Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurazione di base con il toolkit Fabric FAST

Questa pagina descrive come utilizzare il framework Terraform Fabric FAST per configurare una nuova organizzazione "iniziale". Anche se puoi sempre creare manualmente progetti, cartelle e altro ancora, l'utilizzo della configurazione di base di Fabric FAST ti consente di iniziare rapidamente a lavorare con impostazioni predefinite sicure e ben testate e senza il sovraccarico amministrativo di una configurazione aziendale di grandi dimensioni.

Questa pagina è rivolta agli amministratori che devono configurare una nuova organizzazione in Cloud de Confiance. Consigliamo questa opzione se la tua organizzazione rientra nei seguenti scenari:

Hai un'esperienza limitata con la configurazione del cloud e Terraform.
Ti aspetti che un singolo team (o anche un singolo ingegnere) gestisca l'intero stack end-to-end. Ciò può accadere se sei una piccola organizzazione o una startup o se stai sviluppando una prova di fattibilità.

Dopo aver completato questa configurazione, puoi continuare a utilizzare Terraform per gestire la tua nuova organizzazione oppure puoi passare all'utilizzo di Google Cloud CLI o della console Cloud de Confiance .

Se hai esigenze organizzative o tecniche più complesse o se hai già utilizzato Fabric FAST con Google Cloud, ti consigliamo di passare direttamente alla configurazione Enterprise con Fabric FAST per scoprire di più sulle fasi di FAST e iniziare con la nostra configurazione classica. Se non sai ancora quale opzione fa al caso tuo, consulta Quale configurazione rapida di Fabric FAST è adatta a me?.

Cosa devo sapere prima?

Prima di leggere questa guida, devi:

Comprendi i concetti Cloud de Confiance di base descritti nella Cloud de Confiance panoramica.
Comprendi la Cloud de Confiance gerarchia delle risorse, incluse organizzazioni, cartelle e progetti.
Leggi la panoramica della configurazione, in particolare la sezione Informazioni su Fabric FAST. La configurazione di base descritta in questo documento utilizza una configurazione speciale di Fabric FAST che ha come target specifico il tuo universo e fornisce un'organizzazione pronta all'uso, il tutto creato in un unico passaggio.

È utile avere familiarità con Terraform, ma non è necessario essere un utente esperto di Terraform per utilizzare questa guida.

Che cosa ottengo con questa configurazione?

La configurazione "iniziale" di Fabric FAST è relativamente semplice e fornisce un punto di partenza di base e utilizzabile per la tua organizzazione. Ciò è in contrasto con la configurazione "classica", che presenta una gerarchia delle risorse profonda di livello enterprise e prevede la creazione incrementale della configurazione in più fasi.

Dopo aver eseguito la configurazione, la risorsa organizzazione contiene quanto segue:

Due cartelle dell'ambiente, una per lo sviluppo e una per la produzione. Vengono taggati automaticamente per aiutarti a monitorare i costi e applicare i criteri per ambiente.
Due progetti in ogni cartella:
- Un progetto di rete dedicato per contenere la singola rete della cartella.
- Un primo progetto applicazione, creato nella cartella e configurato come progetto di servizio del VPC della cartella.
Una singola rete Virtual Private Cloud (VPC) in ogni cartella, con una subnet e regole firewall di base sicure preconfigurate (ad esempio, che consentono l'accesso sicuro a Identity-Aware Proxy (IAP)).
Un singolo progetto di gestione di primo livello (prod-iac-core-0). Questo progetto funge da cervello della configurazione, archiviando in modo sicuro lo stato di Terraform, i service account di automazione e i log di controllo centrali.

Puoi quindi aggiungere cartelle, progetti, reti e altre risorse in base alle tue esigenze.

Il seguente diagramma mostra le relazioni tra le risorse "iniziali":

Diagramma che mostra l'architettura di FAST starter.

