Questo documento fornisce una panoramica del funzionamento dei progetti in Google Distributed Cloud (GDC) con air gap. Un progetto è una raccolta di risorse. I progetti consentono di segmentare le risorse all'interno dell'organizzazione e forniscono un limite per la gestione dei cicli di vita delle risorse e l'applicazione dei criteri. Quando un progetto viene eliminato, vengono eliminate anche tutte le risorse che contiene e i criteri che si applicano a un progetto si applicano anche a tutte le risorse del progetto. Puoi utilizzare i progetti per organizzare e gestire le risorse come gruppo. Per saperne di più, consulta Gerarchia delle risorse.
Questo documento è destinato a un pubblico come amministratori IT, ingegneri della sicurezza e amministratori di rete all'interno del gruppo di amministratori della piattaforma che sono responsabili della gestione delle risorse all'interno della propria organizzazione. Per ulteriori informazioni, consulta Segmenti di pubblico per la documentazione air-gap di GDC.
Identificatori del progetto
Un progetto ha due identificatori:
Nome progetto: un nome leggibile per il progetto. Il nome del progetto non viene utilizzato dalle API GDC. Puoi modificare il nome del progetto in qualsiasi momento durante o dopo la creazione del progetto. I nomi dei progetti non devono essere univoci.
ID progetto: un identificatore univoco globale per il tuo progetto. Un ID progetto è una stringa univoca utilizzata per distinguere il tuo progetto in GDC. L'ID progetto viene generato dal sistema quando crei un progetto e non può essere modificato dopo che il progetto è disponibile. Gli spazi dei nomi propagati da un progetto sono uguali all'ID progetto.
Non includere informazioni sensibili nel nome del progetto, nell'ID progetto o in altri nomi delle risorse. L'ID progetto viene utilizzato nel nome di molte altre risorse GDC e qualsiasi riferimento al progetto o alle risorse correlate espone l'ID progetto e il nome della risorsa.
Spazio dei nomi del progetto
Lo spazio dei nomi di un progetto ospita diverse risorse e configurazioni, ad esempio:
- API di servizio o definizioni di risorse personalizzate di Kubernetes con ambito di progetto.
- Configurazioni dei criteri a livello di progetto, come ruoli e binding dei ruoli.
Un progetto è considerato uno spazio dei nomi Kubernetes che può estendersi a più cluster Kubernetes condivisi in un'organizzazione. Un cluster condiviso è un cluster Kubernetes che può essere collegato a più progetti, mentre un cluster standard è un cluster Kubernetes che opera all'interno di un singolo spazio dei nomi del progetto. Per ulteriori informazioni sui cluster Kubernetes in GDC, consulta Configurazioni dei cluster Kubernetes.
Kubernetes considera ogni cluster condiviso come un'entità separata e ogni cluster condiviso ha uno spazio dei nomi del progetto indipendente. Tuttavia, per tutti i cluster condivisi in un'organizzazione GDC, GDC considera tutti gli spazi dei nomi con lo stesso nome come lo stesso spazio dei nomi. Questa situazione viene definita identità dello spazio dei nomi. Il singolo spazio dei nomi ha un proprietario coerente nell'insieme di cluster condivisi. I fornitori di servizi creano servizi con ambito di progetto creando componenti del control plane e del data plane nello spazio dei nomi.
Questo diagramma illustra l'identità dello spazio dei nomi in tre cluster condivisi, ciascuno
per i carichi di lavoro dei container corrispondenti al ciclo di vita di sviluppo di un'organizzazione. Esistono due spazi dei nomi del progetto backend e frontend che
forniscono spazi dei nomi che si estendono ai cluster. Sebbene uno spazio dei nomi del progetto
venga replicato in più cluster condivisi, viene riconosciuto come un unico
spazio dei nomi con autorizzazioni e caratteristiche coerenti.
Passaggi successivi
- Creare un progetto
- Progettare i limiti di accesso tra le risorse
- Progettazione della separazione dei carichi di lavoro