Configuração empresarial com o conjunto de ferramentas do Fabric FAST

Esta página apresenta o Fabric FAST e como usá-lo para configurar uma organização pronta para produção no Cloud de Confiance. O Fabric FAST é um kit de ferramentas do Terraform altamente configurável para configurar uma organização. Ele reflete muitas práticas recomendadas sobre escalonabilidade, segurança e capacidade de manutenção, usando padrões que funcionaram bem para muitos clientes do Google Cloud. O Fabric FAST foi desenvolvido para o Google Cloud, mas tem suporte total para o Cloud de Confiance.

Esta página é destinada a administradores experientes que precisam configurar uma nova organização no Cloud de Confiance. Ela se concentra na configuração inicial de recursos, mas fornece links para a extensa documentação do Fabric FAST para mais detalhes.

Se você tem uma organização menor, está desenvolvendo uma prova de conceito ou se não está familiarizado com o Terraform, considere nossa configuração básica, que oferece uma organização relativamente simples e pronta para implantar cargas de trabalho em uma única etapa. Para mais detalhes, consulte Qual configuração do Fabric FAST é para mim?.

O que preciso saber primeiro?

Antes de ler este guia, você precisa:

• Entender os conceitos básicos descritos na visão geral do. Cloud de ConfianceCloud de Confiance

• Entender a Cloud de Confiance hierarquia de recursos , incluindo organizações, pastas e projetos.

• Entender as políticas da organização.

• Estar familiarizado com o uso do Terraform.

• Se você já estiver familiarizado com a configuração de recursos para o Google Cloud, recomendamos que analise as principais diferenças entre Cloud de Confiance o e o Google Cloud.

Se você já usou o Fabric FAST no Google Cloud, pule para Antes de começar.

Sobre os estágios do Fabric FAST

O Fabric FAST usa o conceito de estágios para criar sua organização de forma iterativa. Por exemplo, primeiro você configura os recursos básicos e, em seguida, pode adicionar segurança, rede e assim por diante. Cada estágio inclui um ou mais conjuntos de dados YAML pré-configurados que especificam o tipo e o número de recursos que você quer criar, permitindo selecionar entre as práticas recomendadas para diferentes tipos de organização e necessidades técnicas. Por exemplo, você pode escolher entre diferentes conjuntos de dados de rede, dependendo das suas necessidades de rede e segurança. É possível implantar essas configurações "no estado em que se encontram" (além de fornecer seus próprios detalhes, como a conta de faturamento) ou editá-las para atender às suas necessidades específicas. Os conjuntos de dados fornecidos são verificados para funcionar no Cloud de Confiance, e podem ser usados para inicializar uma zona de destino completa.

Cada estágio também está alinhado aos limites organizacionais típicos, o que permite delegar a propriedade de cada estágio à equipe responsável pelos tipos de recursos que ele gerencia. Por exemplo, como o nome sugere, o estágio de rede configura todos os elementos de rede e geralmente é de responsabilidade de uma equipe de rede dedicada dentro da organização. Dependendo do tamanho e da complexidade da sua organização, ao seguir este guia e a documentação do Fabric FAST, você poderá delegar a responsabilidade a diferentes administradores de equipe à medida que adicionar novos estágios.

Os estágios do Fabric FAST são:

• Configuração da organização: combina a inicialização no nível da organização com a configuração inicial da hierarquia de recursos. Esse estágio configura o Identity and Access Management (IAM) de alto nível e as políticas da organização, além das camadas iniciais da hierarquia de recursos que particionam a organização em diferentes ambientes e escopos. O Fabric FAST fornece um conjunto de dados classic-gcd especial para esse estágio para uso com seu universo.
• VPC-SC: implementa uma configuração do VPC Service Controls e inclui a descoberta automática de recursos.
• Rede: gerencia recursos de rede centralizados e oferece uma maneira de compartilhá-los com equipes de aplicativos e serviços. Esse estágio fornece vários designs diferentes como conjuntos de dados YAML, incluindo hub-and-spoke com peering de VPCs, VPNs, NVAs e NCC.
• Fábrica de projetos: permite o gerenciamento simplificado de hierarquias de pastas e projetos usando arquivos de configuração baseados em YAML, ajudando a configurar grupos de projetos para gerenciamento por diferentes equipes de aplicativos ou unidades de negócios.
• Segurança: gerencia configurações e recursos de segurança centralizados, como o Cloud KMS, e fornece um espaço para outros recursos relacionados à segurança. Normalmente, esse estágio é de propriedade de uma equipe de segurança central.

