在 Google Cloud 上开发应用和工作负载时,您会创建以下资源类型:
- 容器资源可帮助您整理和控制访问权限。这些资源包括组织、文件夹和项目。
- 服务资源是构成 Google Cloud 产品和服务的基本组成部分。这些资源包括 Compute Engine 虚拟机 (VM) 和 Google Kubernetes Engine 集群。
您可以使用容器资源在层次结构中整理服务资源。这种结构可帮助您建立所有权并控制访问权限。
按层次组织和管理
如需将资源相互隔离并限制用户的访问权限,您可以将资源作为单个单元进行分组和管理。为此,您可以使用以下结构(称为资源层次结构):
- 组织:代表您的公司,是资源层次结构的根。
- 文件夹:可选的分组机制,可用于隔离项目组。例如,您可以为法律实体、部门或团队创建文件夹。
- 项目:包含服务资源的基础级层组织实体。
如需详细了解资源层次结构,请参阅资源层次结构。
如需了解如何使用资源层次结构来管理访问权限,请参阅使用资源层次结构实现访问权限控制。
组织:创建层次结构的根节点
组织是层次结构的根节点,您可以在其中创建所有其他资源。您为组织应用的访问权限政策会应用于所有其他资源。这意味着,您可以在组织级别应用访问权限控制,而无需在所有项目中重复设置和管理相同的控制权限。
创建组织资源后,底层项目会归属于该组织,而不是创建项目的用户。这意味着,即使用户被移除,项目及其底层资源仍可以继续存在。
文件夹:隔离项目组
您可以使用文件夹在项目之间创建隔离边界。例如,您可以为部门或团队创建不同的项目集合。文件夹可以包含项目和子文件夹。您可以应用访问权限控制,确保一个团队中的用户无法访问分配给另一个团队的文件夹中的资源。
项目:隔离资源
Google Cloud 资源必须属于一个项目,项目是一种组织实体,可帮助您隔离和控制对资源的访问。例如,您可以为开发环境和生产环境创建不同的项目。
项目包含设置、权限和描述您的应用的其他元数据。在遵循区域和可用区规则的前提下,一个项目中的各资源可以通过内部网络通信,从而实现顺利合作。除非您使用共享 VPC 或 VPC 网络对等互连,否则一个项目无法访问其他项目中的资源。
为项目命名并引用项目
您可以使用标识符在命令和 API 调用中引用项目。每个 Google Cloud 项目都包含以下标识符:
- 项目名称:您提供的名称。
- 项目 ID:您可以提供的标识符,也可以由 Google Cloud 提供。每个项目 ID 在 Google Cloud 中都是唯一的。删除项目后,其 ID 将无法再使用。
- 项目编号:由 Google Cloud 提供。
如需了解详情,请参阅创建和管理项目。