프로젝트를 다른 조직으로 이전

Google Cloud Platform(GCP) 프로젝트 리소스는 현재 조직과 연결되어 있지 않은 경우에만 조직으로 이전할 수 있습니다. 이 가이드에서는 Google 지원과 협력하여 조직과 연결되어 있는 프로젝트를 다른 조직으로 이전하는 방법을 설명합니다.

이 가이드에서는 대상 조직이 소스 조직과 매우 유사하다고 가정합니다. 애플리케이션을 새로운 생태계에 통합하기 위한 대규모 설계 작업은 이 가이드에서 다루지 않습니다.

이전 계획 및 수행

1단계: 프로젝트 준비

프로젝트를 조직 간에 이전하는 것은 프로젝트 구성이 필요한 수동 지원 프로세스입니다.

다음 목록을 참조하여 프로젝트 리소스 이전을 준비하세요.

  • 조직의 Google 계정에 사용하는 기본 도메인을 변경한 경우 Google 지원에 기록을 제출할 때 이 정보를 포함합니다.
  • 이동할 프로젝트에서 공유 VPC 네트워크를 사용 중지합니다.
  • 이동할 프로젝트 수준에서 필요한 커스텀 조직 수준의 Cloud Identity and Access Management 역할을 구성합니다. 자세한 내용은 커스텀 Cloud IAM 역할을 참조하세요.
  • 상위 리소스에서 상속하도록 모든 조직 정책을 설정하고 이전 후 미치는 효과를 파악할 수 있도록 정책을 검토합니다. 자세한 내용은 아래 조직 정책을 참조하세요.
  • 새로운 프로젝트 리소스의 소유권을 수락할 수 있도록 대상 조직과 연결되어 있는 기본 도메인의 이메일 라우팅을 설정합니다.
  • 대상 조직 리소스에 필요한 Cloud IAM 역할을 부여합니다. roles/resourcemanager.projectCreator를 예로 들 수 있습니다. 상속된 모든 역할은 프로젝트가 대상 조직으로 이전되면 삭제됩니다.
  • 대상 조직에서 도메인 제한 공유를 사용하는 경우 소스 조직의 리소스에 대한 액세스 권한이 있는 도메인을 대상 조직 허용 목록에 추가합니다.

2단계: 지원 기록 제출

Google 전문 서비스(PSO)를 포함하는 서비스 요금제를 보유하고 있는 경우 담당자와 협력하여 프로젝트 이전을 계획해야 합니다. Google 기술계정 관리자(TAM)가 Google 측의 관련 당사자를 조정할 수 있습니다.

이전 프로세스를 시작하려면 지원 기록을 제출하고 다음을 제공하세요.

  1. 이전할 각 프로젝트 리소스의 프로젝트 ID 목록
  2. 이전 계획에 대해 PSO와 협력하는 경우 행아웃을 통해 Google 지원 및 PSO와 미팅할 날짜와 시간을 포함합니다. TAM이 계획을 마무리하기 위한 미팅을 주선합니다.

Google 지원은 나열된 프로젝트 리소스를 현재 조직에서 삭제하고 이 작업이 완료되면 알림을 전송합니다. 그런 다음 이전을 수행할 수 있습니다.

3단계: 이전 수행

이전을 완료하는 방법은 다음과 같습니다.

  1. Google이 상위 조직에서 프로젝트를 삭제한 후에 새 조직으로 프로젝트를 이전합니다.
  2. 새로운 조직 계층 구조를 기반으로 프로젝트의 서비스 구성을 업데이트합니다. 자세한 내용은 아래 서비스 관련 섹션을 참조하세요.

서비스 문제 완화

GCP 프로젝트 리소스는 모든 GCP 서비스를 사용하기 위한 기초가 됩니다. 프로젝트 리소스는 여러 기능에서 조직 리소스를 사용합니다. 이는 조직 간에 프로젝트 리소스를 이동할 때 중단될 수 있습니다. 이동하는 프로젝트 리소스에서 사용하는 각 서비스에 대한 위험 완화 전략을 계획해야 합니다.

커스텀 Cloud IAM 역할

커스텀 Cloud IAM 역할은 GCP 리소스 계층 구조의 조직 수준에서 만들 수 있습니다. 이는 계층 구조의 조직 리소스 아래에 있는 사용자에 액세스 권한을 부여하는 데 사용할 수 있습니다. 프로젝트가 조직에서 이동하면 조직 수준에서 구성된 커스텀 역할은 함께 이동하지 않지만 프로젝트 수준에서 구성된 커스텀 역할은 함께 이동합니다.

이동하지 않은 조직 수준 커스텀 역할은 더 이상 작동하지 않고, getIamPolicy 메소드는 이러한 커스텀 역할을 Cloud IAM 정책의 일부로 반환하지 않습니다.

