本文档简要介绍了项目在 Google Distributed Cloud (GDC) 网闸隔离配置中的运作方式。项目是您的资源的集合。 项目有助于细分组织内的资源,并为管理资源生命周期和强制执行政策提供边界。删除项目时,其中的所有资源也会被删除,并且适用于项目的政策也适用于项目中的所有资源。您可以使用项目以群组形式组织和管理资源。如需了解详情,请参阅资源层次结构。
本文档面向平台管理员群组中的 IT 管理员、安全工程师和网络管理员等受众群体,他们负责管理组织内的资源。如需了解详情,请参阅 GDC 气隙环境文档的受众群体。
项目标识符
项目具有两个标识符:
项目名称:人类可读的项目名称。GDC API 不会使用项目名称。您可以在项目创建期间或之后随时修改项目名称。项目名称不必具有唯一性。
项目 ID:项目的全局唯一标识符。项目 ID 是一个唯一字符串,用于区分 GDC 中的项目。项目 ID 是在您创建项目时由系统生成的,项目可用后便无法修改。项目传播的命名空间与项目 ID 相同。
请勿在项目名称、项目 ID 或其他资源名称中添加敏感信息。项目 ID 会在许多其他 GDC 资源的名称中使用,并且对项目或相关资源的任何引用都会公开项目 ID 和资源名称。
项目命名空间
项目的命名空间托管着多种资源和配置,例如:
- 项目范围的服务 API 或 Kubernetes 自定义资源定义。
- 项目级政策配置,例如角色和角色绑定。
项目被视为一个 Kubernetes 命名空间,可以跨组织中的多个共享 Kubernetes 集群。共享集群是可以附加到多个项目的 Kubernetes 集群,而标准集群是在单个项目命名空间内运行的 Kubernetes 集群。如需详细了解 GDC 中的 Kubernetes 集群,请参阅 Kubernetes 集群配置。
Kubernetes 会将每个共享集群视为一个单独的实体,并且每个共享集群都有一个独立的项目命名空间。不过,对于 GDC 组织中的所有共享集群,GDC 会将所有同名命名空间视为同一命名空间。这称为“命名空间相同性”。单个命名空间在共享集集群中具有一致的所有者。服务提供商通过在命名空间中创建控制平面和数据平面组件来创建项目级服务。
此图展示了三个共享集群之间的命名空间相同性,每个集群都用于与组织开发生命周期相对应的容器工作负载。有两个项目命名空间 backend 和 frontend,它们提供的命名空间可跨集群使用。虽然项目命名空间会复制到多个共享集群,但它会被识别为具有一致权限和特征的单个命名空间。