Organisation einrichten

Wenn Sie Cloud de Confiancezum ersten Mal verwenden, wird Ihnen eine neue leere Organisation zur Verfügung gestellt. Wenn Sie diese Organisation verwenden möchten, müssen Sie sie mit Projekten, einem Netzwerk und anderen Ressourcen konfigurieren. Cloud de Confiancebietet mehrere Optionen zum Konfigurieren Ihrer Organisation, einschließlich Terraform-Modulen, mit denen Sie die Ressourcen, die Sie und Ihre Nutzer für den Einstieg benötigen, schnell einrichten können.

Diese Seite richtet sich an Administratoren, die eine neue Organisation in Cloud de Confiancekonfigurieren müssen.

Bevor Sie diesen Leitfaden lesen, sollten Sie Folgendes tun:

• Machen Sie sich mit den grundlegenden Cloud de Confiance Konzepten vertraut, die in der Cloud de Confiance Übersicht beschrieben werden.

• Cloud de Confiance Ressourcenhierarchie verstehen, einschließlich Organisationen, Ordnern und Projekten.

• Informationen zur Funktionsweise von Virtual Private Cloud (VPC) in Cloud de Confiance.

• Sie sollten mit den folgenden Cloud de Confiance Produkten und Diensten und ihrer Verwendung vertraut sein:

  • Cloud Key Management Service
  • Cloud Logging

• Wenn Sie Terraform zum Konfigurieren Ihrer Organisation verwenden möchten, sollten Sie mit der Funktionsweise von Terraform vertraut sein.

• Wenn Sie bereits mit einer ähnlichen Einrichtung für Google Cloud vertraut sind, empfehlen wir Ihnen, sich die wichtigsten Unterschiede zwischen Cloud de Confiance und Google Cloud anzusehen.

Hinweise

Achten Sie bei allen Einrichtungsoptionen auf Folgendes:

• Für Ihre Organisation ist ein Identitätsanbieter (IdP) konfiguriert und Sie können sich mit Ihrer Administrator-ID anmelden.
• Sie haben die Google Cloud CLI für die Verwendung mit Cloud de Confianceeingerichtet. Auch wenn Sie die Einrichtung mit Terraform planen, ist die Google Cloud CLI nützlich, um die Einrichtung über die Befehlszeile zu überprüfen und zusätzliche Verwaltungsaufgaben auszuführen.

Konfigurationsoptionen

Es gibt drei Möglichkeiten, eine Unternehmensorganisation in Cloud de Confianceeinzurichten:

• (Empfohlen) Verwenden Sie die von uns bereitgestellten Terraform-Module, um Ihre Organisation einzurichten. Dies ist eine angepasste Version der Cloud Foundation-Konfiguration von Google Cloud, die Best Practices für die Einrichtung einer unternehmensfähigen Organisation folgt.
• (Nur für fortgeschrittene Nutzer) Wenn Sie bereits Terraform-Module für die „Landing Zone“ haben, die Sie in Google Cloud verwendet haben, können Sie sie anpassen und wiederverwenden, um Ihre Organisation in Cloud de Confiancezu konfigurieren. Wenn Sie diese Option auswählen, sollten Sie sich die Unterschiede zwischen den beiden Universen genau ansehen, sowohl auf hoher Ebene als auch für alle Dienste, die Sie verwenden möchten.
• Sie können Projekte, Netzwerke, Richtlinien und andere Ressourcen manuell mit der Google Cloud CLI oder der Cloud de Confiance Console erstellen. Folgen Sie dazu der Anleitung in der entsprechenden Dokumentation. Sie können diesen Ansatz für eine minimale Konfiguration verwenden, wie im nächsten Abschnitt beschrieben, oder für eine vollständige Enterprise-Einrichtung mit unserer empfohlenen Konfiguration oder Ihrer bevorzugten Version.

