Google Cloud Foundation Fabric项目中资源层级管理的实践指南

概述

在Google Cloud Foundation Fabric（简称FAST）框架中，资源层级管理是一个关键环节。本文将深入探讨如何在该框架下实现团队与环境的资源隔离，特别是解决1-resman和3-project-factory阶段在资源层级管理上的兼容性问题。

资源层级管理的基本概念

FAST框架通过模块化设计来管理Google Cloud资源。其中1-resman阶段负责基础资源管理，3-project-factory阶段则专注于项目创建。理想情况下，开发者希望实现以下资源结构：

teams
   - platform
        - dev
           - telemetry-dev
         - prod
           - telemetry-prod
    - zk
        - dev
           - zk-validator-dev
         - prod
           - zk-validator-prod

技术挑战分析

1. 团队文件夹功能缺失

虽然文档提到1-resman阶段支持teams功能，但实际变量文件中并未实现这一特性。这导致开发者无法直接创建团队层级的文件夹结构。

2. 跨环境权限问题

3-project-factory阶段为每个环境创建单独的服务账号（如dev环境使用<prefix>-dev-resman-pf-0@<prefix>-iac-core-0.iam.gserviceaccount.com），但这些账号默认缺乏创建文件夹的权限，导致环境间资源隔离实现困难。

解决方案

主服务账号模式

最新版本的FAST引入了"main"项目工厂服务账号，这一账号可以跨环境管理资源层级。这一改进解决了环境间资源隔离的权限问题。

实现步骤

1. 权限配置：为主服务账号授予对顶级文件夹的适当权限，确保其能够创建和管理子文件夹结构。

2. 环境标记：在项目工厂层级结构中，通过标签绑定（tag bindings）来区分dev和prod环境。

3. 层级设计：采用以下模式构建资源结构：

   • 顶层为团队文件夹
   • 每个团队文件夹下包含环境子文件夹（dev/prod）
   • 环境文件夹下创建具体项目

最佳实践建议

1. 权限管理：确保主服务账号拥有足够的权限来创建和管理整个资源层级结构。

2. 环境隔离：利用标签系统清晰地标记不同环境，便于后续管理和审计。

3. 渐进式实施：先在小规模测试环境中验证资源层级设计，确认无误后再扩展到生产环境。

4. 文档记录：详细记录资源层级结构和权限配置，便于团队协作和后续维护。

总结

通过合理配置主服务账号和利用标签系统，开发者可以在FAST框架中实现复杂的团队和环境资源隔离。这一方案不仅解决了原始问题，还为大规模云资源管理提供了可扩展的模式。随着FAST框架的持续演进，建议开发者关注官方文档更新，及时了解新的最佳实践和功能增强。