Cuando te incorporas a Trusted Cloudpor primera vez, se te proporciona una nueva organización vacía. Para usar esta organización, debes configurarla con proyectos, una red y otros recursos. Trusted Cloudproporciona varias opciones para configurar tu organización, incluidos los módulos de Terraform que te ayudan a configurar rápidamente los recursos que tú y tus usuarios necesitan para comenzar.
Esta página está destinada a los administradores que necesitan configurar una organización nueva en Trusted Cloud.
Antes de leer esta guía, debes hacer lo siguiente:
Comprende los conceptos básicos Trusted Cloud de la Trusted Cloud descripción general.
Comprende la Trusted Cloud jerarquía de recursos, incluidas las organizaciones, las carpetas y los proyectos.
Comprende cómo funciona la nube privada virtual (VPC) en Trusted Cloud.
Familiarízate con los siguientes productos y servicios de Trusted Cloudy para qué se usan:
Si planeas usar Terraform para configurar tu organización, familiarízate con su funcionamiento.
Si ya conoces una configuración similar para Google Cloud, te recomendamos que revises las diferencias clave entre Trusted Cloud y Google Cloud.
Antes de comenzar
Asegúrate de que se cumpla lo siguiente para todas las opciones de configuración:
- Hay un proveedor de identidad (IdP) configurado para tu organización y puedes acceder con tu ID de administrador.
- Configuraste Google Cloud CLI para usarla con Trusted Cloud. Incluso si planeas configurar Terraform, Google Cloud CLI es útil para verificar la configuración desde la línea de comandos, así como para realizar tareas administrativas adicionales.
También te recomendamos que revises el Trusted Cloud by S3NS flujo de configuración guiada antes de realizar una configuración empresarial completa. Si bien no todas las secciones son relevantes paraTrusted Cloud(por ejemplo, no puedes crear una organización por tu cuenta), proporciona información de referencia, orientación y prácticas recomendadas útiles para configurar tu infraestructura. Las mismas prácticas recomendadas se reflejan en nuestros módulos de Terraform proporcionados. Ten en cuenta que, cuando realices el flujo guiado, la configuración empresarial de la consola de Trusted Cloud no estará disponible en Trusted Cloud.
Opciones de configuración
Existen tres opciones posibles para configurar una organización empresarial en Trusted Cloud:
- (Recomendado) Usa los módulos de Terraform que proporcionamos para configurar tu organización. Esta es una versión adaptada de la configuración de la base de la nube de Google Cloud, que sigue las prácticas recomendadas para configurar una organización preparada para empresas.
- (Solo para usuarios avanzados) Si tienes módulos de "zona de aterrizaje" de Terraform existentes que usaste en Google Cloud, puedes adaptarlos y reutilizarlos para configurar tu organización en Trusted Cloud. Si eliges esta opción, debes revisar cuidadosamente las diferencias entre los dos universos, tanto a nivel general como para los servicios que deseas usar.
- Puedes crear proyectos, redes, políticas y otros recursos de forma manual con Google Cloud CLI o la consola de Trusted Cloud siguiendo las instrucciones de la documentación relevante. Puedes usar este enfoque para una configuración mínima, como se describe en la siguiente sección, o una configuración empresarial completa, con nuestra configuración sugerida o tu propia versión preferida.
Configuración mínima
Si solo quieres probar tu nueva organización antes de configurarla por completo, puedes agregar un solo proyecto y una red de nube privada virtual (VPC). Esta implementación básica es suficiente para explorar los servicios disponibles y ejecutar nuestros instructivos de inicio rápido:
- Crea un proyecto en tu organización.
Crea y configura una red de VPC llamada
default
en tu proyecto con los siguientes comandos:gcloud compute networks create default gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9 gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22 gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389 gcloud compute firewall-rules create default-allow-icmp --allow=icmp
Sin red predeterminada
Si conoces Google Cloud, es posible que no esperes tener que crear una red: en Google Cloud, se crea automáticamente una red de VPC predeterminada (con reglas de firewall IPV4 prepropagadas) para cada proyecto. Sin embargo, un proyecto de Trusted Cloud no tiene una red predeterminada, por lo que debes crear una para ti y los miembros de tu equipo para comenzar.
Configuración sugerida
La siguiente es la configuración que se implementa con nuestro Terraform proporcionado, que es una versión adaptada de la configuración de Cloud Foundation de Google Cloud. También puedes usar esta sección como guía si decides crear tus propios recursos y políticas de forma manual con la Trusted Cloud consola o Google Cloud CLI.
Si bien esta configuración representa muchas prácticas recomendadas que encontramos que funcionan para la mayoría de las organizaciones, es posible que no cumpla con todos tus requisitos organizativos o técnicos. Revisa esta sección (y Terraform en sí si la usas) con cuidado y personaliza la configuración si es necesario.
