问题描述
我有 2 个启用并运行 GKE 和各种其他服务的 Google Cloud 项目。 这些项目都没有分配组织资源。项目内部也有很多Users和serviceaccounts用于生产。 对于这些项目,我们使用(示例)adminaccount@example.com。 我想添加 Google Identity Free,以便我能够通过 SSO 使用 Azure AD 用户
因此,我使用用户名 identityadmin@example.com 创建了一个新的 Google 身份帐户,该帐户不是我现有 Gcloud 项目的成员。 域 (example.com) 到目前为止尚未经过验证。
我需要怎么做才能让我的现有项目运行起来? 我首先读到我需要一个组织资源,它将在我验证域后创建。 这样做安全吗?之后我能否将我现有的项目链接到这个新组织,而无需停机和失去现有权限?
我不明白我现有的项目如何能够认可一个新组织,因为它们之间没有联系。
目标当然是不停机。
当然,我会购买 Google 支持,但这只有在您有组织的情况下才有可能,而我没有。 我真的很困惑和困扰。
期待任何建议。 提前谢谢了! 罗兰
解决方法
首先,您需要创建新组织。首先创建一个 Google Workspace 环境(转到 https://admin.google.com 并创建它)。 您可以通过 Google Workspace 免费试用创建组织,然后取消订阅,不用担心,我无需支付任何费用!
其次,使用您的新 Google Workspace 帐户和新用户,转到 https://console.cloud.google.com。在这里,选择您的组织,然后转到 IAM。在此处将在“无组织”组织中创建项目的用户帐户添加为成员,并授予其角色 Organization Administrator
完美。现在,返回到您的用户帐户(刚刚授予)并转到资源管理器。我使用项目选择器窗口去那里
最终,迁移您的项目。从“无组织”中选择一个项目,单击迁移,选择组织并验证。就这样。无停机时间
您的 Cloud Identity 组织在您完成 Cloud Identity 服务的注册和设置步骤后创建
回答您的问题:
我需要怎么做才能让我的现有项目运行起来?
简单的答案是Migrate projects and billing accounts and set permissions 本文档说明了如何授予对结算帐号的访问权限以及如何授予对项目的访问权限
之后我能否将我现有的项目链接到这个新组织,而无需停机和失去现有权限?
为您的域创建 Google Cloud 组织资源后,您可以将现有项目移到组织中。 迁移应该没有服务器停机或影响。
考虑到项目和结算帐户之间的链接会被保留,而不管层次结构如何。
要迁移项目,您将需要以下权限:目标组织的 resourcemanager.projects.create,通常由 Project Creator 角色授予。
resourcemanager.projects.update 和 resourcemanager.projects.setIAMPolicy 用于您要迁移的项目,通常由 所有者 角色授予。
您可以通过以下链接获得更多信息:Migrating projects with no organization
除了联系支持之外,您还可以使用此 link 创建案例,如果您没有组织也没关系。