Organisation einrichten

Wenn Sie Trusted Cloudzum ersten Mal verwenden, erhalten Sie eine neue leere Organisation. Damit Sie diese Organisation verwenden können, müssen Sie sie mit Projekten, einem Netzwerk und anderen Ressourcen konfigurieren. Trusted Cloudbietet mehrere Optionen zur Konfiguration Ihrer Organisation, einschließlich Terraform-Modulen, mit denen Sie die Ressourcen, die Sie und Ihre Nutzer zum Einstieg benötigen, schnell einrichten können.

Diese Seite richtet sich an Administratoren, die in Trusted Cloudeine neue Organisation konfigurieren müssen.

Bevor Sie diesen Leitfaden lesen, sollten Sie Folgendes tun:

• Machen Sie sich mit den grundlegenden Trusted Cloud Konzepten vertraut, die in der Trusted Cloud Übersicht beschrieben werden.

• Informationen zur Trusted Cloud Ressourcenhierarchie, einschließlich Organisationen, Ordnern und Projekten.

• Informationen zur Funktionsweise von VPC (Virtual Private Cloud) in Trusted Cloud

• Mach dich mit den folgenden Trusted Cloud Produkten und Diensten vertraut und erfahre, wozu sie dienen:

  • Cloud Key Management Service
  • Cloud Logging

• Wenn Sie Terraform zum Konfigurieren Ihrer Organisation verwenden möchten, sollten Sie mit der Funktionsweise von Terraform vertraut sein.

• Wenn Sie bereits mit einer ähnlichen Einrichtung für Google Cloud vertraut sind, sollten Sie sich die wichtigsten Unterschiede zwischen Trusted Cloud und Google Cloud ansehen.

Hinweise

Für alle Einrichtungsoptionen gilt Folgendes:

• Für Ihre Organisation ist ein Identitätsanbieter (Identity Provider, IdP) konfiguriert, mit dem Sie sich mit Ihrer Administrator-ID anmelden können.
• Sie haben die Google Cloud CLI für die Verwendung mit Trusted Cloudeingerichtet. Auch wenn Sie die Einrichtung mit Terraform planen, ist die Google Cloud CLI nützlich, um die Einrichtung über die Befehlszeile zu überprüfen und zusätzliche Verwaltungsaufgaben auszuführen.

Wir empfehlen Ihnen außerdem dringend, sich den Trusted Cloud by S3NS geführte Einrichtungsvorgang anzusehen, bevor Sie eine vollständige Unternehmenskonfiguration vornehmen. Nicht alle Abschnitte sind fürTrusted Cloudrelevant (z. B. können Sie keine Organisation selbst erstellen). Sie finden dort jedoch nützliche Hintergrundinformationen, Anleitungen und Best Practices für die Einrichtung Ihrer Infrastruktur. Dieselben Best Practices werden in unseren bereitgestellten Terraform-Modulen berücksichtigt. Beachten Sie beim Durchlaufen der Anleitung, dass die Enterprise-Konfiguration aus der Trusted Cloud -Konsole in Trusted Cloudnicht verfügbar ist.

Konfigurationsoptionen

Es gibt drei Möglichkeiten, eine Unternehmensorganisation auf Trusted Cloudeinzurichten:

• (Empfohlen) Verwenden Sie die bereitgestellten Terraform-Module, um Ihre Organisation einzurichten. Dies ist eine angepasste Version der Cloud Foundation-Konfiguration von Google Cloud, die den Best Practices für die Einrichtung einer unternehmenstauglichen Organisation folgt.
• (Nur für fortgeschrittene Nutzer) Wenn Sie bereits Terraform-Module für die Landing Zone haben, die Sie in Google Cloud verwendet haben, können Sie diese anpassen und wiederverwenden, um Ihre Organisation in Trusted Cloudzu konfigurieren. Wenn Sie diese Option auswählen, sollten Sie sich die Unterschiede zwischen den beiden Universen genau ansehen, sowohl allgemein als auch für alle Dienste, die Sie verwenden möchten.
• Sie können Projekte, Netzwerke, Richtlinien und andere Ressourcen manuell mit der Google Cloud CLI oder der Trusted Cloud Console erstellen. Folgen Sie dazu der Anleitung in der entsprechenden Dokumentation. Sie können diesen Ansatz für eine minimale Konfiguration wie im nächsten Abschnitt beschrieben oder für eine vollständige Unternehmenseinrichtung verwenden. Dabei können Sie unsere vorgeschlagene Konfiguration oder Ihre eigene bevorzugte Version verwenden.

