处理特殊情况

本主题介绍了如何在迁移项目时处理相关的特殊情况。

迁移没有组织资源的项目

您可以迁移未与组织资源关联的项目 组织资源不过，您将无法将其改回为 没有组织使用此流程。如果您的某个项目 但您希望将其还原为 无组织，请联系您的支持代表寻求帮助。

如果您没有对resourcemanager.organizations.get 父级组织资源，那么您的项目 没有在实际组织下按预期呈现。 如需了解详情，请参阅 限制用户的项目公开范围。

迁移未与组织资源关联的项目的过程 流程类似于在组织之间迁移项目 但不需要执行迁移计划中涉及的所有步骤。 如需将项目迁移到组织资源中，您应该遵循 具体步骤：

1. 验证项目将继承的政策对此项目的影响。

2. 在目标位置创建一个专用导入文件夹 组织资源。

3. 按照分配权限所述，分配对项目和目标父级的 Identity and Access Management 权限。

4. 确定是否需要更改结算账号。

然后，您就可以执行迁移。

gcloud beta projects move PROJECT_ID \
    --organization ORGANIZATION_ID

    project = crm.projects().get(projectId=flags.projectId).execute()
    project['parent'] = {
        'type': 'organization',
        'id': flags.organizationId
    }

如果启用了 OS Login， 您需要将 roles/compute.osLoginExternalUser 角色。

共享 VPC

共享 VPC 项目可以根据特定条件进行迁移。首先，在 Google Cloud 中拥有 roles/orgpolicy.policyAdmin 角色的用户 源组织资源必须设置一个包含 constraints/resourcemanager.allowEnabledServicesForExport 对 要导出项目的父级。此限制条件应将 SHARED_VPC 列为 allowed_value。

您无需在迁移前停用共享 VPC。但是，必须先迁移共享 VPC 宿主项目，然后才能迁移其所有服务项目。我们建议您将防火墙规则 源位置和目标位置的组织资源，这应该会最大限度地减少 并避免项目和网络在运行期间发生任何停机问题 迁移。如果存在以下情况，我们不对您的网络的运行状况提供任何保证： 您可以无限期地在源组织资源中保留一些服务项目，同时 迁移其他资源

如果您要迁移宿主项目，可以将其移回源组织资源。对于宿主项目和服务项目可以位于不同组织中的时长，没有确切的截止日期。但是，当您开始迁移服务项目时，必须先迁移所有服务项目，然后再 可以再次迁移宿主项目

自定义 Identity and Access Management 角色

可以创建 Custom Identity and Access Management 角色 组织资源级别，以精细控制对资源的访问， 但它们仅在创建它们的组织资源中有效。 如果您尝试迁移包含 IAM 政策绑定的项目 授予组织资源级自定义 IAM 角色，则迁移将 失败，并显示失败的前提条件错误，说明相关角色确实 不存在于目标组织资源中。

列出组织级别的所有自定义 IAM 角色 资源，请运行以下 Google Cloud CLI 命令：

gcloud iam roles list --organization ORGANIZATION_ID

其中，ORGANIZATION_ID 是组织资源 要为其列出角色的 ID。如需了解如何查找 组织资源 ID，请参阅创建和管理组织资源。

如需获取组织资源中自定义 Identity and Access Management 角色的相关信息， 运行以下 Google Cloud CLI 命令：

gcloud iam roles describe --organization ORGANIZATION_ID \
    ROLE_ID

其中：

• ORGANIZATION_ID 是 角色的父级组织资源。

• ROLE_ID 是您要描述的角色的名称。

如要解决失败的前提条件错误，您应该为项目继承的每个组织级层自定义角色创建等效的项目级层自定义角色。然后，移除引用组织级层自定义角色的 IAM 角色绑定。

项目迁移完毕后，您可以更新 IAM 政策以在目标位置使用组织级自定义角色 组织资源。

如需进一步了解自定义角色，请参阅创建和管理自定义角色。

存储分区锁定

借助 Cloud Storage 存储分区锁定，您可以在 Cloud Storage 存储分区中配置数据保留政策，来管理存储分区中对象必须保留多长时间。存储分区锁定是使用安全锁进行保护，防止意外删除项目。

