Configurer votre organisation

Lorsque vous vous inscrivez à Trusted Cloudpour la première fois, vous disposez d'une nouvelle organisation vide. Pour utiliser cette organisation, vous devez la configurer avec des projets, un réseau et d'autres ressources. Trusted Cloudpropose plusieurs options de configuration de votre organisation, y compris des modules Terraform qui vous aident à configurer rapidement les ressources dont vous et vos utilisateurs avez besoin pour vous lancer.

Cette page s'adresse aux administrateurs qui doivent configurer une nouvelle organisation dans Trusted Cloud.

Avant de lire ce guide, vous devez:

• Familiarisez-vous avec les concepts Trusted Cloudfondamentaux décrits dans la présentation deTrusted Cloud.

• Découvrez la Trusted Cloud hiérarchie des ressources, y compris les organisations, les dossiers et les projets.

• Découvrez le fonctionnement des clouds privés virtuels (VPC) dans Trusted Cloud.

• Familiarisez-vous avec les produits et services Trusted Cloudsuivants, ainsi qu'à leur utilité:

  • Cloud Key Management Service
  • Cloud Logging

• Si vous prévoyez d'utiliser Terraform pour configurer votre organisation, familiarisez-vous avec son fonctionnement.

• Si vous connaissez déjà une configuration similaire pour Google Cloud, nous vous recommandons de consulter les principales différences entre Trusted Cloud et Google Cloud.

Avant de commencer

Assurez-vous que les conditions suivantes sont remplies pour toutes les options de configuration:

• Un fournisseur d'identité (IdP) est configuré pour votre organisation et vous pouvez vous connecter avec votre ID administrateur.
• Vous avez configuré Google Cloud CLI pour l'utiliser avec Trusted Cloud. Même si vous prévoyez de configurer à l'aide de Terraform, Google Cloud CLI est utile pour vérifier votre configuration à partir de la ligne de commande, ainsi que pour effectuer des tâches administratives supplémentaires.

Nous vous recommandons également vivement de consulter le Trusted Cloud by S3NS parcours de configuration guidée avant de procéder à une configuration complète de l'entreprise. Bien que toutes les sections ne soient pas pertinentes pourTrusted Cloud(par exemple, vous ne pouvez pas créer vous-même une organisation), elles fournissent des informations générales, des conseils et des bonnes pratiques utiles pour configurer votre infrastructure. Les mêmes bonnes pratiques sont reflétées dans les modules Terraform que nous fournissons. Lorsque vous suivez le flux guidé, sachez que la configuration d'entreprise à partir de la console Trusted Cloud n'est pas disponible dans Trusted Cloud.

Options de configuration

Il existe trois options pour configurer une organisation d'entreprise sur Trusted Cloud:

• (Recommandé) Utilisez les modules Terraform fournis pour configurer votre organisation. Il s'agit d'une version adaptée de la configuration de la base Cloud de Google Cloud, qui suit les bonnes pratiques de configuration d'une organisation prête à l'entreprise.
• (Utilisateurs expérimentés uniquement) Si vous disposez de modules de "zone de lancement" Terraform que vous avez utilisés dans Google Cloud, vous pouvez les adapter et les réutiliser pour configurer votre organisation dans Trusted Cloud. Si vous choisissez cette option, vous devez examiner attentivement les différences entre les deux univers, à la fois de manière globale et pour tous les services que vous souhaitez utiliser.
• Vous pouvez créer manuellement des projets, des réseaux, des règles et d'autres ressources à l'aide de la Google Cloud CLI ou de la console Trusted Cloud , en suivant les instructions de la documentation correspondante. Vous pouvez utiliser cette approche pour une configuration minimale, comme décrit dans la section suivante, ou pour une configuration d'entreprise complète, en utilisant notre configuration suggérée ou votre propre version préférée.

Configuration minimale

Si vous souhaitez simplement tester votre nouvelle organisation avant de la configurer complètement, vous pouvez ajouter un seul projet et un seul réseau cloud privé virtuel (VPC). Ce déploiement de base suffit à explorer les services disponibles et à exécuter nos tutoriels de démarrage rapide:

1. Créez un projet dans votre organisation.

2. Créez et configurez un réseau VPC appelé default dans votre projet à l'aide des commandes suivantes:

   gcloud compute networks create default
   gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
   gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
   gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
   gcloud compute firewall-rules create default-allow-icmp --allow=icmp
   

Aucun réseau par défaut

Si vous connaissez Google Cloud, vous ne vous attendez peut-être pas à avoir à créer un réseau: dans Google Cloud, un réseau VPC par défaut (avec des règles de pare-feu IPV4 préremplies) est créé automatiquement pour chaque projet. Cependant, un projet Trusted Cloudne dispose pas d'un réseau par défaut. Vous devez donc en créer un pour vous et les membres de votre équipe.

