迁移 Cloud de Confiance by S3NS 项目是一种元数据操作,用于更改项目在资源层次结构中的 位置。本页概述了迁移的工作原理、项目移至新组织时哪些内容保持不变,以及哪些内容会发生变化。
资源层次结构中的项目
项目资源是 Cloud de Confiance by S3NS 组织资源中的基本级层组织实体。项目在组织资源下创建,并且可以 置于文件夹或组织资源本身之下,形成资源层次结构。
由于收购、监管要求或业务部门分离,您可能需要在组织资源之间迁移项目。您可以使用 Resource Manager API 迁移这些项目;该 API 还允许您回滚迁移,并在必要时将项目移回层次结构中的原始位置。
迁移场景
项目的所在位置决定了您要采取的路径:
- 将项目从一个组织迁移到另一个组织资源。
- 将独立项目(在没有组织的情况下创建)迁移到组织资源的层次结构中。
确定项目的当前状态
在开始之前,您必须确定项目是否与组织资源相关联。这决定了您是遵循“组织到组织” 路径,还是“无组织”路径。
如果您没有对项目的父组织资源的 resourcemanager.organizations.get 权限,则您的项目可能不会在控制台中实际组织下按预期反映。Cloud de Confiance 这可能会使您看起来项目与任何组织资源都不关联。
如需确定项目是否与组织资源相关联,请运行以下命令:
gcloud
gcloud projects describe PROJECT_ID
将 PROJECT_ID 替换为您要 迁移的项目的 ID。
如果输出包含 parent 字段,则您的项目已是组织层次结构的一部分。
如果 parent 字段缺失或为空,则该项目是独立项目,没有组织资源。
根据项目的状态,按照相关指南操作:
- 如果要迁移在没有关联 组织的情况下创建的项目,请参阅 迁移未与组织资源关联的项目。
- 如果要将项目从一个组织迁移到另一个组织 资源,请参阅在组织资源之间迁移项目。
迁移的工作原理
项目迁移不是数据传输。您的服务、数据库和虚拟机 (VM) 实例保持活跃状态,不会发生停机。相反,迁移会更新项目的父资源。由于 Cloud de Confiance by S3NS 遵循 分层继承模型,因此项目在附加到新父项后,其安全态势会立即发生变化。
| 功能 | 状态 | 影响 |
|---|---|---|
| 项目 ID 和编号 | 保持不变 | API 密钥、服务名称和硬编码的 ID 保持不变。 |
| 数据和资源 | 保持不变 | 虚拟机、存储分区和数据库保持在线状态。 |
| 直接 IAM 角色 | 保持不变 | 直接在项目上授予的角色会随项目一起移动。 |
| 继承的 IAM 角色 | 发生变化 | 在源组织或文件夹级层授予的角色会丢失。 |
| 组织政策 | 发生变化 | 源限制条件会被目标限制条件替换。 |
| 配额 | 发生变化 | 继承的组织级层配额会丢失;项目级层配额保持不变。 |
| 结算账号 | 保持不变 | 项目仍与原始结算账号相关联。 |
配额影响
如果您在特定资源级层定义了配额,则迁移后会应用以下方面:
- 在项目级层定义的任何配额都保持不变。
- 在组织资源级层定义的任何配额都不会转移。 组织会丢失任何继承的配额。
您可以使用以下页面来确定哪些配额应用于组织资源:
示例
$ gcloud alpha services quota list --service=compute.googleapis.com --consumer=projects/workloadyee --filter="metric: compute.googleapis.com/cpus"
...
- defaultLimit: '600'
dimensions:
region: us-central1
effectiveLimit: '650'
...
重要考虑因素
在开始迁移之前,请查看以下高风险区域,以防止服务中断:
配额限制:如果目标组织的配额限制低于源组织,则您的项目在到达时可能会超出其配额。
共享 VPC:您无法迁移附加到共享 VPC 的项目。 您必须先将项目从源共享 VPC 中分离,然后才能移动该项目。
自定义角色:如果您的项目依赖于在组织级层定义的自定义 IAM 角色,则这些角色在目标组织中不存在。请在移动之前在目标组织中重新创建这些角色。
迁移路线图
按照以下路线图浏览项目迁移过程: