Cette page vous présente Fabric FAST et vous explique comment l'utiliser pour configurer une organisation prête pour la production dansCloud de Confiance. Fabric FAST est un kit d'outils Terraform hautement configurable permettant de configurer une organisation. Il reflète de nombreuses bonnes pratiques en matière d'évolutivité, de sécurité et de facilité de maintenance, en utilisant des modèles qui ont bien fonctionné pour de nombreux clients Google Cloud. Fabric FAST a été développé pour Google Cloud, mais est entièrement compatible avecCloud de Confiance.
Cette page s'adresse aux administrateurs expérimentés qui doivent configurer une nouvelle organisation dans Cloud de Confiance. Il se concentre sur la configuration initiale des ressources, mais fournit des liens vers la documentation détaillée de Fabric FAST pour plus d'informations.
Si votre organisation est plus petite, si vous développez une preuve de concept ou si vous connaissez moins bien Terraform, envisagez notre configuration de base. Elle vous fournit une organisation relativement simple, prête à déployer des charges de travail en une seule étape. Pour en savoir plus, consultez Quelle configuration Fabric FAST me convient le mieux ?.
Que dois-je savoir avant de commencer ?
Avant de lire ce guide, vous devez :
Comprendre les concepts de base Cloud de Confiance décrits dans la Cloud de Confiance présentation.
Comprendre la Cloud de Confiance hiérarchie des ressources, y compris les organisations, les dossiers et les projets.
Comprendre les règles d'administration
Vous devez savoir utiliser Terraform.
Si vous connaissez déjà la configuration des ressources pour Google Cloud, nous vous recommandons d'examiner les principales différences entre Cloud de Confiance et Google Cloud.
Si vous avez utilisé Fabric FAST sur Google Cloud, vous pouvez passer directement à Avant de commencer.
À propos des étapes de Fabric FAST
Fabric FAST utilise le concept d'étapes pour créer votre organisation de manière itérative. Par exemple, vous configurez d'abord les ressources de base, puis vous pouvez ajouter la sécurité, la mise en réseau, etc. Chaque étape inclut un ou plusieurs ensembles de données YAML préconfigurés qui spécifient le type et le nombre de ressources que vous souhaitez créer. Vous pouvez ainsi choisir entre les bonnes pratiques pour différents types d'organisation et différents besoins techniques. Par exemple, vous pouvez choisir entre différents ensembles de données réseau en fonction de vos besoins en matière de mise en réseau et de sécurité. Vous pouvez déployer ces configurations "telles quelles" (en fournissant vos propres informations, comme votre compte de facturation) ou les modifier pour répondre à vos besoins spécifiques. Les ensembles de données fournis sont vérifiés pour fonctionner sur Cloud de Confianceet peuvent être utilisés pour amorcer une zone d'atterrissage complète.
Chaque étape correspond également aux limites organisationnelles habituelles, ce qui vous permet de déléguer la propriété de chaque étape à l'équipe responsable des types de ressources qu'elle gère. Par exemple, comme son nom l'indique, l'étape de mise en réseau configure tous les éléments de mise en réseau et relève généralement de la responsabilité d'une équipe de mise en réseau dédiée au sein de l'organisation. En fonction de la taille et de la complexité de votre organisation, vous pouvez déléguer des responsabilités à différents administrateurs d'équipe à mesure que vous ajoutez de nouvelles étapes dans ce guide et dans la documentation Fabric FAST.
Les étapes de Fabric FAST sont les suivantes :
- Configuration de l'organisation : combine l'amorçage au niveau de l'organisation avec la configuration initiale de la hiérarchie des ressources. Cette étape configure les stratégies IAM (Identity and Access Management) et les règles d'administration de haut niveau, ainsi que les couches initiales de la hiérarchie des ressources qui partitionnent l'organisation en différents environnements et différents niveaux. Fabric FAST fournit un ensemble de données
classic-gcdspécial pour cette étape à utiliser avec votre univers. - VPC-SC : implémente une configuration VPC Service Controls et inclut la découverte automatique des ressources.
- Mise en réseau : gère les ressources réseau centralisées et permet de les partager avec les équipes chargées des applications et des services. Cette étape fournit plusieurs conceptions différentes sous forme d'ensembles de données YAML, y compris le hub and spoke avec des appairages VPC, des VPN, des NVA et NCC.
- Project factory : permet de gérer plus facilement les hiérarchies de dossiers et les projets à l'aide de fichiers de configuration basés sur YAML. Vous pouvez ainsi configurer des groupes de projets à gérer par différentes équipes d'application ou unités commerciales.
- Sécurité : gère les configurations et les ressources de sécurité centralisées telles que Cloud KMS, et fournit un espace pour les ressources supplémentaires liées à la sécurité. Cette étape est généralement gérée par une équipe de sécurité centrale.
