Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Fabric FAST 툴킷을 사용한 엔터프라이즈 설정

이 페이지에서는 패브릭 FAST와 이를 사용하여Cloud de Confiance에서 프로덕션 준비 조직을 구성하는 방법을 소개합니다. Fabric FAST는 조직을 설정하기 위한 구성 가능한 Terraform 툴킷입니다. 이 아키텍처는 많은 Google Cloud 고객에게 효과적인 패턴을 사용하여 확장성, 보안, 유지관리 가능성에 관한 여러 권장사항을 반영합니다. 패브릭 FAST는 Google Cloud용으로 개발되었지만Cloud de Confiance에서 완전히 지원됩니다.

이 페이지는 Cloud de Confiance에서 새 조직을 구성해야 하는 숙련된 관리자를 위해 작성되었습니다. 초기 리소스 설정에 중점을 두지만 자세한 내용은 Fabric FAST의 광범위한 문서 링크를 제공합니다.

소규모 조직이거나 개념 증명을 개발 중이거나 Terraform에 익숙하지 않은 경우 기본 설정을 고려해 보세요. 기본 설정은 한 단계로 워크로드를 배포할 수 있는 비교적 간단한 조직을 제공합니다. 자세한 내용은 어떤 패브릭 FAST 설정이 적합한가요?를 참고하세요.

가장 먼저 알아야 할 사항은 무엇인가요?

이 가이드를 읽기 전에 다음을 수행해야 합니다.

Cloud de Confiance개요에 설명된 기본 Cloud de Confiance개념을 이해합니다.
조직, 폴더, 프로젝트를 포함한 Cloud de Confiance 리소스 계층 구조를 이해합니다.
조직 정책을 이해합니다.
Terraform 사용에 익숙해야 합니다.
이미 Google Cloud의 리소스 설정에 익숙하다면 Cloud de Confiance 및 Google Cloud의 주요 차이점을 검토하는 것이 좋습니다.

Google Cloud에서 Fabric FAST를 사용한 적이 있다면 시작하기 전에로 건너뛰세요.

Fabric FAST 단계 정보

Fabric FAST는 단계 개념을 사용하여 조직을 반복적으로 빌드합니다. 예를 들어 먼저 기본 리소스를 설정한 다음 보안, 네트워킹 등을 추가할 수 있습니다. 각 단계에는 만들 리소스의 유형과 수를 지정하는 하나 이상의 사전 구성된 YAML 데이터 세트가 포함되어 있으므로 다양한 유형의 조직과 다양한 기술 요구사항에 대한 권장사항 중에서 선택할 수 있습니다. 예를 들어 네트워킹 및 보안 요구사항에 따라 다양한 네트워크 데이터 세트 중에서 선택할 수 있습니다. 이러한 구성을 '있는 그대로' 배포하거나(결제 계정과 같은 자체 세부정보 제공 제외) 특정 요구사항에 맞게 수정할 수 있습니다. 제공된 데이터 세트는 Cloud de Confiance에서 작동하는 것으로 확인되었으며 완전한 랜딩 존을 부트스트랩하는 데 사용할 수 있습니다.

각 단계는 일반적인 조직 경계와도 일치하므로 각 단계의 소유권을 관리하는 리소스 유형을 담당하는 팀에 위임할 수 있습니다. 예를 들어 네트워킹 단계는 이름에서 알 수 있듯이 모든 네트워킹 요소를 설정하며 일반적으로 조직 내 전담 네트워킹팀의 책임입니다. 조직의 규모와 복잡성에 따라 이 가이드와 Fabric FAST 문서를 살펴보면서 새 단계를 추가할 때 책임을 여러 팀 관리자에게 위임할 수 있습니다.

Fabric FAST 단계는 다음과 같습니다.

조직 설정: 조직 수준 부트스트랩과 리소스 계층의 초기 구성을 결합합니다. 이 단계에서는 최상위 Identity and Access Management (IAM) 및 조직 정책과 조직을 다양한 환경과 범위로 파티셔닝하는 리소스 계층 구조의 초기 레이어를 구성합니다. 패브릭 FAST는 이 단계에서 유니버스와 함께 사용할 수 있는 특수 classic-gcd 데이터 세트를 제공합니다.
VPC-SC: VPC 서비스 제어 구성을 구현하고 리소스 자동 검색을 포함합니다.
네트워킹: 중앙 집중식 네트워크 리소스를 관리하고 애플리케이션 및 서비스팀과 공유하는 방법을 제공합니다. 이 단계에서는 VPC 피어링, VPN, NVA, NCC가 포함된 허브 및 스포크를 비롯한 여러 가지 설계를 YAML 데이터 세트로 제공합니다.
프로젝트 팩토리: YAML 기반 구성 파일을 사용하여 폴더 계층 구조와 프로젝트를 간소화하여 관리할 수 있으므로 다양한 애플리케이션 팀 또는 비즈니스 부서에서 관리할 프로젝트 그룹을 설정할 수 있습니다.
보안: Cloud KMS와 같은 중앙 집중식 보안 구성 및 리소스를 관리하고 추가 보안 관련 리소스를 위한 공간을 제공합니다. 일반적으로 이 단계는 중앙 보안팀에서 소유합니다.