Prima di iniziare

Assicurati di quanto segue:

Hai un provider di identità (IdP) configurato per la tua organizzazione e hai eseguito l'accesso a Cloud de Confiance con il tuo ID amministratore.
Hai configurato Google Cloud CLI per l'utilizzo con Cloud de Confiance.
Hai installato gli strumenti git e terraform sulla tua macchina locale:
- Installare Git
- Installa Terraform (versione minima 1.12)
Hai a portata di mano le seguenti informazioni:
- L'entità che hai scelto e a cui devono essere concesse le autorizzazioni di amministratore per la tua organizzazione. Può trattarsi del tuo ID o (opzione consigliata) di un gruppo di utenti amministratori di cui fai parte.
- L'indirizzo email del contatto essenziale che hai scelto per i progetti principali
- L'ID della tua risorsa dell'organizzazione. Puoi trovarlo nella console Cloud de Confiance o eseguendo il seguente comando Google Cloud CLI:
```
gcloud organizations list
```
  In questo elenco sono riportate tutte le organizzazioni a cui appartieni (dovrebbe essercene solo una) e i relativi ID.

Concedi le autorizzazioni richieste

Esegui i seguenti comandi per concedere all'entità che esegue il deployment le autorizzazioni IAM richieste:

export FAST_PRINCIPAL="PRINCIPAL_ID"

export FAST_ORG_ID="ORG_ID"

# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
  roles/billing.admin \
  roles/logging.admin \
  roles/iam.organizationRoleAdmin \
  roles/orgpolicy.policyAdmin \
  roles/resourcemanager.folderAdmin \
  roles/resourcemanager.organizationAdmin \
  roles/resourcemanager.projectCreator \
  roles/resourcemanager.tagAdmin \
  roles/owner"

for role in $FAST_ROLES; do
  gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
    --member $FAST_PRINCIPAL --role $role --condition None
done

Sostituisci quanto segue:

PRINCIPAL_ID: un identificatore per l'entità pertinente. Puoi scoprire di più su come specificare identità e gruppi dalla federazione delle identità per la forza lavoro in Identificatori di entità.
ORG_ID: l'ID risorsa della tua organizzazione.

Creare un progetto temporaneo

Per essere eseguito, Fabric FAST Terraform richiede almeno un progetto esistente, perché i servizi di policy dell'organizzazione non sono disponibili automaticamente nella radice dell'organizzazione durante la configurazione iniziale. Se è la prima volta che applichi Terraform in un'organizzazione vuota, crea un progetto temporaneo nella radice della nuova organizzazione seguendo questi passaggi:

Crea un progetto nella tua organizzazione e prendi nota del suo ID progetto.
Imposta il progetto come progetto corrente per Google Cloud CLI:
```
gcloud config set project PROJECT_ID
```

Abilita i servizi richiesti nel tuo progetto eseguendo questo comando:

gcloud services enable \
 bigquery.googleapis.com \
 cloudbilling.googleapis.com \
 cloudresourcemanager.googleapis.com \
 essentialcontacts.googleapis.com \
 iam.googleapis.com \
 logging.googleapis.com \
 orgpolicy.googleapis.com \
 serviceusage.googleapis.com

Una volta terminata la configurazione, puoi eliminare questo progetto, se vuoi.

Scarica Terraform

Clona il repository Fabric FAST sulla tua macchina locale eseguendo il comando seguente:

git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git

Dopo aver copiato i file sul tuo computer, passa alla directory root della fase di configurazione dell'organizzazione Fabric FAST come directory di lavoro per iniziare.

cd cloud-foundation-fabric/fast/stages/0-org-setup

Aggiorna i file di configurazione

Prima di applicare Terraform, devi aggiornare alcuni file di configurazione utilizzati da Fabric FAST per specificare dettagli come la configurazione scelta, l'universo di destinazione e l'account amministratore. Utilizza l'editor di testo che preferisci.

Crea un file dei provider

Un file dei provider garantisce che Terraform abbia come target gli endpoint API corretti per il tuo universo.

Nella directory root della fase di configurazione dell'organizzazione (0-org-setup), crea un file denominato providers.tf.

