在 Google Cloud上开发应用和工作负载时,您会创建以下资源类型:
- 容器资源可帮助您整理和控制访问权限。这些资源包括组织、文件夹和项目。
- 服务资源是构成Google Cloud 产品和服务的基本组成部分。这些资源包括 Compute Engine 虚拟机 (VM)、Google Kubernetes Engine 集群和 Pub/Sub 主题。
本文档简要介绍了如何使用容器资源和 App Hub 应用来整理服务资源。如需更多指导,请参阅以下文档:
按层次组织和管理
如需将资源相互隔离并限制用户的访问权限,您可以将资源作为单个单元进行分组和管理。为此,您可以使用以下结构(称为资源层次结构):
- 组织:代表您的公司,是资源层次结构的根。
- 文件夹:可选的分组机制,可用于隔离项目组。例如,您可以为法律实体、部门或团队创建文件夹。
- 项目:包含服务资源的基础级层组织实体。
如需详细了解资源层次结构,请参阅资源层次结构。
如需了解如何使用资源层次结构来管理访问权限,请参阅使用资源层次结构实现访问权限控制。
组织:创建层次结构的根节点
组织是层次结构的根节点,您可以在其中创建所有其他资源。您为组织应用的访问权限政策会应用于所有其他资源。这意味着,您可以在组织级别应用访问权限控制,而无需在所有项目中重复设置和管理相同的控制权限。
创建组织资源后,底层项目会归属于该组织,而不是创建项目的用户。这意味着,即使用户被移除,项目及其底层资源仍可以继续存在。
文件夹:隔离项目组
您可以使用文件夹在项目之间创建隔离边界。例如,您可以为部门或团队创建不同的项目集合。文件夹可以包含项目和子文件夹。您可以应用访问权限控制,确保一个团队中的用户无法访问分配给另一个团队的文件夹中的资源。
项目:隔离资源
Google Cloud 资源必须属于一个项目,项目是一种组织实体,可帮助您隔离和控制对资源的访问。例如,您可以为开发环境和生产环境创建不同的项目。
项目包含设置、权限和描述您的应用的其他元数据。在遵循区域和可用区规则的前提下,一个项目中的各资源可以通过内部网络通信,从而实现顺利合作。除非您使用共享 VPC 或 VPC 网络对等互连,否则一个项目无法访问其他项目中的资源。
为项目命名并引用项目
您可以使用标识符在命令和 API 调用中引用项目。每个Google Cloud 项目都包含以下标识符:
- 项目名称:您提供的名称。
- 项目 ID:您可以提供的标识符,也可以由 Google Cloud 提供。每个项目 ID 在 Google Cloud中都是唯一的。删除项目后,其 ID 将无法再使用。
- 项目编号:由 Google Cloud提供。
如需了解详情,请参阅创建和管理项目。
将相关资源作为应用进行管理
资源层次结构有助于整理资源,以满足内部要求,例如团队所有权、地理位置或政策合规性。不过,云应用通常会以与资源层次结构不匹配的方式组合资源。例如,一家网店可能在一个项目中包含用户界面组件,而在另一个项目中包含数据库。
Google Cloud 可帮助您将资源分组为 App Hub 应用,而无需更改资源层次结构的结构。通过将相关资源分组到一起,您可以更好地了解资源依赖关系,并简化部署、监控、更新、问题排查和其他任务。此外,您还可以使用 Gemini Cloud Assist 帮助您完成设计应用、问题排查和管理应用费用等任务。
如需了解详情,请参阅以应用为中心 Google Cloud。