迁移工作负载
本页面介绍了如何在迁移 复制到 Assured Workloads 文件夹中。此分析会比较源项目和目标 Assured Workloads 文件夹,以确定您在发起迁移之前或之后可能需要进行哪些更改。例如,如果您有一个项目要移至已配置为 FedRAMP 中等风险级别合规性的 Assured Workloads 文件夹,则可以在迁移项目之前主动解决可能发生的任何合规性违规问题。
迁移分析会返回以下类型的发现:
- 源项目使用了不受支持的产品或服务。
- 源项目包含位于禁止位置的资源。
- 源项目配置了组织政策限制条件值 与目标 Assured Workloads 文件夹不兼容的工作负载。
在尝试迁移之前,请务必先发现这些问题。默认情况下,Assurred Workloads 文件夹只能包含文件夹的控制软件包支持的服务的资源类型。如果您的项目包含文件夹的控制包不支持的服务的资源,您可能需要重新部署或移除这些资源。
尽管您可以更改默认支持的服务列表, (通过将其 资源使用限制组织政策 —从而允许在您的文件夹中部署不合规的服务— 不合规的服务及其资源将被后台忽略 合规性检查。因此,如果您启用不受支持的服务,就意味着您选择接受由此可能导致的工作负载违规的风险。
准备工作
- 收集源项目和目标的资源 ID Assured Workloads 文件夹。
- 分配或验证 IAM 权限(针对 源项目和目标 Assured Workloads 文件夹 确保调用方有权执行迁移。
必需的 IAM 权限
如需执行迁移分析,必须使用以下方法之一向调用者授予 IAM 权限:预定义角色(包含一组更广泛的权限)或自定义角色(限制为必要的最少权限)。
必须拥有以下权限:
- 目标工作负载上的
assuredworkloads.workload.get - 针对源项目的
cloudasset.assets.searchAllResources权限 - 针对源项目和目标的
orgpolicy.policy.get权限 Assured Workloads 文件夹
执行迁移分析
对源项目和目标 Assured Workloads 文件夹执行分析时,您应先解决所有发现的问题,然后再将项目移至目标位置。尽管这些调查结果不会阻止您 则可能会导致目标位置发生违规行为 Assured Workloads 文件夹。
这些发现结果分为两种不同的类型:
- 警告:当源项目可能存在 与目标平台不兼容,并且可能会导致违规。 应对警告进行调查,以验证不兼容问题是否存在 可以接受或应在迁移前解决。
- 拦截器:检测到违规情况时,便会触发拦截器结果 源项目和目标之间的项目。必须先解决阻碍因素,然后才能继续迁移。
系统会报告以下类型的发现结果:
资源位置:许多控制包会强制执行资源位置限制,以确保资源符合合规性要求,例如,如果您的源项目包含位于禁止位置的资源。
要解决此问题,请将受影响的资源移至允许的位置, 请删除,或者修改目标的“
gcp.resourceLocations”组织 政策限制条件设置。不支持的产品/服务:每个控制包都支持 Google Cloud 产品和服务的特别清单。如果您的项目使用 目标 Assured Workloads 不支持的服务 文件夹中的控制软件包,此文件将列为发现结果。
组织政策限制条件:源项目可能配置了与目标“受保障工作负载”文件夹的有效政策不同的组织政策限制条件值,或者不符合目标控制包的要求。此分析仅针对与目标 Assured Workloads 文件夹的控制包相关的约束条件执行;系统不会评估项目的所有约束条件值。可能会出现多种结果,例如以下问题:
- 您的项目和目标的有效政策不兼容。
- 您的项目具有未设置的组织政策限制条件值 反之。
- 您的项目的组织政策限制条件值不符合目标控制包的要求。
如果发现组织政策限制条件的拦截器,响应将 包含符合目标对照组的预期值 软件包。您可以在执行迁移之前使用这些预期值更改项目。
要解决此问题,请确定需要满足哪项组织政策限制条件 修改,以及 进行必要的更改。
不支持的发现类型
迁移分析不支持以下类型的发现结果:
- 除
gcp.resourceLocations之外的组织政策限制的资源级不兼容性。例如,某些控制包使用全局gcp.restrictCmekCryptoKeyProjects约束条件或 Compute Engine 专用compute.disableNestedVirtualization约束条件进行配置;系统不会分析或报告源端和目标端与这些约束条件的不兼容性。 - 可能针对特定控制包停用的服务特定功能。 例如: Cloud Monitoring 的拨测 已针对 IL4 文件夹停用 BigQuery 的远程函数 已针对 ITAR 文件夹停用;(如果源项目使用此类已停用) 功能,那么我们不会分析或报告这些不兼容问题。
分析将项目移动到 Assured Workloads 文件夹
通过
analyzeWorkloadMove
方法会执行将源项目移动到目标的分析
Assured Workloads 文件夹。
在下面的请求示例中,将以下参数替换为您自己的参数:
- ENDPOINT_URI:Assured Workloads
服务端点 URI。
此 URI 必须是与目标工作负载位置匹配的端点,例如,对于
us-west1区域中的区域化工作负载,使用https://us-west1-assuredworkloads.googleapis.com;对于美国境内的多区域工作负载,使用https://us-assuredworkloads.googleapis.com。 - DESTINATION_ORGANIZATION_ID:
源项目将迁移到的目标工作负载。例如
919698201234 - DESTINATION_LOCATION_ID:目的地的位置
工作负载例如:
us-west1或us。它对应于工作负载的data region值。 - DESTINATION_WORKLOAD_ID:该目的地的 ID
将迁移源项目的 Assured Workloads 文件夹。
例如:
00-701ea036-7152-4780-a867-9f5 - SOURCE_PROJECT_ID:来源 ID 的查询参数
要迁移的项目例如
my-project-123 - ASSET_TYPES:可选。每个查询参数对应一个资产类型,系统会将发现结果过滤为仅包含指定类型。例如:
cloudresourcemanager.googleapis.com/Project。 - PAGE_SIZE:可选。结果数量的查询参数
每页返回率例如
5 - PAGE_TOKEN:可选。继续令牌的查询参数
分页结果。例如
CiAKGjBpNDd2Nmp2Zml2cXRwYjBpOXA
HTTP 方法、网址和查询参数:
GET https://[ENDPOINT_URI]/v1/organizations/[DESTINATION_ORGANIZATION_ID]/locations/[DESTINATION_LOCATION_ID]/workloads/[DESTINATION_WORKLOAD_ID]:analyzeWorkloadMove?project=projects/SOURCE_PROJECT_ID&page_size=PAGE_SIZE&page_token=PAGE_TOKEN
例如:
GET https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:analyzeWorkloadMove?project=projects/my-project-123&page_size=5&page_token=CiAKGjBpNDd2Nmp2Zml2cXRwYjBpOXA