Configuration suggérée

Vous trouverez ci-dessous la configuration déployée avec Terraform fourni, qui est une version adaptée de la configuration de la plate-forme Cloud de Google Cloud. Vous pouvez également utiliser cette section comme guide si vous choisissez de créer manuellement vos propres ressources et règles à l'aide de la Trusted Cloud console ou de Google Cloud CLI.

Bien que cette configuration représente de nombreuses bonnes pratiques qui fonctionnent pour la plupart des organisations, elle n'est pas forcément adaptée à toutes vos exigences organisationnelles ou techniques. Examinez attentivement cette section (et Terraform lui-même, le cas échéant) et personnalisez la configuration si nécessaire.

Les sections suivantes décrivent les différentes ressources de la configuration suggérée.

Organisation

Au niveau supérieur de votre organisation, notre suggestion de configuration comporte deux dossiers. Le premier dossier contient des projets contenant des ressources courantes telles que Cloud KMS et des ressources de journalisation partagées par votre organisation. L'autre dossier permet de stocker les projets liés au réseau, tels que le hub DNS Cloud de votre organisation, ainsi que les projets d'hôte VPC partagé de base et restreints pour chaque environnement (développement, hors production et production).

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

Environnements

Notre configuration suggérée comprend un dossier pour chaque environnement: production, hors production et préproduction. Chaque dossier contient un projet pouvant être utilisé par Cloud KMS pour les ressources de gestion des clés associées spécifiquement à cet environnement.

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

Topologie du réseau

La configuration comporte un réseau VPC partagé par environnement (développement, hors production et production) dans une configuration standard avec une référence de sécurité raisonnable. Cette configuration comprend les éléments suivants:

• (Facultatif) Exemples de sous-réseaux pour le développement, hors production et la production, y compris les plages secondaires.
• Stratégie de pare-feu hiérarchique créée pour autoriser l'accès à distance aux VM.
• Stratégie de pare-feu hiérarchique créée pour permettre les vérifications de l'état de l'équilibrage de charge.
• Stratégie de pare-feu hiérarchique créée pour autoriser l'activation du service KMS Windows.
• VM / disque chiffré
• Règle Cloud DNS par défaut appliquée, avec la journalisation DNS et le transfert des requêtes entrantes activés.

Projets

Chaque environnement peut comporter un certain nombre de projets de service connectés aux réseaux VPC partagés décrits dans la section précédente. Si vous le déployez sans le modifier, notre Terraform fourni crée l'ensemble de projets suivant. Les projets sont regroupés dans des dossiers dans chaque environnement, chaque dossier étant associé à une unité commerciale spécifique. Pour chaque unité commerciale, un projet infra-pipeline partagé est créé avec des déclencheurs Cloud Build, des demandes de signature de certificat (CSR) pour le code de l'infrastructure de l'application et des buckets Cloud Storage pour le stockage de l'état.

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

Journalisation et surveillance

La dernière étape de la configuration suggérée consiste à configurer un bucket de journaux et un récepteur de journaux Pub/Sub dans le projet de journalisation commun de l'organisation. Les API requises sont activées si nécessaire. Un récepteur agrégé non intercepteur est configuré au niveau de l'organisation pour acheminer les entrées de journal vers le projet commun qui contient le bucket de journaux. Pour en savoir plus sur le fonctionnement de ce processus, consultez Stockage centralisé des journaux.

Vous et les membres de votre organisation pouvez consulter les journaux dans l'explorateur de journaux à partir de la console Trusted Cloud ou en associant un abonnement au sujet Pub/Sub en mode pull. Cloud Logging dans Trusted Cloud ne conserve les journaux que pendant 30 jours.

Utiliser Terraform pour configurer votre organisation

Nous vous recommandons d'utiliser Terraform pour configurer votre organisation, en particulier si vous n'avez jamais configuré d'organisation sur Google Cloud. Terraform fournit automatiquement des dossiers, des projets, une journalisation et une surveillance centralisées, une mise en réseau, etc., comme décrit dans la section Configuration suggérée. Vous pouvez adapter cette configuration à vos propres besoins avant ou après le déploiement.