Toutes ces étapes, à l'exception de la configuration de l'organisation, sont facultatives et leur utilisation dépend des exigences réelles. Ce guide se concentre sur l'étape de configuration de l'organisation. Pour en savoir plus sur les ressources créées à cette étape, consultez la documentation Fabric FAST.
Avant de commencer
Vérifiez les éléments suivants :
- Vous avez configuré un fournisseur d'identité (IdP) pour votre organisation et vous êtes connecté à Cloud de Confiance avec votre ID administrateur.
- Vous avez configuré Google Cloud CLI pour l'utiliser avec Cloud de Confiance.
- Les outils
gitetterraformsont installés sur votre machine locale :- Installer Git
- Installez Terraform (version 1.12 minimum).
Préparez les informations suivantes :
- Le compte principal choisi auquel accorder les autorisations d'administrateur pour votre organisation. Il peut s'agir de votre propre ID ou (recommandé) d'un groupe d'administrateurs dont vous êtes membre.
- L'adresse e-mail du contact essentiel que vous avez choisie pour les projets principaux
ID de votre ressource d'organisation. Vous pouvez trouver cette information dans la console Cloud de Confiance ou en exécutant la commande Google Cloud CLI suivante :
gcloud organizations listCette commande permet de répertorier toutes les organisations dont vous faites partie (il ne devrait y en avoir qu'une seule) et leurs ID correspondants.
Accorder les autorisations requises
Exécutez les commandes suivantes pour accorder au principal qui exécute le déploiement les autorisations IAM requises :
export FAST_PRINCIPAL="PRINCIPAL_ID"
export FAST_ORG_ID="ORG_ID"
# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
roles/billing.admin \
roles/logging.admin \
roles/iam.organizationRoleAdmin \
roles/orgpolicy.policyAdmin \
roles/resourcemanager.folderAdmin \
roles/resourcemanager.organizationAdmin \
roles/resourcemanager.projectCreator \
roles/resourcemanager.tagAdmin \
roles/owner"
for role in $FAST_ROLES; do
gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
--member $FAST_PRINCIPAL --role $role --condition None
done
Remplacez les éléments suivants :
PRINCIPAL_ID: identifiant du compte principal concerné. Pour savoir comment spécifier des identités et des groupes à partir de la fédération des identités des employés, consultez Identifiants principaux.ORG_ID: ID de ressource de votre organisation.
Créer un projet temporaire
Fabric FAST Terraform nécessite au moins un projet existant pour s'exécuter, car les services de règles d'administration ne sont pas automatiquement disponibles à la racine de l'organisation lors de la configuration initiale. Si vous appliquez Terraform pour la première fois dans une organisation vide, créez un projet temporaire à la racine de votre nouvelle organisation en procédant comme suit :
- Créez un projet dans votre organisation et notez son ID.
Définissez le projet comme projet actuel pour la Google Cloud CLI :
gcloud config set project PROJECT_IDActivez les services requis dans votre projet en exécutant la commande suivante :
gcloud services enable \ bigquery.googleapis.com \ cloudbilling.googleapis.com \ cloudresourcemanager.googleapis.com \ essentialcontacts.googleapis.com \ iam.googleapis.com \ logging.googleapis.com \ orgpolicy.googleapis.com \ serviceusage.googleapis.com
Vous pouvez supprimer ce projet une fois la configuration terminée.
Obtenir Terraform
Clonez le dépôt Fabric FAST sur votre ordinateur local en exécutant la commande suivante :
git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git
Une fois les fichiers copiés sur votre machine, passez au répertoire racine de l'étape de configuration de l'organisation Fabric FAST comme répertoire de travail pour commencer.
cd cloud-foundation-fabric/fast/stages/0-org-setup
Appliquer la configuration Terraform de l'organisation
Par défaut, Fabric FAST utilise l'ensemble de données classic pour cette étape. Toutefois, comme Cloud de Confiance présente des différences importantes par rapport à Google Cloud à ce niveau, y compris au niveau de la facturation et des points de terminaison, nous fournissons un ensemble de données classic-gcd spécial, en adaptant l'ensemble de données classic pour votre univers. Vous devez utiliser cet ensemble de données plutôt que la version par défaut.
Suivez les instructions de README-GCD pour passer à classic-gcd et mettez à jour tous les fichiers de configuration concernés avec les informations que vous avez recueillies dans Avant de commencer avant d'appliquer Terraform. Vous devrez peut-être également consulter le fichier README de l'étape pour obtenir des informations supplémentaires.
Appliquer des étapes supplémentaires
Suivez les instructions de la documentation Fabric FAST pour appliquer les étapes supplémentaires dont vous avez besoin. Les étapes supplémentaires ne nécessitent aucune personnalisation particulière pour fonctionner avec Cloud de Confiance.
Étapes suivantes
- Explorez votre organisation et vérifiez votre configuration en suivant un tutoriel suggéré.