조직 설정을 제외한 이러한 모든 단계는 선택사항이며 실제 요구사항에 따라 사용 여부가 달라집니다. 이 가이드에서는 조직 설정 단계를 중점적으로 다룹니다. 이 단계에서 생성된 리소스에 대한 자세한 내용은 패브릭 FAST 문서를 참고하세요.

시작하기 전에

다음을 확인합니다.

조직에 구성된 ID 공급업체 (IdP)가 있고 관리자 ID로 Cloud de Confiance 에 로그인되어 있습니다.
Cloud de Confiance와 함께 사용할 수 있도록 Google Cloud CLI를 설정했습니다.
로컬 머신에 git 및 terraform 도구가 설치되어 있습니다.
- Git 설치
- Terraform 설치 (최소 버전 1.12)
다음 정보가 준비되어 있습니다.
- 조직의 관리자 권한을 부여할 주 구성원을 선택합니다. 본인의 ID 또는 (권장) 본인이 속한 관리자 사용자 그룹일 수 있습니다.
- 핵심 프로젝트에 대해 선택한 필수 연락처 이메일 주소
- 조직 리소스 ID입니다. 이 주소는 Cloud de Confiance 콘솔에서 찾을 수도 있고 다음 Google Cloud CLI 명령어를 실행하여 찾을 수도 있습니다.
```
gcloud organizations list
```
  여기에는 속해 있는 모든 조직 (하나만 있어야 함)과 해당 ID가 나열됩니다.

필수 권한 부여

다음 명령어를 실행하여 배포를 실행하는 보안 주체에게 필요한 IAM 권한을 부여합니다.

export FAST_PRINCIPAL="PRINCIPAL_ID"

export FAST_ORG_ID="ORG_ID"

# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
  roles/billing.admin \
  roles/logging.admin \
  roles/iam.organizationRoleAdmin \
  roles/orgpolicy.policyAdmin \
  roles/resourcemanager.folderAdmin \
  roles/resourcemanager.organizationAdmin \
  roles/resourcemanager.projectCreator \
  roles/resourcemanager.tagAdmin \
  roles/owner"

for role in $FAST_ROLES; do
  gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
    --member $FAST_PRINCIPAL --role $role --condition None
done

다음을 바꿉니다.

PRINCIPAL_ID: 관련 주 구성원의 식별자입니다. 주 구성원 식별자에서 직원 ID 제휴의 ID와 그룹을 지정하는 방법을 자세히 알아볼 수 있습니다.
ORG_ID: 조직 리소스 ID입니다.

임시 프로젝트 만들기

조직 정책 서비스는 초기 설정 중에 조직 루트에서 자동으로 사용할 수 없으므로 Fabric FAST Terraform을 실행하려면 기존 프로젝트가 하나 이상 필요합니다. 빈 조직에 Terraform을 처음 적용하는 경우 다음 단계에 따라 새 조직의 루트에 임시 프로젝트를 만드세요.

조직에서 프로젝트를 만들고 프로젝트 ID를 기록해 둡니다.
프로젝트를 Google Cloud CLI의 현재 프로젝트로 설정합니다.
```
gcloud config set project PROJECT_ID
```

다음 명령어를 실행하여 프로젝트에서 필요한 서비스를 사용 설정합니다.

gcloud services enable \
 bigquery.googleapis.com \
 cloudbilling.googleapis.com \
 cloudresourcemanager.googleapis.com \
 essentialcontacts.googleapis.com \
 iam.googleapis.com \
 logging.googleapis.com \
 orgpolicy.googleapis.com \
 serviceusage.googleapis.com

설정을 완료한 후 원하는 경우 이 프로젝트를 삭제할 수 있습니다.

Terraform 가져오기

다음 명령어를 실행하여 Fabric FAST 저장소를 로컬 머신에 클론합니다.

git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git

파일이 머신에 복사되면 Fabric FAST 조직 설정 단계 루트 디렉터리를 작업 디렉터리로 변경하여 시작합니다.

cd cloud-foundation-fabric/fast/stages/0-org-setup

조직 설정 Terraform 적용

기본적으로 Fabric FAST는 이 단계에 classic 데이터 세트를 사용합니다. 하지만 Cloud de Confiance 는 청구 및 엔드포인트를 비롯해 이 수준에서 Google Cloud와 상당한 차이가 있으므로 classic 데이터 세트를 유니버스에 맞게 조정하는 특별한 classic-gcd 데이터 세트를 제공합니다. 기본 버전이 아닌 이 데이터 세트를 사용해야 합니다.

README-GCD의 안내에 따라 classic-gcd로 전환하고 Terraform을 적용하기 전에 시작하기 전에에서 수집한 정보로 관련 구성 파일을 업데이트합니다. 단계의 README에서 추가 정보를 확인해야 할 수도 있습니다.

추가 단계 적용

패브릭 FAST 문서의 안내에 따라 필요한 추가 단계를 적용합니다. 추가 단계는 Cloud de Confiance와 함께 작동하기 위해 특별한 맞춤설정이 필요하지 않습니다.

다음 단계

추천 튜토리얼을 사용하여 조직을 살펴보고 설정을 확인합니다.