Configura tu organización

Cuando te incorporas a Trusted Cloudpor primera vez, se te proporciona una nueva organización vacía. Para usar esta organización, debes configurarla con proyectos, una red y otros recursos. Trusted Cloudproporciona varias opciones para configurar tu organización, incluidos los módulos de Terraform que te ayudan a configurar rápidamente los recursos que tú y tus usuarios necesitan para comenzar.

Esta página está destinada a los administradores que necesitan configurar una organización nueva en Trusted Cloud.

Antes de leer esta guía, debes hacer lo siguiente:

Antes de comenzar

Asegúrate de que se cumpla lo siguiente para todas las opciones de configuración:

También te recomendamos que revises el Trusted Cloud by S3NS flujo de configuración guiada antes de realizar una configuración empresarial completa. Si bien no todas las secciones son relevantes paraTrusted Cloud(por ejemplo, no puedes crear una organización por tu cuenta), proporciona información de referencia, orientación y prácticas recomendadas útiles para configurar tu infraestructura. Las mismas prácticas recomendadas se reflejan en nuestros módulos de Terraform proporcionados. Ten en cuenta que, cuando realices el flujo guiado, la configuración empresarial de la consola de Trusted Cloud no estará disponible en Trusted Cloud.

Opciones de configuración

Existen tres opciones posibles para configurar una organización empresarial en Trusted Cloud:

  • (Recomendado) Usa los módulos de Terraform que proporcionamos para configurar tu organización. Esta es una versión adaptada de la configuración de la base de la nube de Google Cloud, que sigue las prácticas recomendadas para configurar una organización preparada para empresas.
  • (Solo para usuarios avanzados) Si tienes módulos de "zona de aterrizaje" de Terraform existentes que usaste en Google Cloud, puedes adaptarlos y reutilizarlos para configurar tu organización en Trusted Cloud. Si eliges esta opción, debes revisar cuidadosamente las diferencias entre los dos universos, tanto a nivel general como para los servicios que deseas usar.
  • Puedes crear proyectos, redes, políticas y otros recursos de forma manual con Google Cloud CLI o la consola de Trusted Cloud siguiendo las instrucciones de la documentación relevante. Puedes usar este enfoque para una configuración mínima, como se describe en la siguiente sección, o una configuración empresarial completa, con nuestra configuración sugerida o tu propia versión preferida.

Configuración mínima

Si solo quieres probar tu nueva organización antes de configurarla por completo, puedes agregar un solo proyecto y una red de nube privada virtual (VPC). Esta implementación básica es suficiente para explorar los servicios disponibles y ejecutar nuestros instructivos de inicio rápido:

  1. Crea un proyecto en tu organización.
  2. Crea y configura una red de VPC llamada default en tu proyecto con los siguientes comandos:

    gcloud compute networks create default
    gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
    gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
    gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
    gcloud compute firewall-rules create default-allow-icmp --allow=icmp
    

Sin red predeterminada

Si conoces Google Cloud, es posible que no esperes tener que crear una red: en Google Cloud, se crea automáticamente una red de VPC predeterminada (con reglas de firewall IPV4 prepropagadas) para cada proyecto. Sin embargo, un proyecto de Trusted Cloud no tiene una red predeterminada, por lo que debes crear una para ti y los miembros de tu equipo para comenzar.

Configuración sugerida

La siguiente es la configuración que se implementa con nuestro Terraform proporcionado, que es una versión adaptada de la configuración de Cloud Foundation de Google Cloud. También puedes usar esta sección como guía si decides crear tus propios recursos y políticas de forma manual con la Trusted Cloud consola o Google Cloud CLI.

Si bien esta configuración representa muchas prácticas recomendadas que encontramos que funcionan para la mayoría de las organizaciones, es posible que no cumpla con todos tus requisitos organizativos o técnicos. Revisa esta sección (y Terraform en sí si la usas) con cuidado y personaliza la configuración si es necesario.

En las siguientes secciones, se describen los diversos recursos de nuestra configuración sugerida.

Organización

En el nivel superior de tu organización, la configuración que sugerimos tiene dos carpetas. La primera carpeta contiene proyectos que contienen recursos comunes, como Cloud KMS y recursos de registro que comparte tu organización. La otra carpeta se usa para almacenar proyectos relacionados con la red, como el concentrador de Cloud DNS de tu organización y los proyectos de host de VPC compartida de red base y restringida para cada entorno (desarrollo, no producción y producción).

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

Entornos

Nuestra configuración sugerida tiene una carpeta para cada entorno: producción, no producción y etapa de pruebas. Cada carpeta contiene un proyecto que Cloud KMS puede usar para los recursos de administración de claves asociados específicamente con este entorno.

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

Topología de red

La configuración tiene una red de VPC compartida por entorno (desarrollo, no producción y producción) en una configuración estándar con un modelo de referencia de seguridad razonable. Esta configuración incluye lo siguiente:

  • Ejemplos de subredes (opcionales) para desarrollo, no producción y producción, incluidos los rangos secundarios.
  • Política de firewall jerárquica creada para permitir el acceso remoto a las VMs.
  • Política de firewall jerárquica creada para permitir verificaciones de estado del balanceo de cargas.
  • Política de firewall jerárquica creada para permitir la activación de KMS de Windows.
  • VM o disco encriptado
  • Se aplicó la política predeterminada de Cloud DNS, con el registro de DNS y el reenvío de consultas entrantes activados.

