En esta página, se presenta Fabric FAST y se explica cómo usarlo para configurar una organización lista para producción enCloud de Confiance. Fabric FAST es un kit de herramientas de Terraform altamente configurable para establecer una organización. Refleja muchas prácticas recomendadas en torno a la escalabilidad, la seguridad y el mantenimiento, y utiliza patrones que han funcionado bien para muchos clientes de Google Cloud. Fabric FAST se desarrolló para Google Cloud, pero es totalmente compatible conCloud de Confiance.
Esta página está dirigida a administradores experimentados que necesitan configurar una organización nueva en Cloud de Confiance. Se enfoca en la configuración inicial de los recursos, pero proporciona vínculos a la extensa documentación de Fabric FAST para obtener más detalles.
Si tienes una organización más pequeña, estás desarrollando una prueba de concepto o no conoces bien Terraform, considera nuestra configuración básica, que te proporciona una organización relativamente simple que está lista para implementar cargas de trabajo en un solo paso. Para obtener más detalles, consulta ¿Qué configuración de Fabric FAST es la más adecuada para mí?.
¿Qué debo saber primero?
Antes de leer esta guía, debes hacer lo siguiente:
Comprende los conceptos básicos Cloud de Confiance que se describen en la Cloud de Confiance descripción general.
Comprende la Cloud de Confiance jerarquía de recursos, incluidas las organizaciones, las carpetas y los proyectos.
Comprende las políticas de la organización.
Debes saber usar Terraform.
Si ya sabes cómo configurar recursos para Google Cloud, te recomendamos que revises las principales diferencias entre Cloud de Confiance y Google Cloud.
Si ya usaste Fabric FAST en Google Cloud, puedes avanzar a Antes de comenzar.
Acerca de las etapas de Fabric FAST
Fabric FAST usa el concepto de etapas para crear tu organización de forma iterativa. Por ejemplo, primero configuras los recursos básicos y, luego, puedes agregar seguridad, redes, etcétera. Cada etapa incluye uno o más conjuntos de datos en formato YAML preconfigurados que especifican el tipo y la cantidad de recursos que deseas crear, lo que te permite seleccionar entre las prácticas recomendadas para diferentes tipos de organizaciones y diferentes necesidades técnicas. Por ejemplo, puedes elegir entre diferentes conjuntos de datos de redes según tus necesidades de redes y seguridad. Puedes implementar estos parámetros de configuración "tal cual" (además de proporcionar tus propios detalles, como tu cuenta de facturación) o editarlos para satisfacer tus necesidades específicas. Se verificó que los conjuntos de datos proporcionados funcionan en Cloud de Confiancey se pueden usar para iniciar una zona de destino completa.
Cada etapa también se alinea con los límites organizativos típicos, lo que te permite delegar la propiedad de cada etapa al equipo responsable de los tipos de recursos que administra. Por ejemplo, como su nombre lo indica, la etapa de redes configura todos los elementos de redes y, por lo general, es responsabilidad de un equipo de redes exclusivo dentro de la organización. Según el tamaño y la complejidad de tu organización, a medida que avances en esta guía y en la documentación de Fabric FAST, podrás delegar la responsabilidad en diferentes administradores de equipos a medida que agregues etapas nuevas.
Las etapas de Fabric FAST son las siguientes:
- Configuración de la organización: Combina el inicio a nivel de la organización con la configuración inicial de la jerarquía de recursos. En esta etapa, se configuran las políticas de alto nivel de Identity and Access Management (IAM) y las políticas de la organización, así como las capas iniciales de la jerarquía de recursos que particionan la organización en diferentes entornos y alcances. Fabric FAST proporciona un conjunto de datos
classic-gcdespecial para esta etapa que se puede usar con tu universo. - VPC-SC: Implementa una configuración de Controles del servicio de VPC y, además, incluye el descubrimiento automático de recursos.
- Herramientas de redes: Administra los recursos de red centralizados y proporciona una forma de compartirlos con los equipos de aplicaciones y servicios. En esta etapa, se proporcionan varios diseños diferentes como conjuntos de datos en formato YAML, incluidos los diseños de concentrador y radio con intercambio de tráfico entre redes de VPC, VPNs, ANV y NCC.
- Project factory: Permite administrar de forma simplificada las jerarquías de carpetas y los proyectos con archivos de configuración basados en YAML, lo que te ayuda a configurar grupos de proyectos para que los administren diferentes equipos de aplicaciones o unidades de negocios.
- Seguridad: Administra las configuraciones y los recursos de seguridad centralizados, como Cloud KMS, y proporciona un espacio para recursos adicionales relacionados con la seguridad. Por lo general, esta etapa es responsabilidad de un equipo de seguridad central.
