Projektverschiebung analysieren

In diesem Leitfaden wird beschrieben, wie Sie die Cloud Asset Inventory Analyze Move API verwenden, um einen detaillierten Bericht über Warnungen und Hindernisse von einer Liste kritischer Richtliniensysteme zu erhalten, bevor Sie Ihr Projekt tatsächlich verschieben.

APIs aktivieren

Ein Projekt als API-Nutzerprojekt auswählen oder erstellen und die Cloud Asset API aktivieren

Dieses Nutzerprojekt kann sich von dem Projekt unterscheiden, das Sie analysieren und migrieren möchten. Das Nutzerprojekt wird zum Generieren von Anmeldedaten für die API-Anfrage verwendet.

Im nächsten Abschnitt werden die erforderlichen Rollen und Berechtigungen beschrieben, die dem Quellprojekt, das Sie analysieren möchten, gewährt werden müssen.

Berechtigungen zuweisen

Für die Analyse der Projektverschiebung benötigen Sie eine Rolle mit der Berechtigung cloudasset.assets.analyzeMove, z. B. Cloud Asset-Betrachter oder Betrachter.

Wenn Sie Analysen für einen Dienst erhalten möchten, benötigen Sie außerdem Rollen im Zusammenhang mit diesen Diensten. Diese Berechtigungen umfassen Folgendes:

  • Wenn Sie die übernommenen IAM-Richtlinien der übergeordneten Organisation des Quellprojekts aufrufen möchten, benötigen Sie die Berechtigung resourcemanager.organizations.getIamPolicy für die übergeordnete Organisation des Quellprojekts.

  • Wenn Sie die übernommenen IAM-Richtlinien aus dem übergeordneten Ordner des Quellprojekts aufrufen möchten, benötigen Sie die Berechtigung resourcemanager.folders.getIamPolicy für den übergeordneten Ordner des Quellprojekts.

  • Wenn Sie die IAM-Richtlinien für das Projekt aufrufen möchten, benötigen Sie die Berechtigung resourcemanager.projects.getIamPolicy für das Quellprojekt.

  • Wenn Sie die Organisationsrichtlinien aufrufen möchten, die in diesem Projekt übernommen wurden, benötigen Sie die Berechtigung orgpolicy.policy.get für das Quellprojekt.

  • Wenn Sie die in diesem Projekt übernommenen Compute Engine-Firewallrichtlinien aufrufen möchten, benötigen Sie die Berechtigung compute.organizations.setSecurityPolicy für den Quellordner oder die Quellorganisation.

Analyse durchführen

Sie können das gcloud-Befehlszeilentool oder die API verwenden, um die Migration einer Ressource von ihrem aktuellen Platz in der Ressourcenhierarchie zu analysieren.

gcloud

Verwenden Sie den Befehl gcloud asset analyze-move, um die Migrationsauswirkungen eines Projekts zu analysieren:

gcloud asset analyze-move --project=PROJECT_ID \
  --DESTINATION_ID

Wobei:

  • PROJECT_ID die eindeutige ID des Projekts ist, das Sie migrieren. Beispiel: projects/12345678901.

  • DESTINATION_ID ist der Ressourcentyp und die ID der Zielorganisation oder des Zielordners, in die oder den Sie das Projekt migrieren. Beispiel: --destination-folder=45678901123 oder --destination-organization=78901123456.

API

Verwenden Sie die Methode cloudasset.analyzeMove, um die Auswirkungen einer Migration auf ein Projekt zu analysieren:

GET https://cloudasset.googleapis.com/v1/resource=projects/ \
  PROJECT_NAME:analyzeMove?destinationParent=DESTINATION_ID

Wobei:

  • PROJECT_NAME der Name des Projekts ist, das Sie migrieren. Beispiel: foo-project.

  • DESTINATION_ID ist die ID der Zielorganisation oder des Zielordners, in die oder den Sie das Projekt migrieren. Beispiel: folders/45678901123 oder --organizations/78901123456.

Analyseantworten verschieben

Die Antwort, die Sie von der Move Analysis API erhalten, wird nach Dienstname gruppiert. Unter jedem Dienst befindet sich eine Liste von Warnungen und Blockierungen, die für diese Projektmigration gelten. Die Blockierungen, die von dieser Analyse zurückgegeben werden, bedeuten, dass die Projektmigration zur Laufzeit blockiert wird, wenn Sie mit dem Verschieben fortfahren, bevor Sie diese beheben.

Fehlerbehebung

Wenn die Move Analysis API einen Fehler zurückgibt, enthält sie einen standardmäßigen gRPC-Code sowie eine Nachricht, die den Grund für das Scheitern der Analyse des Projekts durch die Move Analysis API beschreibt.

In der folgenden Tabelle werden die Fehlercodes beschrieben, die von der Move Analysis API möglicherweise zurückgegeben werden:

Fehlername Fehlercode Beschreibung
Ungültiges Argument 3 Wird zurückgegeben, wenn Sie die API für ein Projekt mit einem ungültigen Argument aufrufen, z. B. mit einem falschen Ressourcennamen.
Berechtigung verweigert 7 Wird zurückgegeben, wenn Sie nicht die erforderlichen Berechtigungen zum Ausführen der Analyse haben oder das Quellprojekt nicht vorhanden ist.
Intern 13 Wird zurückgegeben, wenn bei einem Aufruf an ein Richtliniensystem wie der Identitäts- und Zugriffsverwaltung oder der Organisationsrichtlinie ein Problem auftritt. Das bedeutet nicht, dass die Migration nicht möglich ist. Sie können die Analyse wiederholen, nachdem Sie den Dienst auf einen Ausfall überprüft haben.
Nicht verfügbar 14 Wird zurückgegeben, wenn ein internes System nicht synchron ist. Das bedeutet nicht, dass die Migration nicht möglich ist. Sie können die Analyse wiederholen.
Nicht authentifiziert 16 Wird zurückgegeben, wenn Sie nicht die richtigen Anmeldedaten für diese Analyse angegeben haben.

Beispiel für Fehlermeldung

Das folgende Beispiel zeigt den Fehlercode, der einem Nutzer zurückgegeben wird, der nicht die Berechtigung cloudasset.assets.analyzeMove für das zu migrierende Projekt hat:

{
  "error": {
  "code": 403,
  "message": "Failed to fetch Project: projects/test-project-service-3 to perform
              move analysis.",
  "status": "PERMISSION_DENIED"}
}

Einige Richtliniensysteme analysieren die Ressourcenverschiebung möglicherweise nicht. Das folgende Beispiel zeigt den vom hierarchischen Firewalldienst zurückgegebenen Fehler, wenn der Nutzer die Berechtigung compute.organizations.setSecurityPolicy für das zu migrierende Projekt nicht hat:

{
  "moveAnalysis": [{
    "displayName": "name hidden",
    "analysis": {
      "warnings": [{
        "detail": "details hidden"
      }]
    }
  }, {
    "displayName": "name hidden",
    "analysis": {
      "warnings": [{
        "detail": "details hidden"
      }]
    }
  }, {
    "displayName": "Hierarchical Firewall",
    "error": {
      "code": 7,
      "message": "Failed to retrieve inherited security policies to perform
                  analysis. Required 'compute.organizations.setSecurityPolicy'
                  permission for {resource ID}"
     }}]
}

Nächste Schritte

Die Move Analysis API enthält Details, mit denen Hindernisse und andere Probleme behoben werden können, wenn ein Projekt von einer Organisation in eine andere verschoben wird. Weitere Informationen zum Migrieren von Projekten zwischen Organisationen finden Sie unter Projektmigration.