Minimalkonfiguration

Wenn Sie Ihre neue Organisation nur testen möchten, bevor Sie sie vollständig einrichten, können Sie ein einzelnes Projekt und ein VPC-Netzwerk (Virtual Private Cloud) hinzufügen. Diese grundlegende Bereitstellung reicht aus, um die verfügbaren Dienste zu erkunden und unsere Kurzanleitungen auszuführen:

1. Erstellen Sie ein Projekt in Ihrer Organisation.

2. Erstellen und konfigurieren Sie mit den folgenden Befehlen ein VPC-Netzwerk mit dem Namen default in Ihrem Projekt:

   gcloud compute networks create default
   gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
   gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
   gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
   gcloud compute firewall-rules create default-allow-icmp --allow=icmp
   

Kein Standardnetzwerk

Wenn Sie mit Google Cloud vertraut sind, werden Sie möglicherweise nicht damit rechnen, ein Netzwerk erstellen zu müssen: In Google Cloud wird für jedes Projekt automatisch ein Standard-VPC-Netzwerk mit vordefinierten IPv4-Firewallregeln erstellt. Ein Trusted Cloud-Projekt hat jedoch kein Standardnetzwerk. Sie müssen also selbst eins erstellen, damit Sie und Ihre Teammitglieder loslegen können.

Vorgeschlagene Konfiguration

Unten sehen Sie die Konfiguration, die mit der bereitgestellten Terraform-Konfiguration bereitgestellt wird. Dabei handelt es sich um eine angepasste Version der Cloud Foundation-Konfiguration von Google Cloud. Dieser Abschnitt kann auch als Leitfaden verwendet werden, wenn Sie eigene Ressourcen und Richtlinien manuell mit der Trusted Cloud Console oder der Google Cloud CLI erstellen.

Diese Konfiguration entspricht vielen Best Practices, die sich für die meisten Organisationen bewährt haben. Sie erfüllt jedoch möglicherweise nicht alle Ihre organisatorischen oder technischen Anforderungen. Lesen Sie sich diesen Abschnitt und gegebenenfalls Terraform sorgfältig durch und passen Sie die Konfiguration bei Bedarf an.

In den folgenden Abschnitten werden die verschiedenen Ressourcen in der vorgeschlagenen Konfiguration beschrieben.

Organisation

In der obersten Ebene Ihrer Organisation enthält die vorgeschlagene Konfiguration zwei Ordner. Der erste Ordner enthält Projekte mit allgemeinen Ressourcen wie Cloud KMS- und Logging-Ressourcen, die von Ihrer Organisation freigegeben wurden. Im anderen Ordner werden netzwerkbezogene Projekte wie der Cloud DNS-Hub für Ihre Organisation und freigegebene VPC-Hostprojekte für Basis- und eingeschränkte Netzwerke für jede Umgebung (Entwicklung, Nicht-Produktion und Produktion) gespeichert.

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

Umgebungen

In unserer vorgeschlagenen Konfiguration gibt es einen Ordner für jede Umgebung: Produktion, Nicht-Produktion und Staging. Jeder Ordner enthält ein Projekt, das von Cloud KMS für Schlüsselverwaltungsressourcen verwendet werden kann, die speziell mit dieser Umgebung verknüpft sind.