Terraform est adapté à la configuration de la plate-forme Cloud de Google Cloud. Vous pouvez en savoir beaucoup plus sur les modules Cloud Foundation dans son dépôt, mais sachez que toutes les informations ne sont pas pertinentes pour cette configuration spécifique àTrusted Cloud.

Avant de commencer, assurez-vous que l'outil Terraform est installé. Comme Cloud Shell n'est pas compatible avec Trusted Cloud, suivez les instructions pour installer Terraform localement.

Téléchargez les fichiers Terraform.

Pour télécharger les derniers composants Terraform, contactez votre équipe d'assistance ou votre équipe chargée de votre compte. Le téléchargement public de Terraform depuis GitHub sera bientôt disponible.

Avant de déployer la configuration, examinez (et si nécessaire, modifiez) ce qui est déployé pour votre organisation, comme décrit dans la section Configuration suggérée. En plus de la configuration, Terraform fourni inclut également un module de démarrage qui déploie les éléments suivants:

• Un projet s3ns:prj-b-seed contenant les éléments suivants :
  • Bucket d'état Terraform
  • Comptes de service personnalisés utilisés par Terraform pour créer des ressources dans Trusted Cloud

Appliquer Terraform

Pour appliquer Terraform, procédez comme suit:

1. Accédez au répertoire contenant les fichiers de configuration Terraform.

2. Ouvrez et modifiez le fichier terraform.tfvars fourni pour spécifier les valeurs de votre choix pour les paramètres suivants:

   org_id = ORG_ID
   billing_account = BILLING_ACCOUNT
   billing_project = moonrise-replace5ee46da7eba742199d747bf5477bed08moonrise-replace:BILLING_PROJECT
   prefix = FOLDER_PREFIX
   

   Remplacez les éléments suivants :

   • ORG_ID: ID unique de votre organisation
   • BILLING_ACCOUNT: votre compte de facturation
   • BILLING_PROJECT: projet de facturation de votre organisation (parfois appelé projet de quota)
   • FOLDER_PREFIX (facultatif): préfixe que vous souhaitez appliquer à tous les noms de dossier et de projet uniques

3. Déployer la configuration

   terraform init
   terraform apply
   

Résoudre les problèmes de déploiement de Terraform avec des ressources existantes

Si la configuration Terraform téléchargée tente de créer des ressources qui existent déjà, Terraform se ferme avec un code d'erreur 409. Pour résoudre ces erreurs, vous pouvez supprimer la ressource à l'aide de la console Trusted Cloud ou de gcloud CLI, puis appliquer de nouveau la configuration Terraform. Si ces ressources sont essentielles et ne peuvent pas être supprimées, vous pouvez également les importer dans votre état Terraform.

Vérifier votre configuration

Pour vérifier votre configuration, nous vous recommandons de vérifier d'abord à l'aide de la Google Cloud CLI ou de la console Trusted Cloud que votre structure de dossier et de projet a été correctement configurée.

Vous pouvez ensuite essayer de déployer une ou plusieurs charges de travail d'application dans l'un des projets de service, soit à l'aide d'une charge de travail de votre choix, soit en suivant certains de nos tutoriels de démarrage rapide. Il s'agit de brefs tutoriels qui vous aident à configurer rapidement un exemple simple sur Trusted Cloud. Pour en savoir plus, consultez la section Étapes suivantes.

Étape suivante

• Explorez votre organisation et vérifiez votre configuration en essayant un tutoriel de démarrage rapide. Voici quelques suggestions pour vous lancer:

  • Créer une instance de VM Linux dans Compute Engine
  • Créer un cluster GKE et déployer une charge de travail
  • Interroger un ensemble de données public dans BigQuery (notez que vous devrez précharger un ensemble de données pour suivre ce tutoriel)

• Étendez et personnalisez votre configuration initiale, y compris:

  • Créez d'autres projets et associez-les à vos réseaux.
  • Configurez plus en détail la journalisation et la surveillance, y compris si vous préférez configurer Cloud Monitoring pour envoyer des métriques à Grafana afin de les visualiser.

• Accordez des autorisations aux utilisateurs et aux groupes à l'aide d'IAM.