Grundeinrichtung mit dem Fabric FAST-Toolkit

Auf dieser Seite wird beschrieben, wie Sie mit dem Fabric FAST-Terraform-Framework eine neue „Starter“-Organisation einrichten. Sie können Projekte, Ordner und mehr jederzeit manuell erstellen. Mit der einfachen Einrichtung von Fabric FAST können Sie jedoch schnell mit sicheren, gut getesteten Standardeinstellungen loslegen, ohne den Verwaltungsaufwand einer großen Unternehmenseinrichtung.

Diese Seite richtet sich an Administratoren, die eine neue Organisation inCloud de Confiancekonfigurieren müssen. Wir empfehlen diese Option, wenn eines der folgenden Szenarien auf Ihre Organisation zutrifft:

• Sie haben nur wenig Erfahrung mit der Cloud-Konfiguration und Terraform.
• Sie erwarten, dass ein einzelnes Team (oder sogar ein einzelner Entwickler) den gesamten Stack End-to-End verwaltet. Das kann passieren, wenn Sie ein kleines Unternehmen oder ein Start-up sind oder einen Proof-of-Concept entwickeln.

Nachdem Sie diese Einrichtung abgeschlossen haben, können Sie Ihre neue Organisation weiterhin mit Terraform verwalten oder zur Google Cloud CLI oder zur Cloud de Confiance Console wechseln.

Wenn Sie komplexere organisatorische oder technische Anforderungen haben oder Fabric FAST bereits mit Google Cloud verwendet haben, empfehlen wir Ihnen, direkt zu Einrichtung für Unternehmen mit Fabric FAST zu wechseln, um mehr über die FAST-Phasen zu erfahren und mit unserer klassischen Konfiguration zu beginnen. Wenn Sie sich immer noch nicht sicher sind, welche Option für Sie infrage kommt, lesen Sie den Abschnitt Welche Fabric FAST-Einrichtung ist für mich geeignet?.

Was sollte ich zuerst wissen?

Bevor Sie diesen Leitfaden lesen, sollten Sie Folgendes tun:

• Machen Sie sich mit den grundlegenden Cloud de Confiance Konzepten vertraut, die in der Cloud de Confiance Übersicht beschrieben werden.

• Cloud de Confiance Ressourcenhierarchie, einschließlich Organisationen, Ordnern und Projekten.

• Lesen Sie die Einrichtungsübersicht, insbesondere Informationen zu Fabric FAST. Bei der in diesem Dokument beschriebenen grundlegenden Einrichtung wird eine spezielle Fabric FAST-Konfiguration verwendet, die speziell auf Ihr Universum ausgerichtet ist und eine sofort einsatzbereite Organisation bietet. Alles wird in einem einzigen Schritt erstellt.

Es ist hilfreich, mit Terraform vertraut zu sein, aber Sie müssen kein erfahrener Terraform-Nutzer sein, um diese Anleitung zu verwenden.

Was erhalte ich mit diesem Setup?

Die „Starter“-Konfiguration von Fabric FAST ist relativ einfach und bietet einen grundlegenden, nutzbaren Ausgangspunkt für Ihre Organisation. Das steht im Gegensatz zur „klassischen“ Einrichtung, die eine umfassende Ressourcenhierarchie auf Unternehmensniveau umfasst und bei der die Konfiguration schrittweise aufgebaut wird.

Nach der Einrichtung enthält Ihre Organisationsressource Folgendes:

• Zwei Umgebungsordner, einer für die Entwicklung und einer für die Produktion. Sie werden automatisch getaggt, damit Sie Kosten nachverfolgen und Richtlinien pro Umgebung anwenden können.
• Zwei Projekte in jedem Ordner:
  • Ein dediziertes Netzwerkprojekt, das das einzelne Netzwerk des Ordners enthält.
  • Ein erstes Anwendungsprojekt, das im Ordner erstellt und als Dienstprojekt der VPC des Ordners konfiguriert wird.
• Ein einzelnes VPC-Netzwerk (Virtual Private Cloud) in jedem Ordner mit einem Subnetz und vorkonfigurierten grundlegenden, sicheren Firewallregeln (z. B. für die sichere IAP-Anmeldung (Identity-Aware Proxy)).
• Ein einzelnes Verwaltungsprojekt der obersten Ebene (prod-iac-core-0). Dieses Projekt dient als Gehirn Ihrer Einrichtung und speichert sicher den Status von Terraform, Dienstkonten für die Automatisierung und zentrale Audit-Logs.

Anschließend können Sie nach Bedarf eigene Ordner, Projekte, Netzwerke und andere Ressourcen hinzufügen.