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

Netzwerktopologie

Die Konfiguration umfasst ein freigegebene VPC-Netzwerk pro Umgebung (Entwicklung, Nicht-Produktion und Produktion) in einer Standardkonfiguration mit einer angemessenen Sicherheitsgrundlage. Diese Konfiguration umfasst Folgendes:

• (Optional) Beispielsubnetze für Entwicklungs-, Nicht-Produktions- und Produktionsumgebungen einschließlich sekundärer Bereiche.
• Hierarchische Firewallrichtlinie, die erstellt wurde, um Remotezugriff auf VMs zu ermöglichen.
• Hierarchische Firewallrichtlinie, die zum Zulassen von Systemdiagnosen für das Load Balancing erstellt wurde.
• Hierarchische Firewallrichtlinie, die die Windows-KMS-Aktivierung zulässt.
• VM / verschlüsseltes Laufwerk
• Die Standard-Cloud DNS-Richtlinie wird angewendet. DNS-Logging und Weiterleitung eingehender Abfragen sind aktiviert.

Projekte

Jede Umgebung kann mehrere Dienstprojekte haben, die mit den im vorherigen Abschnitt beschriebenen freigegebene VPC-Netzwerken verbunden sind. Wenn Sie die Vorlage unverändert bereitstellen, werden mit der bereitgestellten Terraform-Konfiguration die folgenden Projekte erstellt. Die Projekte sind in jeder Umgebung in Ordnern gruppiert, wobei jeder Ordner einer bestimmten Geschäftseinheit zugeordnet ist. Für jede Geschäftseinheit wird ein freigegebenes infra-pipeline-Projekt mit Cloud Build-Triggern, Zertifikatsignaturanfragen (Certificate Signing Requests, CSRs) für den Code der Anwendungsinfrastruktur und Cloud Storage-Buckets für den Statusspeicher erstellt.

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

Logging und Monitoring

Im letzten Schritt der vorgeschlagenen Konfiguration werden ein Log-Bucket und eine Pub/Sub-Logsenke im gemeinsamen Logging-Projekt der Organisation konfiguriert. Die erforderlichen APIs sind nach Bedarf aktiviert. Auf Organisationsebene wird eine nicht abfangende aggregierte Senke konfiguriert, um Logeinträge an das gemeinsame Projekt weiterzuleiten, das den Log-Bucket enthält. Weitere Informationen zur Funktionsweise finden Sie unter Zentraler Protokollspeicher.

Sie und die Mitglieder Ihrer Organisation können sich Logs im Log-Explorer in der Trusted Cloud Console ansehen oder ein Abo im Pull-Modus mit dem Pub/Sub-Thema verknüpfen. In Trusted Cloud werden Logs nur 30 Tage lang aufbewahrt.

Organisation mit Terraform konfigurieren

Wir empfehlen, Terraform zum Konfigurieren Ihrer Organisation zu verwenden, insbesondere wenn Sie noch nie eine Organisation in Google Cloud eingerichtet haben. Mit der bereitgestellten Terraform-Konfiguration werden unter anderem Standardordner, Projekte, zentrales Logging und Monitoring sowie Netzwerke automatisch eingerichtet, wie in der Vorgeschlagene Konfiguration beschrieben. Sie können diese Konfiguration vor oder nach der Bereitstellung an Ihre eigenen Anforderungen anpassen.

Die Terraform-Konfiguration wurde aus der Cloud Foundation-Konfiguration von Google Cloud übernommen. Im Repository der Cloud Foundation finden Sie weitere Informationen zu den Cloud Foundation-Modulen. Beachten Sie jedoch, dass nicht alle Informationen für dieseTrusted Cloud-spezifische Einrichtung relevant sind.

Bevor Sie beginnen, müssen Sie das Terraform-Tool installiert haben. Da Cloud Shell in Trusted Cloudnicht unterstützt wird, folgen Sie der Anleitung, um Terraform lokal zu installieren.

Laden Sie die Terraform-Dateien herunter.

Wenn Sie die neuesten Terraform-Assets herunterladen möchten, wenden Sie sich an Ihr Support- oder Account-Management-Team. Der öffentliche Terraform-Download von GitHub ist bald verfügbar.

