Siapkan organisasi Anda

Saat pertama kali melakukan aktivasi ke Trusted Cloud, Anda akan diberi organisasi kosong yang baru. Untuk menggunakan organisasi ini, Anda perlu mengonfigurasinya dengan project, jaringan, dan resource lainnya. Trusted Cloud menyediakan beberapa opsi untuk mengonfigurasi organisasi, termasuk modul Terraform yang membantu Anda menyiapkan resource yang diperlukan Anda dan pengguna dengan cepat untuk memulai.

Halaman ini ditujukan bagi administrator yang perlu mengonfigurasi organisasi baru di Trusted Cloud.

Sebelum membaca panduan ini, Anda harus:

• Pahami konsep dasar Trusted Cloud yang dijelaskan dalam ringkasan Trusted Cloud.

• Pahami Trusted Cloud hierarki resource, termasuk organisasi, folder, dan project.

• Pahami cara kerja Virtual Private Cloud (VPC) di Trusted Cloud.

• Pahami produk dan layanan Trusted Cloud berikut serta kegunaannya:

  • Cloud Key Management Service
  • Cloud Logging

• Jika Anda berencana menggunakan Terraform untuk mengonfigurasi organisasi, pahami cara kerja Terraform.

• Jika Anda sudah terbiasa dengan penyiapan serupa untuk Google Cloud, sebaiknya tinjau perbedaan utama antara Trusted Cloud dan Google Cloud.

Sebelum memulai

Pastikan hal berikut untuk semua opsi penyiapan:

• Ada penyedia identitas (IdP) yang dikonfigurasi untuk organisasi Anda dan Anda dapat login dengan ID administrator Anda.
• Anda telah menyiapkan Google Cloud CLI untuk digunakan dengan Trusted Cloud. Meskipun Anda berencana menyiapkan menggunakan Terraform, Google Cloud CLI berguna untuk memverifikasi penyiapan dari command line, serta tugas administratif tambahan.

Sebaiknya tinjau juga Trusted Cloud by S3NS Alur terpandu penyiapan sebelum melakukan konfigurasi perusahaan lengkap. Meskipun tidak semua bagian relevan dengan Trusted Cloud (misalnya, Anda tidak dapat membuat organisasi sendiri), bagian ini memberikan informasi latar belakang, panduan, dan praktik terbaik yang berguna untuk menyiapkan infrastruktur Anda. Praktik terbaik yang sama tercermin dalam modul Terraform yang kami berikan. Perhatikan saat mengikuti alur terpandu bahwa konfigurasi perusahaan dari Trusted Cloud console tidak tersedia di Trusted Cloud.

Opsi konfigurasi

Ada tiga opsi yang dapat digunakan untuk menyiapkan organisasi perusahaan di Trusted Cloud:

• (Direkomendasikan) Gunakan modul Terraform yang kami sediakan untuk menyiapkan organisasi Anda. Ini adalah versi adaptasi dari konfigurasi Cloud foundation Google Cloud, yang mengikuti praktik terbaik untuk menyiapkan organisasi siap perusahaan.
• (Khusus pengguna tingkat lanjut) Jika sudah memiliki modul "landing zone" Terraform yang telah digunakan di Google Cloud, Anda dapat menyesuaikan dan menggunakannya kembali untuk mengonfigurasi organisasi di Trusted Cloud. Jika memilih opsi ini, Anda harus meninjau dengan cermat perbedaan antara kedua alam semesta, baik di tingkat tinggi maupun untuk layanan apa pun yang ingin Anda gunakan.
• Anda dapat membuat project, jaringan, kebijakan, dan resource lainnya secara manual menggunakan Google Cloud CLI atau konsol Trusted Cloud , dengan mengikuti petunjuk dalam dokumentasi yang relevan. Anda dapat menggunakan pendekatan ini untuk konfigurasi minimal seperti yang dijelaskan di bagian berikutnya atau penyiapan perusahaan lengkap, menggunakan konfigurasi yang kami sarankan atau versi pilihan Anda sendiri.

Konfigurasi minimal

Jika hanya ingin mencoba organisasi baru sebelum menyiapkannya sepenuhnya, Anda dapat menambahkan satu project dan jaringan Virtual Private Cloud (VPC). Deployment dasar ini cukup untuk menjelajahi layanan yang tersedia dan menjalankan tutorial memulai cepat kami:

1. Buat project di organisasi Anda.

2. Buat dan konfigurasikan jaringan VPC bernama default di project Anda dengan perintah berikut:

   gcloud compute networks create default
   gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
   gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
   gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
   gcloud compute firewall-rules create default-allow-icmp --allow=icmp
   

Tidak ada jaringan default

Jika sudah terbiasa dengan Google Cloud, Anda mungkin tidak perlu membuat jaringan: di Google Cloud, jaringan VPC default (dengan aturan firewall IPV4 yang telah diisi otomatis) dibuat secara otomatis untuk setiap project. Namun, project Trusted Cloudtidak memiliki jaringan default, jadi Anda harus membuatnya sendiri untuk Anda dan anggota tim Anda agar dapat memulai.

Konfigurasi yang disarankan

Berikut adalah konfigurasi yang di-deploy dengan Terraform yang kami sediakan, yang merupakan versi adaptasi dari konfigurasi Cloud foundation Google Cloud. Anda juga dapat menggunakan bagian ini sebagai panduan jika memilih untuk membuat resource dan kebijakan sendiri secara manual dengan konsol Trusted Cloud atau Google Cloud CLI.

