Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרה של Enterprise באמצעות ערכת הכלים Fabric FAST

בדף הזה מוסבר על Fabric FAST ואיך להשתמש בו כדי להגדיר ארגון מוכן לייצור ב-Cloud de Confiance. ‫Fabric FAST הוא ערכת כלים של Terraform עם אפשרויות רבות להגדרה, שמאפשרת להגדיר ארגון. היא משקפת הרבה שיטות מומלצות בנושאים כמו יכולת הרחבה, אבטחה ותחזוקה, באמצעות דפוסים שהניבו תוצאות טובות עבור הרבה לקוחות של Google Cloud. ‫Fabric FAST פותח עבור Google Cloud, אבל יש לו תמיכה מלאה ב-Cloud de Confiance.

הדף הזה מיועד לאדמינים מנוסים שצריכים להגדיר ארגון חדש ב- Cloud de Confiance. הוא מתמקד בהגדרת המשאבים הראשונית, אבל כולל קישורים לתיעוד המקיף של Fabric FAST, שבו אפשר למצוא פרטים נוספים.

אם הארגון שלכם קטן יותר, אם אתם מפתחים הוכחת היתכנות או אם אתם פחות מכירים את Terraform, כדאי לנסות את ההגדרה הבסיסית שלנו, שמספקת ארגון פשוט יחסית שמוכן לפריסת עומסי עבודה בשלב אחד. מידע נוסף זמין במאמר איזו הגדרה מהירה של Fabric מתאימה לי?

מה חשוב לדעת?

לפני שקוראים את המדריך הזה, כדאי:

כדאי לקרוא ולהבין את המושגים הבסיסיים שמתוארים בCloud de Confianceסקירה הכללית. Cloud de Confiance
הסבר על Cloud de Confiance היררכיית המשאבים, כולל ארגונים, תיקיות ופרויקטים.
הסבר על מדיניות הארגון
להכיר את השימוש ב-Terraform.
אם אתם כבר יודעים איך להגדיר משאבים ב-Google Cloud, מומלץ לעיין בההבדלים העיקריים בין Cloud de Confiance לבין Google Cloud.

אם השתמשתם ב-Fabric FAST ב-Google Cloud, אתם יכולים לדלג אל לפני שמתחילים.

מידע על שלבים ב-Fabric FAST

ב-Fabric FAST נעשה שימוש במושג שלבים כדי לבנות את הארגון בצורה איטרטיבית. לדוגמה, קודם מגדירים משאבים בסיסיים, ואז אפשר להוסיף אבטחה, רשתות וכו'. כל שלב כולל מערך נתונים אחד או יותר של YAML שהוגדרו מראש, שמציינים את הסוג והמספר של המשאבים שרוצים ליצור. כך אפשר לבחור בין שיטות מומלצות לסוגים שונים של ארגונים ולצרכים טכניים שונים. לדוגמה, אתם יכולים לבחור בין מערכי נתונים שונים של רשתות בהתאם לצרכים שלכם בתחום הרשתות והאבטחה. אפשר לפרוס את ההגדרות האלה כמו שהן (חוץ מפרטים שלכם כמו חשבון לחיוב), או לערוך אותן בהתאם לצרכים הספציפיים שלכם. האימות של מערכי הנתונים שסופקו מתבצע ב- Cloud de Confiance, ואפשר להשתמש בהם כדי להפעיל אזור נחיתה מלא.

כל שלב תואם גם לגבולות ארגוניים טיפוסיים, כך שאפשר להקצות בעלות על כל שלב לצוות שאחראי על סוגי המשאבים שהוא מנהל. לדוגמה, כמו שאפשר להבין מהשם, בשלב של יצירת רשת מוגדרים כל רכיבי הרשת, ובדרך כלל האחריות לכך מוטלת על צוות ייעודי ליצירת רשת בארגון. בהתאם לגודל ולמורכבות של הארגון, במהלך קריאת המדריך הזה ומסמכי התיעוד של Fabric FAST, יכול להיות שתצטרכו להקצות אחריות לאדמינים שונים בצוות כשתוסיפו שלבים חדשים.

השלבים של Fabric FAST הם:

הגדרת הארגון: משלבת את האתחול ברמת הארגון עם ההגדרה הראשונית של היררכיית המשאבים. בשלב הזה מגדירים מדיניות ברמה גבוהה של ניהול זהויות והרשאות גישה (IAM) ומדיניות ארגונית, ואת השכבות הראשוניות של היררכיית המשאבים שמחלקת את הארגון לסביבות ולתחומי פעולה שונים. ‫Fabric FAST מספק מערך נתונים מיוחד classic-gcd לשלב הזה לשימוש עם היקום שלכם.
‫VPC-SC: הטמעה של הגדרת VPC Service Controls, כולל גילוי אוטומטי של משאבים.
רשת: ניהול של משאבי רשת מרכזיים, ומתן דרך לשתף אותם עם צוותי אפליקציות ושירותים. בשלב הזה מוצגים כמה עיצובים שונים כקבוצות נתונים של YAML, כולל hub-and-spoke עם קישורים בין רשתות VPC, רשתות VPN, מכשירי NVA ו-NCC.
Project factory: מאפשרת ניהול פשוט של היררכיות של תיקיות ופרויקטים באמצעות קובצי הגדרה מבוססי YAML. כך אפשר להגדיר קבוצות של פרויקטים לניהול על ידי צוותים שונים של אפליקציות או יחידות עסקיות שונות.
אבטחה: ניהול של משאבים והגדרות אבטחה מרכזיים כמו Cloud KMS, ומרחב למשאבים נוספים שקשורים לאבטחה. בדרך כלל, צוות אבטחה מרכזי אחראי על השלב הזה.

