迁移工作负载
本页介绍了如何在将现有项目迁移到 Assured Workloads 文件夹之前执行合规性分析。此分析会比较源项目和目标 Assured Workloads 文件夹,以确定您在发起迁移之前或之后可能需要进行哪些更改。例如,如果您有一个项目要移至已配置为 FedRAMP 中等风险级别合规性的 Assured Workloads 文件夹,则可以在迁移项目之前主动解决可能发生的任何合规性违规问题。
迁移分析会返回以下类型的发现:
- 来源项目使用不受支持的产品或服务。
- 源项目包含位于禁止位置的资源。
- 源项目配置的组织政策限制条件值与目标 Assured Workloads 文件夹不兼容。
在尝试迁移之前,请务必先发现这些问题。默认情况下,Assured Workloads 文件夹只能包含文件夹的控制包支持的服务的资源类型。如果您的项目包含文件夹的控制包不支持的服务的资源,您可能需要重新部署或移除这些资源。
虽然您可以通过更改 Assured Workloads 文件夹的资源使用限制组织政策来更改其受支持服务的默认列表,从而允许在文件夹中部署不合规的服务,但后台合规性检查会忽略不合规的服务及其资源。因此,如果您启用不受支持的服务,就意味着您选择接受该服务可能会导致您的工作负载违反相关合规性要求的风险。
准备工作
- 收集源项目和目标“Assured Workloads”文件夹的资源 ID。
- 同时对源项目和目标 Assured Workloads 文件夹分配或验证 IAM 权限,以确保调用者有权执行迁移。
必需的 IAM 权限
如需执行迁移分析,必须使用以下方法之一向调用者授予 IAM 权限:预定义角色(包含一组更广泛的权限)或自定义角色(限制为必要的最少权限)。
必须拥有以下权限:
- 目标工作负载上的
assuredworkloads.workload.get - 针对源项目的
cloudasset.assets.searchAllResources权限 - 针对源项目和目标 Assured Workloads 文件夹的
orgpolicy.policy.get权限
执行迁移分析
对源项目和目标 Assured Workloads 文件夹执行分析时,您应先解决所有发现的问题,然后再将项目移至目标位置。虽然这些问题不会阻止您移动项目,但可能会导致目标 Assured Workloads 文件夹违反合规性要求。
这些发现分为两种类型:
- 警告:如果源项目可能与目标平台不兼容,并且可能会导致违反合规性,则会出现警告结果。应调查警告,以验证不兼容性是否可接受,或者是否应在迁移前加以解决。
- 屏蔽:如果在源项目和目标项目之间检测到违反合规性的问题,就会出现屏蔽结果。必须先解决阻碍因素,然后才能继续迁移。
报告会显示以下类型的发现:
资源位置:许多控制包会强制对资源施加位置限制,以确保资源符合合规性要求,例如,如果您的源项目包含位于禁止位置的资源。
如需解决此问题,请将受影响的资源移至允许的位置、将其删除,或修改目标的
gcp.resourceLocations组织政策限制条件设置。不受支持的产品/服务:每个控制套餐都支持特定的 Google Cloud 产品和服务列表。如果您的项目使用了目标 Assured Workloads 文件夹的控制包不支持的服务,则系统会将其列为发现。
组织政策限制条件:源项目可能配置了与目标“Assured Workloads”文件夹的有效政策不同的组织政策限制条件值,或者不符合目标控制包的要求。此分析仅针对与目标 Assured Workloads 文件夹的控制包相关的约束条件执行;系统不会评估项目的所有约束条件值。可能会出现多种结果,例如以下问题:
- 您的项目与目标平台的有效政策不兼容。
- 您的项目有未针对目标设置的组织政策限制条件值,或者反之。
- 您的项目的组织政策限制条件值不符合目标控制软件包的要求。
如果为组织政策限制条件找到阻止程序,响应中会包含符合目标控制包的预期值。您可以在执行迁移之前使用这些预期值更改项目。
如需解决此问题,请确定需要修改哪项组织政策限制条件,然后进行必要的更改。
不支持的发现类型
迁移分析不支持以下类型的发现:
- 除
gcp.resourceLocations以外的组织政策限制的资源级不兼容性。例如,某些控制包是使用全局gcp.restrictCmekCryptoKeyProjects约束条件或 Compute Engine 专用compute.disableNestedVirtualization约束条件进行配置的;系统不会分析或报告源端和目标端与这些约束条件的不兼容性。 - 可针对给定控制包停用的服务专用功能。例如,Cloud Monitoring 的拨测已针对 IL4 文件夹停用,BigQuery 的远程函数已针对 ITAR 文件夹停用;如果您的源项目使用了这些已停用的功能,则系统不会分析或报告这些不兼容性。
分析将项目移动到 Assured Workloads 文件夹
analyzeWorkloadMove 方法可执行将源项目移动到目标 Assured Workloads 文件夹的分析。
在以下请求示例中,将以下参数替换为您自己的参数:
- ENDPOINT_URI:Assured Workloads 服务端点 URI。此 URI 必须是与目标工作负载位置匹配的端点,例如,对于
us-west1区域中的区域化工作负载,使用https://us-west1-assuredworkloads.googleapis.com;对于美国境内的多区域工作负载,使用https://us-assuredworkloads.googleapis.com。 - DESTINATION_ORGANIZATION_ID:要将源项目迁移到的目标工作负载的组织 ID。例如
919698201234 - DESTINATION_LOCATION_ID:目标工作负载的位置。例如:
us-west1或us。它对应于工作负载的data region值。 - DESTINATION_WORKLOAD_ID:要将源项目迁移到的目标“Assured Workloads 文件夹的 ID。例如:
00-701ea036-7152-4780-a867-9f5 - SOURCE_PROJECT_ID:用于指定要迁移的源项目 ID 的查询参数。例如
my-project-123 - ASSET_TYPES:可选。每个查询参数对应一个资产类型,系统会将发现结果过滤为仅包含指定类型。例如:
cloudresourcemanager.googleapis.com/Project。 - PAGE_SIZE:可选。用于指定每页返回的结果数的查询参数。例如
5 - PAGE_TOKEN:可选。用于继续分页结果的令牌的查询参数。例如
CiAKGjBpNDd2Nmp2Zml2cXRwYjBpOXA
HTTP 方法、网址和查询参数:
GET https://[ENDPOINT_URI]/v1/organizations/[DESTINATION_ORGANIZATION_ID]/locations/[DESTINATION_LOCATION_ID]/workloads/[DESTINATION_WORKLOAD_ID]:analyzeWorkloadMove?project=projects/SOURCE_PROJECT_ID&page_size=PAGE_SIZE&page_token=PAGE_TOKEN
例如:
GET https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:analyzeWorkloadMove?project=projects/my-project-123&page_size=5&page_token=CiAKGjBpNDd2Nmp2Zml2cXRwYjBpOXA
