他の組織へのプロジェクトの移行

Google Cloud Platform(GCP)プロジェクトのリソースを他の組織に移行できるのは、それらが既に組織に関連付けられていない場合のみです。このガイドでは、Google サポートと連携して、組織に関連付けられているプロジェクトを別の組織に移行する方法について説明します。

このガイドでは、移行先組織が移行元組織とよく似ていることを前提としています。アプリケーションを新しいエコシステムに統合するための大規模な設計作業については、このガイドでは説明しません。

移行を計画して実行する

ステップ 1: プロジェクトを準備する

ある組織から別の組織へのプロジェクトの移行は手作業にて対応するプロセスであり、プロジェクトの構成が必要になります。

以下のリストを使用して、プロジェクト リソースを移行する準備をします。

  • 組織の Google アカウントのプライマリ ドメインを変更した場合は、Google サポートでケースを開くときにこの情報をお知らせください。
  • 移行するプロジェクトで共有 VPC ネットワークを無効にします。
  • 移行するプロジェクトのレベルで必要なカスタム組織レベルの Cloud Identity およびアクセス管理の役割を構成します。詳細については、カスタム Cloud IAM の役割をご覧ください。
  • すべての組織のポリシーを親リソースから継承するように設定します。これらのポリシーを前もって確認しておくことで、移行後にこれらのポリシーが与える影響を知ることができます。詳細については、下の組織のポリシーをご覧ください。
  • 新しいプロジェクト リソースの所有権を受け取れるように、移行先組織に関連するプライマリ ドメインのメール転送を設定します。
  • 移行先組織リソースで必要となる Cloud IAM 役割を付与します。たとえば、roles/resourcemanager.projectCreator です。プロジェクトが移行先組織に移行した後で、継承されたすべての役割が削除されます。
  • ドメインで制限された共有を移行先組織で使用している場合は、移行元組織のリソースにアクセスできるドメインを移行先組織のホワイトリストに追加します。

ステップ 2: サポートケースを開く

お持ちのサービスプランに Google プロフェッショナル サービス(PSO)が含まれる場合は、そちらと連携してプロジェクトの移行をご計画ください。Google テクニカル アカウント マネージャー(TAM)が Google 側の関係者を調整いたします。

移行プロセスを開始するには、サポートケースを開いて、以下の情報をご提供ください。

  1. 移行する各プロジェクト リソースのプロジェクト ID のリスト。
  2. 移行計画で PSO と連携している場合は、Google サポートおよび PSO とハングアウト上で会議する日時もお知らせください。TAM が計画を完成させるための会議を手配します。

Google サポートはリストアップされたプロジェクト リソースを現在の組織から削除し、この操作が完了次第、通知します。その後で、移行を実行できます。

ステップ 3: 移行を実行する

移行を実施するには:

  1. Google が親組織からプロジェクトを削除し終えたら、プロジェクトを新しい組織に移行します。
  2. プロジェクトのサービス構成を、新しい組織階層に基づいて更新します。詳しくは、以下のサービス関連のセクションをご覧ください。

サービスの問題を緩和する

GCP プロジェクトのリソースは、すべての GCP サービスを利用するための基盤です。プロジェクト リソースは数多くの機能で組織リソースに依存しているため、プロジェクト リソースをある組織から別の組織に移行すると、中断してしまう可能性があります。移行するプロジェクト リソースで使用されている各サービスについて、緩和戦略を計画する必要があります。

Cloud IAM のカスタム役割

Cloud IAM のカスタム役割は、GCP リソース階層の組織レベルで作成できます。これらの役割を使用して、階層内の組織リソースより下のユーザーにアクセス権を付与できます。プロジェクトが組織から移行されても、組織レベルで構成されたカスタム役割はプロジェクトと一緒に移行されません。ただし、プロジェクト レベルで構成されたカスタム役割は移行されます。

移行されない組織レベルのカスタム役割は機能しなくなり、getIamPolicy メソッドはこれらのカスタム役割を Cloud IAM ポリシーの一部として返しません。

