在GoogleCloudPlatform/cloud-foundation-fabric项目中配置项目级组织策略的实践指南

背景介绍

在Google Cloud Platform环境中，组织策略(Organization Policies)是一种强大的管理工具，它允许管理员在组织、文件夹或项目级别设置约束条件，控制资源的配置和使用方式。其中，sql.restrictAuthorizedNetworks策略特别重要，它决定了是否允许为Cloud SQL实例配置授权网络。

问题场景

在实际项目中，我们经常需要为GKE集群中的Pod配置与Cloud SQL的通信。当Pod使用secondary IP ranges时，需要禁用sql.restrictAuthorizedNetworks策略才能实现这一需求。通过GoogleCloudPlatform/cloud-foundation-fabric项目中的project-factory模块，我们可以方便地在项目创建时配置这些组织策略。

解决方案

1. 项目工厂配置

首先，我们需要在项目工厂的配置文件中定义组织策略。以下是一个完整的配置示例：

# 项目工厂主配置文件
factories_config:
  hierarchy:
    folders_data_path: "data/hierarchy"
  projects_data_path: "data/projects"

# 文件夹层级配置
# 顶层文件夹配置
name: Zeroit
parent: folders/<folder id>

# 开发环境文件夹配置
name: Development

# 项目配置文件
prefix: zk-dev
billing_account: <billing account>
parent: zk/dev
labels:
  team: zk
services:
  - compute.googleapis.com
  - container.googleapis.com
  - storage.googleapis.com
  - sqladmin.googleapis.com
  - servicenetworking.googleapis.com
  - orgpolicy.googleapis.com
org_policies:
  sql.restrictAuthorizedNetworks:
    rules:
      - enforce: false

2. 权限配置关键点

配置组织策略时，服务账号需要特定的权限。常见的权限问题通常表现为：

Error creating Policy: googleapi: Error 403: Permission 'orgpolicy.policies.create' denied

这是因为默认情况下，项目工厂的服务账号可能没有足够的权限来修改组织策略。解决方法是在资源管理(resman)阶段为服务账号配置正确的权限和标签绑定。

3. 权限解决方案

在资源管理配置中，我们需要：

1. 为项目工厂服务账号添加必要的IAM角色
2. 为顶层文件夹添加特定的标签绑定

示例配置如下：

top_level_folders = {
  teams = {
    name = "Teams"
    iam_by_principals = {
      "serviceAccount:project-factory-sa@your-domain.iam.gserviceaccount.com" = [
        "roles/owner",
        "roles/resourcemanager.folderAdmin",
        "roles/resourcemanager.projectCreator",
        "roles/resourcemanager.tagAdmin",
        "roles/resourcemanager.tagUser",
      ]
    }
    tag_bindings = {
      context = "tagValues/<tag-value>"
    }
  }
}

实施注意事项

1. 服务账号权限：确保项目工厂使用的服务账号具有足够的权限，特别是在组织策略管理方面。

2. 标签绑定：context/project-factory标签绑定是解决权限问题的关键，缺少这个绑定可能导致权限不足的错误。

3. API启用：在项目配置中必须启用orgpolicy.googleapis.com服务，否则组织策略相关操作将失败。

4. 策略继承：组织策略具有继承性，项目级的策略设置会覆盖从组织或文件夹继承的策略。

最佳实践建议

1. 最小权限原则：虽然可以直接授予所有者(Owner)角色，但建议创建自定义角色，仅包含必要的组织策略管理权限。

2. 环境隔离：在不同环境(如dev/staging/prod)中采用不同的策略配置，开发环境可以更宽松，生产环境则应更严格。

3. 策略审计：定期审查组织策略配置，确保它们仍然符合业务需求和安全要求。

4. 文档记录：详细记录每个策略的配置原因和预期效果，便于后续维护和故障排查。

通过以上配置和实践，我们可以有效地在GoogleCloudPlatform/cloud-foundation-fabric项目中管理组织策略，满足特定的业务需求，同时保持环境的安全性和可控性。