您应该收到类似以下内容的 JSON 响应:
{ "assetMoveAnalyses": [ { "asset": "//orgpolicy.googleapis.com/projects/130536381852/policies/container.restrictNoncompliantDiagnosticDataAccess", "assetType": "orgpolicy.googleapis.com/Policy" }, { "asset": "//compute.googleapis.com/projects/my-project-123/global/routes/default-route-9ca6e6b0ab7326f0", "assetType": "compute.googleapis.com/Route", "analysisGroups": [ { "displayName": "RESOURCE_LOCATIONS", "analysisResult": { "warnings": [ { "detail": "The asset's location 'global' is incompatible with the gcp.resourceLocations org policy effective at the target. In case of 'global only' assets, this may be ignored." } ] } } ] }, { "asset": "//compute.googleapis.com/projects/my-project-123/regions/europe-west10/subnetworks/default", "assetType": "compute.googleapis.com/Subnetwork", "analysisGroups": [ { "displayName": "RESOURCE_LOCATIONS", "analysisResult": { "blockers": [ { "detail": "The asset's location 'europe-west10' is incompatible with the gcp.resourceLocations org policy effective at the target." } ] } } ] }, { "asset": "//serviceusage.googleapis.com/projects/130536381852/services/servicemanagement.googleapis.com", "assetType": "serviceusage.googleapis.com/Service" }, { "asset": "//serviceusage.googleapis.com/projects/130536381852/services/monitoring.googleapis.com", "assetType": "serviceusage.googleapis.com/Service" }, { "asset": "//serviceusage.googleapis.com/projects/130536381852/services/bigquerymigration.googleapis.com", "assetType": "serviceusage.googleapis.com/Service", "analysisGroups": [ { "displayName": "DISALLOWED_SERVICES", "analysisResult": { "warnings": [ { "detail": "This service is not allowed by the gcp.restrictServiceUsage org policy effective at the target" } ] } } ] }, { "asset": "//cloudresourcemanager.googleapis.com/projects/my-project-123", "assetType": "cloudresourcemanager.googleapis.com/Project", "analysisGroups": [ { "displayName": "ORG_POLICIES", "analysisResult": { "warnings": [ { "detail": "constraints/gcp.resourceLocations: Target applies/inherits this custom policy and it is not applied by the source. Upon moving, this policy will get inherited from the target." }, { "detail": "constraints/compute.disableInstanceDataAccessApis: Source applies this custom policy and it is not applied by the target." }, { "detail": "constraints/cloudkms.allowedProtectionLevels: Source and target set different values for this policy." }, { "detail": "constraints/container.restrictNoncompliantDiagnosticDataAccess: Source and target set different values for this policy." }, { "detail": "constraints/gcp.restrictServiceUsage: Target applies/inherits this custom policy and it is not applied by the source. Upon moving, this policy will get inherited from the target." } ], "blockers": [ { "detail": "constraints/gcp.resourceLocations: The value applied at the source is not compliant with the target compliance program. The expected allowed values are [us-west4, us-west1, us-west2, us-west3, us-central1, us-east1, us-east4, us-south1, us-central2, us-east5]." }, { "detail": "constraints/container.restrictNoncompliantDiagnosticDataAccess: The value applied at the source is not compliant with the target compliance program. The expected value is [true]." }, { "detail": "constraints/container.restrictTLSVersion: The value applied at the source is not compliant with the target compliance program. The expected denied values are [TLS_VERSION_1, TLS_VERSION_1_1]." } ] } } ] } ], "nextPageToken": "Ch8wLDc0MzY3NTExNCwzMzg4ODM1NTM2NDQ0NTg4MDMy" }