커스텀 역할이 있는 프로젝트를 이동할 때 원래 조직 정책의 일부가 프로젝트에 계속 영향을 미칠 수 있습니다. 이전 조직의 커스텀 역할이 새 Cloud IAM 정책에 존재하는 경우 정책을 업데이트하려고 시도하면 정책이 무효화되고 오류가 발생할 수 있습니다. 이 문제는 Cloud IAM 정책을 업데이트하려고 시도할 때만 발생하므로 이전 직후에는 나타나지 않습니다.

조직 수준의 기존 커스텀 역할을 나열하려면 다음을 실행하세요.

gcloud iam roles list --organization ORGANIZATION_ID

조직의 특정 커스텀 역할을 설명하려면 다음을 실행하세요.

gcloud iam roles describe --organization ORGANIZATION_ID /
ROLE_NAME

각 항목의 의미는 다음과 같습니다.

  • ORGANIZATION_ID조직 ID입니다.
  • ROLE_NAME은 역할의 이름입니다.

위험 완화

기존 커스텀 Cloud IAM 역할과 관련하여 오류가 발생할 위험을 줄이는 방법은 다음과 같습니다.

  1. projects.getIamPolicy 메소드를 사용하여 이동할 프로젝트에 대한 Cloud IAM 정책을 가져옵니다.
  2. 프로젝트의 Cloud IAM 정책의 각 조직 수준 커스텀 역할에 대해 대응하는 프로젝트 수준 커스텀 역할을 만든 후 이 새로운 역할을 사용하도록 프로젝트의 Cloud IAM 정책을 업데이트합니다.
    1. 프로젝트 할당량을 늘려야 하는 경우 프로젝트 할당량을 늘리는 요청을 제출합니다.
  3. 이동할 프로젝트에서 조직 수준 Cloud IAM 커스텀 역할 결합을 삭제합니다.
  4. 위와 같이 프로젝트를 이전합니다.
  5. 대상 조직의 커스텀 역할을 사용하도록 이동된 프로젝트에서 리소스의 Cloud IAM 정책을 업데이트합니다.

자세한 내용은 커스텀 역할 생성 및 관리를 참조하세요.

공유 VPC

GCP의 공유 VPC는 그룹화를 위해 조직 리소스를 사용합니다. 프로젝트 리소스는 동일한 조직의 공유 VPC에만 연결할 수 있습니다. 새 조직으로 이동하는 프로젝트는 공유 VPC 연결을 보존하지 않습니다.

공유 VPC는 공유 VPC가 프로비저닝되는 호스트 프로젝트를 사용하여 구현되고, 서비스 프로젝트는 공유 VPC를 사용하도록 허용됩니다.

Compute Engine 가상 머신(VM)은 VPC 간에 직접 이동할 수 없으며, 이전하거나 다시 만들어야 합니다. VM은 일반적으로 공유 VPC 호스트 프로젝트가 아니라 공유 VPC 서비스 프로젝트 내에서 프로비저닝됩니다.

조직 리소스의 공유 VPC 호스트 프로젝트를 모두 나열하려면 다음을 실행하세요.

gcloud beta compute shared-vpc organizations list-host-projects
ORGANIZATION_ID

여기서 [ORGANIZATION_ID]조직 ID입니다.

위험 완화

  1. GCP Console의 공유 VPC 페이지로 이동합니다.
    공유 VPC 페이지로 이동
  2. 호스트 프로젝트, 공유 VPC 네트워크, 공유 VPC 페이지에 표시된 모든 연결된 서비스 프로젝트의 목록을 만듭니다.
    1. 조직에서 모든 프로젝트를 이전하는 경우 위의 list-host-projects 명령어를 사용하여 공유 VPC 호스트 프로젝트를 모두 나열합니다.
  3. 새 조직의 대응하는 호스트 프로젝트 및 공유 VPC를 프로비저닝합니다. 자세한 지침은 공유 VPC 설정을 참조하세요.
  4. 소스 조직의 공유 VPC에서 이동할 프로젝트를 삭제합니다.
    1. 공유 VPC에 연결된 VM 디스크의 스냅샷을 만듭니다.
    2. 공유 VPC에 연결된 VM을 종료합니다.
    3. VM을 삭제합니다.
    4. 공유 VPC에 연결된 내부 부하 분산기를 삭제합니다.
  5. 스냅샷에서 VM을 복원하고 서비스 프로젝트의 로컬 범위 VPC에 연결합니다.
  6. 이전을 수행합니다.
  7. 이동한 프로젝트를 새로운 공유 VPC에 연결합니다.

