Siapkan organisasi Anda

Saat pertama kali diaktifkan di Cloud de Confiance, Anda akan diberi organisasi baru yang kosong. Untuk menggunakan organisasi ini, Anda perlu mengonfigurasinya dengan project, jaringan, dan resource lainnya. Cloud de Confiance menyediakan beberapa opsi untuk mengonfigurasi organisasi Anda, termasuk modul Terraform yang membantu Anda menyiapkan resource yang Anda dan pengguna Anda butuhkan dengan cepat untuk memulai.

Halaman ini ditujukan bagi administrator yang perlu mengonfigurasi organisasi baru di Cloud de Confiance.

Sebelum membaca panduan ini, Anda harus:

• Pahami konsep dasar Cloud de Confiance yang dijelaskan dalam Cloud de Confiance ringkasan.

• Pahami Cloud de Confiance hierarki resource, termasuk organisasi, folder, dan project.

• Pahami cara kerja Virtual Private Cloud (VPC) di Cloud de Confiance.

• Pahami produk dan layanan berikut serta kegunaannya: Cloud de Confiance

  • Cloud Key Management Service
  • Cloud Logging

• Jika Anda berencana menggunakan Terraform untuk mengonfigurasi organisasi Anda, pahami cara kerja Terraform.

• Jika Anda sudah memahami penyiapan serupa untuk Google Cloud, sebaiknya tinjau perbedaan utama antara Cloud de Confiance dan Google Cloud.

Sebelum memulai

Pastikan hal berikut untuk semua opsi penyiapan:

• Penyedia identitas (IdP) dikonfigurasi untuk organisasi Anda dan Anda dapat login dengan ID administrator Anda.
• Anda telah menyiapkan Google Cloud CLI untuk digunakan dengan Cloud de Confiance. Meskipun Anda berencana untuk melakukan penyiapan menggunakan Terraform, Google Cloud CLI berguna untuk memverifikasi penyiapan dari command line, serta tugas administratif tambahan.

Opsi konfigurasi

Ada tiga kemungkinan opsi untuk menyiapkan organisasi perusahaan di Cloud de Confiance:

• (Direkomendasikan) Gunakan modul Terraform yang kami sediakan untuk menyiapkan organisasi Anda. Ini adalah versi yang diadaptasi dari konfigurasi Cloud Foundation Google Cloud, yang mengikuti praktik terbaik untuk menyiapkan organisasi yang siap digunakan perusahaan.
• (Khusus pengguna tingkat lanjut) Jika Anda memiliki modul "landing zone" Terraform yang sudah ada yang telah Anda gunakan di Google Cloud, Anda dapat menyesuaikan dan menggunakannya kembali untuk mengonfigurasi organisasi Anda di Cloud de Confiance. Jika memilih opsi ini, Anda harus meninjau dengan cermat perbedaan antara kedua semesta, baik di tingkat tinggi maupun untuk layanan apa pun yang ingin Anda gunakan.
• Anda dapat membuat project, jaringan, kebijakan, dan resource lainnya secara manual menggunakan Google Cloud CLI atau Cloud de Confiance konsol, dengan mengikuti petunjuk dalam dokumentasi yang relevan. Anda dapat menggunakan pendekatan ini untuk konfigurasi minimal seperti yang dijelaskan di bagian berikutnya atau penyiapan perusahaan penuh, menggunakan konfigurasi yang kami sarankan atau versi pilihan Anda sendiri.

Konfigurasi minimal

Jika hanya ingin mencoba organisasi baru sebelum menyiapkannya sepenuhnya, Anda dapat menambahkan satu project dan jaringan Virtual Private Cloud (VPC). Deployment dasar ini sudah cukup untuk menjelajahi layanan yang tersedia dan menjalankan tutorial panduan memulai kami:

1. Buat project di organisasi Anda.

2. Buat dan konfigurasi jaringan VPC bernama default di project Anda dengan perintah berikut:

   gcloud compute networks create default
   gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
   gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
   gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
   gcloud compute firewall-rules create default-allow-icmp --allow=icmp
   

Tidak ada jaringan default

Jika sudah terbiasa dengan Google Cloud, Anda mungkin tidak perlu membuat jaringan: di Google Cloud, jaringan VPC default (dengan aturan firewall IPV4 yang telah terisi otomatis sebelumnya) dibuat secara otomatis untuk setiap project. Namun, Cloud de Confiance project tidak memiliki jaringan default, jadi Anda harus membuatnya sendiri agar Anda dan anggota tim dapat memulai.

