Bạn có thể thấy dễ dàng nhất để hiểu hệ thống phân cấp tài nguyên GCP từ dưới lên. Tất cả các tài nguyên bạn sử dụng, cho dù chúng là máy ảo (Compute), nơi lưu trữ đám mây (Cloud storage), bảng và Big Query hoặc bất kỳ thứ gì khác trong GCP đều được sắp xếp thành các dự án (Project).
Tùy chọn, các dự án này có thể được tổ chức thành các thư mục (Folders). Các thư mục có thể chứa các thư mục khác. Tất cả các thư mục (Folders) và dự án (Project) được sử dụng bởi tổ chức của bạn có thể được tập hợp lại dưới một nút tổ chức(Org Node).
Các dự án (Project), thư mục (Folders) và các nút tổ chức (Org Node) là tất cả các vị trí có thể xác định chính sách. Một số tài nguyên GCP, cho phép bạn đặt chính sách cho từng tài nguyên (Sử dụng IAM để đặt các quyền truy cập ..).
Các chính sách được kế thừa xuống trong hệ thống phân cấp. Tất cả tài nguyên nền tảng Google Cloud thuộc về một dự án (Org Node). Các dự án là cơ sở để kích hoạt và sử dụng các dịch vụ GCP như quản lý API, cho phép thanh toán,thêm, xóa cộng tác viên và cho phép các dịch vụ khác của Google.
Mỗi dự án (Project) là một nơi riêng biệt và mỗi tài nguyên thuộc một dự án không ảnh hưởng tới các dự án khác. Các dự án có thể có chủ sở hữu và người dùng khác nhau, chúng được xây dựng riêng biệt và chúng được quản lý riêng.
Mỗi dự án GCP có một tên và ID dự án mà bạn chỉ định. ID dự án là một định danh không thể thay đổi vĩnh viễn và nó phải là duy nhất trên toàn GCP. Bạn sử dụng ID dự án trong một số ngữ cảnh để cho GCP biết dự án nào bạn muốn làm việc. Mặt khác, tên dự án là để thuận tiện cho bạn và bạn có thể gán chúng. GCP cũng chỉ định cho mỗi dự án của bạn một số dự án duy nhất và bạn sẽ thấy màn hình hiển thị cho bạn trong các bối cảnh khác nhau.
Hình 1: Các thuộc tính của một dự án (Project)
Ví dụ: bạn có thể sử dụng các thư mục để đại diện cho các phòng ban, nhóm, ứng dụng hoặc môi trường khác nhau trong tổ chức của bạn. Các thư mục cho phép các nhóm có khả năng ủy quyền quản trị, do đó họ có thể làm việc độc lập. Các tài nguyên trong một thư mục kế thừa tôi là các chính sách từ thư mục. Vì vậy, nếu dự án 3 và 4 được quản lý bởi cùng một nhóm theo thiết kế, bạn có thể đặt IAM chính sách vào thư mục B thay thế.
Hình 2: Mô tả việc sử dụng Folder
Làm theo cách khác, đặt các bản sao của các chính sách đó vào dự án 3 và dự án 4 sẽ rất dễ bị lỗi. Một lời cảnh báo, để sử dụng các thư mục, bạn cần một nút tổ chức ở đầu phân cấp. Vậy đó là cái gì? Bây giờ hãy nói về nó.
Hình 3: Mô tả việc tạo project
Nếu bạn có miền G Suite, các dự án GCP sẽ tự động thuộc về nút tổ chức của bạn. Nếu không, bạn có thể sử dụng google cloud nhận dạng để tạo một. Đây là một mẹo, khi bạn nhận được một nút tổ chức mới, nó cho phép bất kỳ ai trong miền tạo dự án và tài khoản thanh toán giống như trước đây. Đó là để tránh những gián đoạn. Nhưng đó là bước đầu tiên tuyệt vời với một nút tổ chức mới để quyết định ai trong nhóm của bạn sẽ thực sự có thể làm những việc đó. Khi bạn có một nút tổ chức, bạn có thể tạo các thư mục bên dưới nó và đặt nó trong các dự án.
Đây là một ví dụ về cách bạn có thể tổ chức các tài nguyên của mình.
Có một quy tắc quan trọng cần ghi nhớ. Các chính sách được triển khai ở cấp cao hơn trong hệ thống phân cấp này không thể lấy đi quyền truy cập được cấp ở cấp thấp hơn. Ví dụ: giả sử rằng chính sách được áp dụng cho dự án (Project) giá sách cung cấp cho người dùng PAC quyền sửa đổi nhóm lưu trữ đám mây, nhưng chính sách ở cấp tổ chức (Org Node) nói rằng PAC chỉ có thể xem các nơi lưu trữ đám mây (Google cloud storage) không thay đổi chúng. Chính sách nhiều quyền hơn là chính sách có hiệu lực. Hãy ghi nhớ điều này khi bạn thiết kế các chính sách của mình.
Nguồn: Bài viết được dịch từ Google cloud Architecture
Bạn có thể tham khảo khóa học này tại link sau: https://www.coursera.org/specializations/gcp-architecture
0 Nhận xét