simples para a restrição. Este campo tem um comprimento máximo de 200 carateres. Não use IIP nem dados confidenciais nos nomes das restrições, porque podem ser expostos em mensagens de erro.

  6. Na caixa ID da restrição, introduza o nome que quer para a nova restrição personalizada. Uma restrição personalizada tem de começar com custom. e só pode incluir letras maiúsculas, letras minúsculas ou números, por exemplo, custom.createOnlyN2DVMs. O comprimento máximo deste campo é de 70 carateres, sem contar com o prefixo, por exemplo, organizations/123456789/customConstraints/custom..

  7. Na caixa Descrição, introduza uma descrição simples da restrição a apresentar como mensagem de erro quando a política for violada. Este campo tem um comprimento máximo de 2000 carateres.

  8. Na caixa Tipo de recurso, selecione o nome do Trusted Cloud recurso REST que contém o objeto e o campo que quer restringir. Por exemplo, compute.googleapis.com/Instance.

  9. Em Método de aplicação, selecione se quer aplicar a restrição no método REST CREATE.

  10. Para definir uma condição, clique em Editar condição.

    1. No painel Adicionar condição, crie uma condição CEL que se refira a um recurso de serviço suportado, por exemplo, resource.machineType.contains('/machineTypes/n2d'). Este campo tem um comprimento máximo de 1000 carateres.

    2. Clique em Guardar.

  11. Em Ação, selecione se quer permitir ou recusar o método avaliado se a condição anterior for cumprida.

  12. Clique em Criar restrição.

Quando tiver introduzido um valor em cada campo, a configuração YAML equivalente para esta restrição personalizada é apresentada à direita.

gcloud

Para criar uma restrição personalizada através da CLI gcloud, crie um ficheiro YAML para a restrição personalizada:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resource_types: compute.googleapis.com/RESOURCE_NAME
method_types: CREATE
condition: CONDITION
action_type: ACTION
display_name: DISPLAY_NAME
description: DESCRIPTION

Substitua o seguinte:

  • ORGANIZATION_ID: o ID da sua organização, como 123456789.

  • CONSTRAINT_NAME: o nome que quer para a nova restrição personalizada. Uma restrição personalizada tem de começar com custom. e só pode incluir letras maiúsculas, letras minúsculas ou números. Por exemplo, custom.createOnlyN2DVMs. O comprimento máximo deste campo é de 70 carateres, sem contar com o prefixo (por exemplo, organizations/123456789/customConstraints/custom.).

  • RESOURCE_NAME: o nome (não o URI) do recurso REST da API Compute Engine que contém o objeto e o campo que quer restringir. Por exemplo, Instance.

  • CONDITION: uma condição CEL escrita em função de uma representação de um recurso de serviço suportado. Este campo tem um comprimento máximo de 1000 carateres. Consulte o artigo Recursos suportados para mais informações sobre os recursos disponíveis para escrever condições. Por exemplo, "resource.machineType.contains('/machineTypes/n2d')".

  • ACTION: a ação a tomar se a condição condition for cumprida. Pode ser ALLOW ou DENY.

  • DISPLAY_NAME: um nome simples para a restrição. Este campo tem um comprimento máximo de 200 carateres. Não use IIF nem dados confidenciais nos nomes das restrições, porque podem ser expostos em mensagens de erro.

  • DESCRIPTION: uma descrição acessível da restrição a apresentar como uma mensagem de erro quando a política é violada. Este campo tem um comprimento máximo de 2000 carateres.

Para mais informações sobre como criar uma restrição personalizada, consulte o artigo Criar e gerir políticas de organização personalizadas.