Minimalkonfiguration

Wenn Sie Ihre neue Organisation nur ausprobieren möchten, bevor Sie sie vollständig einrichten, können Sie ein einzelnes Projekt und ein einzelnes VPC-Netzwerk (Virtual Private Cloud) hinzufügen. Diese einfache Bereitstellung reicht aus, um die verfügbaren Dienste zu nutzen und unsere Kurzanleitungen auszuführen:

1. Erstellen Sie ein Projekt in Ihrer Organisation.

2. Erstellen und konfigurieren Sie mit den folgenden Befehlen ein VPC-Netzwerk mit dem Namen default in Ihrem Projekt:

   gcloud compute networks create default
   gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
   gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
   gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
   gcloud compute firewall-rules create default-allow-icmp --allow=icmp
   

Kein Standardnetzwerk

Wenn Sie mit Google Cloud vertraut sind, erwarten Sie möglicherweise nicht, dass Sie ein Netzwerk erstellen müssen: In Google Cloud wird für jedes Projekt automatisch ein VPC-Standardnetzwerk mit vorkonfigurierten IPv4-Firewallregeln erstellt. Ein Cloud de Confiance-Projekt hat jedoch kein Standardnetzwerk. Sie müssen also selbst eines erstellen, damit Sie und Ihre Teammitglieder loslegen können.

Empfohlene Konfiguration

Die folgende Konfiguration wird mit unserem bereitgestellten Terraform bereitgestellt. Dabei handelt es sich um eine angepasste Version der Cloud Foundations-Konfiguration von Google Cloud. Weitere Informationen zu Cloud Foundations und den zugrunde liegenden Best Practices finden Sie im GitHub-Repository und in der Google Cloud-Dokumentation. Die geführte Einrichtung mit Cloud Foundations über die Cloud de Confiance Console ist in Cloud de Confiancenicht verfügbar.

Sie können diesen Abschnitt auch als Richtlinie verwenden, wenn Sie Ihre eigenen Ressourcen und Richtlinien manuell mit der Cloud de Confiance Console oder der Google Cloud CLI erstellen möchten.

Diese Konfiguration entspricht vielen Best Practices, die sich für die meisten Organisationen bewährt haben. Sie erfüllt jedoch möglicherweise nicht alle Ihre organisatorischen oder technischen Anforderungen. Sehen Sie sich diesen Abschnitt (und das Terraform-Modul, falls Sie es verwenden) genau an und passen Sie die Konfiguration bei Bedarf an.

In den folgenden Abschnitten werden die verschiedenen Ressourcen in unserer vorgeschlagenen Konfiguration beschrieben.

Organisation

Auf der obersten Ebene Ihrer Organisation enthält die vorgeschlagene Konfiguration zwei Ordner. Der erste Ordner enthält Projekte mit gemeinsamen Ressourcen wie Cloud KMS- und Logging-Ressourcen, die von Ihrer Organisation gemeinsam genutzt werden. Im anderen Ordner werden netzwerkbezogene Projekte wie der Cloud DNS-Hub für Ihre Organisation sowie die freigegebenen VPC-Hostprojekte für das Basis- und das eingeschränkte Netzwerk für jede Umgebung (Entwicklung, Nicht-Produktion und Produktion) gespeichert.

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

Umgebungen

In unserer empfohlenen Konfiguration gibt es einen Ordner für jede Umgebung: Produktion, Nicht-Produktion und Staging. Jeder Ordner enthält ein Projekt, das von Cloud KMS für Schlüsselverwaltungsressourcen verwendet werden kann, die speziell mit dieser Umgebung verknüpft sind.

