Table of contents
Trong bài này, chúng ta sẽ tìm hiểu về hệ thống phân cấp tài nguyên trong Google Cloud. Hệ thống phân cấp tài nguyên của Google Cloud có 4 cấp độ và bắt đầu từ dưới lên là Resources (tài nguyên), Projects (dự án), Folders (thư mục) và Organization node (tổ chức).
Resources
Ở cấp độ đầu tiên là tài nguyên. Tài nguyên ở đây có thể là các máy áo, storage, các table trong BigQuery hoặc bất cứ thứ gì trong Google Cloud. Các tài nguyên được tổ chức thành các dự án, nằm ở cấp độ thứ 2. Các dự án được tổ chức thành các thư mục hoặc thậm chí là các thư mục con nằm ở cấp độ thứ 3. Và ở cấp độ cao nhất là các Organization node (tổ chức), bao gồm tất cả các dự án, thư mục và tài nguyên trong tổ chức của bạn.
Hệ thống phân cấp tài nguyên rất quan trọng vì nó liên quan trực tiếp đến cách quản lý và áp dụng các chính sách khi bạn sử dụng Google Cloud. Các chính sách này có thể nằm ở cấp độ Projects, Folders và Organization. Một số dịch vụ của Google Cloud cũng có các chính sách riêng cho mỗi tài nguyên.
Các chính sách này cũng có tính chất kế thừa từ trên xuống. Nghĩa là nếu bạn áp dụng chính sách cho một Folder thì chính sách đó cũng sẽ được áp dụng cho tất cả dự án trong Folder đó.
Projects
Chúng ta sẽ tìm hiểu chi tiết hơn về cấp độ Projects mốt chút vì nó khá quan trọng. Projects (dự án) là cơ sở để kích hoạt và sử dụng các dịch vụ của Google Cloud như quản lý API, bật tính năng thanh toán, thêm và xoá cộng tác viên cũng như kích hoạt các dịch vụ khác của Google.
Mỗi dự án là một đối tượng độc lập trong tổ chức và mỗi tài nguyên chỉ thuộc về chính xác một dự án. Các dự án có thể có nhiều người dùng khác nhau vì mỗi người dùng sẽ có một nhiệm vụ riêng, ví dụ như quản lý hoặc thanh toán hoá đơn.
Mỗi dự án Google Cloud đều có 3 thuộc tính nhận dạng là ID, tên và mã số dự án. ID dự án là giá trị nhận dạng duy nhất do Google chỉ định và không thể thay đổi. ID dự án được sử dụng trong các ngữ cảnh khác nhau để Google Cloud phân biệt các dự án. Còn tên dự án là do người dùng tạo, có thể không phải là duy nhất và có thể thay đổi bất cứ lúc nào. Google Cloud cũng gán cho mỗi dự án một mã số duy nhất. Các con số này được Google Cloud sử dụng nội bộ để theo dõi tài nguyên.
Resource Manager Tool của Google có thể giúp bạn quản lý các dự án của mình. Công cụ này cung cấp các API có thể thu thập danh sách tất cả các dự án được liên kết với tài khoản, tạo dự án mới, cập nhật và xoá dự án. Nó thậm chí có thể khôi phục các dự án đã bị xoá trước đó và có thể truy cập thông qua RPC và REST API.
Folders
Cấp thứ 3 của hệ thống phân cấp tài nguyên trong Google Cloud là các Folders (thư mục). Các thư mục cho phép bạn áp dụng các chính sách cho tài nguyên. Các tài nguyên trong folder kế thừa các chính sách và quyền được gán cho folder đó.
Một folder có thể chứa dự án, folder khác hoặc cả hai. Bạn có thể sử dụng các thư mục để nhóm các dự án trong tổ chức. Ví dụ: Tổ chức của bạn có nhiều phòng ban, mỗi phòng ban đều có các tài nguyên Google Cloud riêng. Các thư mục cho phép bạn nhóm các tài nguyên này theo từng phòng ban. Các phòng ban cũng có thể áp dụng các chính sách độc lập để phù hợp với công việc.
Như mình đã nói ở trên, tài nguyên trong thư mục sẽ kế thừa các chính sách và quyề của thư mục đó. Ví dụ nếu bạn có hai dự án khác nhau do cùng một nhóm quản lý, bạn có thể áp dụng chính sách cho thư mục chứa hai dự án này để chúng có cùng quyền.
Organization
Để sử dụng các thư mục thì bạn phải có tổ chức (Organization), đây là tài nguyên cao nhất trong hệ thống phân cấp của Google Cloud. Tổ chức cung cấp một số vai trò đặc biệt. Ví dụ bạn có thể chỉ định quản trị viên chính sách của tổ chức để chỉ người này mới có quyền thay đổi chính sách. Bạn cũng có thể chỉ định người tạo dự án.
Nếu công ty bạn là khách hàng của Google Workspace (có domain riêng) thì các dự án mới mà bạn tạo sự tự động thuộc về tổ chức của bạn. Còn không thì bạn có thể sủ dụng Cloud Identity để tạo tổ chức. Sau khi tạo thì bất kỳ ai trong tổ chức cũng đều có thể tạo dự án và thanh toán.
Và đó là tất cả về hệ thống phân cấp tài nguyên trong Google Cloud.