您应该收到类似以下内容的 JSON 响应:
{ "assetMoveAnalyses": [ { "asset": "//orgpolicy.googleapis.com/projects/130536381852/policies/container.restrictNoncompliantDiagnosticDataAccess", "assetType": "orgpolicy.googleapis.com/Policy" }, { "asset": "//compute.googleapis.com/projects/my-project-123/global/routes/default-route-9ca6e6b0ab7326f0", "assetType": "compute.googleapis.com/Route", "analysisGroups": [ { "displayName": "RESOURCE_LOCATIONS", "analysisResult": { "warnings": [ { "detail": "The asset's location 'global' is incompatible with the gcp.resourceLocations org policy effective at the target. In case of 'global only' assets, this may be ignored." } ] } } ] }, { "asset": "//compute.googleapis.com/projects/my-project-123/regions/europe-west10/subnetworks/default", "assetType": "compute.googleapis.com/Subnetwork", "analysisGroups": [ { "displayName": "RESOURCE_LOCATIONS", "analysisResult": { "blockers": [ { "detail": "The asset's location 'europe-west10' is incompatible with the gcp.resourceLocations org policy effective at the target." } ] } } ] }, { "asset": "//serviceusage.googleapis.com/projects/130536381852/services/servicemanagement.googleapis.com", "assetType": "serviceusage.googleapis.com/Service" }, { "asset": "//serviceusage.googleapis.com/projects/130536381852/services/monitoring.googleapis.com", "assetType": "serviceusage.googleapis.com/Service" }, { "asset": "//serviceusage.googleapis.com/projects/130536381852/services/bigquerymigration.googleapis.com", "assetType": "serviceusage.googleapis.com/Service", "analysisGroups": [ { "displayName": "DISALLOWED_SERVICES", "analysisResult": { "warnings": [ { "detail": "This service is not allowed by the gcp.restrictServiceUsage org policy effective at the target" } ] } } ] }, { "asset": "//cloudresourcemanager.googleapis.com/projects/my-project-123", "assetType": "cloudresourcemanager.googleapis.com/Project", "analysisGroups": [ { "displayName": "ORG_POLICIES", "analysisResult": { "warnings": [ { "detail": "constraints/gcp.resourceLocations: Target applies/inherits this custom policy and it is not applied by the source. Upon moving, this policy will get inherited from the target." }, { "detail": "constraints/compute.disableInstanceDataAccessApis: Source applies this custom policy and it is not applied by the target." }, { "detail": "constraints/cloudkms.allowedProtectionLevels: Source and target set different values for this policy." }, { "detail": "constraints/container.restrictNoncompliantDiagnosticDataAccess: Source and target set different values for this policy." }, { "detail": "constraints/gcp.restrictServiceUsage: Target applies/inherits this custom policy and it is not applied by the source. Upon moving, this policy will get inherited from the target." } ], "blockers": [ { "detail": "constraints/gcp.resourceLocations: The value applied at the source is not compliant with the target compliance program. The expected allowed values are [us-west4, us-west1, us-west2, us-west3, us-central1, us-east1, us-east4, us-south1, us-central2, us-east5]." }, { "detail": "constraints/container.restrictNoncompliantDiagnosticDataAccess: The value applied at the source is not compliant with the target compliance program. The expected value is [true]." }, { "detail": "constraints/container.restrictTLSVersion: The value applied at the source is not compliant with the target compliance program. The expected denied values are [TLS_VERSION_1, TLS_VERSION_1_1]." } ] } } ] } ], "nextPageToken": "Ch8wLDc0MzY3NTExNCwzMzg4ODM1NTM2NDQ0NTg4MDMy" }