カスタム役割を持つプロジェクトを移行しても、元の組織のポリシーの一部がプロジェクトに影響を及ぼす場合があります。新しい Cloud IAM ポリシーに古い組織のカスタム役割が存在している場合、このポリシーが無効になり、ポリシーを更新しようとするとエラーになる可能性があります。この問題は、Cloud IAM ポリシーを更新しようとしたときにのみ発生するため、移行直後に発生することはほとんどありません。

組織レベルで既存のカスタム役割を一覧表示するには:

gcloud iam roles list --organization ORGANIZATION_ID

組織内の特定のカスタム役割を記述するには:

gcloud iam roles describe --organization ORGANIZATION_ID /
ROLE_NAME

ここで

  • ORGANIZATION_ID組織 ID です。
  • ROLE_NAME は役割の名前です。

緩和策

既存のカスタム Cloud IAM 役割に関するエラーのリスクを減らすには:

  1. projects.getIamPolicy メソッドを使用して、移行するプロジェクトの Cloud IAM ポリシーを取得します。
  2. プロジェクトの Cloud IAM ポリシー内の組織レベルのカスタム役割ごとに、同等のプロジェクト レベルのカスタム役割を作成して、これらの新しい役割を使用するようプロジェクトの Cloud IAM ポリシーを更新します。
    1. プロジェクトの割り当てを増やす必要がある場合は、増加のリクエストを送信してください。
  3. 移行するプロジェクトから組織レベルの Cloud IAM カスタム役割バインディングを削除します。
  4. プロジェクトを上記のように移行します。
  5. 移行したプロジェクト内のリソースの Cloud IAM ポリシーを、移行先組織のカスタム役割を使用するように更新します。

詳しくは、カスタム役割の作成と管理をご覧ください。

共有 VPC

GCP の共有 VPC は、組織リソースをグループ化のために使用します。プロジェクト リソースと接続できるのは同じ組織内の共有 VPC だけです。新しい組織に移行されるプロジェクトは、共有 VPC 接続を維持しません。

共有 VPC は、その共有 VPC をプロビジョニングしているホストプロジェクトを使用して実装されます。そして、サービス プロジェクトが共有 VPC を使用することを許可されます。

Compute Engine 仮想マシン(VM)をある VPC から別の VPC に直接移行することはできないため、移行するか再作成しなければなりません。VM は一般に共有 VPC サービス プロジェクト内でプロビジョニングされます。直接共有 VPC ホスト プロジェクト内でプロビジョニングされるのではありません。

組織リソース内のすべての共有 VPC ホスト プロジェクトを一覧表示する方法は次のとおりです。

gcloud beta compute shared-vpc organizations list-host-projects
ORGANIZATION_ID

ORGANIZATION_ID組織 ID です。

緩和策

  1. GCP Console の [共有 VPC] ページに移動します。
    [共有 VPC] ページに移動
  2. [共有 VPC] ページに表示されているホスト プロジェクト、共有 VPC ネットワーク、接続されているサービスのプロジェクトの一覧を作成します。
    1. 組織内のすべてのプロジェクトを移行する場合は、上の list-host-projects コマンドを使用してすべての共有 VPC ホスト プロジェクトを一覧にします。
  3. 同等のホスト プロジェクトと共有 VPC を新しい組織にプロビジョニングします。詳しい手順については、共有 VPC の設定をご覧ください。
  4. 移行するプロジェクトを移行元組織の共有 VPC から削除します。
    1. 共有 VPC に接続されている VM ディスクのスナップショットを作成します
    2. 共有 VPC と接続している VM をシャットダウンします。
    3. VM を削除します
    4. 共有 VPC に接続されている内部ロードバランサを削除します
  5. スナップショットから VM を復元して、サービス プロジェクト内のローカル スコープ VPC に接続します。
  6. 移行を実行します。
  7. 移行したプロジェクトを新しい共有 VPC に接続します。

VPC ピアリング

Google VPC ピアリングを使用しているプロジェクトを組織間で移行できます。VPC ピアリングは組織のメンバーシップに依存せずに機能するためです。つまり、VPC ピアリングが有効になっている組織にプロジェクトを移行すると、そのプロジェクトのピアリングが有効になります。

