对于项目迁移,必须评估迁移对项目内运行的服务有何影响。Resource Manager API 将项目资源及其下运行的所有服务视为一个单元,这意味着在项目内不会应用任何配置更改。
虽然迁移不会直接对项目配置进行更改,但资源层次结构的更改可能会影响项目及其运行服务的功能。继承的政策(如 Identity and Access Management 或组织政策)在迁移过程中不会随项目一起迁移。组织 直接关联到资源的政策和服务账号都将被迁移。迁移完成后,这可能会导致意外行为。
迁移项目还可能需要创建组织政策 违规行为, 具体取决于目标组织资源的组织政策。
在组织资源之间迁移项目之前,您应考虑制定迁移计划, 确定您的组织资源和您要 迁移。在此迁移方案中,清点项目正在运行的每个服务以及可能受到迁移影响或受到您的项目所在目标位置中的资源层次结构影响的其他所有服务。
库存概览
使用 Cloud Asset Inventory 创建正在使用的资源概览,包括 Identity and Access Management 政策。此概览可帮助您概述迁移计划。
您还可以使用 Cloud Asset Inventory 将这些数据转移到 BigQuery 中。这样您就可以使用 SQL 查询数据,这比解读 JSON 格式的数据更易于读取。如需了解如何导出此数据,请参阅导出到 BigQuery。
政策验证
迁移项目时,它不再从资源层次结构中的当前位置继承政策,并且将受到目标位置的有效政策评估的约束。我们建议确保项目目标位置的有效政策尽可能匹配项目在其源位置中拥有的政策。
任何直接应用于项目的政策仍然会在迁移完成后附加。将政策直接应用于项目是验证迁移完成后是否应用了正确政策的一个好方法。
Identity and Access Management 政策和组织政策通过资源层次结构继承,如果设置不当,它们可能会阻止服务正常运行。在资源层次结构中的项目目标位置确定有效政策,以确保该政策与您的治理目标保持一致。
管理加密密钥
您应验证项目是否启用了客户管理的加密密钥或其他 Cloud Key Management Service。加密密钥归项目所有,对该项目具有 owner 访问权限的用户可以在 Cloud KMS 中对该项目中的密钥管理和执行加密操作。
如需了解详情,请参阅职责分离。
预览功能
您可以对组织资源、文件夹或项目启用预览功能。如果您为要迁移的项目启用了 Alpha 版或 Beta 版功能, 功能在迁移后应能继续正常运行。如果预览功能 是不公开的,并且未列入目标组织资源的许可名单,则 无法在迁移完成后进行任何配置更改。
回滚方案
如果您发现自己拥有的任何项目有些问题, 就可以将其恢复到原始位置。为此,您需要具备必要的 IAM 权限并设置所需的组织政策,以便可以反向运行项目迁移。
如需查看所需权限的列表,请参阅分配权限。对于需要配置为允许迁移项目的组织政策,请参阅配置组织政策。
专用导入和导出文件夹
在源组织和目标组织资源中迁移项目时,政策继承机制可能会导致非预期的结果。要降低此风险,您可以创建特定文件夹以仅储存要导出和导入的项目,并确保两个组织资源中的文件夹继承相同的政策。您也可以对这些文件夹设置权限 将继承到在其内部移动的项目,这有助于加快 迁移过程
在规划迁移时,请考虑先设置一个专用源文件夹。为此,请为您计划使用的每个目标组织资源创建一个文件夹
导出项目。然后,为这些文件夹设置组织政策,其中每个 constraints/resourcemanager.allowedExportDestinations 限制条件均设置为您要导出项目的单个组织资源。
例如,您可以设置 Export to Marketing Org 和 Export to Sales Org 文件夹,每个文件夹都设置了适当的组织政策限制条件。
同样,在目标组织资源中设置专用导入文件夹,您要从中导入项目的每个组织资源都有一个文件夹。为此,请为其中每个来源组织资源创建一个文件夹
您计划导入项目的资源。然后,为这些文件夹设置组织政策,其中每个政策都包含 constraints/resourcemanager.allowedImportSources 限制条件,其设置为您要从中导入项目的单个组织资源。
例如,您可以设置 Import from Marketing Org 和 Import from App Development Org 文件夹,每个文件夹都设置了适当的组织政策限制条件。
在每个导入和导出文件夹中,为将要移动项目的人员分配 roles/resourcemanager.projectMover 角色。这些文件夹内包含的任何项目都将继承此角色,从而允许用户能够对移至这些文件夹的任何项目中执行移动操作。
完成项目迁移后,您应移除这些专用文件夹。
如需了解如何设置组织政策,请参阅配置组织政策。
后续步骤
如需为在组织之间迁移项目分配 Identity and Access Management 角色和权限,请参阅分配 Identity and Access Management 角色和权限。