ניהול יצירת הזמנות משותפות

כברירת מחדל, אי אפשר ליצור או לשנות הזמנות משותפות בפרויקטים. במאמר הזה מוסבר איך לאפשר או להגביל את האפשרות של פרויקטים ב Cloud de Confiance by S3NS ארגון שלכם ליצור ולשנות הזמנות משותפות. מקומות שמורים משותפים עוזרים לכם למקסם את השימוש בקיבולת השמורה בפרויקטים, וגם לנהל מקום שמור אחד במקום הרבה מקומות שמורים.

מידע נוסף על השיטות המומלצות ליצירה ולשימוש בהזמנות משותפות זמין במאמר שיטות מומלצות לשימוש בהזמנות משותפות.

לפני שמתחילים

  • אם עדיין לא עשיתם את זה, תצטרכו להגדיר אימות. אימות הוא תהליך שבו מאמתים את הזהות שלכם כדי לקבל גישה לממשקי API ולשירותים של Cloud de Confiance by S3NS . כדי להריץ קוד או דוגמאות מסביבת פיתוח מקומית, אפשר לבצע אימות ל-Compute Engine באחת מהדרכים הבאות:

    צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:

    המסוף

    כשמשתמשים במסוף Cloud de Confiance כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Cloud de Confiance by S3NS

    gcloud

    1. התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

      gcloud init
  • הגדרת אזור ותחום כברירת מחדל

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות כדי לאפשר או להגביל פרויקטים ליצירת הזמנות משותפות, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Organization Policy Administrator (אדמין של מדיניות הארגון) (roles/orgpolicy.policyAdmin) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות כדי לאפשר או להגביל את היכולת של פרויקטים ליצור הזמנות משותפות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לאפשר או להגביל פרויקטים ליצירת הזמנות משותפות, נדרשות ההרשאות הבאות:

  • כדי לערוך את מדיניות הארגון: orgpolicy.policy.set בארגון
  • כדי להציג את מדיניות הארגון: orgpolicy.policy.get בארגון

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

אישור או הגבלה של יצירת הזמנות משותפות בפרויקטים

כדי לאפשר או להגביל פרויקט ליצור הזמנות משותפות, משנים את הרשימה הלבנה באילוץ פרויקטים של בעלי הזמנות משותפות (compute.sharedReservationsOwnerProjects) במדיניות הארגון.

בקטעים הבאים מוסבר איך להציג או לערוך את האילוץ של מדיניות ההזמנות המשותפות בפרויקט או בארגון.

הצגת ההגבלה של מדיניות הארגון על הזמנות משותפות

כדי לראות אם האילוץ shared reservations owner projects (compute.sharedReservationsOwnerProjects) מופעל בפרויקט או בארגון, בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בתפריט לבחירת פרויקט, בוחרים את הפרויקט או הארגון שרוצים לראות את מדיניות הארגון שלהם.

  3. בשדה Filter, מזינים constraints/compute.sharedReservationsOwnerProjects.

  4. בעמודה Name (שם), לוחצים על Shared reservations owner projects (פרויקטים של בעלים עם הזמנות משותפות). יופיע הדף Policy details.

  5. בקטע מדיניות בתוקף, בודקים אם מותר ליצור ולשנות הזמנות משותפות בפרויקט או בארגון.

gcloud

כדי לראות אילו פרויקטים מאפשרים ליצור ולשנות הזמנות משותפות באמצעות האילוץ compute.sharedReservationsOwnerProjects:

  1. כדי להוריד את המדיניות של הארגון כקובץ בשם policy.yaml, משתמשים בפקודה gcloud resource-manager org-policies describe:

    gcloud resource-manager org-policies describe compute.sharedReservationsOwnerProjects \
    --organization=ORGANIZATION_ID > policy.yaml

    מחליפים את ORGANIZATION_ID במזהה הארגון.

  2. פותחים את הקובץ policy.yaml בכלי לעריכת טקסט לבחירתכם.

  3. צפייה באילוץ compute.sharedReservationsOwnerProjects. הפרויקטים שיכולים ליצור ולשנות הזמנות משותפות מפורטים בשדה allowedValues, כמו בדוגמה הבאה:

    ...
constraint: constraints/compute.sharedReservationsOwnerProjects
listPolicy:
  allowedValues:
  - projects/EXAMPLE_PROJECT_NUMBER1
  - projects/EXAMPLE_PROJECT_NUMBER2
  - projects/EXAMPLE_PROJECT_NUMBER3
  ...
...

  4. אופציונלי: כדי למחוק את הקובץ policy.yaml, מבצעים אחת מהפעולות הבאות:

    • אם אתם משתמשים בטרמינל של Linux או macOS, מריצים את הפקודה הבאה:

      rm policy.yaml

    • אם אתם משתמשים בטרמינל של Windows, מריצים את הפקודה הבאה:

      del policy.yaml

עריכת האילוץ של מדיניות הארגון בנושא הזמנות משותפות

כדי לערוך את הפרויקטים בארגון שבהם אפשר ליצור ולשנות הזמנות משותפות, בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Cloud de Confiance , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בכלי לבחירת פרויקטים, בוחרים את הארגון שרוצים לערוך את מדיניות הארגון.

