Este documento fornece uma visão geral de como os projetos funcionam no Google Distributed Cloud (GDC) com isolamento físico. Um projeto é uma coleção de recursos. Os projetos ajudam a segmentar recursos na organização e fornecem um limite para gerenciar ciclos de vida de recursos e aplicar políticas. Quando um projeto é excluído, todos os recursos dele também são excluídos, e as políticas que se aplicam a um projeto também se aplicam a todos os recursos dele. É possível usar projetos para organizar e gerenciar seus recursos como um grupo. Para mais informações, consulte Hierarquia de recursos.
Este documento é destinado a públicos como administradores de TI, engenheiros de segurança e administradores de rede no grupo de administradores de plataforma que são responsáveis por gerenciar recursos na organização. Para mais informações, consulte Públicos-alvo da documentação do GDC com isolamento físico.
Identificadores de projetos
Um projeto tem dois identificadores:
Nome do projeto: um nome legível para seu projeto. O nome do projeto não é usado pelas APIs do GDC. Você pode editar o nome do projeto a qualquer momento durante ou após a criação do projeto. Os nomes dos projetos não precisam ser exclusivos.
ID do projeto: um identificador exclusivo personalizável para seu projeto. O ID do projeto é uma string exclusiva usada para diferenciar seu projeto no GDC. O ID do projeto é gerado pelo sistema quando você cria um projeto e não pode ser modificado depois que o projeto fica disponível. Os namespaces propagados por um projeto são os mesmos do ID do projeto.
Não inclua informações sensíveis no nome e no ID do projeto ou em outros nomes de recursos. O ID do projeto é usado no nome de muitos outros recursos do GDC, e qualquer referência ao projeto ou recursos relacionados expõe o ID do projeto e o nome do recurso.
Namespace do projeto
O namespace de um projeto hospeda vários recursos e configurações, como:
- APIs de serviço no escopo do projeto ou definições de recursos personalizados do Kubernetes.
- Configurações de política no nível do projeto, como papéis e vinculações de papéis.
Um projeto é considerado um namespace do Kubernetes que pode abranger vários clusters compartilhados do Kubernetes em uma organização. Um cluster compartilhado é um cluster do Kubernetes que pode ser anexado a vários projetos, enquanto um cluster padrão é um cluster do Kubernetes que opera em um único namespace de projeto. Para mais informações sobre clusters do Kubernetes no GDC, consulte Configurações de cluster do Kubernetes.
O Kubernetes trata cada cluster compartilhado como uma entidade separada, e cada cluster compartilhado tem um namespace de projeto independente. No entanto, para todos os clusters compartilhados em uma organização do GDC, o GDC considera todos os namespaces com o mesmo nome como o mesmo namespace. Isso é conhecido como semelhança de namespace. O namespace único tem um proprietário consistente em todo o conjunto de clusters compartilhados. Os provedores de serviços criam serviços no escopo do projeto criando componentes do plano de controle e do plano de dados no namespace.
Este diagrama ilustra a semelhança de namespace em três clusters compartilhados, cada um
para cargas de trabalho de contêineres correspondentes ao ciclo de vida de desenvolvimento de uma
organização. Há dois namespaces de projeto, backend e frontend, que
fornecem namespaces que abrangem os clusters. Embora um namespace de projeto
seja replicado em vários clusters compartilhados, ele é reconhecido como um único
namespace com permissões e características consistentes.
A seguir
- Criar um projeto
- Projetar limites de acesso entre recursos
- Projetar a separação da carga de trabalho