Configuração básica com o kit de ferramentas FAST do Fabric

Esta página descreve como usar a estrutura do Fabric FAST Terraform para configurar uma nova organização "inicial". Embora você sempre possa criar projetos, pastas e muito mais manualmente, o uso da configuração básica do Fabric FAST permite que você comece a trabalhar rapidamente com padrões seguros e bem testados, sem a sobrecarga administrativa de uma grande configuração empresarial.

Esta página é destinada a administradores que precisam configurar uma nova organização no Cloud de Confiance. Recomendamos essa opção se os seguintes cenários se aplicarem à sua organização:

• Você tem experiência limitada com a configuração da nuvem e o Terraform.
• Você espera que uma única equipe (ou até mesmo um único engenheiro) gerencie toda a pilha de ponta a ponta. Isso pode acontecer se você for uma organização ou startup menor ou se estiver desenvolvendo uma prova de conceito.

Depois de concluir essa configuração, você pode continuar usando o Terraform para gerenciar sua nova organização ou mudar para a Google Cloud CLI ou o Cloud de Confiance console.

Se você tiver necessidades organizacionais ou técnicas mais complexas ou se já tiver usado o Fabric FAST com o Google Cloud, recomendamos que você acesse a configuração empresarial com o Fabric FAST para saber mais sobre as etapas do FAST e começar a usar nossa configuração clássica. Se você ainda não tiver certeza de qual opção é a mais adequada, consulte Qual configuração do Fabric FAST é para mim?.

O que preciso saber primeiro?

Antes de ler este guia, você precisa:

• Entender os conceitos básicos Cloud de Confiance descritos na Cloud de Confiance visão geral.

• Entender a Cloud de Confiance hierarquia de recursos , incluindo organizações, pastas e projetos.

• Leia a Visão geral da configuração, principalmente Sobre o Fabric FAST. A configuração básica descrita neste documento usa uma configuração especial do Fabric FAST que tem como alvo específico seu universo e fornece uma organização pronta para uso, tudo criado em uma única etapa.

É útil estar familiarizado com Terraform, mas não é necessário ser um usuário experiente do Terraform para usar este guia.

O que recebo com essa configuração?

A configuração do Fabric FAST "inicial" é relativamente simples, fornecendo um ponto de partida básico e utilizável para sua organização. Isso contrasta com a configuração "clássica", que tem uma hierarquia de recursos empresarial e envolve a criação incremental da configuração em etapas.

Depois de executar a configuração, o recurso da organização contém o seguinte:

• Duas pastas de ambiente, uma para desenvolvimento e outra para produção. Elas são marcadas automaticamente para ajudar você a acompanhar os custos e aplicar políticas por ambiente.
• Dois projetos em cada pasta:
  • Um projeto de rede dedicado para conter a rede única da pasta.
  • Um primeiro projeto de aplicativo, criado na pasta e configurado como um projeto de serviço da VPC da pasta.
• Uma única rede de nuvem privada virtual (VPC) em cada pasta, com uma sub-rede e regras de firewall básicas e seguras pré-configuradas (por exemplo, permitindo o login seguro do Identity-Aware Proxy (IAP)).
• Um único projeto de gerenciamento de nível superior (prod-iac-core-0). Esse projeto atua como o cérebro da configuração, armazenando com segurança o estado do Terraform, as contas de serviço de automação e os registros de auditoria central.

Em seguida, você pode adicionar suas próprias pastas, projetos, redes e outros recursos conforme necessário.

O diagrama a seguir mostra as relações entre os recursos "iniciais":

Antes de começar

Confirme os seguintes itens:

• Você tem um provedor de identidade (IdP) configurado para sua organização e está conectado ao Cloud de Confiance com seu ID de administrador.
• Você configurou a Google Cloud CLI para uso com Cloud de Confiance.
• Você tem as ferramentas git e terraform instaladas na sua máquina local:
  • Instale o Git
  • Instale o Terraform (versão mínima 1.12)

• Você tem as seguintes informações prontas:

  • O principal escolhido que deve receber permissões de administrador para sua organização. Pode ser seu próprio ID ou (recomendado) um grupo de usuários administradores do qual você é membro.
  • O endereço de e-mail de contato essencial escolhido para projetos principais

  • O ID do recurso da organização. Você pode encontrar isso no Cloud de Confiance console ou executando o seguinte comando da Google Cloud CLI:

    gcloud organizations list
    

    Isso lista todas as organizações a que você pertence (só deve haver uma) e os IDs correspondentes.

Conceder as permissões necessárias

Execute os comandos a seguir para conceder ao principal que executa a implantação as permissões necessárias do IAM:

export FAST_PRINCIPAL="PRINCIPAL_ID"

export FAST_ORG_ID="ORG_ID"

# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
  roles/billing.admin \
  roles/logging.admin \
  roles/iam.organizationRoleAdmin \
  roles/orgpolicy.policyAdmin \
  roles/resourcemanager.folderAdmin \
  roles/resourcemanager.organizationAdmin \
  roles/resourcemanager.projectCreator \
  roles/resourcemanager.tagAdmin \
  roles/owner"

for role in $FAST_ROLES; do
  gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
    --member $FAST_PRINCIPAL --role $role --condition None
done

Substitua:

• PRINCIPAL_ID: um identificador para o principal relevante. Saiba mais sobre como especificar identidades e grupos na Federação de identidade de colaboradores em Identificadores principais.
• ORG_ID: o ID do recurso da organização.

