我希望在整个组织范围内拒绝 VPC 对等互连。目前它是在组织政策 constraints/compute.restrictVpcPeering 设置为拒绝所有的情况下实施的。
不幸的是,作为通过共享 vpc 创建 kubernetes 集群的一部分,在 google 端对子网进行了一些对等连接(根据 this)。我想放弃我的限制,所以可以允许那些,但我找不到只允许那些的方法。
GCP 端的子网有这样的资源路径:
network projects/gke-prod-europe-west3-XXXX/global/networks/gke-ndaXXXXXYYYYYZZZZ-ZZZZ-YYY-net
其中 XYZ 是随机的。
起初我想使用 under: notation 来允许所有与 under:projects/gke-prod-europe-west3-* 中的网络进行对等连接,但看起来那里不支持通配符格式。
是否知道 organization_id 谷歌 k8s 资源属于?或者还有其他我想念的方式?
原始错误:
Constraint constraints/compute.restrictVpcPeering violated for project 1234567890. Peering the network projects/gke-prod-europe-west3-XXXX/global/networks/gke-ndaXXXXXYYYYYZZZZ-ZZZZ-YYY-net is not allowed.
答案 0 :(得分:0)
您无法使用任何通配符;您需要通过名称一一指定项目 ID - 别无他法。
如果您查看“Constraints for specific services”文档:
<块引用>此列表约束定义了一组 VPC 网络,这些网络允许与属于此项目、文件夹或组织的 VPC 网络建立对等关系。默认情况下,一个网络的网络管理员可以与任何其他网络对等。网络的允许/拒绝列表必须以以下形式标识:under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID 或 projects/PROJECT_ID/global/networks/NETWORK_NAME。
constraints/compute.restrictVpcPeering
然而,您可以请求实施此功能,您可以通过在 IssueTracker 上提出新问题来实现。