Depois de criar o ficheiro YAML para uma nova restrição personalizada, tem de o configurar para o disponibilizar para as políticas da organização na sua organização. Para configurar uma restrição personalizada, use o comando gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Substitua CONSTRAINT_PATH pelo caminho completo para o seu ficheiro de restrições personalizado. Por exemplo, /home/user/customconstraint.yaml. Após a conclusão, as restrições personalizadas ficam disponíveis como políticas da organização na sua lista de Trusted Cloud by S3NS políticas da organização. Para verificar se a restrição personalizada existe, use o comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Substitua ORGANIZATION_ID pelo ID do recurso da sua organização. Para mais informações, consulte o artigo Ver políticas da organização.

Aplique uma restrição personalizada

Pode aplicar uma restrição criando uma política da organização que a referencie e, em seguida, aplicando essa política da organização a um Trusted Cloud by S3NS recurso.

Consola

  1. Na Trusted Cloud consola, aceda à página Políticas de organização.

    Aceda às políticas da organização

  2. No seletor de projetos, selecione o projeto para o qual quer definir a política de organização.
  3. Na lista da página Políticas da organização, selecione a restrição para ver a página Detalhes da política dessa restrição.
  4. Para configurar a política da organização para este recurso, clique em Gerir política.
  5. Na página Editar política, selecione Substituir política do elemento principal.
  6. Clique em Adicionar regra.
  7. Na secção Aplicação, selecione se a aplicação desta política organizacional está ativada ou desativada.
  8. Opcional: para tornar a política de organização condicional a uma etiqueta, clique em Adicionar condição. Tenha em atenção que, se adicionar uma regra condicional a uma política da organização, tem de adicionar, pelo menos, uma regra incondicional. Caso contrário, não é possível guardar a política. Para mais informações, consulte o artigo Definir uma política de organização com etiquetas.
  9. Clique em Testar alterações para simular o efeito da política da organização. A simulação de políticas não está disponível para restrições geridas antigas. Para mais informações, consulte o artigo Teste as alterações à política da organização com o simulador de políticas.
  10. Para concluir e aplicar a política da organização, clique em Definir política. A política demora até 15 minutos a entrar em vigor.

gcloud

Para criar uma política da organização com regras booleanas, crie um ficheiro YAML de política que faça referência à restrição: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Substitua o seguinte:

  • PROJECT_ID: o projeto no qual quer aplicar a restrição.
  • CONSTRAINT_NAME: o nome que definiu para a restrição personalizada. Por exemplo, custom.createOnlyN2DVMs.

Para aplicar a política da organização que contém a restrição, execute o seguinte comando: 

    gcloud org-policies set-policy POLICY_PATH

Substitua POLICY_PATH pelo caminho completo para o ficheiro YAML da política da organização. A política demora até 15 minutos a entrar em vigor.

Exemplo: crie uma restrição que limite as VMs à utilização do tipo de máquina N2D

gcloud

  1. Crie um onlyN2DVMs.yamlficheiro de restrições com as seguintes informações:

    name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyN2DVMs
resource_types: compute.googleapis.com/Instance
condition: "resource.machineType.contains('/machineTypes/n2d')"
action_type: ALLOW
method_types: CREATE
display_name: Only N2D VMs allowed
description: Restrict all VMs created to only use N2D machine types.

  2. Defina a restrição personalizada.

    gcloud org-policies set-custom-constraint onlyN2DVMs.yaml

  3. Crie um ficheiro de políticas onlyN2DVMs-policy.yaml com as seguintes informações. Neste exemplo, aplicamos esta restrição ao nível do projeto, mas também pode defini-la ao nível da organização ou da pasta. Substitua PROJECT_ID pelo ID do seu projeto.

    name: projects/PROJECT_ID/policies/custom.createOnlyN2DVMs
spec:
  rules:
enforce: true

  4. Aplique a política.

    gcloud org-policies set-policy onlyN2DVMs-policy.yaml

  5. Teste a restrição tentando criar uma VM que use um tipo de máquina que não seja uma máquina N2D.

    gcloud compute instances create my-test-instance \
    --project=PROJECT_ID \
    --zone=us-central1-c \
    --machine-type=e2-medium

    O resultado é semelhante ao seguinte:

    ERROR: (gcloud.compute.instances.create) Could not fetch resource:
– Operation denied by custom org policies: [customConstraints/custom.createOnlyN2DVMs]: Restrict all VMs created to only use N2D machine types.

