本文將概略說明專案在 Google Distributed Cloud (GDC) 實體隔離環境中的運作方式。專案是資源的集合。專案可協助您區隔機構內的資源,並提供管理資源生命週期和強制執行政策的界線。刪除專案時,系統也會一併刪除專案中的所有資源,且套用至專案的政策也會套用至專案中的所有資源。您可以透過專案,以群組形式整理及管理資源。詳情請參閱「資源階層」。
本文件適用於平台管理員群組中的 IT 管理員、安全工程師和網路管理員等對象,他們負責管理機構內的資源。詳情請參閱 GDC air-gapped 說明文件適用對象。
專案 ID
專案有兩個 ID:
專案名稱:專案的可理解文字名稱。GDC API 不會使用專案名稱。您可以在建立專案期間或之後隨時編輯專案名稱。專案名稱不必是專屬名稱。
專案 ID:專案的全域專屬 ID。專案 ID 是用來在 GDC 中區分專案的專屬字串。專案 ID 是在您建立專案時由系統產生,專案上線後就無法修改。專案傳播的命名空間與專案 ID 相同。
請勿在專案名稱、專案 ID 或其他資源名稱中加入機密資訊。許多其他 GDC 資源的名稱都會使用專案 ID,而且任何對專案或相關資源的參照都會公開專案 ID 和資源名稱。
專案命名空間
專案的命名空間會代管多項資源和設定,例如:
- 專案範圍的服務 API 或 Kubernetes 自訂資源定義。
- 專案層級政策設定,例如角色和角色繫結。
專案可視為Kubernetes 命名空間,可跨機構內的多個共用 Kubernetes 叢集。共用叢集是可附加至多個專案的 Kubernetes 叢集,而標準叢集則是在單一專案命名空間中運作的 Kubernetes 叢集。如要進一步瞭解 GDC 中的 Kubernetes 叢集,請參閱 Kubernetes 叢集設定。
Kubernetes 會將每個共用叢集視為獨立實體,且每個共用叢集都有獨立的專案命名空間。不過,對於 GDC 機構中的所有共用叢集,GDC 會將所有同名命名空間視為相同命名空間。這就是所謂的「命名空間相同性」。單一命名空間在整組共用叢集中具有一致的擁有者。服務供應商會在命名空間中建立控制層和資料層元件,藉此建立專案範圍的服務。
這張圖表說明三個共用叢集之間的命名空間相同性,每個叢集都適用於與機構開發生命週期對應的容器工作負載。有兩個專案命名空間 backend 和 frontend,可提供跨叢集的命名空間。雖然專案命名空間會複製到多個共用叢集,但系統會將其視為單一命名空間,並維持權限和特徵的一致性。