Criar um projeto temporário

O Fabric FAST Terraform exige pelo menos um projeto existente para ser executado, porque os serviços de política da organização não estão disponíveis automaticamente na raiz da organização durante a configuração inicial. Se esta for a primeira vez que você aplica o Terraform em uma organização vazia, crie um projeto temporário na raiz da nova organização seguindo estas etapas:

1. Crie um projeto na sua organização e anote o ID do projeto.

2. Defina o projeto como o atual para a Google Cloud CLI:

   gcloud config set project PROJECT_ID
   

3. Ative os serviços necessários no projeto executando o seguinte comando:

   gcloud services enable \
    bigquery.googleapis.com \
    cloudbilling.googleapis.com \
    cloudresourcemanager.googleapis.com \
    essentialcontacts.googleapis.com \
    iam.googleapis.com \
    logging.googleapis.com \
    orgpolicy.googleapis.com \
    serviceusage.googleapis.com
   

Você pode excluir esse projeto se quiser depois de concluir a configuração.

Receber o Terraform

Clone o repositório do Fabric FAST na sua máquina local executando o seguinte comando:

git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git

Depois que os arquivos forem copiados para sua máquina, mude para o diretório raiz da etapa de configuração da organização do Fabric FAST como seu diretório de trabalho para começar.

cd cloud-foundation-fabric/fast/stages/0-org-setup

Atualizar arquivos de configuração

Antes de aplicar o Terraform, é necessário atualizar alguns arquivos de configuração usados pelo Fabric FAST para especificar detalhes como a configuração escolhida, o universo de destino e a conta de administrador. Use o editor de texto de sua preferência.

Criar um arquivo de provedores

Um arquivo de provedores garante que o Terraform tenha como destino os endpoints da API corretos para seu universo.

1. No diretório raiz da etapa de configuração da organização (0-org-setup), crie um arquivo chamado providers.tf.

2. Adicione o seguinte a seu arquivo:

   provider "google" {
     universe_domain = "s3nsapis.fr"
   }
   
   provider "google-beta" {
     universe_domain = "s3nsapis.fr"
   }
   

3. Salve o novo arquivo.

Especificar o conjunto de dados

A configuração inicial é especificada no conjunto de dados starter-gcd. No Fabric FAST, um conjunto de dados é uma configuração baseada em YAML que especifica o tipo e o número de recursos de nuvem que você quer criar, permitindo que os usuários selecionem entre as práticas recomendadas para diferentes tipos de organização e necessidades técnicas.

Para especificar que você quer usar o conjunto de dados starter-gcd, siga estas etapas:

1. Ainda no diretório raiz da etapa de configuração da organização, crie um arquivo chamado terraform.tfvars

2. Nesse arquivo, especifique que você quer usar o conjunto de dados starter-gcd da seguinte maneira:

   factories_config = {
      dataset="datasets/starter-gcd"
   }
   

3. Salve o novo arquivo.

Especificar padrões de configuração

O Fabric FAST usa um arquivo defaults.yaml para cada conjunto de dados para especificar valores usados em toda a configuração, como valores específicos do universo e detalhes do administrador.

1. Abra o arquivo defaults.yaml existente no diretório dataset's 0-org-setup/datasets/starter-gcd.

2. Atualize o arquivo de padrões da seguinte maneira:

   # ... existing configuration ...
   projects:
     defaults:
       prefix: PREFIX
       locations:
         logging: global
         storage: u-france-east1
     overrides:
       universe:
         domain: s3nsapis.fr
         prefix: s3ns
         forced_jit_service_identities:
           - compute.googleapis.com
         unavailable_service_identities:
           - dns.googleapis.com
           - monitoring.googleapis.com
           - networksecurity.googleapis.com
   context:
     email_addresses:
       gcp-organization-admins: CONTACT_EMAIL
     iam_principals:
       gcp-organization-admins: ADMIN_ID
     locations:
       primary: u-france-east1
   # ... existing configuration ...
   

   Substitua:

   • PREFIX: um prefixo específico da organização que é adicionado ao ID de cada projeto criado, além do prefixo automático específico do universo. Isso ajuda a garantir que os IDs do projeto sejam exclusivos no seu universo.
   • CONTACT_EMAIL: o endereço de e-mail que você quer definir como o contato essencial para projetos principais.
   • ADMIN_ID: um identificador para o grupo ou ID que deve ter permissões de administrador para sua organização.

3. Salve defaults.yaml.

Aplicar o Terraform

1. Verifique se você está de volta ao diretório raiz da etapa de configuração da organização.

2. Execute o comando a seguir para inicializar o Terraform (você só precisa fazer isso uma vez por diretório):

   terraform init
   

3. Execute o comando a seguir para aplicar o Terraform:

   terraform apply
   

Verificar sua configuração

Para verificar sua configuração, recomendamos que você primeiro verifique usando a Google Cloud CLI ou o Cloud de Confiance console se a estrutura de pastas e projetos foi configurada corretamente.

Em seguida, tente implantar uma ou mais cargas de trabalho de aplicativos em um dos projetos de aplicativos, usando uma carga de trabalho de sua escolha ou seguindo alguns dos nossos tutoriais de início rápido. Esses são tutoriais curtos que ajudam você a criar um exemplo simples e em execução no Cloud de Confiance. Saiba mais em A seguir.

A seguir

• Explore sua organização e verifique sua configuração seguindo um tutorial sugerido

• Amplie e personalize sua configuração inicial, incluindo:

  • Crie mais projetos e anexe-os às suas redes.
  • Configure ainda mais a geração de registros logging e monitoring, incluindo, se preferir, a configuração do Cloud Monitoring para enviar métricas para visualização ao Grafana.

• Conceda permissões a usuários e grupos com o IAM.