本文說明 Google Distributed Cloud (GDC) 實體隔離環境的資源階層,以及如何在實體隔離執行個體中管理資源。如要瞭解跨多個區域管理資源的概念,請參閱多區域總覽。
GDC 資源階層有兩個目的:
- 提供擁有權階層,將資源的生命週期繫結到階層中的直接父項。
- 為存取權控管及機構政策提供附加點與沿用設定。
GDC 資源階層類似作業系統中的檔案系統,是階層化組織及管理實體的一種方式。一般來說,每項資源都只有一個父項。這種階層式的資源組織方式可讓您設定存取權控管政策 (例如 Identity and Access Management (IAM)),子項資源會沿用這些政策。
如要進一步瞭解如何妥善規劃存取邊界,請參閱「設計資源之間的存取邊界」。
資源結構詳細資料
下列實體是 GDC 資源階層中可辨識的資源類型:
系統會以階層方式組織 GDC 資源。資源階層中的大多數資源都只有一個父項。這項例外狀況僅適用於最高資源。在最低層級,服務資源是構成所有 GDC 服務的基本元件。
機構是 GDC 資源階層的最上層,屬於機構的所有資源都以機構資源分組。如此即可對屬於機構的所有資源提供集中式的瀏覽權限和控制。
專案和叢集都屬於機構範圍。您可以將這些資源相互附加,以便整理服務資源。不過,專案和叢集會彼此獨立運作。這種彈性為您提供了許多不同的服務和工作負載整理方式。舉例來說,您可以為單一專案專門建立叢集。同樣地,叢集可以跨越多個專案。
服務資源是必須屬於專案或叢集的實體,且無法在專案或叢集之間共用。服務資源範例包括虛擬機器 (VM)、資料庫、儲存空間值區和備份。這些低層級資源大多以專案資源做為父項。
下圖為 GDC 資源階層範例:
如要進一步瞭解如何以最佳做法整理資源階層,達到最佳工作負載管理效果,請參閱「設計使用者工作負載分離機制」。
機構
機構資源代表管理單位或業務職能 (例如公司),也是 GDC 資源階層中的頂層資源。機構會定義安全界線,將要一起管理的基礎架構資源納入其中,方便使用者部署應用程式工作負載。機構是全域的,涵蓋宇宙中的所有區域。在機構內,VM 和儲存空間磁碟區等服務資源會依專案邏輯分組。
所有專案、叢集和服務資源都屬於貴機構,而非建立者。也就是說,如果建立資源的使用者離開機構,系統不會刪除該機構的任何資源類型。所有資源類型都會在 GDC 中遵循機構的生命週期。
套用於機構資源的 IAM 存取權控管政策,也會套用於該機構中整個階層的所有資源。如要進一步瞭解如何授予全機構適用的政策和權限,請參閱「組織政策」和「IAM」一節。
專案
專案是每個服務都必須整合的獨立租用環境。專案可提供服務資源的邏輯分組。專案是全域資源,涵蓋宇宙中的所有可用區。
專案可讓您在機構內區隔服務資源,並提供生命週期和政策界線,方便您管理資源。專案內的服務資源絕不會比專案本身更長壽,也不會在專案之間移動,確保資源的生命週期內都能受到控管。因此,您必須在專案命名空間中部署任何類型的資源。
專案可視為適當的 Kubernetes 命名空間,涵蓋機構中的多個叢集。命名空間相同:對於同一機構內的所有叢集,如果命名空間名稱相同,系統會視為同一命名空間。單一命名空間在整組叢集中具有一致的擁有者。服務供應商會在命名空間中建立控制層和資料層元件,藉此建立專案範圍的服務。
專案的命名空間會代管下列項目:
- 專案範圍的服務 API。
- 專案層級政策設定,例如角色和角色繫結。
您只能將專案附加至機構中的部分叢集。您可以在專案命名空間中,將容器化工作負載部署至這些叢集。命名空間相同性概念適用於這些叢集上的專案命名空間。命名空間範圍的政策 (例如角色式存取權 (RBAC) 政策) 會套用至所有這些命名空間。
如要進一步瞭解專案,請參閱「專案總覽」。
Kubernetes 叢集
Kubernetes 叢集是一組節點,可執行容器化工作負載,做為 GDC 上的 GKE 一環。您可以佈建 Kubernetes 叢集,滿足應用程式的運算需求。叢集屬於機構範圍,且必須附加至一或多個專案。
叢集會將基礎架構資源細分成獨立集區,供機構內的專案使用。叢集也會在邏輯上彼此分離,提供不同的失敗網域和隔離保證。系統會為每個機構強制執行政策,確保團隊和使用者可以共用叢集,同時維持效能並保證資源。此外,機構政策可讓 VM 工作負載與容器工作負載並行執行,不會增加作業複雜度。
如果您必須部署容器化工作負載,叢集會很有幫助。不過,由於可以部署 VM 型工作負載,因此 GDC 中不一定要有 Kubernetes 叢集。
叢集是可用區資源,無法跨越多個可用區。如要在多區域部署中運作叢集,您必須在每個區域中手動部署叢集。
如要進一步瞭解 Kubernetes 叢集,請參閱「管理 Kubernetes 叢集」一節。
服務資源
服務資源包含許多實體,例如:
- VM
- 資料庫
- Storage bucket
- 容器化工作負載
- 備份
服務資源必須屬於專案,或選擇性地屬於容器化工作負載的叢集,且無法跨專案共用。也就是說,專案中的服務資源絕不會比專案本身更長壽,確保資源生命週期內都能受到控管。
服務資源可部署於全球或可用區,視類型而定。 如要瞭解多區域部署選項,請參閱特定服務的說明文件。服務資源預設為啟用,可使用機構政策停用。