Bevor Sie die Konfiguration bereitstellen, sollten Sie prüfen (und gegebenenfalls bearbeiten), was für Ihre Organisation bereitgestellt wird, wie unter Vorgeschlagene Konfiguration beschrieben. Zusätzlich zur Konfiguration enthält das bereitgestellte Terraform-Script ein Bootstrap-Modul, mit dem Folgendes bereitgestellt wird:

• Ein s3ns:prj-b-seed-Projekt mit folgenden Elementen:
  • Terraform-Zustands-Bucket
  • Benutzerdefinierte Dienstkonten, die von Terraform zum Erstellen neuer Ressourcen in Trusted Cloudverwendet werden

Terraform anwenden

So wenden Sie Terraform an:

1. Wechseln Sie zu dem Verzeichnis, das die Terraform-Konfigurationsdateien enthält.

2. Öffnen und bearbeiten Sie die bereitgestellte terraform.tfvars-Datei, um die gewünschten Werte für die folgenden Parameter anzugeben:

   org_id = ORG_ID
   billing_account = BILLING_ACCOUNT
   billing_project = moonrise-replace5ee46da7eba742199d747bf5477bed08moonrise-replace:BILLING_PROJECT
   prefix = FOLDER_PREFIX
   

   Ersetzen Sie Folgendes:

   • ORG_ID: Die eindeutige ID Ihrer Organisation
   • BILLING_ACCOUNT: Ihr Rechnungskonto
   • BILLING_PROJECT: Das Abrechnungsprojekt Ihrer Organisation (manchmal auch Kontingentprojekt genannt)
   • FOLDER_PREFIX (optional): Präfix, das auf alle eindeutigen Ordner- und Projektnamen angewendet werden soll

3. Stellen Sie die Konfiguration bereit.

   terraform init
   terraform apply
   

Probleme beim Bereitstellen von Terraform mit vorhandenen Ressourcen beheben

Wenn die heruntergeladene Terraform-Konfiguration versucht, bereits vorhandene Ressourcen zu erstellen, wird Terraform mit dem Fehlercode 409 beendet. Zum Beheben dieser Fehler können Sie die Ressource mit der Trusted Cloud Console oder der gcloud CLI löschen und dann die Terraform-Konfiguration noch einmal anwenden. Wenn diese Ressourcen kritisch sind und nicht gelöscht werden können, können Sie auch Ressourcen in den Terraform-Zustand importieren.

Einrichtung überprüfen

Wir empfehlen Ihnen, zuerst mit der Google Cloud CLI oder der Trusted Cloud Console zu prüfen, ob die Ordner- und Projektstruktur richtig eingerichtet ist.

Sie können dann versuchen, eine oder mehrere Anwendungsarbeitslasten in einem der Dienstprojekte bereitzustellen. Verwenden Sie dazu entweder eine Arbeitslast Ihrer Wahl oder folgen Sie einer unserer Schnellstartanleitungen. In diesen kurzen Anleitungen zeigen wir Ihnen, wie Sie schnell ein einfaches Beispiel in Trusted Cloudeinrichten. Weitere Informationen finden Sie unter Wie geht es weiter?

Nächste Schritte

• Sehen Sie sich Ihre Organisation an und überprüfen Sie die Einrichtung mithilfe einer Kurzanleitung. Hier sind einige Vorschläge für den Anfang:

  • Linux-VM-Instanz in der Compute Engine erstellen
  • GKE-Cluster erstellen und Arbeitslast bereitstellen
  • Öffentliches Dataset in BigQuery abfragen (Sie müssen jedoch zuerst ein Dataset hochladen, um diese Anleitung ausführen zu können)

• Sie können die Ersteinrichtung erweitern und anpassen, z. B.:

  • Erstellen Sie weitere Projekte und hängen Sie sie an Ihre Netzwerke an.
  • Konfigurieren Sie Logging und Monitoring weiter. Sie können Cloud Monitoring auch so konfigurieren, dass Messwerte zur Visualisierung an Grafana gesendet werden.

• Mit IAM Berechtigungen für Nutzer und Gruppen erteilen