Migration ausführen

Auf dieser Seite wird beschrieben, wie Sie ein Google Cloud -Projekt von einer Organisationsressource zu einer anderen oder von keiner Organisationsressource zu einer Organisationsressource migrieren.

Wenn Sie ein Projekt migrieren möchten, müssen Sie dafür sorgen, dass Sie die richtigen IAM-Berechtigungen (Identity and Access Management) haben und dass bestimmte Organisationsrichtlinien sowohl für die Quell- als auch für die Zielressourcen konfiguriert sind.

Hinweis

Eine Projektmigration ist ein organisationsübergreifender Vorgang. Damit Ressourcen nicht unbefugt verschoben werden können, müssen Sie die folgenden Anforderungen erfüllen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Migrieren von Projekten zwischen Organisationsressourcen benötigen:

  • Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) für das Projekt, das Sie zwischen Organisationsressourcen migrieren möchten
  • Projektverschieber (roles/resourcemanager.projectMover) für die übergeordnete Ressource des Projekts (Ordner- oder Organisationsressource)
  • Wenn die Zielressource ein Ordner ist: Projektverschieber (roles/resourcemanager.projectMover) für die Zielressource
  • Wenn die Zielressource eine Organisation ist: Projektersteller (roles/resourcemanager.projectCreator) für die Zielressource

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Diese Rollen müssen demselben Nutzerkonto sowohl in der Quell- als auch in der Zielorganisation zugewiesen werden. Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Migrieren von Projekten erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen.

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Projekte zu migrieren:

  • resourcemanager.projects.getIamPolicy für das Projekt, das Sie zwischen Organisationsressourcen migrieren möchten
  • resourcemanager.projects.update für das Projekt, das Sie zwischen Ressourcen von Organisationen migrieren möchten
  • resourcemanager.projects.move für die übergeordnete Ressource des Projekts (Ordner oder Organisationsressource)
  • Wenn die Zielressource ein Ordner ist: resourcemanager.projects.move für die Zielressource
  • Wenn die Zielressource eine Organisationsressource ist: resourcemanager.projects.create für die Zielressource
  • Wenn Sie ein Projekt migrieren möchten, das keiner Organisation zugeordnet ist:Klicken Sie auf resourcemanager.projects.setIamPolicy für das Projekt, das Sie migrieren möchten.

Sie können diese Berechtigungen auch mit einer benutzerdefinierten Rolle oder anderen vordefinierten Rollen erhalten.

Erforderliche Organisationsrichtlinien

Die Projektmigration ist standardmäßig eingeschränkt. Sie müssen den Export und Import explizit zulassen, indem Sie Organisationsrichtlinien im Stammverzeichnis beider Organisationen festlegen. Zum Konfigurieren der für die Migration erforderlichen Organisationsrichtlinien benötigen Sie die Rolle roles/orgPolicy.policyAdmin in der übergeordneten Organisation und der Zielorganisation.

  • Legen Sie für die Organisationsressource der Quelle die Richtlinie constraints/resourcemanager.allowedExportDestinations fest. Fügen Sie die ID der Zielorganisation als zulässigen Wert hinzu.

  • Legen Sie für die Zielorganisationsressource die Richtlinie constraints/resourcemanager.allowedImportSources fest. Fügen Sie die ID der Quellorganisation als zulässigen Wert hinzu.

Migration ausführen

Nachdem Berechtigungen erteilt und Richtlinien erzwungen wurden, können Sie das Projekt mit der Google Cloud CLI oder der Resource Manager API migrieren.

gcloud

Führen Sie den folgenden Befehl aus, um ein Projekt zu einer anderen Organisationsressource zu migrieren:

gcloud beta projects move PROJECT_ID \
    --organization ORGANIZATION_ID

Mit dem folgenden Befehl können Sie auch einen Ordner als Zielressource angeben:

gcloud beta projects move PROJECT_ID \
    --folder FOLDER_ID

Ersetzen Sie die folgenden Felder:

  • PROJECT_ID: die ID oder Nummer des Projekts, das Sie migrieren möchten.
  • ORGANIZATION_ID: die ID der Organisationsressource, in die Sie das Projekt verschieben.
  • FOLDER_ID: die ID des Ordners, in den Sie das Projekt verschieben.

Sie können nur ein Ziel angeben, entweder einen Ordner oder eine Organisationsressource.

API

Mit der v1 Resource Manager API können Sie ein Projekt zwischen Organisationsressourcen migrieren, indem Sie im Feld parent die ID der Zielressource festlegen.

So migrieren Sie ein Projekt:

  • Rufen Sie das Objekt project mit der Methode projects.get() ab.
  • Aktualisieren Sie das Feld parent auf die ID der Zielressource.
  • Führen Sie die Methode projects.update() aus.