Todos esses estágios, exceto a configuração da organização, são opcionais, e o uso deles depende dos requisitos reais. Este guia se concentra no estágio de configuração da organização. Você pode ler mais sobre os recursos criados nesse estágio na documentação do Fabric FAST.

Antes de começar

Confirme os seguintes itens:

• Você tem um provedor de identidade (IdP) configurado para sua organização e está conectado ao Cloud de Confiance com seu ID de administrador.
• Você configurou a Google Cloud CLI para uso com o Cloud de Confiance.
• Você tem as ferramentas git e terraform instaladas na máquina local:
  • Instale o Git
  • Instale o Terraform (versão mínima 1.12)

• Você tem as seguintes informações prontas:

  • O principal escolhido que deve receber permissões de administrador para sua organização. Pode ser seu próprio ID ou (recomendado) um grupo de usuários administradores do qual você é membro.
  • O endereço de e-mail de contato essencial escolhido para projetos principais

  • O ID do recurso da organização. Você pode encontrar isso no Cloud de Confiance console ou executando o seguinte comando da Google Cloud CLI:

    gcloud organizations list
    

    Isso lista todas as organizações às quais você pertence (só deve haver uma) e os IDs correspondentes.

Conceder as permissões necessárias

Execute os comandos a seguir para conceder ao principal que executa a implantação as permissões necessárias do IAM:

export FAST_PRINCIPAL="PRINCIPAL_ID"

export FAST_ORG_ID="ORG_ID"

# set needed roles (billing role only needed for organization-owned account)
export FAST_ROLES="\
  roles/billing.admin \
  roles/logging.admin \
  roles/iam.organizationRoleAdmin \
  roles/orgpolicy.policyAdmin \
  roles/resourcemanager.folderAdmin \
  roles/resourcemanager.organizationAdmin \
  roles/resourcemanager.projectCreator \
  roles/resourcemanager.tagAdmin \
  roles/owner"

for role in $FAST_ROLES; do
  gcloud organizations add-iam-policy-binding $FAST_ORG_ID \
    --member $FAST_PRINCIPAL --role $role --condition None
done

Substitua:

• PRINCIPAL_ID: um identificador para o principal relevante. Saiba mais sobre como especificar identidades e grupos na Federação de identidade de colaboradores em Identificadores principais.
• ORG_ID: o ID do recurso da organização.

Criar um projeto temporário

O Terraform do Fabric FAST exige pelo menos um projeto para ser executado, porque os serviços de política da organização não estão disponíveis automaticamente na raiz da organização durante a configuração inicial. Se esta for a primeira vez que você aplica o Terraform em uma organização vazia, crie um projeto temporário na raiz da nova organização seguindo estas etapas:

1. Crie um projeto na sua organização e anote o ID do projeto.

2. Defina o projeto como o atual para a Google Cloud CLI:

   gcloud config set project PROJECT_ID
   

3. Ative os serviços necessários no projeto executando o seguinte comando:

   gcloud services enable \
    bigquery.googleapis.com \
    cloudbilling.googleapis.com \
    cloudresourcemanager.googleapis.com \
    essentialcontacts.googleapis.com \
    iam.googleapis.com \
    logging.googleapis.com \
    orgpolicy.googleapis.com \
    serviceusage.googleapis.com
   

Você pode excluir esse projeto se quiser depois de concluir a configuração.

Acessar o Terraform

Clone o repositório do Fabric FAST na sua máquina local executando o seguinte comando:

git clone https://github.com/GoogleCloudPlatform/cloud-foundation-fabric.git

Depois que os arquivos forem copiados para a máquina, mude para o diretório raiz do estágio de configuração da organização do Fabric FAST como diretório de trabalho para começar.

cd cloud-foundation-fabric/fast/stages/0-org-setup

Aplicar o Terraform de configuração da organização

Por padrão, o Fabric FAST usa o conjunto de dados classic para esse estágio. No entanto, como o Cloud de Confiance tem diferenças significativas do Google Cloud nesse nível, incluindo faturamento e endpoints, fornecemos um conjunto de dados classic-gcd especial, adaptando o classic conjunto de dados para seu universo. É necessário usar esse conjunto de dados em vez da versão padrão.

Siga as instruções em README-GCD para mudar para classic-gcd e atualizar todos os arquivos de configuração relevantes com as informações coletadas em Antes de começar antes de aplicar o Terraform. README

Aplicar outros estágios

Siga as instruções na documentação do Fabric FAST para aplicar outros estágios necessários. Os estágios adicionais não exigem nenhuma personalização especial para funcionar com o. Cloud de Confiance

A seguir

• Explore sua organização e verifique a configuração seguindo um tutorial sugerido.