Google Cloud：资源层级

Source: Dev.to

TL;DR

• Google Cloud 采用四层层级结构：组织 → 文件夹 → 项目 → 资源。
• 策略会被继承：在上层设置的规则会自动应用到所有下层。
• 一个项目有三个不同的标识符：名称（可描述、可修改）、项目 ID（唯一、不可变，用于 API/CLI）和项目编号（内部的数字标识符）。

组织节点：控制的起点

组织节点是层级结构的根，允许使用文件夹，这是企业环境中必不可少的。这里定义适用于整个公司的规则。

组织层级的关键角色

• roles/resourcemanager.organizationAdmin – Organization Policy Administrator：管理全局安全策略。
• roles/resourcemanager.projectCreator – Project Creator：授权创建新项目。

**注意：**这些角色会影响整个云环境，分配时需格外谨慎。

文件夹（Folders）

文件夹反映公司的结构（团队、部门、业务线、环境），是保持长期有序的关键。

主要优势

1. 委派管理
   • 团队可以在不访问组织其他部分的情况下管理自己的项目。
2. 应用一致的策略
   • 文件夹是定义通用规则（安全、访问、配额）的理想位置，避免对每个项目手动配置。

项目

项目是 Google Cloud 中运营的核心：所有操作（创建 VM、启用 API、分配权限）都在项目内部进行。

基本概念

• Google Cloud 服务在项目层级上启用。
• 计费关联到项目。
• 每个资源只能属于一个项目（不存在“孤儿”资源）。
• 项目可以通过 Resource Manager API 以编程方式管理。

项目标识符

资源

资源（VM、存储桶、数据库等）属于单个项目，并继承在 组织、文件夹 或 项目 级别定义的策略。

策略继承

• 组织层级的策略适用于整棵树。
• 文件夹层级的策略适用于其下的所有项目。
• 项目层级的策略适用于该项目下的所有资源。

这种机制减少手动配置，降低错误率，提升控制力。

为什么层级结构很重要

• 一致性：在整个基础设施上统一应用策略。
• 委派：在不失去中心控制的前提下，将职责分配给特定团队。
• 安全与成本：通过继承的规则监控访问和费用。

尽早掌握这个概念，未来可以省下很多麻烦。

祝云上工作顺利！ 💪