Last reviewed 2025-05-15 UTC
Google Cloud 中用來管理資源的根節點是機構。 Google Cloud 組織提供資源階層,為資源提供擁有權結構,並為機構政策和存取權控管提供附加點。資源階層結構包含資料夾、專案和資源,可定義機構內 Google Cloud 服務的結構和用途。
階層中較低層級的資源會繼承政策,例如 IAM 允許政策和機構政策。根據預設,系統會拒絕所有存取權限,直到您直接將允許政策套用至資源,或是資源繼承資源階層中較高層級的允許政策為止。
下圖顯示由範本部署的資料夾和專案。
以下各節將說明圖表中的資料夾和專案。
資料夾
範本會使用資料夾,根據專案環境將其分組。這個邏輯群組用於在資料夾層級套用設定,例如允許政策和機構政策,然後資料夾中的所有資源都會繼承這些政策。下表說明藍圖中的資料夾。
| 資料夾 | 說明 |
|---|---|
bootstrap |
包含用於部署基礎元件的專案。 |
common |
包含所有環境共用的資源專案。 |
production |
包含含有實際資源的專案。 |
nonproduction |
包含正式上線環境的副本,可讓您在將工作負載提交至正式上線環境前進行測試。 |
development |
包含用於開發的雲端資源。 |
networking |
包含所有環境共用的網路資源。 |
專案
藍圖會使用專案,根據個別資源的功能和存取控制的預期邊界將其分組。下表說明藍圖中包含的專案。
| 資料夾 | 專案 | 說明 |
|---|---|---|
bootstrap |
prj-b-cicd |
包含用於建構機構基礎元件的部署管道。詳情請參閱部署方法。 |
prj-b-seed |
包含基礎架構的 Terraform 狀態,以及執行管道所需的 Terraform 服務帳戶。詳情請參閱部署方法。 | |
common |
prj-c-secrets |
包含機構層級的密鑰。詳情請參閱「使用 Secret Manager 儲存應用程式憑證」一文。 |
prj-c-logging |
包含稽核記錄的匯總記錄來源。詳情請參閱「集中記錄安全性和稽核資訊」。 | |
prj-c-scc |
包含可協助設定 Security Command Center 警示和其他自訂安全監控的資源。如需更多資訊,請參閱「使用 Security Command Center 監控威脅」。 | |
prj-c-billing-export |
包含組織帳單匯出資料的 BigQuery 資料集。詳情請參閱「在內部成本中心之間分配成本」。 | |
prj-c-infra-pipeline |
包含基礎架構管道,可部署工作負載所需的資源,例如 VM 和資料庫。詳情請參閱「管道層」。 | |
prj-c-kms |
包含用於在共用資料夾中加密共用服務的加密金鑰。詳情請參閱「管理加密金鑰」。 | |
networking |
prj-net-{env}-svpc |
包含共用虛擬私有雲網路的主專案。詳情請參閱「網路拓撲」。 |
prj-net-hub |
包含共用虛擬私有雲網路,用於做為內部部署環境和輻條之間的中樞。 Google Cloud 這個專案只能在樞紐與輻射狀拓撲中建立。詳情請參閱網路拓撲。 | |
prj-net-interconnect |
包含 Cloud Interconnect 連線,可在內部部署環境和Google Cloud之間提供連線。詳情請參閱「混合式連線」。 | |
環境: -
development (d) |
prj-{env}-{workload_name_or_id} |
包含各種工作負載專案,您可以在其中為應用程式建立資源。詳情請參閱專案部署模式和管道層。 |
prj-{env}-secrets |
包含資料夾層級密鑰。詳情請參閱「使用 Secret Manager 儲存及稽核應用程式憑證」。 | |
prj-{env}-kms | 包含用於加密各環境資料夾內服務的加密金鑰。詳情請參閱「管理加密金鑰」。 |
資源擁有權的治理
建議您一律在專案中套用標籤,以利治理和費用分配。下表說明在藍圖中為管理目的而新增至每個專案的專案標籤。
| 標籤 | 說明 |
|---|---|
application |
與專案相關聯的應用程式或工作負載的易讀名稱。 |
businesscode |
說明專案擁有者是哪個業務單位的短碼。代碼 shared 用於未明確與業務單位相關聯的一般專案。 |
billingcode |
用於提供退款資訊的代碼。 |
primarycontact |
負責專案的主要聯絡人的使用者名稱。由於專案標籤不得包含特殊字元 (例如 @),因此請將其設為使用者名稱,但不要加上 @example.com 後置字串。 |
secondarycontact |
負責專案的次要聯絡人使用者名稱。由於專案標籤不得包含 @ 等特殊字元,請只設定使用者名稱,不要加上 @example.com 後置字串。 |
environment |
這個值可識別環境類型,例如 bootstrap、common、production、non-production,development 或 network. |
envcode |
這個值可識別環境類型,縮寫為 b、c、p、n、d 或 net。 |
vpc |
這個專案預計要使用的虛擬私有雲網路 ID。 |
Google 可能會不定期傳送重要通知,例如帳戶停權或產品條款更新。範本會使用 Essential Contacts,將這些通知傳送至您在部署期間設定的群組。重要聯絡人會在機構節點中設定,並由機構中的所有專案繼承。建議您查看這些群組,確保電子郵件可靠地受到監控。
與在專案標籤中設定的 primarycontact 和 secondarycontact 欄位不同,重要聯絡人的用途有所不同。專案標籤中的聯絡人是用於內部管理。舉例來說,如果您在工作負載專案中發現不符合規定的資源,且需要與擁有者聯絡,可以使用 primarycontact 欄位找出負責該工作負載的人員或團隊。
後續步驟
- 請參閱網路相關說明 (本系列的下一篇文件)。