本文档是 Google Cloud 架构框架的一部分,介绍了在 Google Cloud 中整理和管理资源的最佳实践。
资源层次结构
Google Cloud 资源以分层方式整理到组织、文件夹和项目中。这种层次结构让您能够管理资源的常见方面,例如访问权限控制、配置设置和政策。如需了解设计云资源层次结构的最佳实践,请参阅确定 Google Cloud 着陆区的资源层次结构。
资源标签和标记
本部分提供了使用标签和标记组织 Google Cloud 资源的最佳实践。
使用简单的文件夹结构
文件夹可让您在分组时随意组合项目和子文件夹。创建一个简单的文件夹结构来整理 Google Cloud 资源。您可以根据需要添加更多层级,以便定义能够满足业务需求的资源层次结构。文件夹结构灵活且可扩展。如需了解详情,请参阅创建和管理文件夹。
使用文件夹和项目来体现数据治理政策
使用文件夹、子文件夹和项目将各种资源分隔开来,以反映组织内的数据治理策略。例如,您可以使用文件夹和项目的组合来分隔财务、人力资源和工程领域的资源。
使用项目对共享相同信任边界的资源进行分组。例如,同一产品或微服务的资源可以属于同一个项目。如需了解详情,请参阅确定 Google Cloud 着陆区的资源层次结构。
在项目开始时使用标记和标签
当您开始使用 Google Cloud 产品时,请使用标签和标记,即使您不立即需要它们。之后添加标签和标记可能需要手动操作,而此操作可能容易出错且难以完成。
标记提供了一种有条件地允许或拒绝政策的方法,具体取决于资源是否具有特定的标记。标签是一种键值对,可帮助您组织 Google Cloud 实例。如需详细了解标签,请参阅标签要求、支持标签的服务列表和标签格式。
Resource Manager 可提供标签和标记,以帮助您管理资源、分配和报告费用,以及向不同资源分配政策,构建精细的访问权限控制机制。例如,您可以使用标签和标记将精细的访问权限和管理原则应用于不同的租户资源和服务。如需了解虚拟机标签和网络标记,请参阅虚拟机标签和网络标记之间的关系。
您可以将标签用于多种用途,包括:
- 管理资源结算:标签在结算系统中可用,可让您按标签划分费用。例如,您可以为不同的成本中心或预算添加标签。
- 按类似特征或关系对资源进行分组:您可以使用标签来分离不同的应用生命周期阶段或环境。例如,您可以为生产、开发和测试环境添加标签。
分配标签以支持费用和结算报告
如需基于集成的报告结构之外的特性(例如按项目或按产品的类型)支持精细费用和结算报告,请为资源分配标签。标签可帮助您将使用量分配给成本中心、部门、特定项目或内部充值机制。如需了解详情,请参阅费用优化类别。
避免创建大量标签
避免创建大量标签。我们建议您主要在项目级层创建标签,并避免在子团队级层创建标签。如果您创建的标签过于精细,可能会给分析增加噪声。如需了解标签的常见使用场景,请参阅标签的常见用途。
避免在标签中添加敏感信息
标签设计不宜用于处理敏感信息。请勿在标签中添加敏感信息,包括个人身份信息,例如个人姓名或头衔。
对项目名称中的信息进行匿名处理
遵循项目命名模式(例如 COMPANY_INITIAL_IDENTIFIER-ENVIRONMENT-APP_NAME),其中占位符是唯一的,并且不会显示公司或应用名称。请勿包含将来可能会更改的特性,例如团队名称或技术。
应用标记以构建业务维度模型
您可以使用标记来为更多业务维度构建模型,例如组织结构、区域、工作负载类型或成本中心。如需详细了解标记,请参阅标记概览、标记继承和创建和管理标记。如需了解如何在政策中使用标记,请参阅政策和标记。如需了解如何使用标记来管理访问权限控制,请参阅标记和访问权限控制。
组织政策
本部分介绍了在云资源层次结构中配置 Google Cloud 资源治理规则的最佳实践。
建立项目命名惯例
建立标准化项目命名惯例,例如 SYSTEM_NAME-ENVIRONMENT (dev, test, uat, stage, prod)。