Konfigurasi yang disarankan

Berikut adalah konfigurasi yang di-deploy dengan Terraform yang kami sediakan, yang merupakan versi adaptasi dari konfigurasi Cloud Foundations Google Cloud. Anda dapat membaca lebih lanjut tentang Cloud Foundations dan praktik terbaik yang mendasarinya di repositori GitHub dan di dokumentasi Google Cloud. Perhatikan bahwa penyiapan terpandu dengan Cloud Foundations dari konsol Cloud de Confiance tidak tersedia di Cloud de Confiance.

Anda juga dapat menggunakan bagian ini sebagai panduan jika memilih untuk membuat resource dan kebijakan sendiri secara manual dengan Cloud de Confiance konsol atau Google Cloud CLI.

Meskipun konfigurasi ini mewakili banyak praktik terbaik yang kami temukan efektif untuk sebagian besar organisasi, konfigurasi ini mungkin tidak memenuhi semua persyaratan organisasi atau teknis Anda. Tinjau bagian ini (dan Terraform itu sendiri jika menggunakan) dengan cermat, dan sesuaikan konfigurasi jika diperlukan.

Bagian berikut menjelaskan berbagai resource dalam konfigurasi yang kami sarankan.

Organisasi

Di tingkat teratas organisasi Anda, konfigurasi yang kami sarankan memiliki dua folder. Folder pertama berisi project yang berisi resource umum seperti resource Cloud KMS dan Logging yang dibagikan oleh organisasi Anda. Folder lainnya digunakan untuk menyimpan project terkait jaringan seperti hub Cloud DNS untuk organisasi Anda, serta project host VPC Bersama jaringan dasar dan terbatas untuk setiap lingkungan (pengembangan, non-produksi, dan produksi).

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

Lingkungan

Konfigurasi yang kami sarankan memiliki folder untuk setiap lingkungan: produksi, non-produksi, dan staging. Setiap folder berisi project yang dapat digunakan oleh Cloud KMS untuk resource pengelolaan kunci yang terkait secara khusus dengan lingkungan ini.

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

Topologi jaringan

Konfigurasi memiliki jaringan VPC Bersama per lingkungan (pengembangan, nonproduksi, dan produksi) dalam konfigurasi standar dengan dasar keamanan yang wajar. Konfigurasi ini mencakup:

• (Opsional) Contoh subnet untuk pengembangan, non-produksi, dan produksi, termasuk rentang sekunder.
• Kebijakan firewall hierarkis dibuat untuk mengizinkan akses jarak jauh ke VM.
• Kebijakan firewall hierarkis dibuat untuk mengizinkan health check load balancing.
• Kebijakan firewall hierarkis dibuat untuk mengizinkan aktivasi KMS Windows.
• VM / disk terenkripsi
• Kebijakan Cloud DNS default diterapkan, dengan logging DNS dan penerusan kueri masuk diaktifkan.

Project

Setiap lingkungan dapat memiliki sejumlah project layanan yang terhubung ke jaringan VPC Bersama yang dijelaskan di bagian sebelumnya. Jika Anda men-deploynya tanpa diubah, Terraform yang kami sediakan akan membuat serangkaian project berikut. Project dikelompokkan dalam folder di setiap lingkungan, dengan setiap folder dikaitkan dengan unit bisnis tertentu. Untuk setiap unit bisnis, project infra-pipeline bersama dibuat dengan pemicu Cloud Build, Permintaan Penandatanganan Sertifikat (CSR) untuk kode infrastruktur aplikasi, dan bucket Cloud Storage untuk penyimpanan status.

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

Logging dan pemantauan

Langkah terakhir dalam konfigurasi yang kami sarankan adalah mengonfigurasi bucket log dan sink log Pub/Sub di project logging umum organisasi. API yang diperlukan diaktifkan sesuai kebutuhan. Sink gabungan yang tidak menyadap dikonfigurasi di tingkat organisasi untuk merutekan entri log ke project umum yang berisi bucket log. Anda dapat mempelajari lebih lanjut cara kerjanya di Penyimpanan log terpusat.

Anda dan anggota organisasi Anda dapat melihat log di Logs Explorer dari konsol Cloud de Confiance atau dengan menghubungkan langganan ke topik Pub/Sub dalam mode pull. Cloud Logging hanya menyimpan log selama tiga puluh hari. Cloud de Confiance

Menggunakan Terraform untuk mengonfigurasi organisasi Anda

Pendekatan yang kami rekomendasikan untuk mengonfigurasi organisasi Anda adalah dengan menggunakan Terraform, terutama jika Anda belum pernah menyiapkan organisasi di Google Cloud. Terraform yang disediakan secara otomatis menyiapkan folder, project, pemantauan dan logging terpusat, jaringan, dan lainnya secara default, seperti yang dijelaskan dalam Konfigurasi yang disarankan. Anda dapat menyesuaikan konfigurasi ini sesuai kebutuhan Anda sebelum atau setelah deployment.