在迁移过程中，保留政策和安全锁将与项目一起保留， 但如果要迁移的是具有存储桶锁的项目 从而防止意外移动

VPC Service Controls 安全边界

借助 VPC Service Controls，用户可以围绕其 Google Cloud 服务设置基于项目的安全边界，从而降低数据渗漏风险。您无法迁移 VPC Service Controls 安全边界保护的项目。

如需从安全边界中移除项目，请参阅管理服务边界。VPC Service Controls 边界中的项目可能无法在 组织资源。此准则适用于边界创建后一天或 已更新。项目发布后，可能需要过几个小时才能迁移 已从服务边界中移除

专用互连

我们建议使用专用互连迁移项目 具有 VLAN 连接的对象和项目。含 连接的专用互连对象或 VLAN 连接 在组织资源之间迁移后，这些对象将继续正常运行。 唯一的限制是您无法创建新的 VLAN 连接 组织资源分配之间的关系

在具有 专用互连对象或 VLAN 连接 此对象可能不会传播到其他组织资源。 我们建议不要将此类项目拆分到各个组织中 尽可能长时间地延长服务时间

合作伙伴互连

使用合作伙伴互连迁移项目时，无需特别注意。

跨项目服务账号

在迁移跨项目服务账号时，会出现以下情况：

• 如果您要迁移具有跨项目服务账号的项目 之后，该服务账号将继续运作 在目标组织资源中。该项目将继续与 即使有组织政策 会限制 项目。
• 如果您迁移的项目关联了跨项目服务账号 到源组织资源中的其他项目，则该服务账号将 继续在目标组织资源中正常运行。不过，您不会 以便在任何拥有网域的资源上使用该服务账号 为他们应用限制组织政策，限制他们只能 来源组织资源的网域。

例如，假设您在 organizations/12345678901 中拥有 project-A。此项目附加了 serviceAccount-1，用于将其设置为跨项目服务账号。project-B 和 project-C 也同样位于 organizations/12345678901 并且同样使用 serviceAccount-1。

您已将一项具有网域限制条件的组织政策应用于 project-C，从而仅允许它访问 organizations/12345678901. 的网域

如果将 serviceAccount-1 添加到 project-C 的 IAM 绑定中， 然后将 project-A 迁移到 organizations/45678901234 正常运行。

如果您将 project-A 迁移到 organizations/45678901234，然后尝试将 serviceAccount-1 添加到 project-C 的 IAM 绑定， 绑定将失败，因为它违反了网域限制条件。

支持案例

如果要迁移的项目有未处理的支持请求，您需要联系 您的 Google 支持联系人，告知迁移已完成。不限 具有未处理 Google 支持请求的项目将无法查看 这些支持请求，直到 Google 支持团队将支持请求元数据更新为指向 新的组织资源。

OAuth 权限请求页面

如果您的项目配置为使用 内部 OAuth 同意屏幕 而您将该资源迁移到了另一个组织资源， 目标组织资源可以授权请求。此过程最多可能需要 24 小时 此行为生效的时间。在此之前 组织资源可以授权请求。

以下步骤说明了如何确保源组织的成员 资源在迁移过程中不会失去访问权限。请考虑在以下位置创建新用户： 组织资源成员的目标组织资源，以便 您无需更改 OAuth 权限请求页面配置。

为避免源组织资源的成员失去访问权限，请执行以下操作：

1. 将 OAuth 同意屏幕更新为外部而不是内部。

2. 被标记为内部使用的应用 敏感数据 无需申请应用验证。如果应用使用敏感数据， 那么，当同意屏幕更新为外部用户时，来源用户 组织资源会看到一个 “未验证的应用”屏幕 。为了避免这种情况，请针对使用敏感或受限范围的应用进行应用验证。

