Penyiapan dasar dengan toolkit Fabric FAST

Halaman ini menjelaskan cara menggunakan framework Terraform Fabric FAST untuk menyiapkan organisasi "starter" baru. Meskipun Anda selalu dapat membuat project, folder, dan lainnya secara manual, penyiapan dasar Fabric FAST memungkinkan Anda memulai dan menjalankan dengan cepat menggunakan default yang aman dan telah diuji dengan baik, serta tanpa overhead administratif dari penyiapan perusahaan besar.

Halaman ini ditujukan bagi administrator yang perlu mengonfigurasi organisasi baru di Cloud de Confiance. Sebaiknya pilih opsi ini jika skenario berikut berlaku untuk organisasi Anda:

• Anda memiliki pengalaman terbatas dengan konfigurasi cloud dan Terraform.
• Anda mengharapkan satu tim (atau bahkan satu engineer) untuk mengelola seluruh stack secara end-to-end. Hal ini mungkin terjadi jika Anda adalah organisasi atau startup kecil, atau jika Anda sedang mengembangkan bukti konsep.

Setelah menyelesaikan penyiapan ini, Anda dapat terus menggunakan Terraform untuk mengelola organisasi baru, atau beralih menggunakan Google Cloud CLI atau konsol Cloud de Confiance .

Jika Anda memiliki kebutuhan organisasi atau teknis yang lebih kompleks, atau jika Anda pernah menggunakan Fabric FAST dengan Google Cloud, sebaiknya langsung buka Penyiapan Enterprise dengan Fabric FAST untuk mempelajari tahap FAST dan mulai menggunakan konfigurasi klasik kami. Jika Anda masih tidak yakin opsi mana yang cocok untuk Anda, lihat Penyiapan Fabric FAST mana yang cocok untuk saya?.

Apa yang harus saya ketahui terlebih dahulu?

Sebelum membaca panduan ini, Anda harus:

• Pahami konsep dasar Cloud de Confiance yang dijelaskan dalam Cloud de Confiance ringkasan.

• Pahami Cloud de Confiance hierarki resource, termasuk organisasi, folder, dan project.

• Baca Ringkasan penyiapan, terutama Tentang Fabric FAST. Penyiapan dasar yang dijelaskan dalam dokumen ini menggunakan konfigurasi Fabric FAST khusus yang secara khusus menargetkan semesta Anda dan menyediakan organisasi siap pakai, semuanya dibuat dalam satu langkah.

Anda akan terbantu jika Anda memahami Terraform, tetapi Anda tidak perlu menjadi pengguna Terraform yang berpengalaman untuk menggunakan panduan ini.

Apa yang saya dapatkan dengan penyiapan ini?

Konfigurasi Fabric FAST "starter" relatif datar, sehingga memberikan titik awal dasar yang dapat digunakan untuk organisasi Anda. Hal ini berbeda dengan penyiapan "klasik", yang memiliki hierarki resource tingkat perusahaan yang mendalam, dan melibatkan pembangunan konfigurasi secara bertahap.

Setelah menjalankan penyiapan, resource organisasi Anda akan berisi hal berikut:

• Dua folder lingkungan, satu untuk pengembangan dan satu untuk produksi. Secara otomatis diberi tag untuk membantu Anda melacak biaya dan menerapkan kebijakan per lingkungan.
• Dua project di setiap folder:
  • Project jaringan khusus untuk berisi satu jaringan folder.
  • Project aplikasi pertama, dibuat di folder dan dikonfigurasi sebagai project layanan VPC folder.
• Satu jaringan Virtual Private Cloud (VPC) di setiap folder, dengan satu subnet dan aturan firewall dasar yang aman telah dikonfigurasi sebelumnya (misalnya, mengizinkan login Identity-Aware Proxy (IAP) yang aman).
• Satu project pengelolaan tingkat teratas (prod-iac-core-0). Project ini berfungsi sebagai otak penyiapan Anda, yang menyimpan status Terraform, akun layanan otomatisasi, dan log audit pusat secara aman.

Kemudian, Anda dapat menambahkan folder, project, jaringan, dan resource lainnya sesuai kebutuhan.