Proyectos

Cada entorno puede tener varios proyectos de servicio conectados a las redes de VPC compartida que se describieron en la sección anterior. Si lo implementas sin modificaciones, nuestro Terraform proporcionado creará el siguiente conjunto de proyectos. Los proyectos se agrupan en carpetas en cada entorno, en las que cada carpeta está asociada con una unidad de negocio en particular. Para cada unidad de negocio, se crea un proyecto infra-pipeline compartido con activadores de Cloud Build, solicitudes de firma de certificados (CSR) para el código de la infraestructura de la aplicación y buckets de Cloud Storage para el almacenamiento de estado.

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

Registro y supervisión

El último paso de nuestra configuración sugerida configura un bucket de registros y un receptor de registros de Pub/Sub en el proyecto de registro común de la organización. Las APIs requeridas se habilitan según sea necesario. Se configura un receptor agregado que no intercepta a nivel de la organización para enrutar las entradas de registro al proyecto común que contiene el bucket de registros. Puedes obtener más información sobre cómo funciona en Almacenamiento de registros centralizado.

Tú y los miembros de tu organización pueden ver los registros en el Explorador de registros desde la consola de Trusted Cloud o conectando una suscripción al tema de Pub/Sub en modo de extracción. Cloud Logging en Trusted Cloud solo conserva los registros durante treinta días.

Usa Terraform para configurar tu organización

Nuestro enfoque recomendado para configurar tu organización es usar Terraform, en especial si nunca configuraste una organización en Google Cloud. El Terraform proporcionado configura automáticamente carpetas, proyectos, registro y supervisión centralizados, redes y mucho más, como se describe en Configuración sugerida. Puedes adaptar esta configuración a tus propias necesidades antes o después de la implementación.

Terraform se adapta de la configuración de Cloud foundation de Google Cloud. Puedes obtener mucha más información sobre los módulos de Cloud Foundation en su repositorio, aunque ten en cuenta que no toda la información es relevante para esta configuración específica deTrusted Cloud.

Antes de comenzar, asegúrate de tener instalada la herramienta Terraform. Debido a que Cloud Shell no es compatible con Trusted Cloud, sigue las instrucciones para instalar Terraform de forma local.

Descarga los archivos de Terraform.

Para descargar los recursos de Terraform más recientes, comunícate con tu equipo de asistencia o de cuentas. Próximamente, podrás descargar Terraform desde GitHub.

Antes de implementar la configuración, revisa (y, si es necesario, edita) lo que se implementó para tu organización, como se describe en Configuración sugerida. Además de la configuración, Terraform proporcionado también incluye un módulo de inicio que implementa lo siguiente:

  • Un proyecto s3ns:prj-b-seed que contenga lo siguiente:
    • Bucket de estado de Terraform
    • Cuentas de servicio personalizadas que Terraform usa para crear recursos nuevos en Trusted Cloud

Aplica Terraform

Para aplicar Terraform, haz lo siguiente:

  1. Ve al directorio que contiene los archivos de configuración de Terraform.
  2. Abre y edita el archivo terraform.tfvars proporcionado para especificar los valores que elegiste para los siguientes parámetros:

    org_id = ORG_ID
    billing_account = BILLING_ACCOUNT
    billing_project = moonrise-replace5ee46da7eba742199d747bf5477bed08moonrise-replace:BILLING_PROJECT
    prefix = FOLDER_PREFIX
    

    Reemplaza lo siguiente:

    • ORG_ID: El ID único de tu organización
    • BILLING_ACCOUNT: Tu cuenta de facturación
    • BILLING_PROJECT: El proyecto de facturación de tu organización (a veces conocido como proyecto de cuota)
    • FOLDER_PREFIX (opcional): Es un prefijo que deseas aplicar a todos los nombres de carpetas y proyectos únicos.
  3. Implementar la configuración

    terraform init
    terraform apply
    

Soluciona problemas relacionados con la implementación de Terraform con recursos existentes

Si la configuración de Terraform descargada intenta crear recursos que ya existen, Terraform sale con un código de error 409. Para resolver estos errores, puedes borrar el recurso mediante la consola de Trusted Cloud o gcloud CLI y, luego, vuelve a aplicar la configuración de Terraform. De manera alternativa, si estos recursos son críticos y no se pueden borrar, puedes importar recursos a tu estado de Terraform.

Verifica la configuración

Para verificar tu configuración, te recomendamos que primero uses Google Cloud CLI o la consola de Trusted Cloud para comprobar que la carpeta y la estructura del proyecto se hayan configurado correctamente.

Luego, puedes intentar implementar una o varias cargas de trabajo de la aplicación en uno de los proyectos de servicio, ya sea con una carga de trabajo de tu elección o siguiendo algunos de nuestros instructivos de inicio rápido. Estos son instructivos breves que te ayudan a poner en funcionamiento rápidamente un ejemplo simple en Trusted Cloud. Obtén más información en Próximos pasos.

¿Qué sigue?