对于项目迁移,必须评估迁移将如何影响项目内运行的服务。Resource Manager API 将项目资源及其下运行的所有服务视为一个单元,这意味着在项目内不会应用任何配置更改。
虽然迁移不会直接对项目配置进行更改,但资源层次结构的更改可能会影响项目及其运行服务的功能。在迁移过程中,继承的政策(例如 Identity and Access Management 或组织政策)不会随项目一起迁移。系统将迁移直接关联到资源的组织政策和服务帐号。迁移完成后,这可能会导致意外行为。
迁移项目还可能会导致组织政策违反,具体取决于目标组织资源的组织政策。
在组织资源之间迁移项目之前,您应该考虑创建迁移计划,以确定组织资源和要迁移的项目是否准备就绪。在此迁移计划中,清点项目正在运行的每项服务,以及可能受迁移或项目目标中的资源层次结构影响的任何其他服务。
库存概览
使用 Cloud Asset Inventory 创建正在使用的资源概览,包括 Identity and Access Management 政策。此概览可帮助您概述迁移计划。
您还可以使用 Cloud Asset Inventory 将这些数据转移到 BigQuery 中。这样您就可以使用 SQL 查询数据,这比解读 JSON 格式的数据更易于读取。如需了解如何导出此数据,请参阅导出到 BigQuery。
政策验证
迁移项目时,它不再从资源层次结构中的当前位置继承政策,并且将受到目标位置的有效政策评估的约束。我们建议确保项目目标位置的有效政策尽可能匹配项目在其源位置中拥有的政策。
任何直接应用于项目的政策仍然会在迁移完成后附加。将政策直接应用于项目是验证迁移完成后是否应用了正确政策的好方法。
Identity and Access Management 政策和组织政策通过资源层次结构继承,如果设置不当,它们可能会阻止服务正常运行。在资源层次结构中的项目目标位置确定有效政策,以确保该政策与您的治理目标保持一致。
管理加密密钥
您应验证项目是否启用了客户管理的加密密钥或其他 Cloud Key Management Service。加密密钥归项目所有,对该项目具有 owner 访问权限的用户可以在 Cloud KMS 中对该项目中的密钥管理和执行加密操作。
如需了解详情,请参阅职责分离。
预览功能
您可以为组织资源、文件夹或项目启用预览功能。如果您为要迁移的项目启用了 Alpha 版或 Beta 版功能,则此功能在迁移后应继续正常运行。如果预览版功能为专用功能,且未列入目标组织资源的许可名单,则您无法在迁移完成后进行任何更改。
回滚方案
如果您发现已迁移的任何项目无法正常工作,可以将这些项目恢复到原始位置。为此,您需要具备必要的 IAM 权限并设置所需的组织政策,以便可以反向运行项目迁移。
如需查看所需权限的列表,请参阅分配权限。对于需要配置为允许迁移项目的组织政策,请参阅配置组织政策。
专用导入和导出文件夹
当您迁移项目(在源组织资源和目标组织资源中)时,政策继承可能会造成意外影响。为了缓解这种风险,您可以创建特定的文件夹来仅保存要导出和导入的项目,并确保两个组织资源中的文件夹继承相同的政策。您还可以对这些文件夹设置权限,这些权限将继承到其中移动的项目,从而帮助加快项目迁移过程。
在规划迁移时,请考虑先设置一个专用源文件夹。为此,请为计划将项目导出到的每个目标组织资源创建一个文件夹。然后,对这些文件夹设置组织政策,每个文件夹的 constraints/resourcemanager.allowedExportDestinations 限制条件都设置为要将项目导出到的目标单个组织资源。
例如,您可以设置 Export to Marketing Org 和 Export to Sales Org 文件夹,每个文件夹都设置了适当的组织政策限制条件。
同样,请在目标组织资源中设置一个专用的导入文件夹,且每个文件夹对应您要从中导入项目的各个组织资源。为此,请为计划从中导入项目的每个源组织资源创建一个文件夹。然后,对这些文件夹设置组织政策,并将每个组织的 constraints/resourcemanager.allowedImportSources 限制条件设置为要从中导入项目的单个组织资源。
例如,您可以设置 Import from Marketing Org 和 Import from App Development Org 文件夹,每个文件夹都设置了适当的组织政策限制条件。
在每个导入和导出文件夹中,为将要移动项目的人员分配 roles/resourcemanager.projectMover 角色。这些文件夹内包含的任何项目都将继承此角色,从而允许用户能够对移至这些文件夹的任何项目中执行移动操作。
完成项目迁移后,您应移除这些专用文件夹。
如需了解如何设置组织政策,请参阅配置组织政策。
后续步骤
如需分配 Identity and Access Management 角色和权限以在组织之间迁移项目,请参阅分配 Identity and Access Management 角色和权限。