Configurazione aziendale con il toolkit Fabric FAST

Questa pagina introduce Fabric FAST e spiega come utilizzarlo per configurare un'organizzazione pronta per la produzione inCloud de Confiance. Fabric FAST è un toolkit Terraform altamente configurabile per la configurazione di un'organizzazione. Riflette molte best practice in termini di scalabilità, sicurezza e manutenibilità, utilizzando pattern che hanno funzionato bene per molti clienti Google Cloud. Fabric FAST è stato sviluppato per Google Cloud, ma è completamente supportato per Cloud de Confiance.

Questa pagina è rivolta agli amministratori esperti che devono configurare una nuova organizzazione in Cloud de Confiance. Si concentra sulla configurazione iniziale delle risorse, ma fornisce link alla vasta documentazione di Fabric FAST per ulteriori dettagli.

Se hai un'organizzazione più piccola, stai sviluppando una prova di concetto o hai meno familiarità con Terraform, ti consigliamo la nostra configurazione di base, che ti offre un'organizzazione relativamente semplice e pronta per il deployment dei carichi di lavoro in un unico passaggio. Per maggiori dettagli, vedi Quale configurazione rapida di Fabric FAST è adatta a me?.

Cosa devo sapere prima?

Prima di leggere questa guida, devi:

• Comprendi i concetti Cloud de Confiance di base descritti nella Cloud de Confiance panoramica.

• Comprendi la Cloud de Confiance gerarchia delle risorse, incluse organizzazioni, cartelle e progetti.

• Comprendere le policy dell'organizzazione.

• Acquisisci familiarità con l'utilizzo di Terraform.

• Se hai già dimestichezza con la configurazione delle risorse per Google Cloud, ti consigliamo di esaminare le principali differenze tra Cloud de Confiance e Google Cloud.

Se hai utilizzato Fabric FAST su Google Cloud, puoi passare direttamente a Prima di iniziare.

Informazioni sulle fasi di Fabric FAST

Fabric FAST utilizza il concetto di fasi per creare in modo iterativo la tua organizzazione. Ad esempio, prima configuri le risorse di base, poi puoi aggiungere sicurezza, networking e così via. Ogni fase include uno o più set di dati YAML preconfigurati che specificano il tipo e il numero di risorse che vuoi creare, consentendoti di scegliere tra le best practice per diversi tipi di organizzazione e diverse esigenze tecniche. Ad esempio, puoi scegliere tra diversi set di dati di rete a seconda delle tue esigenze di networking e sicurezza. Puoi implementare queste configurazioni "così come sono" (a parte fornire i tuoi dati, come l'account di fatturazione) o modificarle per soddisfare le tue esigenze specifiche. I set di dati forniti sono verificati per funzionare su Cloud de Confiancee possono essere utilizzati per eseguire il bootstrap di una landing zone completa.

Ogni fase è inoltre allineata ai confini organizzativi tipici, il che ti consente di delegare la proprietà di ogni fase al team responsabile dei tipi di risorse che gestisce. Ad esempio, come suggerisce il nome, la fase di networking configura tutti gli elementi di rete ed è in genere responsabilità di un team di networking dedicato all'interno dell'organizzazione. A seconda delle dimensioni e della complessità della tua organizzazione, man mano che consulti questa guida e la documentazione di Fabric FAST, potresti delegare la responsabilità a diversi amministratori del team man mano che aggiungi nuove fasi.

Le fasi di Fabric FAST sono:

• Configurazione dell'organizzazione: combina il bootstrap a livello di organizzazione con la configurazione iniziale della gerarchia delle risorse. Questa fase configura le policy di Identity and Access Management (IAM) e le policy dell'organizzazione di alto livello e i livelli iniziali della gerarchia delle risorse che partizionano l'organizzazione in diversi ambienti e ambiti. Fabric FAST fornisce un set di dati classic-gcd speciale per questa fase da utilizzare con il tuo universo.
• VPC-SC: implementa una configurazione dei Controlli di servizio VPC e include l'individuazione automatica delle risorse.
• Networking: gestisce le risorse di rete centralizzate e fornisce un modo per condividerle con i team di applicazioni e servizi. Questa fase fornisce diversi progetti diversi come set di dati YAML, tra cui hub e spoke con peering VPC, VPN, NVA e NCC.
• Project Factory: consente la gestione semplificata delle gerarchie di cartelle e dei progetti utilizzando file di configurazione basati su YAML, aiutandoti a configurare gruppi di progetti per la gestione da parte di diversi team di applicazioni o unità aziendali.
• Sicurezza: gestisce le configurazioni e le risorse di sicurezza centralizzate come Cloud KMS e fornisce uno spazio per risorse aggiuntive correlate alla sicurezza. In genere questa fase è di proprietà di un team di sicurezza centrale.

