PProfessNet Academy
Google Cloud (GCP) — fundamenty/01intro11 min

Organizacja, projekty i foldery

W Google Cloud podstawową jednostką jest projekt — to w nim żyją wszystkie zasoby i to do niego przypisane są rozliczenia. Projekty układają się w hierarchię, w której polityki dziedziczą się z góry na dół. To fundament governance i punkt wejścia konektora ZEUS.

Hierarchia zasobów

GCP ma cztery poziomy, od góry:

PoziomCo to jestPrzykład
Organizacjakorzeń, powiązany z domeną Workspace/Cloud Identityprofessnet.pl
Foldergrupa projektów (np. per dział/środowisko)prod, dev
Projektgranica zasobów, rozliczeń i APIzeus-prod-4471
Zasóbkonkretna usługaVM, bucket, baza

Polityki IAM ustawione na organizacji dziedziczą się na foldery, te na projekty, a projekty na zasoby. To kluczowa różnica wobec AWS — w GCP uprawnienia spływają w dół przez całą hierarchię.

Projekt — centrum grawitacji

Każdy zasób należy do dokładnie jednego projektu. Projekt ma:

  • unikalny Project ID (np. zeus-prod-4471, niezmienny),
  • Project Number (numeryczny),
  • powiązane konto rozliczeniowe (billing account),
  • zestaw włączonych API (usługi trzeba aktywować przed użyciem).
# Lista projektów
gcloud projects list

# Hierarchia zasobów organizacji
gcloud organizations list
gcloud resource-manager folders list --organization=<org-id>

Tworzenie i konfiguracja projektu

gcloud projects create zeus-demo-4472 \
  --folder=<folder-id> --name="ZEUS Demo"

# Włącz potrzebne API
gcloud services enable compute.googleapis.com \
  storage.googleapis.com --project=zeus-demo-4472

Wskazówka: organizuj projekty po środowisku i zespole, a nie "wszystko w jednym". Folder prod z restrykcyjną polityką IAM na poziomie folderu automatycznie chroni wszystkie projekty produkcyjne — bez powielania reguł.

Organization Policies

Poza IAM (kto może co) GCP ma Organization Policy Service — bariery (constraints) ograniczające jak można używać zasobów, np. zakaz tworzenia VM z publicznym IP czy wymuszenie konkretnych regionów. To odpowiednik SCP z AWS.

Jak to widzi ZEUS

ZEUS łączy się z GCP na poziomie organizacji i przez Cloud Asset Inventory odczytuje całą hierarchię: organizacja → foldery → projekty → zasoby, wraz z dziedziczonymi politykami IAM i Organization Policies. Dzięki temu z jednego punktu buduje pełną mapę środowiska klienta. Szczegóły konektora omawiamy w lekcji 06.

W następnej lekcji: IAM i konta usług (service accounts).