Configurar tu organización

Cuando empiezas a usar Trusted Cloud, se te proporciona una organización nueva y vacía. Para usar esta organización, debes configurarla con proyectos, una red y otros recursos. Trusted Cloud ofrece varias opciones para configurar tu organización, incluidos módulos de Terraform que te ayudan a configurar rápidamente los recursos que tú y tus usuarios necesitáis para empezar.

Esta página está dirigida a los administradores que necesiten configurar una nueva organización en Trusted Cloud.

Antes de leer esta guía, debes hacer lo siguiente:

• Familiarízate con los conceptos básicos que se describen en la Trusted Cloud Trusted Cloud descripción general.

• Conocer la Trusted Cloud jerarquía de recursos, incluidas las organizaciones, las carpetas y los proyectos.

• Descubre cómo funciona la nube privada virtual (VPC) en Trusted Cloud.

• Familiarízate con los siguientes Trusted Cloud productos y servicios, y con sus usos:

  • Cloud Key Management Service
  • Cloud Logging

• Si tienes pensado usar Terraform para configurar tu organización, debes saber cómo funciona.

• Si ya conoces una configuración similar en Google Cloud, te recomendamos que consultes las diferencias principales Trusted Cloud entre Sovereign Cloud y Google Cloud.

Antes de empezar

Asegúrate de que se cumplan los siguientes requisitos en todas las opciones de configuración:

• Hay un proveedor de identidades configurado para tu organización y puedes iniciar sesión con tu ID de administrador.
• Has configurado Google Cloud CLI para usarlo con Trusted Cloud. Aunque tengas previsto configurar la CLI de Google Cloud con Terraform, te resultará útil para verificar la configuración desde la línea de comandos, así como para realizar otras tareas administrativas.

También te recomendamos que consultes el Trusted Cloud by S3NS flujo guiado de configuración antes de completar la configuración de la empresa. Aunque no todas las secciones sean relevantes para ti (por ejemplo, no puedes crear una organización por tu cuenta), proporciona información general, directrices y prácticas recomendadas útiles para configurar tu infraestructura.Trusted CloudLas mismas prácticas recomendadas se reflejan en los módulos de Terraform que proporcionamos. Ten en cuenta que, al seguir el flujo guiado, la configuración de empresa de la consola Trusted Cloud no está disponible en Trusted Cloud.

Opciones de configuración

Hay tres opciones posibles para configurar una organización de empresa en Trusted Cloud:

• (Recomendado) Usa los módulos de Terraform que proporcionamos para configurar tu organización. Esta es una versión adaptada de la configuración de Cloud Foundation de Google Cloud, que sigue las prácticas recomendadas para configurar una organización lista para empresas.
• (Solo para usuarios avanzados) Si tienes módulos de "zona de aterrizaje" de Terraform que has usado en Google Cloud, puedes adaptarlos y reutilizarlos para configurar tu organización en Trusted Cloud. Si eliges esta opción, debes revisar detenidamente las diferencias entre los dos universos, tanto a nivel general como en los servicios que quieras usar.
• Puedes crear manualmente proyectos, redes, políticas y otros recursos mediante la CLI de Google Cloud o la Trusted Cloud consola, siguiendo las instrucciones de la documentación correspondiente. Puedes usar este método para una configuración mínima, como se describe en la siguiente sección, o para una configuración empresarial completa, usando la configuración que te sugerimos o la versión que prefieras.

Configuración mínima

Si solo quieres probar tu nueva organización antes de configurarla por completo, puedes añadir un solo proyecto y una red de nube privada virtual (VPC). Esta implementación básica es suficiente para explorar los servicios disponibles y ejecutar nuestros tutoriales de inicio rápido:

1. Crea un proyecto en tu organización.

2. Crea y configura una red de VPC llamada default en tu proyecto con los siguientes comandos:

   gcloud compute networks create default
   gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
   gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
   gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
   gcloud compute firewall-rules create default-allow-icmp --allow=icmp
   

No hay ninguna red predeterminada

Si conoces Google Cloud, puede que no te sorprenda tener que crear una red: en Google Cloud, se crea automáticamente una red de VPC predeterminada (con reglas de cortafuegos IPv4 predefinidas) para cada proyecto. Sin embargo, un proyecto Trusted Cloud no tiene una red predeterminada, por lo que debes crear una para ti y los miembros de tu equipo para empezar.