Exemplos de restrições personalizadas para exemplos de utilização comuns

As secções seguintes fornecem a sintaxe de algumas restrições personalizadas que pode considerar úteis:

Disco

Exemplo de utilização Sintaxe
O tipo de disco persistente tem de ser "Disco persistente extremo (pd-extreme)" 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksPDExtremeOnly
  resource_types: compute.googleapis.com/Disk
  condition: "resource.type.contains('pd-extreme')"
  action_type: ALLOW
  method_types: CREATE
  display_name: Create pd-extreme disks only
  description: Only the extreme persistent disk type is allowed to be created.
O tamanho do disco tem de ser inferior ou igual a 250 GB 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksLessThan250GB
  resource_types: compute.googleapis.com/Disk
  condition: "resource.sizeGb <= 250"
  action_type: ALLOW
  method_types: CREATE
  display_name: Disks size maximum is 250 GB
  description: Restrict the boot disk size to 250 GB or less for all VMs.

Imagem

Exemplo de utilização Sintaxe
As imagens de origem têm de ser apenas do Cloud Storage test_bucket 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createDisksfromStoragebucket
  resource_types: compute.googleapis.com/Image
  condition: "resource.rawDisk.source.contains('storage.googleapis.com/test_bucket/')"
  action_type: ALLOW
  method_types: CREATE
  display_name: Source image must be from Cloud Storage test_bucket only
  description: Source images used in this project must be imported from the
  Cloud Storage test_bucket.

Instância de VM

Exemplo de utilização Sintaxe
A VM tem de ter uma etiqueta com a chave definida como cost center 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createVMWithLabel
  resource_types: compute.googleapis.com/Instance
  condition: "'cost_center' in resource.labels"
  action_type: ALLOW
  method_types: CREATE
  display_name: 'cost_center' label required
  description: Requires that all VMs created must have the a 'cost_center' label
  that can be used for tracking and billing purposes.
A VM tem de ter uma etiqueta com a chave definida como cost center e o valor definido como eCommerce 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createECommerceVMOnly
  resource_types: compute.googleapis.com/Instance
  condition: "'cost_center' in resource.labels and resource.labels['cost_center'] == 'eCommerce'"
  action_type: ALLOW
  method_types: CREATE
  display_name:  Label (cost_center/eCommerce) required
  description: Label required and Key/value must be cost_center/eCommerce.
A VM tem de usar o tipo de máquina N2D 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyN2DVMs
  resource_types: compute.googleapis.com/Instance
  condition: "resource.machineType.contains('/machineTypes/n2d')"
  action_type: ALLOW
  method_types: CREATE
  display_name: Only N2D VMs allowed
  description: Restrict all VMs created to only use N2D machine types.
A VM tem de usar o tipo de máquina e2-highmem-8 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlyE2highmem8
  resource_types: compute.googleapis.com/Instance
  condition: "resource.machineType.endsWith('-e2-highmem-8')"
  action_type: ALLOW
  method_types: CREATE
  display_name: Only "e2-highmem-8" VMs allowed
  description: Restrict all VMs created to only use the E2 high-memory
  machine types that have 8 vCPUs.
Garante que as VMs são agendadas no grupo de nós "foo" 
  name: organizations/ORGANIZATION_ID/customConstraints/custom.createOnlySTVM
  resource_types: compute.googleapis.com/Instance
  condition: "resource.scheduling.nodeAffinities.exists(n, n.key == 'foo')"
  action_type: ALLOW
  method_types: CREATE
  display_name: Only VMs scheduled on node group "foo" allowed
  description: Restrict all VMs created to use the node group "foo".

O que se segue?