Migration ausführen

Auf dieser Seite werden die Schritte zum Migrieren eines Google Cloud Projekts von einer Organisations ressource zu einer anderen oder von keiner Organisationsressource zu einer Organisationsressource beschrieben.

Für die Migration eines Projekts benötigen Sie die richtigen IAM-Berechtigungen (Identity and Access Management) und bestimmte Organisationsrichtlinien, die sowohl für die Quell- als auch für die Zielressource konfiguriert sind.

Hinweis

Eine Projektmigration ist ein organisationsübergreifender Vorgang. Um die unbefugte Verschiebung von Ressourcen zu verhindern, müssen Sie die folgenden Anforderungen erfüllen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Migrieren von Projekten zwischen Organisationsressourcen benötigen:

  • Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) für das Projekt, das Sie zwischen Organisationsressourcen migrieren möchten
  • Projektverschieber (roles/resourcemanager.projectMover) für die übergeordnete Ressource des Projekts (Ordner- oder Organisationsressource)
  • Wenn die Zielressource ein Ordner ist: Projektverschieber (roles/resourcemanager.projectMover) für die Zielressource
  • Wenn die Zielressource eine Organisation ist: Projektersteller (roles/resourcemanager.projectCreator) für die Zielressource

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Diese Rollen müssen demselben Nutzerkonto sowohl in der Quell- als auch in der Zielorganisation zugewiesen werden. Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Migrieren von Projekten erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen.

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Migrieren von Projekten erforderlich:

  • resourcemanager.projects.getIamPolicy für das Projekt, das Sie zwischen Organisationsressourcen migrieren möchten
  • resourcemanager.projects.update für das Projekt, das Sie zwischen Organisationsressourcen migrieren möchten
  • resourcemanager.projects.move für die übergeordnete Ressource des Projekts (Ordner- oder Organisationsressource)
  • Wenn die Zielressource ein Ordner ist:resourcemanager.projects.move für die Zielressource
  • Wenn die Zielressource eine Organisationsressource ist:resourcemanager.projects.create für die Zielressource
  • Wenn Sie ein Projekt migrieren möchten, das keiner Organisation zugeordnet ist:resourcemanager.projects.setIamPolicy für das Projekt, das Sie migrieren möchten

Sie können diese Berechtigungen auch mit einer benutzerdefinierten Rolle oder anderen vordefinierten Rollen erhalten.

Erforderliche Organisationsrichtlinien

Standardmäßig ist die Projektmigration eingeschränkt. Sie müssen den Export und Import explizit zulassen, indem Sie Organisationsrichtlinien im Stammverzeichnis beider Organisationen festlegen. Zum Konfigurieren der für die Migration erforderlichen Organisationsrichtlinien benötigen Sie die Rolle roles/orgPolicy.policyAdmin für die übergeordnete Organisation und die Zielorganisation.

  • Für die Quellorganisationsressource: Legen Sie die Richtlinie constraints/resourcemanager.allowedExportDestinations fest. Fügen Sie die ID der Zielorganisation als zulässigen Wert hinzu.

  • Für die Zielorganisationsressource: Legen Sie die Richtlinie constraints/resourcemanager.allowedImportSources fest. Fügen Sie die ID der Quellorganisation als zulässigen Wert hinzu.

Migration ausführen

Nachdem die Berechtigungen gewährt und die Richtlinien erzwungen wurden, können Sie das Projekt mit der Google Cloud CLI oder der Resource Manager API migrieren.

gcloud

Führen Sie den folgenden Befehl aus, um ein Projekt zu einer anderen Organisationsressource zu migrieren:

gcloud beta projects move PROJECT_ID \
    --organization ORGANIZATION_ID

Mit dem folgenden Befehl können Sie auch einen Ordner als Zielressource angeben:

gcloud beta projects move PROJECT_ID \
    --folder FOLDER_ID

Ersetzen Sie die folgenden Felder:

  • PROJECT_ID: die ID oder Nummer des Projekts, das Sie migrieren möchten
  • ORGANIZATION_ID: die ID der Organisationsressource, zu der Sie das Projekt verschieben
  • FOLDER_ID: die ID des Ordners, zu dem Sie das Projekt verschieben

Sie können nur ein Ziel angeben, entweder einen Ordner oder eine Organisationsressource.

API

Mit der v1 Resource Manager API können Sie ein Projekt zwischen Organisationsressourcen migrieren, indem Sie im Feld parent die ID der Zielressource festlegen.

So migrieren Sie ein Projekt:

  • Rufen Sie das project-Objekt mit der projects.get()-Methode ab.
  • Aktualisieren Sie das Feld parent auf die ID der Zielressource.
  • Führen Sie die Methode projects.update() aus.