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

Netzwerktopologie

Die Konfiguration hat ein freigegebene VPC-Netzwerk pro Umgebung (Entwicklung, Nicht-Produktion und Produktion) in einer Standardkonfiguration mit einer angemessenen Sicherheitsbaseline. Diese Konfiguration umfasst Folgendes:

• (Optional) Beispielsubnetze für Entwicklung, Nicht-Produktion und Produktion, einschließlich sekundärer Bereiche.
• Hierarchische Firewallrichtlinie, die erstellt wurde, um den Remotezugriff auf VMs zu ermöglichen.
• Hierarchische Firewallrichtlinie zum Zulassen von Systemdiagnosen für das Load-Balancing erstellt.
• Hierarchische Firewallrichtlinie zum Zulassen der Windows-KMS-Aktivierung erstellt.
• VM / verschlüsseltes Laufwerk
• Die Standard-Cloud DNS-Richtlinie wird angewendet. DNS-Logging und die Weiterleitung von eingehenden Abfragen sind aktiviert.

Projekte

Jede Umgebung kann eine Reihe von Dienstprojekten haben, die mit den im vorherigen Abschnitt beschriebenen freigegebene VPC-Netzwerken verbunden sind. Wenn Sie sie unverändert bereitstellen, werden mit dem bereitgestellten Terraform die folgenden Projekte erstellt. Die Projekte sind in jeder Umgebung in Ordnern gruppiert, wobei jeder Ordner einer bestimmten Geschäftseinheit zugeordnet ist. Für jede Geschäftseinheit wird ein gemeinsames infra-pipeline-Projekt mit Cloud Build-Triggern, Zertifikatsignieranfragen (Certificate Signing Requests, CSRs) für den Code der Anwendungsinfrastruktur und Cloud Storage-Buckets für die Statusverwaltung erstellt.

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

Logging und Monitoring

Im letzten Schritt unserer vorgeschlagenen Konfiguration wird ein Log-Bucket und eine Pub/Sub-Logsenke im gemeinsamen Logging-Projekt der Organisation konfiguriert. Die erforderlichen APIs sind nach Bedarf aktiviert. Eine nicht abfangende aggregierte Senke ist auf Organisationsebene konfiguriert, um Logeinträge an das gemeinsame Projekt weiterzuleiten, das den Log-Bucket enthält. Weitere Informationen

Sie und Ihre Organisationsmitglieder können Logs im Log-Explorer in der Cloud de Confiance Console ansehen oder ein Abo im Pull-Modus mit dem Pub/Sub-Thema verbinden. Cloud Logging in Cloud de Confiance bewahrt Logs nur 30 Tage lang auf.

Organisation mit Terraform konfigurieren

Wir empfehlen, Ihre Organisation mit Terraform zu konfigurieren, insbesondere wenn Sie noch nie eine Organisation in Google Cloud eingerichtet haben. Die bereitgestellte Terraform-Konfiguration richtet automatisch Standardordner, Projekte, zentralisiertes Logging und Monitoring, Netzwerke und mehr ein, wie unter Empfohlene Konfiguration beschrieben. Sie können diese Konfiguration vor oder nach der Bereitstellung an Ihre eigenen Anforderungen anpassen.

Die Terraform-Konfiguration basiert auf der Cloud-Grundlagenkonfiguration von Google Cloud. Weitere Informationen zu den Cloud Foundation-Modulen finden Sie im zugehörigen Repository. Beachten Sie jedoch, dass nicht alle Informationen für dieseCloud de Confiance-spezifische Einrichtung relevant sind.

Prüfen Sie zuerst, ob das Terraform-Tool installiert ist. Da Cloud Shell in Cloud de Confiancenicht unterstützt wird, folgen Sie der Anleitung zur lokalen Installation von Terraform.

Laden Sie die Terraform-Dateien herunter.

Wenn Sie die neuesten Terraform-Assets herunterladen möchten, wenden Sie sich an Ihr Support- oder Account-Management-Team. Der öffentliche Terraform-Download von GitHub ist bald verfügbar.