Aggiungi quanto segue al tuo file:

provider "google" {
  universe_domain = "s3nsapis.fr"
}

provider "google-beta" {
  universe_domain = "s3nsapis.fr"
}

Salva il nuovo file.

Specifica il set di dati

La configurazione iniziale è specificata nel starter-gcd set di dati. In Fabric FAST, un set di dati è una configurazione basata su YAML che specifica il tipo e il numero di risorse cloud che vuoi creare, consentendo agli utenti di scegliere tra le best practice per diversi tipi di organizzazione e diverse esigenze tecniche.

Per specificare che vuoi utilizzare il set di dati starter-gcd, completa i seguenti passaggi:

Ancora nella directory principale della fase di configurazione dell'organizzazione, crea un nuovo file denominato terraform.tfvars.
In questo file, specifica che vuoi utilizzare il set di dati starter-gcd nel seguente modo:
```
factories_config = {
   dataset="datasets/starter-gcd"
}
```
Salva il nuovo file.

Specificare i valori predefiniti di configurazione

Fabric FAST utilizza un file defaults.yaml per ogni set di dati per specificare i valori utilizzati durante la configurazione, ad esempio i valori specifici dell'universo e i dettagli dell'amministratore.

Apri il file defaults.yaml esistente nella directory 0-org-setup/datasets/starter-gcd del dataset.

Aggiorna il file predefinito come segue:

# ... existing configuration ...
projects:
  defaults:
    prefix: PREFIX
    locations:
      logging: global
      storage: u-france-east1
  overrides:
    universe:
      domain: s3nsapis.fr
      prefix: s3ns
      forced_jit_service_identities:
        - compute.googleapis.com
      unavailable_service_identities:
        - dns.googleapis.com
        - monitoring.googleapis.com
        - networksecurity.googleapis.com
context:
  email_addresses:
    gcp-organization-admins: CONTACT_EMAIL
  iam_principals:
    gcp-organization-admins: ADMIN_ID
  locations:
    primary: u-france-east1
# ... existing configuration ...

Sostituisci quanto segue:

PREFIX: Un prefisso specifico dell'organizzazione che viene aggiunto all'ID di ogni progetto creato, oltre al prefisso specifico dell'universo automatico. In questo modo, gli ID progetto sono univoci nel tuo universo.
CONTACT_EMAIL: L'indirizzo email che vuoi impostare come contatto essenziale per i progetti core.
ADMIN_ID: un identificatore per il gruppo o l'ID che deve disporre delle autorizzazioni di amministratore per la tua organizzazione.

Salva defaults.yaml.

Applica Terraform

Assicurati di essere tornato alla directory radice della fase di configurazione dell'organizzazione.
Esegui il comando seguente per inizializzare Terraform (devi farlo una sola volta per directory):
```
terraform init
```
Esegui questo comando per applicare Terraform:
```
terraform apply
```

Verificare la configurazione

Per verificare la configurazione, ti consigliamo di controllare prima utilizzando Google Cloud CLI o la console Cloud de Confiance che la struttura di cartelle e progetti sia stata configurata correttamente.

Puoi quindi provare a eseguire il deployment di uno o più carichi di lavoro delle applicazioni in uno dei progetti di applicazioni, utilizzando un carico di lavoro a tua scelta o seguendo uno dei nostri tutorial di avvio rapido. Si tratta di brevi tutorial che ti aiutano a configurare rapidamente un semplice esempio su Cloud de Confiance. Scopri di più nella sezione Qual è il prossimo passaggio?

Passaggi successivi

Esplora la tua organizzazione e verifica la configurazione provando un tutorial suggerito
Estendi e personalizza la configurazione iniziale, tra cui:
- Crea altri progetti e collegali alle tue reti.
- Configura ulteriormente il logging e il monitoraggio, inclusa la configurazione di Cloud Monitoring per inviare le metriche per la visualizzazione a Grafana, se preferisci.
Concedi autorizzazioni a utenti e gruppi con IAM.