Das folgende Diagramm zeigt die Beziehungen zwischen den „Starter“-Ressourcen:

Hinweis

Prüfen Sie dabei Folgendes:

• Sie haben einen Identitätsanbieter (IdP) für Ihre Organisation konfiguriert und sind mit Ihrer Administrator-ID in Cloud de Confiance angemeldet.
• Sie haben die Google Cloud CLI für die Verwendung mit Cloud de Confianceeingerichtet.
• Die Tools git und terraform sind auf Ihrem lokalen Computer installiert:
  • Git installieren
  • Terraform installieren (mindestens Version 1.12)

• Sie haben die folgenden Informationen zur Hand:

  • Das von Ihnen ausgewählte Prinzipal, dem Administratorberechtigungen für Ihre Organisation gewährt werden sollen. Das kann entweder Ihre eigene ID oder (empfohlen) eine Administratornutzergruppe sein, deren Mitglied Sie sind.
  • Die von Ihnen ausgewählte E‑Mail-Adresse für wichtige Kontakte für Kernprojekte

  • Die ID Ihrer Organisationsressource. Sie finden sie in der Cloud de Confiance -Konsole oder durch Ausführen des folgenden Google Cloud CLI-Befehls:

    gcloud organizations list
    

    Hier werden alle Organisationen aufgelistet, denen Sie angehören (es sollte nur eine sein), sowie die entsprechenden IDs.

Erforderliche Berechtigungen gewähren

Führen Sie die folgenden Befehle aus, um dem Prinzipal, der die Bereitstellung ausführt, die erforderlichen IAM-Berechtigungen zu erteilen:

export FAST_PRINCIPAL="PRINCIPAL_ID"

export FAST_ORG_ID="ORG_ID"

# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
  roles/billing.admin \
  roles/logging.admin \
  roles/iam.organizationRoleAdmin \
  roles/orgpolicy.policyAdmin \
  roles/resourcemanager.folderAdmin \
  roles/resourcemanager.organizationAdmin \
  roles/resourcemanager.projectCreator \
  roles/resourcemanager.tagAdmin \
  roles/owner"

for role in $FAST_ROLES; do
  gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
    --member $FAST_PRINCIPAL --role $role --condition None
done

Ersetzen Sie Folgendes:

• PRINCIPAL_ID: Eine Kennung für das relevante Hauptkonto. Weitere Informationen zum Angeben von Identitäten und Gruppen aus der Mitarbeiteridentitätsföderation finden Sie unter Prinzipal-IDs.
• ORG_ID: Die ID der Organisationsressource.

Temporäres Projekt erstellen

Für Fabric FAST Terraform ist mindestens ein vorhandenes Projekt erforderlich, da Dienste für Organisationsrichtlinien bei der Ersteinrichtung nicht automatisch im Organisationsstamm verfügbar sind. Wenn Sie Terraform zum ersten Mal in einer leeren Organisation anwenden, erstellen Sie mit den folgenden Schritten ein temporäres Projekt im Stammverzeichnis Ihrer neuen Organisation:

1. Erstellen Sie ein Projekt in Ihrer Organisation und notieren Sie sich die Projekt-ID.

2. Legen Sie das Projekt als aktuelles Projekt für die Google Cloud CLI fest:

   gcloud config set project PROJECT_ID
   

3. Aktivieren Sie die erforderlichen Dienste in Ihrem Projekt, indem Sie den folgenden Befehl ausführen:

   gcloud services enable \
    bigquery.googleapis.com \
    cloudbilling.googleapis.com \
    cloudresourcemanager.googleapis.com \
    essentialcontacts.googleapis.com \
    iam.googleapis.com \
    logging.googleapis.com \
    orgpolicy.googleapis.com \
    serviceusage.googleapis.com
   

Sie können dieses Projekt nach Abschluss der Einrichtung löschen.

Terraform abrufen

Klonen Sie das Fabric FAST-Repository auf Ihren lokalen Computer, indem Sie den folgenden Befehl ausführen:

git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git

Nachdem die Dateien auf Ihren Computer kopiert wurden, wechseln Sie in das Stammverzeichnis der Einrichtungsphase der Fabric FAST-Organisation, um loszulegen.

cd cloud-foundation-fabric/fast/stages/0-org-setup

Konfigurationsdateien aktualisieren

Bevor Sie Terraform anwenden, müssen Sie einige Konfigurationsdateien aktualisieren, die von Fabric FAST verwendet werden, um Details wie die ausgewählte Konfiguration, das Zieluniversum und das Administratorkonto anzugeben. Verwenden Sie Ihren bevorzugten Texteditor.

Anbieterdatei erstellen

Eine Anbieterdatei sorgt dafür, dass Terraform die richtigen API-Endpunkte für Ihre Umgebung verwendet.