项目名称长度不得超过 30 个字符。
虽然您可以应用类似 COMPANY_TAG-SUB_GROUP/SUBSIDIARY_TAG 的前缀,但公司进行重组时,项目名称可能会过期。请考虑将可识别的名称从项目名称移至项目标签。
自动创建项目
如需为生产环境或大型企业创建项目,请使用自动化流程,例如 Deployment Manager 或 Google Cloud 项目工厂 Terraform 模块。这些工具会执行以下操作:
- 自动创建具有适当权限的开发、测试和生产环境或者项目。
- 配置日志记录和监控。
Google Cloud 项目工厂 Terraform 模块可帮助您自动创建 Google Cloud 项目。在大型企业中,我们建议您先审核和批准项目,然后再在 Google Cloud 中创建项目。此过程有助于确保实现以下目标:
- 费用可以归因。如需了解详情,请参阅费用优化类别。
- 对数据上传进行审批。
- 满足监管或合规性要求。
如果您自动创建和管理 Google Cloud 项目和资源,您将获得一致性、可再现性和可测试性等好处。通过将配置视为代码,您可以将配置和软件工件的生命周期一起进行版本控制和管理。借助自动化功能,您可以支持诸如一致的命名惯例以及为资源添加标签等最佳实践。随着需求的变化,自动化功能可以简化项目重构。
定期审核系统
为确保可以审核和批准新项目的请求,请与企业的工单系统或提供审核的独立系统集成。
采用一致的方式配置项目
配置项目以采用一致的方式满足组织的需求。设置项目时,请包含以下内容:
- 项目 ID 和命名惯例
- 结算账号关联
- 网络配置
- 已启用的 API 和服务
- Compute Engine 访问权限配置
- 日志导出和使用情况报告
- 项目移除安全锁
分离和隔离工作负载或环境
在项目层级实施配额和限制。如需管理配额和限制,请在项目层级分离和隔离工作负载或环境。如需了解详情,请参阅处理配额。
分离环境与数据分类要求不同。将数据与基础架构分离可能费用高昂且实施起来很复杂,因此我们建议您根据数据敏感性和合规性要求实现数据分类。
实施结算隔离
实施结算隔离,以支持不同的结算账号以及每个工作负载和环境的费用可见性。如需了解详情,请参阅创建、修改或关闭自助 Cloud Billing 账号,以及启用、停用或更改项目的结算功能。
为了最大限度地降低管理复杂性,请为项目级层的关键环境或分布在多个项目中的工作负载使用精细的访问权限管理控制。在为关键生产应用精选访问权限控制时,请确保工作负载得到有效保护和管理。
使用组织政策服务来控制资源
组织政策服务让政策管理员可通过程序化方式对组织的云资源进行集中控制,这样他们就能跨资源层次结构配置约束。如需了解详情,请参阅添加组织政策管理员。
使用组织政策服务以遵守监管政策
为满足法规遵从要求,可以使用组织政策服务来实施资源共享和访问方面的合规性要求。例如,您可以限制与外部各方的共享,或确定在哪个地理位置部署云资源。其他合规性场景包括:
- 集中控制以配置定义组织资源的使用方式的限制。
- 定义和制定政策以帮助开发团队保持在合规性边界内。
- 帮助项目所有者及其团队更改系统,同时保持合规性,以及最大限度地减少违反合规性要求的问题。
根据网域限制资源共享
受限共享组织政策可帮助您防止与组织外部的身份共享 Google Cloud 资源。如需了解详情,请参阅按网域限制身份和组织政策限制条件。
停用服务账号和密钥创建功能
为了帮助提高安全性,请限制 Identity and Access Management (IAM) 服务账号和相应密钥的使用。如需了解详情,请参阅限制服务账号的使用。
限制新资源的物理位置
通过限制资源位置来限制新创建的资源的物理位置。如需查看让您能够控制组织资源的限制条件的列表,请参阅组织政策服务限制条件。
后续步骤
了解如何选择和管理计算,其中包括:
探索架构框架中的其他类别,例如可靠性、卓越运营以及安全性、隐私权和合规性。