Configuración sugerida

A continuación, se muestra la configuración que se implementa con el archivo Terraform que proporcionamos, que es una versión adaptada de la configuración de Cloud Foundation de Google Cloud. También puedes usar esta sección como guía si decides crear manualmente tus propios recursos y políticas con la Trusted Cloud consola o la CLI de Google Cloud.

Aunque esta configuración representa muchas prácticas recomendadas que hemos comprobado que funcionan en la mayoría de las organizaciones, es posible que no cumpla todos los requisitos técnicos o de tu organización. Lee atentamente esta sección (y el propio Terraform si lo usas) y personaliza la configuración si es necesario.

En las secciones siguientes se describen los distintos recursos de nuestra configuración sugerida.

Organización

En el nivel superior de tu organización, nuestra configuración sugerida tiene dos carpetas. La primera carpeta contiene proyectos con recursos comunes, como recursos de Cloud KMS y de registro, compartidos por tu organización. La otra carpeta se usa para almacenar proyectos relacionados con la red, como el centro de Cloud DNS de tu organización, y los proyectos host de VPC compartida de red base y restringida de cada entorno (desarrollo, fuera de producción y producción).

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

Entornos

La configuración que sugerimos tiene una carpeta para cada entorno: producción, fuera de producción y staging. Cada carpeta contiene un proyecto que puede usar Cloud KMS para los recursos de gestión de claves asociados específicamente a este entorno.

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

Topología de red

La configuración tiene una red de VPC compartida por entorno (desarrollo, no producción y producción) en una configuración estándar con una base de seguridad razonable. Esta configuración incluye lo siguiente:

• (Opcional) Subredes de ejemplo para desarrollo, no producción y producción, incluidos los intervalos secundarios.
• Política de cortafuegos jerárquica creada para permitir el acceso remoto a las VMs.
• Política de cortafuegos jerárquica creada para permitir las comprobaciones del estado del balanceo de carga.
• Se ha creado una política de cortafuegos jerárquica para permitir la activación de KMS de Windows.
• VM o disco cifrado
• Se ha aplicado la política de Cloud DNS predeterminada, con el registro de DNS y el reenvío de consultas entrantes activados.

Proyectos

Cada entorno puede tener varios proyectos de servicio conectados a las redes de VPC compartida descritas en la sección anterior. Si lo implementas sin modificarlo, el Terraform que proporcionamos crea el siguiente conjunto de proyectos. Los proyectos se agrupan en carpetas de cada entorno, donde cada carpeta se asocia a una unidad de negocio concreta. Para cada unidad de negocio, se crea un proyecto infra-pipeline compartido con activadores de Cloud Build, solicitudes de firma de certificados (CSRs) para el código de infraestructura de la aplicación y segmentos de Cloud Storage para el almacenamiento de estados.

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

Almacenamiento de registros y monitorización

El último paso de la configuración que sugerimos consiste en configurar un segmento de registros y un receptor de registros de Pub/Sub en el proyecto de registro común de la organización. Las APIs necesarias se habilitan según sea necesario. Se configura un sumidero agregado no interceptor a nivel de organización para enrutar las entradas de registro al proyecto común que contiene el segmento de registro. Puedes consultar más información sobre cómo funciona en Almacenamiento de registros centralizado.

Tanto tú como los miembros de tu organización podéis ver los registros en Explorador de registros desde la consola o conectando una suscripción al tema de Pub/Sub en modo de extracción. Trusted Cloud Cloud Logging en Trusted Cloud conserva los registros solo durante 30 días.

Usar Terraform para configurar tu organización

Para configurar tu organización, te recomendamos que uses Terraform, sobre todo si nunca has configurado una organización en Google Cloud. El Terraform proporcionado configura automáticamente las carpetas predeterminadas, los proyectos, el registro y la monitorización centralizados, las redes y más, tal como se describe en la configuración sugerida. Puedes adaptar esta configuración a tus necesidades antes o después de la implementación.