Todas estas etapas, excepto la configuración de la organización, son opcionales y su uso depende de los requisitos reales. Esta guía se centra en la etapa de configuración de la organización. Puedes leer más sobre los recursos creados en esta etapa en la documentación de Fabric FAST.
Antes de comenzar
Asegúrate de que se cumpla lo siguiente:
- Tienes un proveedor de identidad (IdP) configurado para tu organización y accediste a Cloud de Confiance con tu ID de administrador.
- Configuraste Google Cloud CLI para usarla con Cloud de Confiance.
- Tienes instaladas las herramientas
gityterraformen tu máquina local:- Instala Git
- Instala Terraform (versión mínima 1.12).
Ten lista la siguiente información:
- El principal que elegiste y al que se le deben otorgar permisos de administrador para tu organización. Puede ser tu propio ID o (recomendado) un grupo de usuarios administradores del que seas miembro.
- La dirección de correo electrónico del contacto esencial que elegiste para los proyectos principales
ID de tu recurso de organización. Puedes encontrarlo en la consola de Cloud de Confiance o ejecutando el siguiente comando de Google Cloud CLI:
gcloud organizations listEn esta lista, se muestran todas las organizaciones a las que perteneces (¡solo debería haber una!) y sus IDs correspondientes.
Otorga los permisos necesarios
Ejecuta los siguientes comandos para otorgar a la entidad que ejecuta la implementación los permisos de IAM necesarios:
export FAST_PRINCIPAL="PRINCIPAL_ID"
export FAST_ORG_ID="ORG_ID"
# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
roles/billing.admin \
roles/logging.admin \
roles/iam.organizationRoleAdmin \
roles/orgpolicy.policyAdmin \
roles/resourcemanager.folderAdmin \
roles/resourcemanager.organizationAdmin \
roles/resourcemanager.projectCreator \
roles/resourcemanager.tagAdmin \
roles/owner"
for role in $FAST_ROLES; do
gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
--member $FAST_PRINCIPAL --role $role --condition None
done
Reemplaza lo siguiente:
PRINCIPAL_ID: Es un identificador del principal pertinente. Puedes obtener más información para especificar identidades y grupos desde la federación de identidades de personal en Identificadores principales.ORG_ID: Es el ID del recurso de tu organización.
Crea un proyecto temporal
Fabric FAST Terraform requiere al menos un proyecto existente para ejecutarse, ya que los servicios de políticas de la organización no están disponibles automáticamente en la raíz de la organización durante la configuración inicial. Si es la primera vez que aplicas Terraform en una organización vacía, crea un proyecto temporal en la raíz de tu organización nueva con los siguientes pasos:
- Crea un proyecto en tu organización y toma nota de su ID del proyecto.
Configura el proyecto como tu proyecto actual para Google Cloud CLI:
gcloud config set project PROJECT_IDEjecuta el siguiente comando para habilitar los servicios necesarios en tu proyecto:
gcloud services enable \ bigquery.googleapis.com \ cloudbilling.googleapis.com \ cloudresourcemanager.googleapis.com \ essentialcontacts.googleapis.com \ iam.googleapis.com \ logging.googleapis.com \ orgpolicy.googleapis.com \ serviceusage.googleapis.com
Puedes borrar este proyecto cuando termines la configuración.
Obtén Terraform
Clona el repositorio de Fabric FAST en tu máquina local ejecutando el siguiente comando:
git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git
Una vez que los archivos se copien en tu máquina, cambia al directorio raíz de la etapa de configuración de la organización de Fabric FAST como tu directorio de trabajo para comenzar.
cd cloud-foundation-fabric/fast/stages/0-org-setup
Aplica la configuración de Terraform de la organización
De forma predeterminada, Fabric FAST usa el conjunto de datos classic para esta etapa. Sin embargo, debido a que Cloud de Confiance tiene diferencias significativas con Google Cloud en este nivel, incluidos los extremos y la facturación, proporcionamos un conjunto de datos especial de classic-gcd, que adapta el conjunto de datos de classicpara tu universo. Debes usar este conjunto de datos en lugar de la versión predeterminada.
Sigue las instrucciones en README-GCD para cambiar a classic-gcd y actualizar los archivos de configuración pertinentes con la información que recopilaste en Antes de comenzar antes de aplicar Terraform. También es posible que debas consultar el archivo README de la etapa para obtener información adicional.
Aplica etapas adicionales
Sigue las instrucciones en la documentación de Fabric FAST para aplicar las etapas adicionales que necesites. Las etapas adicionales no requieren ninguna personalización especial para funcionar con Cloud de Confiance.
¿Qué sigue?
- Explora tu organización y verifica tu configuración con un tutorial sugerido