Diagram berikut menunjukkan hubungan antara resource "starter":

Sebelum memulai

Pastikan hal berikut:

• Anda telah mengonfigurasi penyedia identitas (IdP) untuk organisasi Anda dan Anda login ke penyedia identitas tersebut Cloud de Confiance dengan ID administrator Anda.
• Anda telah menyiapkan Google Cloud CLI untuk digunakan dengan Cloud de Confiance.
• Anda telah menginstal alat git dan terraform di komputer lokal Anda:
  • Instal Git
  • Instal Terraform (versi minimum 1.12)

• Anda telah menyiapkan informasi berikut:

  • Principal yang Anda pilih dan yang harus diberi izin administrator untuk organisasi Anda. ID ini dapat berupa ID Anda sendiri atau (direkomendasikan) grup pengguna administrator yang Anda ikuti.
  • Alamat email kontak penting pilihan Anda untuk project inti

  • ID resource organisasi Anda. Anda dapat menemukannya di konsol Cloud de Confiance , atau dengan menjalankan perintah Google Cloud CLI berikut:

    gcloud organizations list
    

    Bagian ini mencantumkan semua organisasi tempat Anda tergabung (hanya boleh ada satu) dan ID yang sesuai.

Memberikan izin yang diperlukan

Jalankan perintah berikut untuk memberikan izin IAM yang diperlukan kepada prinsipal yang menjalankan deployment:

export FAST_PRINCIPAL="PRINCIPAL_ID"

export FAST_ORG_ID="ORG_ID"

# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
  roles/billing.admin \
  roles/logging.admin \
  roles/iam.organizationRoleAdmin \
  roles/orgpolicy.policyAdmin \
  roles/resourcemanager.folderAdmin \
  roles/resourcemanager.organizationAdmin \
  roles/resourcemanager.projectCreator \
  roles/resourcemanager.tagAdmin \
  roles/owner"

for role in $FAST_ROLES; do
  gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
    --member $FAST_PRINCIPAL --role $role --condition None
done

Ganti kode berikut:

• PRINCIPAL_ID: ID untuk prinsipal yang relevan. Anda dapat mempelajari lebih lanjut cara menentukan identitas dan grup dari Workforce Identity Federation di ID utama.
• ORG_ID: ID resource organisasi Anda.

Membuat project sementara

Terraform FAST Fabric memerlukan minimal satu project yang sudah ada untuk dijalankan, karena layanan kebijakan organisasi tidak otomatis tersedia di root organisasi selama penyiapan awal. Jika ini adalah pertama kalinya Anda menerapkan Terraform di organisasi yang kosong, buat project sementara di akar organisasi baru Anda dengan langkah-langkah berikut:

1. Buat project di organisasi Anda dan catat project ID-nya.

2. Tetapkan project sebagai project saat ini untuk Google Cloud CLI:

   gcloud config set project PROJECT_ID
   

3. Aktifkan layanan yang diperlukan di project Anda dengan menjalankan perintah berikut:

   gcloud services enable \
    bigquery.googleapis.com \
    cloudbilling.googleapis.com \
    cloudresourcemanager.googleapis.com \
    essentialcontacts.googleapis.com \
    iam.googleapis.com \
    logging.googleapis.com \
    orgpolicy.googleapis.com \
    serviceusage.googleapis.com
   

Anda dapat menghapus project ini jika mau setelah menyelesaikan penyiapan.

Dapatkan Terraform

Buat clone repositori Fabric FAST ke komputer lokal Anda dengan menjalankan perintah berikut:

git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git

Setelah file disalin ke mesin Anda, ubah ke direktori root penyiapan organisasi Fabric FAST sebagai direktori kerja Anda untuk memulai.

cd cloud-foundation-fabric/fast/stages/0-org-setup

Memperbarui file konfigurasi

Sebelum menerapkan Terraform, Anda perlu memperbarui beberapa file konfigurasi yang digunakan oleh Fabric FAST untuk menentukan detail seperti konfigurasi yang Anda pilih, target semesta, dan akun administrator Anda. Gunakan editor teks pilihan Anda.

Membuat file penyedia

File penyedia memastikan bahwa Terraform menargetkan endpoint API yang benar untuk semesta Anda.