El código de Terraform se ha adaptado a partir de la configuración de Cloud foundation de Google Cloud. Puedes consultar mucha más información sobre los módulos de la base de Cloud en su repositorio, aunque ten en cuenta que no toda la información es relevante para esta configuración específica deTrusted Cloud.

Antes de empezar, asegúrate de que tienes instalada la herramienta Terraform. Como Cloud Shell no es compatible con Trusted Cloud, sigue las instrucciones para instalar Terraform de forma local.

Descarga los archivos de Terraform.

Para descargar los recursos de Terraform más recientes, ponte en contacto con tu equipo de Asistencia o de Cuentas. Pronto estará disponible la descarga pública de Terraform desde GitHub.

Antes de implementar la configuración, revisa (y edita, si es necesario) lo que se ha implementado en tu organización, tal como se describe en Configuración sugerida. Además de la configuración, el código de Terraform proporcionado también incluye un módulo bootstrap que implementa lo siguiente:

• Un proyecto s3ns:prj-b-seed que contenga lo siguiente:
  • Segmento de estado de Terraform
  • Cuentas de servicio personalizadas que usa Terraform para crear recursos en Trusted Cloud

Aplica el Terraform

Para aplicar Terraform, haga lo siguiente:

1. Ve al directorio que contiene los archivos de configuración de Terraform.

2. Abre y edita el archivo terraform.tfvars proporcionado para especificar los valores que elijas para los siguientes parámetros:

   org_id = ORG_ID
   billing_account = BILLING_ACCOUNT
   billing_project = moonrise-replace5b7926c345a3420a97eab6615503b1f9moonrise-replace:BILLING_PROJECT
   prefix = FOLDER_PREFIX
   

   Haz los cambios siguientes:

   • ORG_ID: ID único de tu organización
   • BILLING_ACCOUNT: tu cuenta de facturación
   • BILLING_PROJECT: proyecto de facturación de tu organización (a veces se denomina proyecto de cuota)
   • FOLDER_PREFIX (opcional): prefijo que quieres aplicar a todos los nombres únicos de carpetas y proyectos.

3. Implementa la configuración.

   terraform init
   terraform apply
   

Solucionar problemas al desplegar Terraform con recursos ya creados

Si la configuración de Terraform descargada intenta crear recursos que ya existen, Terraform se cierra con un código de error 409. Para resolver estos errores, puedes eliminar el recurso mediante la Trusted Cloud consola o gcloud CLI y, a continuación, volver a aplicar la configuración de Terraform. Por otra parte, si estos recursos son críticos y no se pueden eliminar, puedes importarlos a tu estado de Terraform.

Verificar la configuración

Para verificar la configuración, te recomendamos que primero compruebes con la CLI de Google Cloud o la Trusted Cloud consola que la estructura de carpetas y proyectos se ha configurado correctamente.

Después, puedes probar a desplegar una o varias cargas de trabajo de aplicaciones en uno de los proyectos de servicio. Para ello, puedes usar una carga de trabajo de tu elección o seguir alguno de nuestros tutoriales de inicio rápido. Se trata de tutoriales breves que te ayudan a poner en marcha rápidamente un ejemplo sencillo en Trusted Cloud. Consulta más información en la sección Pasos siguientes.

Siguientes pasos

• Descubre tu organización y verifica tu configuración con un tutorial de inicio rápido. Aquí tienes algunas sugerencias para empezar:

  • Crea una instancia de máquina virtual de Linux en Compute Engine
  • Crear un clúster de GKE y desplegar una carga de trabajo
  • Consultar un conjunto de datos público en BigQuery (aunque ten en cuenta que tendrás que subir un conjunto de datos antes de seguir este tutorial)

• Amplía y personaliza tu configuración inicial, por ejemplo:

  • Crea más proyectos y asócialos a tus redes.
  • Configura el registro y la monitorización, incluido si prefieres configurar Cloud Monitoring para enviar métricas a Grafana para visualizarlas.

• Concede permisos a usuarios y grupos con IAM.