Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurer votre organisation

Lorsque vous intégrez Cloud de Confiancepour la première fois, une organisation vide est créée. Pour utiliser cette organisation, vous devez la configurer avec des projets, un réseau et d'autres ressources. Cloud de Confiancefournit plusieurs options pour configurer votre organisation, y compris des modules Terraform qui vous aident à configurer rapidement les ressources dont vous et vos utilisateurs avez besoin pour commencer.

Cette page s'adresse aux administrateurs qui doivent configurer une organisation dans Cloud de Confiance.

Avant de lire ce guide, vous devez :

Comprendre les concepts de base Cloud de Confiance décrits dans la Cloud de Confianceprésentation
Comprendre la Cloud de Confiance hiérarchie des ressources, y compris les organisations, les dossiers et les projets.
Découvrez comment fonctionne le cloud privé virtuel (VPC) dans Cloud de Confiance.
Vous devez connaître les produits et services suivants Cloud de Confianceet savoir à quoi ils servent :
- Cloud Key Management Service
- Cloud Logging
Si vous prévoyez d'utiliser Terraform pour configurer votre organisation, familiarisez-vous avec son fonctionnement.
Si vous connaissez déjà une configuration similaire pour Google Cloud, nous vous recommandons d'examiner les principales différences entre Cloud de Confiance et Google Cloud.

Avant de commencer

Pour toutes les options de configuration, assurez-vous des points suivants :

Un fournisseur d'identité (IdP) est configuré pour votre organisation et vous pouvez vous connecter avec votre ID d'administrateur.
Vous avez configuré Google Cloud CLI pour l'utiliser avec Cloud de Confiance. Même si vous prévoyez de configurer votre environnement à l'aide de Terraform, Google Cloud CLI est utile pour vérifier votre configuration à partir de la ligne de commande, ainsi que pour effectuer d'autres tâches administratives.

Options de configuration

Trois options s'offrent à vous pour configurer une organisation Enterprise sur Cloud de Confiance :

(Recommandé) Utilisez les modules Terraform que nous fournissons pour configurer votre organisation. Il s'agit d'une version adaptée de la configuration de la base cloud de Google Cloud, qui suit les bonnes pratiques pour configurer une organisation prête pour l'entreprise.
(Utilisateurs avancés uniquement) Si vous disposez de modules Terraform de "landing zone" existants que vous avez utilisés dans Google Cloud, vous pouvez les adapter et les réutiliser pour configurer votre organisation dans Cloud de Confiance. Si vous choisissez cette option, vous devez examiner attentivement les différences entre les deux univers, à la fois de manière générale et pour tous les services que vous souhaitez utiliser.
Vous pouvez créer manuellement des projets, des réseaux, des règles et d'autres ressources à l'aide de la Google Cloud CLI ou de la console Cloud de Confiance , en suivant les instructions de la documentation correspondante. Vous pouvez utiliser cette approche pour une configuration minimale, comme décrit dans la section suivante, ou pour une configuration d'entreprise complète, en utilisant la configuration que nous suggérons ou votre propre version.

Configuration minimale

Si vous souhaitez simplement tester votre nouvelle organisation avant de la configurer complètement, vous pouvez ajouter un seul projet et un seul réseau de cloud privé virtuel (VPC). Ce déploiement de base est suffisant pour explorer les services disponibles et exécuter nos tutoriels de démarrage rapide :

Créez un projet dans votre organisation.

Créez et configurez un réseau VPC appelé default dans votre projet à l'aide des commandes suivantes :

gcloud compute networks create default
gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
gcloud compute firewall-rules create default-allow-icmp --allow=icmp

Aucun réseau par défaut

Si vous connaissez Google Cloud, vous ne vous attendez peut-être pas à devoir créer un réseau : dans Google Cloud, un réseau VPC par défaut (avec des règles de pare-feu IPv4 préremplies) est créé automatiquement pour chaque projet. Un projet Cloud de Confiance, en revanche, ne dispose pas de réseau par défaut. Vous devez donc en créer un vous-même pour vous et les membres de votre équipe afin de pouvoir commencer.

