Auf dieser Seite erfahren Sie mehr über Fabric FAST und wie Sie damit eine produktionsbereite Organisation in Cloud de Confiancekonfigurieren. Fabric FAST ist ein hochgradig konfigurierbares Terraform-Toolkit zum Einrichten einer Organisation. Es spiegelt viele Best Practices in Bezug auf Skalierbarkeit, Sicherheit und Wartbarkeit wider und verwendet Muster, die sich für viele Google Cloud-Kunden bewährt haben. Fabric FAST wurde für Google Cloud entwickelt, wird aber für Cloud de Confiancevollständig unterstützt.
Diese Seite richtet sich an erfahrene Administratoren, die eine neue Organisation in Cloud de Confiancekonfigurieren müssen. Der Schwerpunkt liegt auf der anfänglichen Ressourceneinrichtung. Für weitere Informationen finden Sie jedoch Links zur umfangreichen Dokumentation von Fabric FAST.
Wenn Sie eine kleinere Organisation haben, einen Proof-of-Concept entwickeln oder weniger mit Terraform vertraut sind, empfehlen wir Ihnen unsere einfache Einrichtung. Damit erhalten Sie eine relativ einfache Organisation, in der Arbeitslasten in einem einzigen Schritt bereitgestellt werden können. Weitere Informationen finden Sie unter Welche Fabric FAST-Einrichtung ist die richtige für mich?.
Was sollte ich zuerst wissen?
Bevor Sie diesen Leitfaden lesen, sollten Sie Folgendes tun:
Die grundlegenden Cloud de Confiance Konzepte verstehen, die in der Cloud de Confiance Übersicht beschrieben werden.
Die Cloud de Confiance Ressourcen hierarchie, verstehen, einschließlich Organisationen, Ordner und Projekte.
Organisationsrichtlinien verstehen.
Mit der Verwendung von Terraform vertraut sein.
Wenn Sie bereits mit dem Einrichten von Ressourcen für Google Cloud vertraut sind, empfehlen wir Ihnen, sich die wichtigsten Unterschiede zwischen Cloud de Confiance und Google Cloud anzusehen.
Wenn Sie Fabric FAST bereits in Google Cloud verwendet haben, können Sie direkt zu Vorbereitung springen.
Fabric FAST-Phasen
Fabric FAST verwendet das Konzept der Phasen , um Ihre Organisation iterativ aufzubauen. Sie richten beispielsweise zuerst grundlegende Ressourcen ein und können dann Sicherheit, Netzwerke usw. hinzufügen. Jede Phase enthält ein oder mehrere vorkonfigurierte YAML-Datasets , die den Typ und die Anzahl der Ressourcen angeben, die Sie erstellen möchten. So können Sie zwischen Best Practices für verschiedene Arten von Organisationen und unterschiedliche technische Anforderungen wählen. Sie können beispielsweise je nach Ihren Netzwerk- und Sicherheitsanforderungen zwischen verschiedenen Netzwerk-Datasets wählen. Sie können diese Konfigurationen unverändert bereitstellen (abgesehen von der Angabe Ihrer eigenen Details wie Ihres Abrechnungskontos) oder sie an Ihre spezifischen Anforderungen anpassen. Die bereitgestellten Datasets wurden aufgetestet Cloud de Confiance, und können verwendet werden, um eine vollständige Landing-Zone zu starten.
Jede Phase entspricht auch typischen Organisationsgrenzen. So können Sie die Inhaberschaft jeder Phase an das Team delegieren, das für die Arten von Ressourcen verantwortlich ist, die in dieser Phase verwaltet werden. Wie der Name schon sagt, werden in der Netzwerkphase alle Netzwerkelemente eingerichtet. Dies ist in der Regel die Aufgabe eines speziellen Netzwerkteams innerhalb der Organisation. Je nach Größe und Komplexität Ihrer Organisation können Sie im Laufe dieses Leitfadens und der Fabric FAST-Dokumentation die Verantwortung an verschiedene Teamadministratoren delegieren, wenn Sie neue Phasen hinzufügen.
Die Fabric FAST-Phasen sind:
- Organisationseinrichtung: Kombiniert den Bootstrap auf Organisationsebene zusammen
mit der anfänglichen Konfiguration der Ressourcenhierarchie. In dieser Phase werden IAM-Richtlinien (Identity and Access Management) und Organisationsrichtlinien auf hoher Ebene sowie die ersten Ebenen der Ressourcenhierarchie konfiguriert, mit denen die Organisation in verschiedene Umgebungen und Bereiche unterteilt wird. Fabric FAST bietet für diese Phase ein spezielles
classic-gcd-Dataset für die Verwendung mit Ihrem Universum. - VPC-SC: Implementiert eine VPC Service Controls-Konfiguration und umfasst die automatische Ressourcenerkennung.
- Netzwerk: Verwaltet zentralisierte Netzwerkressourcen und bietet eine Möglichkeit, sie für Anwendungs- und Serviceteams freizugeben. Diese Phase bietet verschiedene Designs als YAML-Datasets, darunter Hub-and-Spoke mit VPC-Peering, VPNs, NVAs und NCC.
- Project Factory: Ermöglicht die vereinfachte Verwaltung von Ordnerhierarchien und Projekten mithilfe von YAML-basierten Konfigurationsdateien. So können Sie Gruppen von Projekten für die Verwaltung durch verschiedene Anwendungsteams oder Geschäftseinheiten einrichten.
- Sicherheit: Verwaltet zentralisierte Sicherheitskonfigurationen und -ressourcen wie Cloud KMS und bietet einen Bereich für zusätzliche sicherheitsbezogene Ressourcen. In der Regel ist ein zentrales Sicherheitsteam für diese Phase verantwortlich.
