Ce document présente le fonctionnement des projets dans Google Distributed Cloud (GDC) air-gapped. Un projet est un ensemble de ressources. Les projets permettent de segmenter les ressources au sein de votre organisation et de fournir une limite pour la gestion des cycles de vie des ressources et l'application des règles. Lorsqu'un projet est supprimé, toutes les ressources qu'il contient le sont également. De plus, les règles qui s'appliquent à un projet s'appliquent également à toutes les ressources qu'il contient. Vous pouvez utiliser des projets pour organiser et gérer vos ressources en groupe. Pour en savoir plus, consultez la section Hiérarchie des ressources.
Ce document s'adresse à des audiences telles que les administrateurs informatiques, les ingénieurs en sécurité et les administrateurs réseau du groupe d'administrateurs de plate-forme, qui sont chargés de gérer les ressources au sein de leur organisation. Pour en savoir plus, consultez Audiences pour la documentation GDC sous air gap.
Identifiants de projet
Un projet comporte deux identifiants :
Nom de projet : nom lisible attribué à votre projet. Le nom du projet n'est pas utilisé par les API GDC. Vous pouvez modifier le nom d'un projet à tout moment, aussi bien pendant qu'après la création du projet. Les noms de projet ne doivent pas nécessairement être uniques.
ID de projet : identifiant unique global pour votre projet. Un ID de projet est une chaîne unique utilisée pour différencier votre projet dans GDC. L'ID de projet est généré par le système lorsque vous créez un projet. Vous ne pouvez pas le modifier une fois le projet disponible. Les espaces de noms propagés par un projet sont identiques à l'ID du projet.
N'incluez aucune information sensible dans le nom de votre projet, l'ID de votre projet ou les autres noms de ressources. L'ID du projet est utilisé dans le nom de nombreuses autres ressources GDC. Toute référence au projet ou aux ressources associées expose l'ID du projet et le nom de la ressource.
Espace de noms du projet
L'espace de noms d'un projet héberge plusieurs ressources et configurations, telles que :
- Définitions de ressources personnalisées Kubernetes ou API de service à portée de projet.
- Configurations des règles au niveau du projet, telles que les rôles et les liaisons de rôle.
Un projet est considéré comme un espace de noms Kubernetes qui peut s'étendre sur plusieurs clusters Kubernetes partagés dans une organisation. Un cluster partagé est un cluster Kubernetes qui peut être associé à plusieurs projets, tandis qu'un cluster standard est un cluster Kubernetes qui fonctionne dans l'espace de noms d'un seul projet. Pour en savoir plus sur les clusters Kubernetes dans GDC, consultez Configurations des clusters Kubernetes.
Kubernetes traite chaque cluster partagé comme une entité distincte, et chaque cluster partagé possède un espace de noms de projet indépendant. Toutefois, pour tous les clusters partagés d'une organisation GDC, GDC considère que tous les espaces de noms portant le même nom sont identiques. C'est ce qu'on appelle l'uniformité de l'espace de noms. L'espace de noms unique a un propriétaire cohérent dans l'ensemble des clusters partagés. Les fournisseurs de services créent des services à portée de projet en créant des composants de plan de contrôle et de plan de données dans l'espace de noms.
Ce schéma illustre l'uniformité de l'espace de noms sur trois clusters partagés, chacun pour les charges de travail de conteneurs correspondant au cycle de vie de développement d'une organisation. Il existe deux espaces de noms de projet, backend et frontend, qui fournissent des espaces de noms couvrant les clusters. Bien qu'un espace de noms de projet soit répliqué sur plusieurs clusters partagés, il est reconnu comme un espace de noms unique avec des autorisations et des caractéristiques cohérentes.
Étapes suivantes
- Créer un projet
- Concevoir des limites d'accès entre les ressources
- Concevoir la séparation des charges de travail