Das folgende Code-Snippet veranschaulicht diese Schritte:

    project = crm.projects().get(projectId=flags.projectId).execute()
    project['parent'] = {
        'type': 'organization',
        'id': flags.organizationId
    }

    project = crm.projects().update(
    projectId=flags.projectId, body=project).execute()

Aufgaben nach der Migration

Nachdem Sie Ihr Projekt erfolgreich migriert haben, müssen Sie mehrere Aufgaben nach der Migration ausführen, um den laufenden Betrieb, die Einhaltung der Sicherheitsanforderungen und die korrekte Abrechnung sicherzustellen. Durch die Migration eines Projekts ändert sich die Ressourcenhierarchie, was sich auf übernommene Berechtigungen und Richtlinien auf Organisationsebene auswirkt.

Nach der Migration können Sie Folgendes tun:

  1. Richtlinienüberprüfung: Prüfen Sie, ob das Projekt die erwarteten Organisationsrichtlinien von der neuen übergeordneten Organisationseinheit übernimmt.

  2. Zugriffssteuerung: Prüfen Sie die IAM-Rollen, um sicherzustellen, dass Nutzer in der neuen Organisation den erforderlichen Zugriff haben.

  3. Abrechnung: Aktualisieren Sie das Rechnungskonto, wenn das Projekt der Zielorganisation in Rechnung gestellt werden soll. Dieser Schritt ist optional. Weitere Informationen finden Sie unter Rechnungskonto für ein Projekt ändern und Rechnungskonto zwischen Organisationsressourcen migrieren.

  4. Bereinigung: Widerrufen Sie die temporären Rollen des Projektverschiebers und entfernen Sie die Einschränkungen allowedExportDestinations und allowedImportSources.“

Rechnungskonto für ein Projekt ändern

Cloud Billing-Konten können organisationsübergreifend verwendet werden. Das Verschieben eines Projekts von einer Organisation in eine andere wirkt sich nicht auf die Abrechnung aus und das alte Rechnungskonto wird weiterhin belastet. Allerdings setzt die Migration von Projekten zwischen Organisationsressourcen oft einen Wechsel zu einem neuen Rechnungskonto voraus.

So ändern Sie das Rechnungskonto:

  1. Rufen Sie in der Google Cloud -Console die Seite Abrechnung auf.
    Zur Seite "Abrechnung"
  2. Klicken Sie auf den Namen des Rechnungskontos, das Sie ändern möchten.
  3. Suchen Sie unter Mit diesem Rechnungskonto verknüpfte Projekte nach dem Namen des zu migrierenden Projekts und klicken Sie dann rechts auf die Menüschaltfläche.
  4. Klicken Sie auf Abrechnung ändern und wählen Sie das neue Rechnungskonto aus.
  5. Klicken Sie auf Konto festlegen.

Bereits angefallene Gebühren, die noch nicht im Transaktionsverlauf aufgeführt sind, werden dem vorherigen Rechnungskonto belastet. Dazu können Gebühren gehören, die bis zu zwei Tage vor der Migration des Projekts angefallen sind.

Rechnungskonto zwischen Organisationsressourcen migrieren

Ein Rechnungskonto kann von einer Organisationsressource in eine andere migriert werden, obwohl dies nicht oft notwendig ist. Die meisten vorhandenen Organisationsressourcen haben bereits ein Rechnungskonto, das stattdessen verwendet werden sollte.

Wenn einem neuen Rechnungskonto keine Organisationsressource zugeordnet ist, müssen Sie die Rolle roles/billing.admin für das Rechnungskonto sowie die Rollen roles/billing.admin und roles/billing.creator für die Organisationsressource erhalten, die Sie mit Ihrem Rechnungskonto verknüpfen möchten.

Wenn Sie ein vorhandenes Rechnungskonto migrieren müssen, gehen Sie so vor:

  1. Rufen Sie in der Google Cloud Console die Seite „Abrechnung“ auf.
    Zur Seite "Abrechnung"
  2. Klicken Sie auf den Namen des Rechnungskontos, das Sie migrieren möchten.
  3. Klicken Sie oben auf der Seite Kontoverwaltung auf Organisation ändern.
  4. Wählen Sie die Zielorganisationsressource aus und klicken Sie auf OK.

Das Rechnungskonto ist jetzt mit der angegebenen Organisationsressource verknüpft.

Migration rückgängig machen

Wenn Sie ein Projekt versehentlich migriert haben, können Sie den Vorgang rückgängig machen. Führen Sie dazu die Migration noch einmal aus, wobei Sie die alte Quelle als neues Ziel und das alte Ziel als neue Quelle verwenden. Sie müssen die erforderlichen IAM-Berechtigungen und Organisationsrichtlinien erzwingen, um dies so zu ermöglichen, als ob es sich um eine völlig neue Migration handelt.

So machen Sie eine Migration rückgängig:

  1. Tauschen Sie die Quell- und Ziel-IDs in Ihren Organisationsrichtlinien (allowedExportDestinations und allowedImportSources) aus.
  2. Wiederholen Sie den Migrationsbefehl und verschieben Sie das Projekt zurück zur ursprünglichen Quell-ID.

Nächste Schritte