Alle diese Phasen außer der Organisationseinrichtung sind optional und ihre Verwendung hängt von den tatsächlichen Anforderungen ab. In diesem Leitfaden geht es um die Phase Organisationseinrichtung. Weitere Informationen zu den in dieser Phase erstellten Ressourcen finden Sie in der Fabric FAST Dokumentation.
noch nicht verfügbar.Vorbereitung
Prüfen Sie dabei Folgendes:
- Für Ihre Organisation ist ein Identitätsanbieter (IdP) konfiguriert und Sie sind mit Ihrer Administrator-ID inangemeldet Cloud de Confiance .
- Sie haben die Google Cloud CLI für die Verwendung mitkonfiguriert Cloud de Confiance.
- Die Tools
gitundterraformsind auf Ihrem lokalen Computer installiert:- Git installieren
- Terraform installieren (mindestens Version 1.12)
Sie haben die folgenden Informationen zur Hand:
- Der ausgewählte Prinzipal, dem Administratorberechtigungen für Ihre Organisation gewährt werden sollen. Dies kann entweder Ihre eigene ID oder (empfohlen) eine Administratornutzergruppe sein, deren Mitglied Sie sind.
- Die ausgewählte E-Mail-Adresse für wichtige Kontakte für Kernprojekte
Die Ressourcen-ID Ihrer Organisation. Sie finden sie in der Cloud de Confiance Console oder durch Ausführen des folgenden Google Cloud CLI-Befehls:
gcloud organizations listDadurch wird eine Liste aller Organisationen ausgegeben, denen Sie angehören (es sollte nur eine sein), sowie die entsprechenden IDs.
Erforderliche Berechtigungen gewähren
Führen Sie die folgenden Befehle aus, um dem Prinzipal, der die Bereitstellung ausführt, die erforderlichen IAM-Berechtigungen zu gewähren:
export FAST_PRINCIPAL="PRINCIPAL_ID"
export FAST_ORG_ID="ORG_ID"
# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
roles/billing.admin \
roles/logging.admin \
roles/iam.organizationRoleAdmin \
roles/orgpolicy.policyAdmin \
roles/resourcemanager.folderAdmin \
roles/resourcemanager.organizationAdmin \
roles/resourcemanager.projectCreator \
roles/resourcemanager.tagAdmin \
roles/owner"
for role in $FAST_ROLES; do
gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
--member $FAST_PRINCIPAL --role $role --condition None
done
Ersetzen Sie Folgendes:
PRINCIPAL_ID: Eine Kennung für das relevante Hauptkonto. Weitere Informationen zum Angeben von Identitäten und Gruppen aus der Mitarbeiteridentitätsföderation finden Sie unter Hauptkonto-IDs.ORG_ID: Die Ressourcen-ID Ihrer Organisation.
Temporäres Projekt erstellen
Für Fabric FAST Terraform ist mindestens ein vorhandenes Projekt erforderlich, da die Dienste für Organisationsrichtlinien bei der ersten Einrichtung nicht automatisch im Stammverzeichnis der Organisation verfügbar sind. Wenn Sie Terraform zum ersten Mal in einer leeren Organisation anwenden, erstellen Sie mit den folgenden Schritten ein temporäres Projekt im Stammverzeichnis Ihrer neuen Organisation:
- Erstellen Sie ein Projekt in Ihrer Organisation und notieren Sie sich die Projekt-ID.
Legen Sie das Projekt als aktuelles Projekt für die Google Cloud CLI fest:
gcloud config set project PROJECT_IDAktivieren Sie die erforderlichen Dienste in Ihrem Projekt, indem Sie den folgenden Befehl ausführen:
gcloud services enable \ bigquery.googleapis.com \ cloudbilling.googleapis.com \ cloudresourcemanager.googleapis.com \ essentialcontacts.googleapis.com \ iam.googleapis.com \ logging.googleapis.com \ orgpolicy.googleapis.com \ serviceusage.googleapis.com
Sie können dieses Projekt nach Abschluss der Einrichtung löschen.
Terraform abrufen
Klonen Sie das Fabric FAST-Repository auf Ihren lokalen Computer, indem Sie den folgenden Befehl ausführen:
git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git
Nachdem die Dateien auf Ihren Computer kopiert wurden, wechseln Sie in das Stammverzeichnis der Fabric FAST-Organisationseinrichtungsphase, um zu beginnen.
cd cloud-foundation-fabric/fast/stages/0-org-setup
Terraform für die Organisationseinrichtung anwenden
Standardmäßig verwendet Fabric FAST das Dataset classic für diese Phase. Da sich
jedoch Cloud de Confiance auf dieser Ebene erheblich
von Google Cloud unterscheidet, einschließlich Abrechnung
und Endpunkte, stellen wir ein spezielles classic-gcd Dataset bereit, das das classic
Dataset für Ihr Universum anpasst. Sie müssen dieses Dataset anstelle der Standardversion verwenden.
Folgen Sie der Anleitung in
README-GCD
, um zu classic-gcd zu wechseln und alle relevanten Konfigurationsdateien mit den
Informationen zu aktualisieren, die Sie unter Vorbereitung gesammelt haben, bevor
Sie Terraform anwenden. Möglicherweise müssen Sie auch die README-Datei der Phase
README
, um weitere Informationen zu erhalten.
Zusätzliche Phasen anwenden
Folgen Sie der Anleitung in der Fabric FAST-Dokumentation, um alle zusätzlichen Phasen anzuwenden, die Sie benötigen. Für zusätzliche Phasen sind keine besonderen Anpassungen erforderlich, um mit ihnen zu arbeiten Cloud de Confiance.
Nächste Schritte
- Organisation erkunden und Einrichtung überprüfen durch Ausprobieren eines vorgeschlagenen Tutorials