סקירה כללית על מנהל המשאבים

בדף הזה מוסבר איך פועל מנהל המשאבים של Google Cloud, ואיך אפשר להשתמש בו כדי לארגן את משאבי הענן, לשלוט בגישה ולאכוף מדיניות בצורה יעילה בסביבת הענן.

‫מנהל המשאבים הוא כלי לארגון המשאבים ב- Google Cloud בהיררכיה. במילים אחרות, היא מאפשרת לכם לשלוט באופן שבו המשאבים מקובצים ואיפה כללי המדיניות עוברים בירושה.

היררכיית משאבים: ארגונים, תיקיות ופרויקטים

המשאבים ב-Google Cloud מאורגנים בהיררכיה, בדומה למערכת קבצים. ההיררכיה הזו מאפשרת לכם לנהל היבטים נפוצים של המשאבים, כמו בקרת גישה והגדרות, מנקודה מרכזית.

ההיררכיה מורכבת מהרמות הבאות:

  • ארגון: הצומת הבסיסי בהיררכיה. הוא מייצג את החברה שלכם ומספק הרשאות גישה מרכזיות ושליטה בכל המשאבים.

  • תיקיות: מנגנוני קיבוץ בתוך הארגון. אפשר להשתמש בתיקיות כדי למפות את המבנה המשפטי או הפונקציונלי (כמו מחלקות או צוותים) למשאבי הענן.

  • פרויקטים: הקונטיינר ברמת הבסיס למשאבים. כל משאב (למשל, מכונה וירטואלית ב-Compute Engine או קטגוריה של Cloud Storage) שייך לפרויקט אחד בלבד.

  • משאבים: הרכיבים הבסיסיים של Google Cloud, כמו מכונות וירטואליות, מסדי נתונים וקטגוריות אחסון.

יכולות עיקריות לניהול משאבים ב- Google Cloud

‫מנהל המשאבים מספק את היכולות הבאות כדי לעזור לכם לנהל את סביבת הענן:

  • שליטה מרכזית באמצעות משאב הארגון: משאב הארגון מייצג את הארגון שלכם (למשל, החברה שלכם). אפשר לקבץ את כל Google Cloud הפרויקטים תחת ישות אחת. כך תוכלו לראות את כל המשאבים שלכם ולשלוט בהם ממקום אחד, וגם לדעת מי הבעלים שלהם. כשמשתמשים במשאב ארגון, הפרויקטים שייכים לארגון ולא לעובדים ספציפיים, וכך מובטחת המשכיות של המשאבים גם כשעובדים עוזבים.

  • קיבוץ באמצעות תיקיות: אפשר להשתמש בתיקיות כדי לארגן פרויקטים לקבוצות לוגיות. לדוגמה, אפשר ליצור תיקיות למחלקות שונות, לסביבות שונות (כמו סביבת ייצור וסביבת Staging) או לצוותים שונים. בתיקיות אפשר להחיל כללי מדיניות ובקרת גישה על קבוצת פרויקטים בבת אחת, במקום לנהל אותם בנפרד.

  • ניהול פרויקטים: פרויקטים הם הישות הארגונית המרכזית ב- Google Cloud. אתם משתמשים בפרויקטים כדי להפעיל ממשקי API, לנהל את החיוב ולשתף פעולה עם חברי הצוות. באמצעות מנהל המשאבים אפשר ליצור, לעדכן ולמחוק פרויקטים באופן פרוגרמטי או דרך המסוף.

  • בקרת גישה והעברת הרשאות: מנהל המשאבים משתלב עם ניהול זהויות והרשאות גישה (IAM) כדי לאפשר לכם להגדיר למי יש גישה למשאבים. אפשר להגדיר מדיניות הרשאות ומדיניות דחייה בארגונים, בתיקיות ובפרויקטים. אפשר גם להגדיר מדיניות הרשאות לגבי משאבי שירות מסוימים. משאבים שנמצאים ברמה נמוכה יותר בהיררכיה יורשים את המדיניות מהמאגרים ההורים שלהם. לדוגמה, אם מקצים למשתמש את התפקיד Folder Admin (אדמין תיקייה) בתיקייה מסוימת, הוא מקבל אוטומטית את התפקיד הזה בכל הפרויקטים בתיקייה. אם משנים את היררכיית המשאבים, גם היררכיית מדיניות ההרשאות ומדיניות הדחייה משתנה. לדוגמה, אם מעבירים פרויקט למשאב ארגון, מדיניות ההרשאות ומדיניות הדחייה שלו מתעדכנות כך שהן יירשו את המדיניות של משאב הארגון.

אפשר ליצור אינטראקציה עם מנהל המשאבים באמצעות מסוף Google Cloud,‏ Google Cloud CLI ו-Resource Manager API. Google Cloud

שילוב עם שירותים אחרים של Google Cloud לניהול משאבים

‫Resource Manager הוא מרכזי לניהול המשאבים ב- Google Cloud , והוא מספק את המבנה והיכולות הבסיסיות שמאפשרים לכם להשתמש ביעילות בשירותים קריטיים אחרים ולשלוט בהם, כמו Organization Policy,‏ Tags ו-Essential Contacts:

  • Tags: ‏ מנהל המשאבים עובד עם תגים, שמאפשרים לכם לצרף צמדי מפתח/ערך שרירותיים למשאבים. אפשר להשתמש בתגים למטרות שונות, כמו סיווג משאבים, אכיפת מדיניות והקצאת עלויות. ניהול התגים הוא חלק בלתי נפרד מהאופן שבו אפשר לארגן ולנהל משאבים בהיררכיה של Resource Manager.

  • שירות של מדיניות הארגון: מדיניות הארגון מאפשרת לכם לקבל שליטה מרוכזת ופרוגרמטית על משאבי הענן של הארגון. בניגוד ל-IAM, שמתמקד בשאלה מי יכול לבצע פעולות, מדיניות הארגון מתמקדת בשאלה אילו פעולות אפשר לבצע. לדוגמה, אפשר להגדיר מדיניות שמגבילה את המיקומים הפיזיים שבהם אפשר ליצור משאבים, או למנוע יצירה של כתובות IP ציבוריות.

    מנהל המשאבים מספק את המבנה ההיררכי (ארגון, תיקיות ופרויקטים) שעליו מסתמכת מדיניות הארגון כדי לאכוף כללים. מנהל המשאבים מגדיר את ההיקף של המשאבים, ומדיניות הארגון מגדירה הגבלות על אופן ההגדרה של המשאבים האלה.

  • Essential Contacts: השילוב של Essential Contacts עם מנהל המשאבים מאפשר לכם להגדיר מי יקבל התראות על סמך המיקום שלו במבנה הארגון. התכונה 'אנשי קשר חיוניים' משתמשת בהיררכיה של מנהל המשאבים כדי להעביר את הגדרות ההתראות למשאבי צאצא. אנשי קשר שמוגדרים ברמה גבוהה יותר, למשל בצומת של הארגון, יקבלו באופן אוטומטי התראות על כל המשאבים שמתחתיהם, כמו תיקיות ופרויקטים.

המאמרים הבאים