本文档提供了有关如何为贵组织设计有效的标签策略的指导。在开始创建标签之前,请先了解以下一些通用原则,以便您在使用标签整理 Google Cloud 资源时参考。
标签的一般原则
始终使用标签
虽然标签不是强制性的,但有助于整理和管理Google Cloud 资源。标签可用于跟踪费用和识别资源。 为资源使用标签时,请务必遵循严格的标签准则。我们建议您制定符合组织关键利益相关方的正式标签政策。示例表格展示了组织级标记政策的样子。
以编程方式应用标签以确保一致性
尽可能以编程方式应用标签。借助脚本和 Terraform 等工具,您可以自动执行标签创建流程,并帮助强制执行标签政策。这些工具可确保在所有资源中一致地应用标签。使用区分大小写的格式进行标记,并在所有资源中一致地应用该格式。
标准化标签
为您的所有资源使用一组一致的标准标签。这样,您就可以更轻松地搜索、过滤和管理资源。为简化标签策略,请尽量不要使用超过 10 个标签。根据您希望以何种方式报告费用来调整标签。考虑使用一组最适合贵组织的标准标签键和值。您的标签可以涵盖环境、数据分类、成本中心、团队、组件、应用和合规性等业务用例。
请注意,对于集中管理的标签,标准化和遵守标签政策至关重要。产品团队和部门还可以为资源添加自定义标签,以分享特定于团队的信息。如需了解详情,请参阅应用非标准标签。
以下示例展示了如何为每个键定义一组标准值:
- 环境:
prod/dev/staging - Data-classification:
public/internal-only/confidential/restricted/na - 成本中心:
c23543 - 团队:
shopping-cart - 组件:
frontend/cache/backend/database - 应用:
shopping-cart-payments - 合规性:
pci-hippa
避免使用机密信息
保护个人身份信息 (PII) 对安全至关重要。 避免在标签中存储个人身份信息或其他机密信息。
应用非标准标签
虽然遵守标签政策至关重要,但标签还可用于分享特定于产品团队或部门的信息。在这种情况下,为各个团队的资源所有者提供为每个资源应用非标准标签的选项,有助于提供有关资源的更多背景信息。这样,您就可以更轻松地搜索、过滤和共享特定于这些产品团队或部门的信息。例如,单个资源可以包含一组标准标签,例如 environment:prod、data-classification:restricted、cost-center:c23543、team:shopping-cart、app:shopping-cart-payments、component:database、compliance: pci。资源所有者可以添加非标准标签(例如 version:5.0.1 和 replica:primary),以指明数据库集群的版本和节点的复制状态。
考虑更改的影响
随着业务需求的不断变化,您的标签策略可能会发生变化。 请注意这些更改可能产生的影响。例如,添加新的成本中心、微服务或新工具可能会影响您的标记策略。
标签命名方案和模式
每个组织都有自己的资源整理方式。您可以使用标签以多种方式对层次结构中的资源进行分类,帮助用户过滤出所需的资源。定义标签命名方案时,请考虑以下事项:
- 与资源关联的环境、成本中心、团队、组件、应用、合规性和所有权。
- 系统中存储的所有数据的数据分类。这仅适用于有状态的系统。
- 需要在特定资源级别(例如 Compute Engine、Cloud Storage 存储桶)或项目级别应用的标签。
- 可根据需要灵活使用可选标签,以提供有关资源的更多信息。
定义标签的示例
若要定义标签,请注意以下属性。
| 字段 | 说明 |
|---|---|
| 标签键 | 标签键是标签的唯一标识符。此值必须为一个字符串,长度不得少于 1 个字符,不得超过 63 个字符。键不能为空。您可以使用一组最适合贵组织的标准标签键,这些标签键涵盖了 environment、data-classification、cost-center、team、component、application 和 compliance 等业务用例。 |
| 标签值 | 标签值是与键关联的数据。它可以是字符串、数字或布尔值。最佳实践是考虑为每个标签键定义一组值。这有助于团队为每个键选择和分配适当的值。例如,environment 键可以具有 prod、staging、dev 或 tools 等值。 |
| Stakeholder | 确定需要使用标签键来过滤资源或创建报告的部门。例如,组织中的财务部门想要了解运行 prod 环境的费用。它们将使用标签键值对 environment:prod。 |
| 目标资源 | 对于每个标签,请考虑定义一个目标 Google Cloud 资源,以便应用标签键值对。例如,标签键 environment 需要存在于贵组织生产环境中的每个 Google Cloud 资源中。 |
| 异常 | 考虑定义哪些标签键对所有资源都是强制性的,哪些标签键是可选的。在示例表中,有些标签 key:value 对是可选的,例如 environment:tools。如果标签 altostrat-environment 的标签值设为 tools,则标签键 altostrat-team 可视为可选。 |
在以下标签示例中,altostrat 对应于企业名称。
| 标签键 | 标签值 | Stakeholder | 目标资源 | 异常 |
|---|---|---|---|---|
| altostrat-environment | prod、sb1、staging、dev、tools | 金融 | Google Cloud 资源 | 否 |
| altostrat-data-classification | 公开、仅供内部使用、机密、受限、不适用 | 安全 | 与 Compute Engine 搭配使用存储分区、数据库和永久性磁盘 | 否 |
| altostrat-cost-center | fin-us、mkt-eu、it-jp | 金融 | Google Cloud 资源 | sandbox-folder |
| altostrat-team | shopping-cart | 团队负责人 | Google Cloud 资源 | 非生产环境、非关键组件 |
| altostrat-component | 前端、缓存、应用、数据库 | 金融 | Google Cloud 资源 | 可选 |
| altostrat-app | shopping-cart-payment | 金融 | Google Cloud 资源 | 不可以。但对于与应用没有 1:1 映射的多租户资源,则是一个例外情况。 |
| altostrat-compliance | pci、HIPAA | 安全 | Google Cloud 资源 | 可选 |