VPC 피어링

VPC 피어링은 조직 구성원에 따라 다르게 작동하지 않으므로 Google VPC 피어링을 사용하는 프로젝트는 조직 간에 이동할 수 있습니다. 즉, VPC 피어링이 사용 설정된 조직으로 프로젝트를 이동하면 해당 프로젝트의 피어링이 사용 설정됩니다.

위험 완화

VPC 피어링이 사용 설정된 조직으로 프로젝트를 이동하는 경우 이전하기 전에 해당 피어링의 다른 쪽에 있는 프로젝트를 식별하고 프로젝트의 VPC 피어링을 사용 설정하는 것이 필요한지 확인합니다.

Cloud Interconnect

Dedicated Interconnect 연결이 포함된 프로젝트는 Cloud Interconnect에 정의된 VLAN 연결이 없는 경우에만 새 조직으로 이동할 수 있습니다.

위험 완화

이전하기 전에 이동할 프로젝트에서 모든 VLAN 연결을 삭제합니다.

도메인 이름 변경

소스 조직의 도메인 이름 변경이 수행된 경우 해당 조직에서 프로젝트를 이전하는 추가 단계가 필요할 수 있습니다.

위험 완화

프로젝트를 이전하기 위한 지원 기록을 제출하는 경우 원래 도메인 이름과 새 도메인 이름을 포함하여 도메인 변경 작업의 세부정보를 제공하세요. Google에는 이 시나리오를 처리할 도구가 있지만, 이전을 완료하는 데 추가 시간이 필요할 수 있습니다.

조직 정책

프로젝트를 새 조직으로 이동하면 상속에 따라 해당 프로젝트에 적용되는 정책이 변경될 수 있습니다. 소스 조직의 정책이 대상 조직의 정책과 다를 수 있고, 유효한 조직 정책이 이전 후에 프로젝트에 다르게 영향을 미칠 수 있습니다.

위험 완화

상위 리소스에서 상속하도록 이동할 각 프로젝트의 조직 정책을 설정합니다 이전에 앞서 먼저 정책을 검토하여 새 조직에서 필요한 유효 정책이 포함될 새로운 조직 정책 집합의 생성 계획을 수립해야 합니다.

조직 정책이 상속되는 방법에 대한 자세한 내용은 계층 구조 평가 이해를 참조하세요.

Cloud Billing

Cloud Billing 계정은 조직 전반에서 사용할 수 있습니다. 조직 간에 프로젝트를 이동해도 결제에는 영향을 미치지 않으며 이전 결제 계정에 계속 청구됩니다. 그러나 조직 이동 시에는 새로운 결제 계정으로 이동해야 한다는 요구 사항이 포함되기도 합니다.

프로젝트의 결제 계정 변경

기존 프로젝트의 결제 계정을 변경하려면 프로젝트에 roles/owner 역할이 있어야 하고 대상 결제 계정에 roles/billing.admin 역할이 있어야 합니다. 결제 계정을 변경하는 방법은 다음과 같습니다.

  1. GCP Console에서 결제 페이지로 이동합니다.
    결제 페이지로 이동
  2. 변경할 결제 계정의 이름을 클릭합니다.
  3. 이 결제 계정에 연결된 프로젝트에서 이동할 프로젝트의 이름을 찾고 오른쪽에 있는 메뉴 버튼을 클릭합니다.
  4. 결제 변경을 클릭하고 새 결제 계정을 선택합니다.
  5. 계정 설정을 클릭합니다.

이미 발생했지만 거래 내역에 아직 보고되지 않은 요금은 이전의 결제 계정으로 청구됩니다. 여기에는 프로젝트 이동 시점보다 최대 2일 전 요금이 포함될 수 있습니다.

조직 간 결제 계정 이동

결제 계정은 조직 간에 이동할 수 있지만 반드시 필요한 단계는 아닙니다. 대부분의 기존 조직에는 대신 사용해야 하는 결제 계정이 이미 있습니다. 기존 결제 계정을 이전해야 하는 경우 다음을 수행하세요.

  1. 이전에 필요한 권한을 가져옵니다.
    1. 소스 조직에서 role/resourcemanager.organizationAdmin 권한
    2. 소스 조직 또는 이동할 특정 결제 계정에서 roles/billing.admin 권한
    3. 대상 조직에서 role/resourcemanager.organizationAdmin 권한
    4. 대상 조직에서 roles/billing.admin 또는 roles/billing.creator 권한
  2. GCP Console에서 결제 페이지로 이동합니다.
    결제 페이지로 이동
  3. 이동할 결제 계정의 이름을 클릭합니다.
  4. 개요 페이지 상단에서 조직 변경을 클릭합니다.
  5. 대상 조직을 선택하고 확인을 클릭합니다.

이제 결제 계정이 지정된 조직과 연결됩니다.

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Resource Manager 문서