En las siguientes secciones, se describen los diversos recursos de nuestra configuración sugerida.
Organización
En el nivel superior de tu organización, la configuración que sugerimos tiene dos carpetas. La primera carpeta contiene proyectos que contienen recursos comunes, como Cloud KMS y recursos de registro que comparte tu organización. La otra carpeta se usa para almacenar proyectos relacionados con la red, como el concentrador de Cloud DNS de tu organización y los proyectos de host de VPC compartida de red base y restringida para cada entorno (desarrollo, no producción y producción).
example-organization
└── fldr-common
├── s3ns:prj-c-kms
├── s3ns:prj-c-logging
└── fldr-network
├── s3ns:prj-net-dns
├── s3ns:prj-d-shared-base
├── s3ns:prj-d-shared-restricted
├── s3ns:prj-n-shared-base
├── s3ns:prj-n-shared-restricted
├── s3ns:prj-p-shared-base
└── s3ns:prj-p-shared-restricted
Entornos
Nuestra configuración sugerida tiene una carpeta para cada entorno: producción, no producción y etapa de pruebas. Cada carpeta contiene un proyecto que Cloud KMS puede usar para los recursos de administración de claves asociados específicamente con este entorno.
example-organization
└── fldr-development
├── s3ns:prj-d-kms
└── fldr-nonproduction
├── s3ns:prj-n-kms
└── fldr-production
├── s3ns:prj-p-kms
Topología de red
La configuración tiene una red de VPC compartida por entorno (desarrollo, no producción y producción) en una configuración estándar con un modelo de referencia de seguridad razonable. Esta configuración incluye lo siguiente:
- Ejemplos de subredes (opcionales) para desarrollo, no producción y producción, incluidos los rangos secundarios.
- Política de firewall jerárquica creada para permitir el acceso remoto a las VMs.
- Política de firewall jerárquica creada para permitir verificaciones de estado del balanceo de cargas.
- Política de firewall jerárquica creada para permitir la activación de KMS de Windows.
- VM o disco encriptado
- Se aplicó la política predeterminada de Cloud DNS, con el registro de DNS y el reenvío de consultas entrantes activados.
Proyectos
Cada entorno puede tener varios proyectos de servicio conectados a las redes de VPC compartida que se describieron en la sección anterior. Si lo implementas sin modificaciones, nuestro Terraform proporcionado
creará el siguiente conjunto de proyectos. Los proyectos se agrupan en carpetas en cada entorno, en las que cada carpeta está asociada con una unidad de negocio en particular. Para cada unidad de negocio, se crea un proyecto infra-pipeline
compartido con activadores de Cloud Build, solicitudes de firma de certificados (CSR) para el código de la infraestructura de la aplicación y buckets de Cloud Storage para el almacenamiento de estado.
example-organization/
└── fldr-development
└── fldr-development-bu1
├── s3ns:prj-d-bu1-sample-floating
├── s3ns:prj-d-bu1-sample-base
├── s3ns:prj-d-bu1-sample-restrict
├── s3ns:prj-d-bu1-sample-peering
└── fldr-development-bu2
├── s3ns:prj-d-bu2-sample-floating
├── s3ns:prj-d-bu2-sample-base
├── s3ns:prj-d-bu2-sample-restrict
└── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
└── fldr-nonproduction-bu1
├── s3ns:prj-n-bu1-sample-floating
├── s3ns:prj-n-bu1-sample-base
├── s3ns:prj-n-bu1-sample-restrict
├── s3ns:prj-n-bu1-sample-peering
└── fldr-nonproduction-bu2
├── s3ns:prj-n-bu2-sample-floating
├── s3ns:prj-n-bu2-sample-base
├── s3ns:prj-n-bu2-sample-restrict
└── s3ns:prj-n-bu2-sample-peering
└── fldr-production
└── fldr-production-bu1
├── s3ns:prj-p-bu1-sample-floating
├── s3ns:prj-p-bu1-sample-base
├── s3ns:prj-p-bu1-sample-restrict
├── s3ns:prj-p-bu1-sample-peering
└── fldr-production-bu2
├── s3ns:prj-p-bu2-sample-floating
├── s3ns:prj-p-bu2-sample-base
├── s3ns:prj-p-bu2-sample-restrict
└── s3ns:prj-p-bu2-sample-peering
└── fldr-common
├── s3ns:prj-c-bu1-infra-pipeline
└── s3ns:prj-c-bu2-infra-pipeline
Registro y supervisión
El último paso de nuestra configuración sugerida configura un bucket de registros y un receptor de registros de Pub/Sub en el proyecto de registro común de la organización. Las APIs requeridas se habilitan según sea necesario. Se configura un receptor agregado que no intercepta a nivel de la organización para enrutar las entradas de registro al proyecto común que contiene el bucket de registros. Puedes obtener más información sobre cómo funciona en Almacenamiento de registros centralizado.