  3. בשדה Filter, מזינים constraints/compute.sharedReservationsOwnerProjects.

  4. בעמודה Name (שם), לוחצים על Shared reservations owner projects (פרויקטים של בעלים עם הזמנות משותפות). יופיע הדף Policy details.

  5. לוחצים על ניהול המדיניות. יופיע הדף פרטי המדיניות.

  6. בוחרים באפשרות במקום המדיניות של המשאב הראשי. לאחר מכן, בקטע Policy enforcement, בוחרים איך רוצים להחיל את המדיניות:

    • מיזוג עם מדיניות האב: האפשרות הזו משלבת את המדיניות ברמת הפרויקט עם המדיניות ברמת הארגון. בפרויקטים שמותרים בכל אחת מהרמות אפשר ליצור מקומות שמורים משותפים.

    • החלפה: האפשרות הזו מבטלת את כל המדיניות שעברה בירושה מרמות גבוהות יותר. רק פרויקטים שיש להם הרשאה מפורשת ברמה הזו יכולים ליצור הזמנות משותפות.

  7. לוחצים על הוספת כלל.

  8. ברשימה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.

  9. ברשימה Policy type (סוג המדיניות), בוחרים באחת מהאפשרויות הבאות:

    • כדי לאשר לפרויקט אחד או יותר ליצור או לשנות הזמנות משותפות, בוחרים באפשרות אישור.

    • כדי למנוע מפרויקט אחד או יותר ליצור או לשנות הזמנות משותפות, בוחרים באפשרות Deny (דחייה).

  10. בשדה ערך מותאם אישית, מזינים את מספר הפרויקט שרוצים להחיל עליו את הכלל הזה. לכל פרויקט נוסף שרוצים להחיל עליו את הכלל, לוחצים על הוספת ערך וחוזרים על השלב הזה.

  11. כדי להחיל את השינויים האלה, לוחצים על הגדרת מדיניות. יופיע הדף מדיניות הארגון.

gcloud

כדי לערוך את הפרויקטים שבהם האילוץ compute.sharedReservationsOwnerProjects מאפשר ליצור ולשנות הזמנות משותפות, משתמשים באחת מהשיטות הבאות:

  • כדי להעניק הרשאה לפרויקט יחיד ליצור ולשנות הזמנות משותפות, משתמשים בפקודה gcloud resource-manager org-policies allow. אפשר לחזור על הפקודה הזו לכל פרויקט שרוצים להעניק לו את ההרשאה הזו.

    gcloud resource-manager org-policies allow compute.sharedReservationsOwnerProjects projects/PROJECT_NUMBER \
    --organization=ORGANIZATION_ID

    מחליפים את מה שכתוב בשדות הבאים:

  • כדי להעניק או לבטל את ההרשאות לכמה פרויקטים ליצור ולשנות הזמנות משותפות, צריך להחליף את האילוץ של מדיניות הארגון. כדי לעשות זאת, פועלים לפי השלבים הבאים:

    1. כדי להוריד את המדיניות של הארגון כקובץ בשם policy.yaml, משתמשים בפקודה gcloud resource-manager org-policies describe:

      gcloud resource-manager org-policies describe compute.sharedReservationsOwnerProjects \
    --organization=ORGANIZATION_ID > policy.yaml

    2. פותחים את הקובץ policy.yaml בכלי לעריכת טקסט לבחירתכם.

    3. משנים את השדה allowedValues כדי להציג את כל הפרויקטים שיכולים ליצור ולשנות הזמנות משותפות.

      • לכל פרויקט שרוצים להעניק לו הרשאה, מוסיפים את מספר הפרויקט בשורה חדשה בשדה allowedValues.

      • עבור כל פרויקט שרוצים לבטל את ההרשאה ליצור ולשנות הזמנות משותפות, מסירים את מספר הפרויקט מהשדה allowedValues.

      קובץ policy.yaml אמור להיראות כמו בדוגמה הבאה:

      ...
constraint: constraints/compute.sharedReservationsOwnerProjects
listPolicy:
  allowedValues:
  - projects/EXAMPLE_PROJECT_NUMBER1
  - projects/EXAMPLE_PROJECT_NUMBER2
  - projects/EXAMPLE_PROJECT_NUMBER3
  ...
...

    4. שומרים את קובץ ה-policy.yaml וסוגרים את הכלי לעריכת טקסט.

    5. כדי לעדכן את המדיניות של הארגון, משתמשים בפקודה gcloud resource-manager org-policies set-policy:

      gcloud resource-manager org-policies set-policy \
    --organization=ORGANIZATION_ID policy.yaml

    6. אופציונלי: כדי למחוק את הקובץ policy.yaml, מבצעים אחת מהפעולות הבאות:

      • אם משתמשים בטרמינל של Linux או macOS, מריצים את הפקודה הבאה:

        rm policy.yaml

      • אם אתם משתמשים במסוף Windows, מריצים את הפקודה הבאה:

        del policy.yaml

יכול להיות שיחלפו עד 15 דקות עד שהשינויים ייכנסו לתוקף.

המאמרים הבאים