כל השלבים האלה, חוץ מהגדרת הארגון, הם אופציונליים, והשימוש בהם תלוי בדרישות בפועל. במדריך הזה אנחנו מתמקדים בשלב הגדרת הארגון. אפשר לקרוא מידע נוסף על המשאבים שנוצרו בשלב הזה במסמכי התיעוד של Fabric FAST.

לפני שמתחילים

חשוב לוודא את הדברים הבאים:

ספק הזהויות (IdP) מוגדר בארגון ואתם מחוברים אליו Cloud de Confiance באמצעות מזהה האדמין שלכם.
הגדרתם את Google Cloud CLI לשימוש עם Cloud de Confiance.
הכלים git ו-terraform מותקנים במחשב המקומי:
- התקנת Git
- מתקינים את Terraform (גרסה 1.12 ומעלה)
כדאי להכין את הפרטים הבאים:
- חשבון המשתמש שבחרתם, שצריך לקבל הרשאות אדמין בארגון. זה יכול להיות המזהה שלכם או (מומלץ) קבוצת משתמשים עם הרשאת אדמין שאתם חברים בה.
- כתובת האימייל של איש הקשר החיוני שבחרתם לפרויקטים מרכזיים
- המזהה של משאב הארגון. אפשר למצוא את זה במסוף Cloud de Confiance או באמצעות הפעלת הפקודה הבאה ב-Google Cloud CLI:
```
gcloud organizations list
```
  בקטע הזה מופיעים כל הארגונים שאתם משתייכים אליהם (אמור להיות רק אחד!) והמזהים שלהם.

מתן ההרשאות הנדרשות

מריצים את הפקודות הבאות כדי לתת לישות המורשית שמריצה את הפריסה את הרשאות ה-IAM הנדרשות:

export FAST_PRINCIPAL="PRINCIPAL_ID"

export FAST_ORG_ID="ORG_ID"

# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
  roles/billing.admin \
  roles/logging.admin \
  roles/iam.organizationRoleAdmin \
  roles/orgpolicy.policyAdmin \
  roles/resourcemanager.folderAdmin \
  roles/resourcemanager.organizationAdmin \
  roles/resourcemanager.projectCreator \
  roles/resourcemanager.tagAdmin \
  roles/owner"

for role in $FAST_ROLES; do
  gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
    --member $FAST_PRINCIPAL --role $role --condition None
done

מחליפים את מה שכתוב בשדות הבאים:

PRINCIPAL_ID: מזהה של החשבון הראשי הרלוונטי. מידע נוסף על ציון זהויות וקבוצות מתוך איחוד שירותי אימות הזהות של כוח עבודה זמין במאמר מזהי משתמשים ראשיים.
‫ORG_ID: מזהה משאב הארגון.

יצירת פרויקט זמני

כדי להפעיל את Fabric FAST Terraform, צריך לפחות פרויקט קיים אחד, כי שירותי מדיניות ארגונית לא זמינים אוטומטית ברמת השורש של הארגון במהלך ההגדרה הראשונית. אם זו הפעם הראשונה שאתם מחילים את Terraform בארגון ריק, אתם צריכים ליצור פרויקט זמני ברמה הבסיסית של הארגון החדש. כך עושים זאת:

יוצרים פרויקט בארגון ורושמים את מזהה הפרויקט.
מגדירים את הפרויקט כפרויקט הנוכחי ב-Google Cloud CLI:
```
gcloud config set project PROJECT_ID
```

מפעילים את השירותים הנדרשים בפרויקט באמצעות הפקודה הבאה:

gcloud services enable \
 bigquery.googleapis.com \
 cloudbilling.googleapis.com \
 cloudresourcemanager.googleapis.com \
 essentialcontacts.googleapis.com \
 iam.googleapis.com \
 logging.googleapis.com \
 orgpolicy.googleapis.com \
 serviceusage.googleapis.com

אחרי שמסיימים את ההגדרה, אפשר למחוק את הפרויקט.

קבלת Terraform

משכפלים את מאגר Fabric FAST למכונה המקומית באמצעות הפקודה הבאה:

git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git

אחרי שהקבצים מועתקים למחשב, כדי להתחיל, משנים את ספריית העבודה לספרייה הבסיסית של שלב ההגדרה של ארגון Fabric FAST.

cd cloud-foundation-fabric/fast/stages/0-org-setup

החלת Terraform להגדרת הארגון

כברירת מחדל, בשלב הזה נעשה שימוש במערך הנתונים classic ב-Fabric FAST. עם זאת, מכיוון שיש הבדלים משמעותיים בין Cloud de Confiance לבין Google Cloud ברמה הזו, כולל חיוב ונקודות קצה, אנחנו מספקים מערך נתונים מיוחד של classic-gcd, ומבצעים התאמה של מערך הנתונים classicלסביבה שלכם. חובה להשתמש במערך הנתונים הזה ולא בגרסת ברירת המחדל.

כדי לעבור ל-classic-gcd ולעדכן את קובצי התצורה הרלוונטיים במידע שאספתם בשלב לפני שמתחילים, צריך לפעול לפי ההוראות שבקובץ README-GCD לפני שמחילים את Terraform. יכול להיות שתצטרכו לעיין גם בREADME של השלב כדי לקבל מידע נוסף.

הוספת שלבים

פועלים לפי ההוראות במסמכי התיעוד של Fabric FAST כדי להחיל שלבים נוספים שנדרשים. כדי להשתמש בשלבים נוספים, לא צריך לבצע התאמות מיוחדות Cloud de Confiance.

המאמרים הבאים

כדי לבדוק את ההגדרה, אפשר לעיין במדריך המוצע ולנסות אותו.