我想在整个组织中拒绝VPC对等。目前,它是在组织策略constraints/compute.restrictVpcPeering设置为拒绝所有的情况下实现的。
不幸的是,作为通过共享vpc创建kubernetes集群的一部分,在谷歌端对子网进行了一些对等操作(根据这一点(。我想放弃我的约束,这样这些约束就可以被允许,但我还找不到只允许这些约束的方法。
GCP侧的子网有这样的资源路径:
network projects/gke-prod-europe-west3-XXXX/global/networks/gke-ndaXXXXXYYYYYZZZZ-ZZZZ-YYY-net
其中XYZ是随机的。
起初,我想使用under:表示法来允许在under:projects/gke-prod-europe-west3-*中与网络进行所有对等,但看起来通配符格式不受支持。
谷歌k8s资源是否属于已知的organization_id?或者还有其他方式让我错过了?
原始错误:
Constraint constraints/compute.restrictVpcPeering violated for project 1234567890. Peering the network projects/gke-prod-europe-west3-XXXX/global/networks/gke-ndaXXXXXYYYYYZZZZ-ZZZZ-YYY-net is not allowed.
您无法使用任何通配符;你需要一个接一个地指定项目id的名称-没有其他方法可以绕过它
如果你看一下";对特定服务的约束";文档:
此列表约束定义了允许与属于此项目、文件夹或组织的专有网络进行对等的专有网络集。默认情况下,一个网络的网络管理员可以与任何其他网络进行对等。网络的允许/拒绝列表必须以以下形式标识:
under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、under:projects/PROJECT_ID或projects/PROJECT_ID/global/networks/NETWORK_NAME。constraints/compute.restrictVpcPeering
但是,您可以请求实现此功能,您可以通过在IssueTracker上提出新问题来实现此功能。