Bevor Sie die Konfiguration bereitstellen, sollten Sie prüfen, was für Ihre Organisation bereitgestellt wird, und die Konfiguration bei Bedarf bearbeiten. Weitere Informationen finden Sie unter Vorgeschlagene Konfiguration. Zusätzlich zur Konfiguration enthält das bereitgestellte Terraform auch ein Bootstrap-Modul, mit dem Folgendes bereitgestellt wird:

• Ein s3ns:prj-b-seed-Projekt, das Folgendes enthält:
  • Terraform-Zustands-Bucket
  • Benutzerdefinierte Dienstkonten, die von Terraform zum Erstellen neuer Ressourcen in Cloud de Confianceverwendet werden

Terraform anwenden

So wenden Sie Terraform an:

1. Wechseln Sie zu dem Verzeichnis, das die Terraform-Konfigurationsdateien enthält.

2. Öffnen Sie die bereitgestellte Datei terraform.tfvars und bearbeiten Sie sie, um die gewünschten Werte für die folgenden Parameter anzugeben:

   org_id = ORG_ID
   billing_account = BILLING_ACCOUNT
   billing_project = moonrise-replace697e909a676a4481b6ececf4fd3915f2moonrise-replace:BILLING_PROJECT
   prefix = FOLDER_PREFIX
   

   Ersetzen Sie Folgendes:

   • ORG_ID: Die eindeutige ID Ihrer Organisation
   • BILLING_ACCOUNT: Ihr Rechnungskonto
   • BILLING_PROJECT: Das Abrechnungsprojekt Ihrer Organisation (manchmal auch als Kontingentprojekt bezeichnet)
   • FOLDER_PREFIX (optional): Ein Präfix, das Sie auf alle eindeutigen Ordner- und Projektnamen anwenden möchten.

3. Stellen Sie die Konfiguration bereit.

   terraform init
   terraform apply
   

Probleme bei der Bereitstellung von Terraform mit vorhandenen Ressourcen beheben

Wenn die heruntergeladene Terraform-Konfiguration versucht, bereits vorhandene Ressourcen zu erstellen, wird Terraform mit dem Fehlercode 409 beendet. Zum Beheben dieser Fehler können Sie die Ressource mit der Cloud de Confiance Console oder der gcloud CLI löschen und dann die Terraform-Konfiguration noch einmal anwenden. Wenn diese Ressourcen kritisch sind und nicht gelöscht werden können, können Sie auch Ressourcen in den Terraform-Zustand importieren.

Einrichtung überprüfen

Zur Überprüfung Ihrer Einrichtung empfehlen wir, zuerst mit der Google Cloud CLI oder der Cloud de Confiance Console zu prüfen, ob Ihre Ordner- und Projektstruktur korrekt eingerichtet wurde.

Anschließend können Sie eine Anwendungsarbeitslast oder mehrere Arbeitslasten in einem der Dienstprojekte bereitstellen. Dazu können Sie entweder eine Arbeitslast Ihrer Wahl verwenden oder einer unserer Kurzanleitungen folgen. Dies sind kurze Anleitungen, mit denen Sie schnell ein einfaches Beispiel auf Cloud de Confianceausführen können. Weitere Informationen

Nächste Schritte

• Sehen Sie sich Ihre Organisation an und überprüfen Sie die Einrichtung, indem Sie eine Kurzanleitung ausprobieren. Hier sind einige Vorschläge für den Anfang:

  • Linux-VM-Instanz in Compute Engine erstellen
  • GKE-Cluster erstellen und Arbeitslast bereitstellen
  • Öffentliches Dataset in BigQuery abfragen (Hinweis: Sie müssen ein Dataset vorab hochladen, um dieser Anleitung folgen zu können)

• Ersteinrichtung erweitern und anpassen, z. B. durch:

  • Erstellen Sie weitere Projekte und hängen Sie sie an Ihre Netzwerke an.
  • Konfigurieren Sie Logging und Monitoring weiter. Sie können Cloud Monitoring auch so konfigurieren, dass Messwerte zur Visualisierung an Grafana gesendet werden.

• Mit IAM können Sie Nutzern und Gruppen Berechtigungen erteilen.