Tú y los miembros de tu organización pueden ver los registros en el Explorador de registros desde la consola de Trusted Cloud o conectando una suscripción al tema de Pub/Sub en modo de extracción. Cloud Logging en Trusted Cloud solo conserva los registros durante treinta días.
Usa Terraform para configurar tu organización
Nuestro enfoque recomendado para configurar tu organización es usar Terraform, en especial si nunca configuraste una organización en Google Cloud. El Terraform proporcionado configura automáticamente carpetas, proyectos, registro y supervisión centralizados, redes y mucho más, como se describe en Configuración sugerida. Puedes adaptar esta configuración a tus propias necesidades antes o después de la implementación.
Terraform se adapta de la configuración de Cloud foundation de Google Cloud. Puedes obtener mucha más información sobre los módulos de Cloud Foundation en su repositorio, aunque ten en cuenta que no toda la información es relevante para esta configuración específica deTrusted Cloud.
Antes de comenzar, asegúrate de tener instalada la herramienta Terraform. Debido a que Cloud Shell no es compatible con Trusted Cloud, sigue las instrucciones para instalar Terraform de forma local.
Descarga los archivos de Terraform.
Para descargar los recursos de Terraform más recientes, comunícate con tu equipo de asistencia o de cuentas. Próximamente, podrás descargar Terraform desde GitHub.
Antes de implementar la configuración, revisa (y, si es necesario, edita) lo que se implementó para tu organización, como se describe en Configuración sugerida. Además de la configuración, Terraform proporcionado también incluye un módulo de inicio que implementa lo siguiente:
- Un proyecto
s3ns:prj-b-seed
que contenga lo siguiente:- Bucket de estado de Terraform
- Cuentas de servicio personalizadas que Terraform usa para crear recursos nuevos en Trusted Cloud
Aplica Terraform
Para aplicar Terraform, haz lo siguiente:
- Ve al directorio que contiene los archivos de configuración de Terraform.
Abre y edita el archivo
terraform.tfvars
proporcionado para especificar los valores que elegiste para los siguientes parámetros:org_id = ORG_ID billing_account = BILLING_ACCOUNT billing_project = moonrise-replace5ee46da7eba742199d747bf5477bed08moonrise-replace:BILLING_PROJECT prefix = FOLDER_PREFIX
Reemplaza lo siguiente:
ORG_ID
: El ID único de tu organizaciónBILLING_ACCOUNT
: Tu cuenta de facturaciónBILLING_PROJECT
: El proyecto de facturación de tu organización (a veces conocido como proyecto de cuota)FOLDER_PREFIX
(opcional): Es un prefijo que deseas aplicar a todos los nombres de carpetas y proyectos únicos.
Implementar la configuración
terraform init terraform apply
Soluciona problemas relacionados con la implementación de Terraform con recursos existentes
Si la configuración de Terraform descargada intenta crear recursos que ya existen, Terraform sale con un código de error 409
. Para resolver estos errores, puedes borrar el recurso mediante la consola de Trusted Cloud o gcloud CLI y, luego, vuelve a aplicar la configuración de Terraform.
De manera alternativa, si estos recursos son críticos y no se pueden borrar, puedes importar recursos a tu estado de Terraform.
Verifica la configuración
Para verificar tu configuración, te recomendamos que primero uses Google Cloud CLI o la consola de Trusted Cloud para comprobar que la carpeta y la estructura del proyecto se hayan configurado correctamente.
Luego, puedes intentar implementar una o varias cargas de trabajo de la aplicación en uno de los proyectos de servicio, ya sea con una carga de trabajo de tu elección o siguiendo algunos de nuestros instructivos de inicio rápido. Estos son instructivos breves que te ayudan a poner en funcionamiento rápidamente un ejemplo simple en Trusted Cloud. Obtén más información en Próximos pasos.
¿Qué sigue?
Explora tu organización y verifica tu configuración con una guía de inicio rápido. Estas son algunas sugerencias para comenzar:
- Crea una instancia de VM de Linux en Compute Engine
- Crea un clúster de GKE y, luego, implementa una carga de trabajo
- Consulta un conjunto de datos públicos en BigQuery (aunque debes tener en cuenta que deberás subir un conjunto de datos previamente para seguir este instructivo)
Extiende y personaliza tu configuración inicial, lo que incluye lo siguiente:
- Crea más proyectos y adjúntalos a tus redes.
- Configura aún más el registro y la supervisión, incluso si prefieres configurar Cloud Monitoring para enviar métricas de visualización a Grafana.
Otorgar permisos a usuarios y grupos con IAM