Das folgende Code-Snippet veranschaulicht diese Schritte:

    project = crm.projects().get(projectId=flags.projectId).execute()
    project['parent'] = {
        'type': 'organization',
        'id': flags.organizationId
    }

    project = crm.projects().update(
    projectId=flags.projectId, body=project).execute()

Nach der Migration erforderliche Aufgaben

Nachdem Sie Ihr Projekt erfolgreich migriert haben, müssen Sie mehrere Aufgaben nach der Migration ausführen, um die Kontinuität des Betriebs, die Einhaltung der Sicherheitsbestimmungen und die korrekte Abrechnung zu gewährleisten. Durch die Migration eines Projekts ändert sich die Ressourcenhierarchie, was sich auf übernommene Berechtigungen und Richtlinien auf Organisationsebene auswirkt.

Hier sind einige Schritte, die Sie nach der Migration ausführen können:

  1. Richtlinienprüfung: Prüfen Sie, ob das Projekt die erwarteten Organisationsrichtlinien von der neuen übergeordneten Ressource übernimmt.

  2. Zugriffssteuerung: Prüfen Sie die IAM-Rollen, um sicherzustellen, dass Nutzer in der neuen Organisation den erforderlichen Zugriff haben.

  3. Abrechnung: Aktualisieren Sie das Rechnungskonto, wenn das Projekt der Zielorganisation in Rechnung gestellt werden muss. Dieser Schritt ist optional. Weitere Informationen finden Sie unter Rechnungskonto für ein Projekt ändern und Rechnungskonto zwischen Organisationsressourcen migrieren.

  4. Bereinigung: Heben Sie die temporären Projektverschieber-Rollen auf und entfernen Sie die Einschränkungen allowedExportDestinations und allowedImportSources.

Rechnungskonto für ein Projekt ändern

Cloud Billing-Konten können organisationsressourcenübergreifend verwendet werden. Das Verschieben eines Projekts von einer Organisationsressource zu einer anderen wirkt sich nicht auf die Abrechnung aus und das alte Rechnungskonto wird weiterhin belastet. Allerdings setzt die Migration von Projekten zwischen Organisationsressourcen oft einen Wechsel zu einem neuen Rechnungskonto voraus.

So ändern Sie das Rechnungskonto:

  1. Rufen Sie in der Google Cloud Console die Seite Abrechnung auf.
    Zur Seite "Abrechnung"
  2. Klicken Sie auf den Namen des Rechnungskontos, das Sie ändern möchten.
  3. Suchen Sie unter Mit diesem Rechnungskonto verknüpfte Projekte nach dem Namen des zu migrierenden Projekts und klicken Sie dann rechts auf die Menüschaltfläche.
  4. Klicken Sie auf Abrechnung ändern und wählen Sie das neue Rechnungskonto aus.
  5. Klicken Sie auf Konto festlegen.

Bereits angefallene Gebühren, die noch nicht im Transaktionsverlauf aufgeführt sind, werden dem vorherigen Rechnungskonto belastet. Dazu können Gebühren gehören, die bis zu zwei Tage vor der Migration des Projekts angefallen sind.

Rechnungskonto zwischen Organisationsressourcen migrieren

Ein Rechnungskonto kann von einer Organisationsressource zu einer anderen migriert werden, obwohl dies nicht oft notwendig ist. Die meisten vorhandenen Organisationsressourcen haben bereits ein Rechnungskonto, das stattdessen verwendet werden sollte.

Wenn einem neuen Rechnungskonto keine Organisationsressource zugeordnet ist, benötigen Sie die Rolle roles/billing.admin für das Rechnungskonto und die Rollen roles/billing.admin und roles/billing.creator für die Organisationsressource, die Sie mit Ihrem Rechnungskonto verknüpfen möchten.

Wenn Sie ein vorhandenes Rechnungskonto migrieren müssen, gehen Sie so vor:

  1. Rufen Sie in der Google Cloud Console die Seite Abrechnung auf.
    Zur Seite "Abrechnung"
  2. Klicken Sie auf den Namen des Rechnungskontos, das Sie migrieren möchten.
  3. Klicken Sie oben auf der Seite Kontoverwaltung auf Organisation ändern.
  4. Wählen Sie die Zielorganisationsressource aus und klicken Sie auf OK.

Das Rechnungskonto ist jetzt mit der angegebenen Organisationsressource verknüpft.

Migration rückgängig machen

Wenn Sie ein Projekt versehentlich migriert haben, können Sie den Vorgang rückgängig machen. Führen Sie dazu den Vorgang noch einmal aus, wobei Sie die alte Quelle als neues Ziel und das alte Ziel als neue Quelle verwenden. Sie müssen die erforderlichen IAM-Berechtigungen und Organisationsrichtlinien erzwingen, um dies so zu ermöglichen, als ob es sich um eine völlig neue Migration handelt.

So machen Sie eine Migration rückgängig:

  1. Tauschen Sie die Quell- und Ziel-IDs in Ihren Organisationsrichtlinien (allowedExportDestinations und allowedImportSources) aus.
  2. Wiederholen Sie den Migrationsbefehl und verschieben Sie das Projekt zurück zur ursprünglichen Quell-ID.

Nächste Schritte