Configuration suggérée

Vous trouverez ci-dessous la configuration déployée avec Terraform, qui est une version adaptée de la configuration Cloud Foundations de Google Cloud. Pour en savoir plus sur Cloud Foundations et les bonnes pratiques qui le sous-tendent, consultez son dépôt GitHub et la documentation Google Cloud. Notez que la configuration guidée avec Cloud Foundations depuis la console Cloud de Confiance n'est pas disponible dans Cloud de Confiance.

Vous pouvez également utiliser cette section comme guide si vous choisissez de créer manuellement vos propres ressources et règles avec la console Cloud de Confiance ou Google Cloud CLI.

Bien que cette configuration représente de nombreuses bonnes pratiques qui fonctionnent pour la plupart des organisations, elle peut ne pas répondre à toutes vos exigences organisationnelles ou techniques. Examinez attentivement cette section (et Terraform lui-même si vous l'utilisez), puis personnalisez la configuration si nécessaire.

Les sections suivantes décrivent les différentes ressources de notre configuration suggérée.

Organisation

Au niveau racine de votre organisation, la configuration suggérée comporte deux dossiers. Le premier dossier contient des projets qui incluent des ressources communes telles que Cloud KMS et des ressources de journalisation partagées par votre organisation. L'autre dossier est utilisé pour stocker les projets liés au réseau, tels que le hub Cloud DNS pour votre organisation, ainsi que les projets hôtes VPC partagé de base et restreints pour chaque environnement (développement, hors production et production).

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

Environnements

La configuration que nous suggérons comporte un dossier pour chaque environnement : production, hors production et préproduction. Chaque dossier contient un projet qui peut être utilisé par Cloud KMS pour les ressources de gestion des clés associées spécifiquement à cet environnement.

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

Topologie du réseau

La configuration comporte un réseau VPC partagé par environnement (développement, hors production et production) dans une configuration standard avec un niveau de sécurité de base raisonnable. Cette configuration inclut les éléments suivants :

(Facultatif) Exemples de sous-réseaux pour le développement, la préproduction et la production, y compris les plages secondaires.
Stratégie de pare-feu hiérarchique créée pour autoriser l'accès à distance aux VM.
Stratégie de pare-feu hiérarchique créée pour autoriser les vérifications d'état de l'équilibrage de charge.
Stratégie de pare-feu hiérarchique créée pour autoriser l'activation de Windows KMS.
VM / disque chiffré
Règle Cloud DNS par défaut appliquée, avec la journalisation DNS et le transfert des requêtes entrantes activés.

Projets

Chaque environnement peut comporter un certain nombre de projets de service connectés aux réseaux VPC partagés décrits dans la section précédente. Si vous le déployez sans le modifier, le fichier Terraform que nous fournissons crée l'ensemble de projets suivant. Les projets sont regroupés dans des dossiers de chaque environnement, où chaque dossier est associé à une unité commerciale spécifique. Pour chaque unité commerciale, un projet infra-pipeline partagé est créé avec des déclencheurs Cloud Build, des demandes de signature de certificat (CSR) pour le code d'infrastructure d'application et des buckets Cloud Storage pour le stockage d'état.

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

Journalisation et surveillance

La dernière étape de la configuration suggérée consiste à configurer un bucket de journaux et un récepteur de journaux Pub/Sub dans le projet de journalisation commun de l'organisation. Les API requises sont activées si nécessaire. Un récepteur agrégé sans interception est configuré au niveau de l'organisation pour acheminer les entrées de journal vers le projet commun qui contient le bucket de journaux. Pour en savoir plus, consultez Stockage centralisé des journaux.

Vous et les membres de votre organisation pouvez afficher les journaux dans l'explorateur de journaux de la console Cloud de Confiance ou en connectant un abonnement au sujet Pub/Sub en mode pull. Cloud Logging dans Cloud de Confiance ne conserve les journaux que pendant 30 jours.

Utiliser Terraform pour configurer votre organisation

Nous vous recommandons d'utiliser Terraform pour configurer votre organisation, en particulier si vous n'en avez jamais configuré sur Google Cloud. Le fichier Terraform fourni configure automatiquement les dossiers par défaut, les projets, la journalisation et la surveillance centralisées, la mise en réseau, etc., comme décrit dans la configuration suggérée. Vous pouvez adapter cette configuration à vos propres besoins avant ou après le déploiement.

