En este documento se ofrece una descripción general de cómo funcionan los proyectos en Google Distributed Cloud (GDC) aislado. Un proyecto es una colección de tus recursos. Los proyectos ayudan a segmentar los recursos de tu organización y proporcionan un límite para gestionar los ciclos de vida de los recursos y aplicar las políticas. Cuando se elimina un proyecto, también se eliminan todos los recursos que contiene, y las políticas que se aplican a un proyecto también se aplican a todos los recursos del proyecto. Puedes usar proyectos para organizar y gestionar tus recursos como un grupo. Para obtener más información, consulta Jerarquía de recursos.
Este documento está dirigido a administradores de TI, ingenieros de seguridad y administradores de redes del grupo de administradores de la plataforma que se encargan de gestionar los recursos de su organización. Para obtener más información, consulta Audiencias de la documentación aislada de GDC.
Identificadores de proyecto
Un proyecto tiene dos identificadores:
Nombre del proyecto: nombre legible para tu proyecto. Las APIs de GDC no usan el nombre del proyecto. Puedes editar el nombre del proyecto en cualquier momento durante o después de la creación del proyecto. No es necesario que los nombres de los proyectos sean únicos.
ID de proyecto: identificador único global de tu proyecto. Un ID de proyecto es una cadena única que se usa para diferenciar tu proyecto en GDC. El sistema genera el ID de proyecto cuando creas un proyecto y no se puede modificar una vez que el proyecto está disponible. Los espacios de nombres propagados por un proyecto son los mismos que el ID del proyecto.
No incluyas información sensible en el nombre del proyecto, el ID del proyecto ni en otros nombres de recursos. El ID de proyecto se usa en el nombre de muchos otros recursos de GDC, y cualquier referencia al proyecto o a los recursos relacionados expone el ID de proyecto y el nombre del recurso.
Espacio de nombres del proyecto
El espacio de nombres de un proyecto aloja varios recursos y configuraciones, como los siguientes:
- APIs de servicio o definiciones de recursos personalizados de Kubernetes con ámbito de proyecto.
- Configuraciones de políticas a nivel de proyecto, como roles y vinculaciones de roles.
Un proyecto se considera un espacio de nombres de Kubernetes que puede abarcar varios clústeres de Kubernetes compartidos en una organización. Un clúster compartido es un clúster de Kubernetes que se puede asociar a varios proyectos, mientras que un clúster estándar es un clúster de Kubernetes que funciona en un único espacio de nombres de proyecto. Para obtener más información sobre los clústeres de Kubernetes en GDC, consulta las configuraciones de clústeres de Kubernetes.
Kubernetes trata cada clúster compartido como una entidad independiente y cada clúster compartido tiene un espacio de nombres de proyecto independiente. Sin embargo, en todos los clústeres compartidos de una organización de GDC, GDC considera que todos los espacios de nombres con el mismo nombre son el mismo espacio de nombres. Esto se conoce como igualdad de espacio de nombres. El espacio de nombres único tiene un propietario coherente en el conjunto de clústeres compartidos. Los proveedores de servicios crean servicios con ámbito de proyecto creando componentes de plano de control y de plano de datos en el espacio de nombres.
En este diagrama se muestra la igualdad de espacios de nombres en tres clústeres compartidos, cada uno de ellos para cargas de trabajo de contenedores correspondientes al ciclo de vida del desarrollo de una organización. Hay dos espacios de nombres de proyecto, backend y frontend, que proporcionan espacios de nombres que abarcan los clústeres. Aunque un espacio de nombres de proyecto se replica en varios clústeres compartidos, se reconoce como un único espacio de nombres con permisos y características coherentes.
Siguientes pasos
- Crear un proyecto
- Diseñar límites de acceso entre recursos
- Diseñar la separación de cargas de trabajo