1. Erstellen Sie im Stammverzeichnis der Organisationskonfiguration (0-org-setup) eine Datei mit dem Namen providers.tf.

2. Fügen Sie in Ihrer -Datei Folgendes hinzu:

   provider "google" {
     universe_domain = "s3nsapis.fr"
   }
   
   provider "google-beta" {
     universe_domain = "s3nsapis.fr"
   }
   

3. Speichern Sie die neue Datei.

Dataset angeben

Die Starterkonfiguration wird im starter-gcd-Dataset angegeben. In Fabric FAST ist ein Dataset eine YAML-basierte Konfiguration, in der der Typ und die Anzahl der Cloud-Ressourcen angegeben werden, die Sie erstellen möchten. Nutzer können zwischen Best Practices für verschiedene Organisationstypen und unterschiedliche technische Anforderungen wählen.

Führen Sie die folgenden Schritte aus, um anzugeben, dass Sie das Dataset starter-gcd verwenden möchten:

1. Erstellen Sie im Stammverzeichnis der Organisationskonfiguration eine neue Datei mit dem Namen terraform.tfvars.

2. Geben Sie in dieser Datei an, dass Sie das Dataset starter-gcd verwenden möchten:

   factories_config = {
      dataset="datasets/starter-gcd"
   }
   

3. Speichern Sie die neue Datei.

Standardeinstellungen für die Einrichtung festlegen

Fabric FAST verwendet für jedes Dataset eine defaults.yaml-Datei, um Werte anzugeben, die während der Einrichtung verwendet werden, z. B. universumspezifische Werte und Ihre Administratorinformationen.

1. Öffnen Sie die vorhandene Datei defaults.yaml im Verzeichnis 0-org-setup/datasets/starter-gcd des Datasets.

2. Aktualisieren Sie die Datei „defaults“ so:

   # ... existing configuration ...
   projects:
     defaults:
       prefix: PREFIX
       locations:
         logging: global
         storage: u-france-east1
     overrides:
       universe:
         domain: s3nsapis.fr
         prefix: s3ns
         forced_jit_service_identities:
           - compute.googleapis.com
         unavailable_service_identities:
           - dns.googleapis.com
           - monitoring.googleapis.com
           - networksecurity.googleapis.com
   context:
     email_addresses:
       gcp-organization-admins: CONTACT_EMAIL
     iam_principals:
       gcp-organization-admins: ADMIN_ID
     locations:
       primary: u-france-east1
   # ... existing configuration ...
   

   Ersetzen Sie Folgendes:

   • PREFIX: Ein organisationsspezifisches Präfix, das zusätzlich zum automatischen universumspezifischen Präfix der ID jedes erstellten Projekts hinzugefügt wird. So wird sichergestellt, dass Ihre Projekt-IDs in Ihrem Universum eindeutig sind.
   • CONTACT_EMAIL: Die E-Mail-Adresse, die Sie als wichtigen Kontakt für Kernprojekte festlegen möchten.
   • ADMIN_ID: Eine Kennung für die Gruppe oder ID, die Administratorberechtigungen für Ihre Organisation haben soll.

3. Spare defaults.yaml.

Terraform anwenden

1. Achten Sie darauf, dass Sie sich wieder im Stammverzeichnis der Einrichtungsphase der Organisation befinden.

2. Führen Sie den folgenden Befehl aus, um Terraform zu initialisieren (nur einmal pro Verzeichnis erforderlich):

   terraform init
   

3. Führen Sie den folgenden Befehl aus, um Terraform anzuwenden:

   terraform apply
   

Einrichtung überprüfen

Zur Überprüfung Ihrer Einrichtung empfehlen wir, zuerst mit der Google Cloud CLI oder der Cloud de Confiance Console zu prüfen, ob Ihre Ordner- und Projektstruktur korrekt eingerichtet wurde.

Anschließend können Sie eine Anwendungsarbeitslast oder mehrere Arbeitslasten in einem der Anwendungsprojekte bereitstellen. Dazu können Sie eine Arbeitslast Ihrer Wahl verwenden oder einer unserer Kurzanleitungen folgen. Dies sind kurze Anleitungen, mit denen Sie schnell ein einfaches Beispiel auf Cloud de Confianceausführen können. Weitere Informationen

Nächste Schritte

• Organisation ansehen und Einrichtung mit einer vorgeschlagenen Anleitung überprüfen

• Ersteinrichtung erweitern und anpassen, z. B. durch:

  • Erstellen Sie weitere Projekte und hängen Sie sie an Ihre Netzwerke an.
  • Konfigurieren Sie Logging und Monitoring weiter. Sie können Cloud Monitoring auch so konfigurieren, dass Messwerte zur Visualisierung an Grafana gesendet werden.

• Mit IAM können Sie Nutzern und Gruppen Berechtigungen erteilen.