Terraform est adapté à partir de la configuration Cloud Foundation de Google Cloud. Pour en savoir plus sur les modules Cloud Foundation, consultez leur dépôt. Toutefois, sachez que toutes les informations ne sont pas pertinentes pour cette configuration spécifique àCloud de Confiance.

Avant de commencer, assurez-vous d'avoir installé l'outil Terraform. Comme Cloud Shell n'est pas compatible avec Cloud de Confiance, suivez les instructions pour installer Terraform localement.

Téléchargez les fichiers Terraform.

Pour télécharger les derniers assets Terraform, contactez votre équipe d'assistance ou de compte. Le téléchargement public de Terraform depuis GitHub sera bientôt disponible.

Avant de déployer la configuration, vérifiez (et modifiez si nécessaire) ce qui est déployé pour votre organisation, comme décrit dans Configuration suggérée. En plus de la configuration, le fichier Terraform fourni inclut également un module bootstrap qui déploie les éléments suivants :

Un projet s3ns:prj-b-seed contenant les éléments suivants :
- Bucket d'état Terraform
- Comptes de service personnalisés utilisés par Terraform pour créer des ressources dans Cloud de Confiance

Appliquer Terraform

Pour appliquer Terraform, procédez comme suit :

Accédez au répertoire contenant les fichiers de configuration Terraform.
Ouvrez et modifiez le fichier terraform.tfvars fourni pour spécifier les valeurs de votre choix pour les paramètres suivants :
```
org_id = ORG_ID
billing_account = BILLING_ACCOUNT
billing_project = moonrise-replace60ef700d0bd440fb8b88497d9e920935moonrise-replace:BILLING_PROJECT
prefix = FOLDER_PREFIX
```
Remplacez les éléments suivants :
- ORG_ID : ID unique de votre organisation
- BILLING_ACCOUNT : votre compte de facturation
- BILLING_PROJECT : projet de facturation de votre organisation (parfois appelé projet de quota)
- FOLDER_PREFIX (facultatif) : préfixe que vous souhaitez appliquer à tous les noms de dossiers et de projets uniques
Déployer la configuration
```
terraform init
terraform apply
```

Résoudre les problèmes de déploiement de Terraform avec des ressources existantes

Si la configuration Terraform téléchargée tente de créer des ressources qui existent déjà, Terraform se ferme avec un code d'erreur 409. Pour résoudre ces erreurs, vous pouvez supprimer la ressource à l'aide de la console Cloud de Confiance ou de gcloud CLI, puis appliquer de nouveau la configuration Terraform. Si ces ressources sont essentielles et ne peuvent pas être supprimées, vous pouvez également les importer dans votre état Terraform.

Vérifier votre configuration

Pour vérifier votre configuration, nous vous recommandons de commencer par vérifier à l'aide de la Google Cloud CLI ou de la console Cloud de Confiance que la structure de vos dossiers et projets a été correctement configurée.

Vous pouvez ensuite essayer de déployer une ou plusieurs charges de travail d'application dans l'un des projets de service, soit en utilisant une charge de travail de votre choix, soit en suivant l'un de nos tutoriels de démarrage rapide. Il s'agit de brefs tutoriels qui vous aident à exécuter rapidement un exemple simple sur Cloud de Confiance. Pour en savoir plus, consultez Étapes suivantes.

Étapes suivantes

Explorez votre organisation et vérifiez votre configuration en suivant un tutoriel de démarrage rapide. Voici quelques suggestions pour vous lancer :
- Créer une instance de VM Linux dans Compute Engine
- Créer un cluster GKE et déployer une charge de travail
- Interroger un ensemble de données public dans BigQuery (notez toutefois que vous devrez pré-importer un ensemble de données pour suivre ce tutoriel)
Étendez et personnalisez votre configuration initiale, y compris :
- Créez d'autres projets et associez-les à vos réseaux.
- Configurez plus précisément la journalisation et la surveillance, y compris, si vous le souhaitez, en configurant Cloud Monitoring pour envoyer des métriques à Grafana afin de les visualiser.
Accordez des autorisations aux utilisateurs et aux groupes avec IAM.