如需按特定资产类型过滤发现结果,请使用 asset_types 查询
参数:
GET https://assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:analyzeWorkloadMove?project=projects/my-project-123&asset_types=cloudresourcemanager.googleapis.com/Project&page_size=5&page_token=CiAKGjBpNDd2Nmp2Zml2cXRwYjBpOXA
结果将仅包含指定类型 (cloudresourcemanager.googleapis.com/Project) 的任何发现:
{ "assetMoveAnalyses": [ { "asset": "//cloudresourcemanager.googleapis.com/projects/my-project-123", "assetType": "cloudresourcemanager.googleapis.com/Project", "analysisGroups": [ { "displayName": "ORG_POLICIES", "analysisResult": { "warnings": [ { "detail": "constraints/gcp.resourceLocations: Target applies/inherits this custom policy and it is not applied by the source. Upon moving, this policy will get inherited from the target." }, { "detail": "constraints/compute.disableInstanceDataAccessApis: Source applies this custom policy and it is not applied by the target." } ], "blockers": [ { "detail": "constraints/gcp.resourceLocations: The value applied at the source is not compliant with the target compliance program. The expected allowed values are [us-west4, us-west1, us-west2, us-west3, us-central1, us-east1, us-east4, us-south1, us-central2, us-east5]." } ] } } ] } ], "nextPageToken": "Ch8wLDc0MzY3NTExNCwzMzg4ODM1NTM2NDQ0NTg4MDMy" }
如需按多种资源类型过滤发现结果,请将每种资源类型添加为额外的查询参数:
GET https://assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:analyzeWorkloadMove?project=projects/my-project-123&asset_types=cloudresourcemanager.googleapis.com/Project&asset_types=serviceusage.googleapis.com/Service&page_size=5&page_token=CiAKGjBpNDd2Nmp2Zml2cXRwYjBpOXA
结果将仅包含指定类型(cloudresourcemanager.googleapis.com/Project 和 serviceusage.googleapis.com/Service)的任何发现:
{ "assetMoveAnalyses": [ { "asset": "//serviceusage.googleapis.com/projects/130536381852/services/bigquerymigration.googleapis.com", "assetType": "serviceusage.googleapis.com/Service", "analysisGroups": [ { "displayName": "DISALLOWED_SERVICES", "analysisResult": { "warnings": [ { "detail": "This service is not allowed by the gcp.restrictServiceUsage org policy effective at the target" } ] } } ] }, { "asset": "//cloudresourcemanager.googleapis.com/projects/my-project-123", "assetType": "cloudresourcemanager.googleapis.com/Project", "analysisGroups": [ { "displayName": "ORG_POLICIES", "analysisResult": { "warnings": [ { "detail": "constraints/gcp.resourceLocations: Target applies/inherits this custom policy and it is not applied by the source. Upon moving, this policy will get inherited from the target." }, { "detail": "constraints/compute.disableInstanceDataAccessApis: Source applies this custom policy and it is not applied by the target." } ], "blockers": [ { "detail": "constraints/gcp.resourceLocations: The value applied at the source is not compliant with the target compliance program. The expected allowed values are [us-west4, us-west1, us-west2, us-west3, us-central1, us-east1, us-east4, us-south1, us-central2, us-east5]." } ] } } ] } ], "nextPageToken": "Ch8wLDc0MzY3NTExNCwzMzg4ODM1NTM2NDQ0NTg4MDMy" }
执行迁移分析后,请查看并解决所有警告或阻塞问题,然后再次运行分析,以验证这些问题是否已得到解决。然后,您可以继续移动项目。