緩和策

VPC ピアリングが有効になっている組織にプロジェクトを移行する場合は、移行前にそのピアリングのもう一方の端に何があるかを調べて、プロジェクトで VPC ピアリングを有効にしてもよいかを確認します。

Cloud Interconnect

Dedicated Interconnect を含むプロジェクトは、その Cloud Interconnect に VLAN アタッチメントが定義されていない場合にのみ、新しい組織に移行できます。

緩和策

移行前に、移行するプロジェクトからすべての VLAN アタッチメントを削除します。

ドメイン名の変更

移行元組織でドメイン名が変更されたことがある場合は、その組織からプロジェクトを移行するために Google で追加の手順が必要になることがあります。

緩和策

プロジェクトを移行するためにサポートケースを開くとき、ドメイン変更操作の詳細について、変更前のドメイン名と新しいドメイン名も含めてお知らせください。Google ではこのシナリオに対処するためのツールを用意していますが、移行を完了させるには時間がかかる場合があります。

組織のポリシー

プロジェクトを新しい組織に移行すると、継承によって、そのプロジェクトに適用されるポリシーが変わる可能性があります。移行元組織のポリシーが移行先組織のポリシーと異なる場合があり、移行後に有効となる組織のポリシーがプロジェクトに頃成る影響を与える可能性があります。

緩和策

移行する各プロジェクトの組織のポリシーが、親リソースから継承されるように設定します。前もってポリシーを確認しておき、新しい組織で有効にするポリシーの含まれた新しい組織のポリシーセットを作成する計画が立てられるようにしてください。

組織のポリシーがどのように継承されるかの詳細については、階層評価についてをご覧ください。

Cloud Billing

Cloud Billing アカウントは組織間で使用できます。プロジェクトをある組織から別の組織に移行しても課金に影響はありません。料金は、古い請求先アカウントに対して継続して課せられます。ただし組織を移行すると、新しい請求先アカウントへの移行が必要になる場合もあります。

プロジェクトの請求先アカウントの変更

既存のプロジェクトの請求先アカウントを変更するには、プロジェクトにおける roles/owner 役割と、移行先請求先アカウントにおける roles/billing.admin 役割が必要です。請求先アカウントを変更するには、次の手順に沿って行います。

  1. GCP Console の [お支払い] ページに移動します。
    [お支払い] ページに移動
  2. 変更する請求先アカウントの名前をクリックします。
  3. [この請求先アカウントにリンクされているプロジェクト] で、移行するプロジェクトの名前を見つけて、右側のメニューボタンをクリックします。
  4. [お支払い情報の変更] をクリックして、新しい請求先アカウントを選択します。
  5. [アカウントを設定] をクリックします。

トランザクション履歴でまだ報告されていない料金がすでに発生している場合は、変更前の請求先アカウントに請求されます。これには、最大でプロジェクトを移行する 2 日前までの料金が含まれます。

請求先アカウントを組織間で移行する

請求先アカウントをある組織から別の組織へ移行できますが、これは必ずしも必要な手順ではありません。ほとんどの既存組織はすでに請求先アカウントを持っているので、それらを代わりに使用することをおすすめします。既存の請求先アカウントを移行する必要がある場合は、次の手順を実施します。

  1. 移行に必要な権限を取得します。
    1. 移行元組織の role/resourcemanager.organizationAdmin
    2. 移行元組織、あるいは移行する特定の請求先アカウントの roles/billing.admin
    3. 移行先組織の role/resourcemanager.organizationAdmin
    4. 移行先組織の roles/billing.admin または roles/billing.creator
  2. GCP Console の [お支払い] ページに移動します。
    [お支払い] ページに移動
  3. 移行させる請求先アカウントの名前をクリックします。
  4. [概要] ページの最上部で [組織を変更] をクリックします。
  5. 移行先組織を選択して、[OK] をクリックします。

これで、請求先アカウントは指定した組織に関連付けられました。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Resource Manager のドキュメント