如需按特定资产类型过滤发现结果,请使用 asset_types 查询参数:
GET https://assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:analyzeWorkloadMove?project=projects/my-project-123&asset_types=cloudresourcemanager.googleapis.com/Project&page_size=5&page_token=CiAKGjBpNDd2Nmp2Zml2cXRwYjBpOXA
结果将仅包含指定类型 (cloudresourcemanager.googleapis.com/Project) 的任何发现:
{ "assetMoveAnalyses": [ { "asset": "//cloudresourcemanager.googleapis.com/projects/my-project-123", "assetType": "cloudresourcemanager.googleapis.com/Project", "analysisGroups": [ { "displayName": "ORG_POLICIES", "analysisResult": { "warnings": [ { "detail": "constraints/gcp.resourceLocations: Target applies/inherits this custom policy and it is not applied by the source. Upon moving, this policy will get inherited from the target." }, { "detail": "constraints/compute.disableInstanceDataAccessApis: Source applies this custom policy and it is not applied by the target." } ], "blockers": [ { "detail": "constraints/gcp.resourceLocations: The value applied at the source is not compliant with the target compliance program. The expected allowed values are [us-west4, us-west1, us-west2, us-west3, us-central1, us-east1, us-east4, us-south1, us-central2, us-east5]." } ] } } ] } ], "nextPageToken": "Ch8wLDc0MzY3NTExNCwzMzg4ODM1NTM2NDQ0NTg4MDMy" }
如需按多种资源类型过滤发现结果,请将每种资源类型添加为额外的查询参数:
GET https://assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:analyzeWorkloadMove?project=projects/my-project-123&asset_types=cloudresourcemanager.googleapis.com/Project&asset_types=serviceusage.googleapis.com/Service&page_size=5&page_token=CiAKGjBpNDd2Nmp2Zml2cXRwYjBpOXA
结果将仅包含指定类型(cloudresourcemanager.googleapis.com/Project 和 serviceusage.googleapis.com/Service)的任何发现结果:
{ "assetMoveAnalyses": [ { "asset": "//serviceusage.googleapis.com/projects/130536381852/services/bigquerymigration.googleapis.com", "assetType": "serviceusage.googleapis.com/Service", "analysisGroups": [ { "displayName": "DISALLOWED_SERVICES", "analysisResult": { "warnings": [ { "detail": "This service is not allowed by the gcp.restrictServiceUsage org policy effective at the target" } ] } } ] }, { "asset": "//cloudresourcemanager.googleapis.com/projects/my-project-123", "assetType": "cloudresourcemanager.googleapis.com/Project", "analysisGroups": [ { "displayName": "ORG_POLICIES", "analysisResult": { "warnings": [ { "detail": "constraints/gcp.resourceLocations: Target applies/inherits this custom policy and it is not applied by the source. Upon moving, this policy will get inherited from the target." }, { "detail": "constraints/compute.disableInstanceDataAccessApis: Source applies this custom policy and it is not applied by the target." } ], "blockers": [ { "detail": "constraints/gcp.resourceLocations: The value applied at the source is not compliant with the target compliance program. The expected allowed values are [us-west4, us-west1, us-west2, us-west3, us-central1, us-east1, us-east4, us-south1, us-central2, us-east5]." } ] } } ] } ], "nextPageToken": "Ch8wLDc0MzY3NTExNCwzMzg4ODM1NTM2NDQ0NTg4MDMy" }
执行迁移分析后,请查看并解决所有警告或阻塞问题,然后再次运行分析,以验证这些问题是否已得到解决。然后,您可以继续移动项目。