Tutte queste fasi, ad eccezione della configurazione dell'organizzazione, sono facoltative e il loro utilizzo dipende dai requisiti effettivi. Questa guida si concentra sulla fase di configurazione dell'organizzazione. Puoi leggere di più sulle risorse create in questa fase nella documentazione di Fabric FAST.

Prima di iniziare

Assicurati di quanto segue:

• Hai un provider di identità (IdP) configurato per la tua organizzazione e hai eseguito l'accesso a Cloud de Confiance con il tuo ID amministratore.
• Hai configurato Google Cloud CLI per l'utilizzo con Cloud de Confiance.
• Hai installato gli strumenti git e terraform sulla tua macchina locale:
  • Installare Git
  • Installa Terraform (versione minima 1.12)

• Hai a portata di mano le seguenti informazioni:

  • L'entità che hai scelto e a cui devono essere concesse le autorizzazioni di amministratore per la tua organizzazione. Può trattarsi del tuo ID o (opzione consigliata) di un gruppo di utenti amministratori di cui fai parte.
  • L'indirizzo email del contatto essenziale che hai scelto per i progetti principali

  • L'ID della tua risorsa dell'organizzazione. Puoi trovarlo nella console Cloud de Confiance o eseguendo il seguente comando Google Cloud CLI:

    gcloud organizations list
    

    In questo elenco sono riportate tutte le organizzazioni a cui appartieni (dovrebbe essercene solo una) e i relativi ID.

Concedi le autorizzazioni richieste

Esegui i seguenti comandi per concedere all'entità che esegue il deployment le autorizzazioni IAM richieste:

export FAST_PRINCIPAL="PRINCIPAL_ID"

export FAST_ORG_ID="ORG_ID"

# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
  roles/billing.admin \
  roles/logging.admin \
  roles/iam.organizationRoleAdmin \
  roles/orgpolicy.policyAdmin \
  roles/resourcemanager.folderAdmin \
  roles/resourcemanager.organizationAdmin \
  roles/resourcemanager.projectCreator \
  roles/resourcemanager.tagAdmin \
  roles/owner"

for role in $FAST_ROLES; do
  gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
    --member $FAST_PRINCIPAL --role $role --condition None
done

Sostituisci quanto segue:

• PRINCIPAL_ID: un identificatore per l'entità pertinente. Puoi scoprire di più su come specificare identità e gruppi dalla federazione delle identità per la forza lavoro in Identificatori di entità.
• ORG_ID: l'ID risorsa della tua organizzazione.

Creare un progetto temporaneo

Per essere eseguito, Fabric FAST Terraform richiede almeno un progetto esistente, perché i servizi di policy dell'organizzazione non sono disponibili automaticamente nella radice dell'organizzazione durante la configurazione iniziale. Se è la prima volta che applichi Terraform in un'organizzazione vuota, crea un progetto temporaneo nella radice della nuova organizzazione seguendo questi passaggi:

1. Crea un progetto nella tua organizzazione e prendi nota del suo ID progetto.

2. Imposta il progetto come progetto corrente per Google Cloud CLI:

   gcloud config set project PROJECT_ID
   

3. Abilita i servizi richiesti nel tuo progetto eseguendo questo comando:

   gcloud services enable \
    bigquery.googleapis.com \
    cloudbilling.googleapis.com \
    cloudresourcemanager.googleapis.com \
    essentialcontacts.googleapis.com \
    iam.googleapis.com \
    logging.googleapis.com \
    orgpolicy.googleapis.com \
    serviceusage.googleapis.com
   

Una volta terminata la configurazione, puoi eliminare questo progetto, se vuoi.

Scarica Terraform

Clona il repository Fabric FAST sulla tua macchina locale eseguendo il comando seguente:

git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git

Dopo aver copiato i file sul tuo computer, passa alla directory root della fase di configurazione dell'organizzazione Fabric FAST come directory di lavoro per iniziare.

cd cloud-foundation-fabric/fast/stages/0-org-setup

Applica Terraform per la configurazione dell'organizzazione

Per impostazione predefinita, Fabric FAST utilizza il set di dati classic per questa fase. Tuttavia, poiché Cloud de Confiance presenta differenze significative rispetto a Google Cloud a questo livello, inclusi fatturazione ed endpoint, forniamo un set di dati classic-gcd speciale, adattando il set di dati classic per il tuo universo. Devi utilizzare questo set di dati anziché la versione predefinita.

Segui le istruzioni riportate in README-GCD per passare a classic-gcd e aggiorna tutti i file di configurazione pertinenti con le informazioni raccolte in Prima di iniziare prima di applicare Terraform. Potresti anche dover consultare il file README dello stage per ulteriori informazioni.

Applicare fasi aggiuntive

Segui le istruzioni riportate nella documentazione di Fabric FAST per applicare eventuali fasi aggiuntive necessarie. Le fasi aggiuntive non richiedono alcuna personalizzazione speciale per funzionare con Cloud de Confiance.

Passaggi successivi

• Esplora la tua organizzazione e verifica la configurazione provando un tutorial suggerito