OS Login

如果启用了 OS Login， 您的源项目，则需要分配 roles/compute.osLoginExternalUser 角色 任何有权访问该项目的主账号。这样可以确保这些主账号 不会失去对目标组织资源的访问权限。

虚拟机 (VM) 实例的共享预留

在共享预留中，创建预留的项目 (owner 项目）或预留的任何共享项目（使用方） project）可通过创建虚拟机实例来使用预留。 您只能与以下组织中同一项目内的项目共享预留： 所有者项目。

将所有者或使用方项目迁移到其他组织后， 会发生以下情况：

• 如果您将所有者项目迁移到其他组织， Compute Engine 会删除所有者项目创建的任何预留。正在运行的虚拟机实例不受影响。
• 如果您将使用方项目迁移到其他组织，则该使用方 项目会停止使用上一个共享预留中的资源， 组织。

如需了解详情，请参阅共享预留的工作原理。

将服务账号附加到资源

对于大多数 Google Cloud 服务，用户需要使用 iam.serviceAccounts.actAs 权限，从而将该服务账号附加到资源。 但过去，为了简化新手入门流程，用户可以 将服务账号附加到资源，即使用户无权 来模拟服务账号请参阅需要相应权限以 将服务账号附加到 资源。

如果客户的源组织资源存在旧版行为（服务 无需正常角色授予即可关联），且 目标组织资源未授予，请授予 Service Account User 角色 (roles/iam.serviceAccountUser) 附加到将这些服务账号关联到 资源。有关您需要附加服务的权限的信息 请参阅服务账号的角色 身份验证。

如需查看您的组织资源是否具有旧版行为，请执行以下操作：

1. 在 Google Cloud 控制台中，转到组织政策页面。

   转到“组织政策”页面

2. 从页面顶部的项目选择器中，选择组织 要检查其旧状态的资源。

3. 在组织政策列表顶部的过滤条件框中，输入 constraints/appengine.enforceServiceAccountActAsCheck。

4. 如果 appengine.enforceServiceAccountActAsCheck 组织政策 出现，则表示组织资源具有旧版行为。

5. 针对以下每项组织政策重复第 3 步和第 4 步 限制条件：

   • appengine.enforceServiceAccountActAsCheck
   • dataflow.enforceComputeDefaultServiceAccountCheck
   • dataproc.enforceComputeDefaultServiceAccountCheck
   • composer.enforceServiceAccountActAsCheck

6. 如果出现这些组织政策限制中的任何一项，您的组织 使用旧版行为。

如果源组织资源具有旧版行为和目标位置 没有，则授予上述角色。如果同时包含来源和目标 组织资源存在旧版行为，您无需执行任何操作，但 可以考虑执行此政策，以防出现意外的假冒行为。

使用 Analytics Hub 迁移项目

如果您将使用 Analytics Hub 的项目迁移到 组织资源，则可能会遇到一些错误。接收者 请与支持团队联系。

如果来自旧组织的数据交换资源不是 可在新版 Analytics Hub 的 Analytics Hub 管理员页面中找到 使用 Analytics Hub API 更新数据 新组织中的广告交易平台。

使用 projects.locations.dataExchanges.patch 方法。

PATCH https://analyticshub.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/dataExchanges/DATA_EXCHANGE_ID?update_mask=UPDATE_DX_FIELD -d { UPDATE_DX_FIELD:UPDATE_DX_VALUE }

替换以下内容：

• PROJECT_ID 是项目的唯一标识符。
• LOCATION 是数据交换的位置。
• DATA_EXCHANGE_ID 是数据交换的 ID。
• UPDATE_DX_FIELD 是要更新的字段。
• UPDATE_DX_VALUE 是该字段的更新值。

使用备份和灾难恢复服务迁移项目

您需要先停用备份和灾难恢复服务，然后才能将项目迁移到 组织资源。目前，当服务被停用时，发生了中断 您需要考虑的风险。完成向新的组织资源的迁移后，您应重新启用备份和灾难恢复服务。

后续步骤

如需了解如何执行迁移，请参阅执行迁移。