1. Di direktori root tahap penyiapan organisasi (0-org-setup), buat file bernama providers.tf.

2. Tambahkan kode berikut ke file Anda:

   provider "google" {
     universe_domain = "s3nsapis.fr"
   }
   
   provider "google-beta" {
     universe_domain = "s3nsapis.fr"
   }
   

3. Simpan file baru Anda.

Tentukan set data Anda

Konfigurasi awal ditentukan dalam set data starter-gcd. Di Fabric FAST, set data adalah konfigurasi berbasis YAML yang menentukan jenis dan jumlah resource cloud yang ingin Anda buat, sehingga pengguna dapat memilih antara praktik terbaik untuk berbagai jenis organisasi dan berbagai kebutuhan teknis.

Untuk menentukan bahwa Anda ingin menggunakan set data starter-gcd, selesaikan langkah-langkah berikut:

1. Masih di direktori root tahap penyiapan organisasi, buat file baru bernama terraform.tfvars

2. Dalam file ini, tentukan bahwa Anda ingin menggunakan set data starter-gcd sebagai berikut:

   factories_config = {
      dataset="datasets/starter-gcd"
   }
   

3. Simpan file baru Anda.

Menentukan default penyiapan

Fabric FAST menggunakan file defaults.yaml untuk setiap set data guna menentukan nilai yang digunakan selama penyiapan, seperti nilai khusus semesta dan detail administrator Anda.

1. Buka file defaults.yaml yang ada di direktori 0-org-setup/datasets/starter-gcd dataset.

2. Perbarui file default sebagai berikut:

   # ... existing configuration ...
   projects:
     defaults:
       prefix: PREFIX
       locations:
         logging: global
         storage: u-france-east1
     overrides:
       universe:
         domain: s3nsapis.fr
         prefix: s3ns
         forced_jit_service_identities:
           - compute.googleapis.com
         unavailable_service_identities:
           - dns.googleapis.com
           - monitoring.googleapis.com
           - networksecurity.googleapis.com
   context:
     email_addresses:
       gcp-organization-admins: CONTACT_EMAIL
     iam_principals:
       gcp-organization-admins: ADMIN_ID
     locations:
       primary: u-france-east1
   # ... existing configuration ...
   

   Ganti kode berikut:

   • PREFIX: Awalan khusus organisasi yang ditambahkan ke ID setiap project yang dibuat, selain awalan khusus semesta otomatis. Hal ini membantu memastikan bahwa ID project Anda unik di semesta Anda.
   • CONTACT_EMAIL: Alamat email yang ingin Anda tetapkan sebagai kontak penting untuk project inti.
   • ADMIN_ID: ID atau pengenal untuk grup yang harus memiliki izin administrator untuk organisasi Anda.

3. Hemat defaults.yaml.

Terapkan Terraform

1. Pastikan Anda kembali ke direktori root tahap penyiapan organisasi.

2. Jalankan perintah berikut untuk menginisialisasi Terraform (Anda hanya perlu melakukannya sekali per direktori):

   terraform init
   

3. Jalankan perintah berikut untuk menerapkan Terraform:

   terraform apply
   

Memverifikasi penyiapan Anda

Untuk memverifikasi penyiapan, sebaiknya periksa terlebih dahulu menggunakan Google Cloud CLI atau konsol Cloud de Confiance bahwa struktur folder dan project Anda telah disiapkan dengan benar.

Kemudian, Anda dapat mencoba men-deploy satu atau beberapa workload aplikasi di salah satu project aplikasi, baik menggunakan workload pilihan Anda atau dengan mengikuti beberapa tutorial panduan memulai kami. Ini adalah tutorial singkat yang membantu Anda dengan cepat menyiapkan dan menjalankan contoh sederhana di Cloud de Confiance. Cari tahu lebih lanjut di Langkah selanjutnya.

Langkah berikutnya

• Jelajahi organisasi Anda dan verifikasi penyiapan Anda dengan mencoba tutorial yang disarankan

• Perluas dan sesuaikan penyiapan awal Anda, termasuk:

  • Buat lebih banyak project dan lampirkan ke jaringan Anda.
  • Konfigurasi lebih lanjut logging dan pemantauan, termasuk jika lebih suka mengonfigurasi Cloud Monitoring untuk mengirim metrik untuk visualisasi ke Grafana.

• Memberikan izin kepada pengguna dan grup dengan IAM.