Terraform diadaptasi dari konfigurasi Cloud Foundation Google Cloud. Anda dapat mengetahui lebih banyak tentang modul dasar Cloud di repositorinya, tetapi perlu diketahui bahwa tidak semua informasi relevan dengan penyiapan khususCloud de Confianceini.

Sebelum memulai, pastikan Anda telah menginstal alat Terraform. Karena Cloud Shell tidak didukung di Cloud de Confiance, ikuti petunjuk untuk menginstal Terraform secara lokal.

Download file Terraform.

Untuk mendownload aset Terraform terbaru, hubungi tim dukungan atau tim akun Anda. Download Terraform publik dari GitHub akan segera hadir.

Sebelum men-deploy konfigurasi, tinjau (dan jika perlu, edit) apa yang di-deploy untuk organisasi Anda, seperti yang dijelaskan dalam Konfigurasi yang disarankan. Selain konfigurasi, Terraform yang disediakan juga mencakup modul bootstrap yang men-deploy hal berikut:

• Project s3ns:prj-b-seed yang berisi hal berikut:
  • Bucket status Terraform
  • Akun layanan kustom yang digunakan oleh Terraform untuk membuat resource baru di Cloud de Confiance

Terapkan Terraform

Untuk menerapkan Terraform, lakukan hal berikut:

1. Buka direktori yang berisi file konfigurasi Terraform.

2. Buka dan edit file terraform.tfvars yang disediakan untuk menentukan nilai yang Anda pilih untuk parameter berikut:

   org_id = ORG_ID
   billing_account = BILLING_ACCOUNT
   billing_project = moonrise-replace7946e8e3cfb64a318fca318d2c37981emoonrise-replace:BILLING_PROJECT
   prefix = FOLDER_PREFIX
   

   Ganti kode berikut:

   • ORG_ID: ID unik organisasi Anda
   • BILLING_ACCOUNT: Akun penagihan Anda
   • BILLING_PROJECT: Project penagihan organisasi Anda (terkadang dikenal sebagai project kuota)
   • FOLDER_PREFIX (opsional): Awalan yang ingin Anda terapkan ke semua nama folder dan project yang unik

3. Terapkan konfigurasi.

   terraform init
   terraform apply
   

Memecahkan masalah deployment Terraform dengan resource yang ada

Jika konfigurasi Terraform yang didownload mencoba membuat resource yang sudah ada, Terraform akan keluar dengan kode error 409. Untuk mengatasi error ini, Anda dapat menghapus resource menggunakan konsol Cloud de Confiance atau gcloud CLI, lalu menerapkan kembali konfigurasi Terraform. Atau, jika resource ini sangat penting dan tidak dapat dihapus, Anda dapat mengimpor resource ke status Terraform Anda.

Memverifikasi penyiapan Anda

Untuk memverifikasi penyiapan, sebaiknya periksa terlebih dahulu menggunakan Google Cloud CLI atau konsol Cloud de Confiance bahwa struktur folder dan project Anda telah disiapkan dengan benar.

Kemudian, Anda dapat mencoba men-deploy satu atau beberapa workload aplikasi di salah satu project layanan, baik menggunakan workload pilihan Anda maupun dengan mengikuti beberapa tutorial panduan memulai kami. Ini adalah tutorial singkat yang membantu Anda dengan cepat menyiapkan dan menjalankan contoh sederhana di Cloud de Confiance. Cari tahu lebih lanjut di Langkah selanjutnya.

Langkah berikutnya

• Jelajahi organisasi Anda dan verifikasi penyiapan Anda dengan mencoba tutorial panduan memulai. Berikut beberapa saran untuk membantu Anda memulai:

  • Membuat instance VM Linux di Compute Engine
  • Membuat cluster GKE dan men-deploy workload
  • Mengkueri set data publik di BigQuery (meskipun perhatikan bahwa Anda harus mengupload set data terlebih dahulu untuk mengikuti tutorial ini)

• Perluas dan sesuaikan penyiapan awal Anda, termasuk:

  • Buat lebih banyak project dan lampirkan ke jaringan Anda.
  • Konfigurasi lebih lanjut logging dan pemantauan, termasuk jika lebih suka mengonfigurasi Cloud Monitoring untuk mengirim metrik untuk visualisasi ke Grafana.

• Memberikan izin kepada pengguna dan grup dengan IAM.