Meskipun konfigurasi ini mewakili banyak praktik terbaik yang kami temukan cocok untuk sebagian besar organisasi, konfigurasi ini mungkin tidak memenuhi semua persyaratan organisasi atau teknis Anda. Tinjau bagian ini (dan Terraform itu sendiri jika digunakan) dengan cermat, dan sesuaikan konfigurasi jika diperlukan.

Bagian berikut menjelaskan berbagai resource dalam konfigurasi yang kami sarankan.

Organisasi

Di tingkat teratas organisasi Anda, konfigurasi yang kami sarankan memiliki dua folder. Folder pertama berisi project yang berisi resource umum seperti resource Cloud KMS dan Logging yang dibagikan oleh organisasi Anda. Folder lainnya digunakan untuk menyimpan project terkait jaringan seperti hub Cloud DNS untuk organisasi Anda, dan project host VPC Bersama jaringan dasar dan terbatas untuk setiap lingkungan (pengembangan, non-produksi, dan produksi).

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

Lingkungan

Konfigurasi yang kami sarankan memiliki folder untuk setiap lingkungan: produksi, non-produksi, dan staging. Setiap folder berisi project yang dapat digunakan oleh Cloud KMS untuk resource pengelolaan kunci yang terkait secara khusus dengan lingkungan ini.

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

Topologi jaringan

Konfigurasi ini memiliki jaringan VPC Bersama per lingkungan (pengembangan, nonproduksi, dan produksi) dalam konfigurasi standar dengan dasar pengukuran keamanan yang wajar. Konfigurasi ini mencakup:

• (Opsional) Contoh subnet untuk pengembangan, non-produksi, dan produksi termasuk rentang sekunder.
• Kebijakan firewall hierarkis yang dibuat untuk mengizinkan akses jarak jauh ke VM.
• Kebijakan firewall hierarkis yang dibuat untuk mengizinkan health check load balancing.
• Kebijakan firewall hierarkis yang dibuat untuk mengizinkan aktivasi KMS Windows.
• VM / disk terenkripsi
• Kebijakan Cloud DNS default diterapkan, dengan logging DNS dan penerusan kueri masuk diaktifkan.

Project

Setiap lingkungan dapat memiliki sejumlah project layanan yang terhubung ke jaringan VPC Bersama yang dijelaskan di bagian sebelumnya. Jika Anda men-deploynya tanpa diubah, Terraform yang kami berikan akan membuat kumpulan project berikut. Project dikelompokkan dalam folder di setiap lingkungan, dengan setiap folder dikaitkan dengan unit bisnis tertentu. Untuk setiap unit bisnis, project infra-pipeline bersama dibuat dengan pemicu Cloud Build, Permintaan Penandatanganan Sertifikat (CSR) untuk kode infrastruktur aplikasi, dan bucket Cloud Storage untuk penyimpanan status.

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

Logging dan pemantauan

Langkah terakhir dalam konfigurasi yang kami sarankan akan mengonfigurasi bucket log dan sink log Pub/Sub di project logging umum organisasi. API yang diperlukan diaktifkan sesuai kebutuhan. Sink gabungan yang tidak menyadap dikonfigurasi di level organisasi untuk merutekan entri log ke project umum yang berisi bucket log. Anda dapat mempelajari lebih lanjut cara kerjanya di Penyimpanan log terpusat.

Anda dan anggota organisasi dapat melihat log di Logs Explorer dari konsol Trusted Cloud atau dengan menghubungkan langganan ke topik Pub/Sub dalam mode pull. Cloud Logging di Trusted Cloud hanya menyimpan log selama tiga puluh hari.

Menggunakan Terraform untuk mengonfigurasi organisasi

Pendekatan yang kami rekomendasikan untuk mengonfigurasi organisasi Anda adalah menggunakan Terraform, terutama jika Anda belum pernah menyiapkan organisasi di Google Cloud. Terraform yang disediakan akan otomatis menyiapkan folder default, project, logging dan pemantauan terpusat, jaringan, dan lainnya, seperti yang dijelaskan dalam Konfigurasi yang disarankan. Anda dapat menyesuaikan konfigurasi ini sesuai kebutuhan Anda sendiri sebelum atau setelah deployment.

Terraform diadaptasi dari konfigurasi Cloud foundation Google Cloud. Anda dapat mengetahui lebih lanjut modul fondasi Cloud di repositorinya, meskipun perlu diketahui bahwa tidak semua informasi relevan dengan penyiapan khususTrusted Cloudini.

Sebelum memulai, pastikan Anda telah menginstal alat Terraform. Karena Cloud Shell tidak didukung di Trusted Cloud, ikuti petunjuk untuk menginstal Terraform secara lokal.

Download file Terraform.

Untuk mendownload aset Terraform terbaru, hubungi tim dukungan atau akun Anda. Download Terraform publik dari GitHub akan segera hadir.

Sebelum men-deploy konfigurasi, tinjau (dan jika diperlukan, edit) apa yang di-deploy untuk organisasi Anda, seperti yang dijelaskan dalam Konfigurasi yang disarankan. Selain konfigurasi, Terraform yang disediakan juga menyertakan modul bootstrap yang men-deploy hal berikut:

• Project s3ns:prj-b-seed yang berisi hal berikut:
  • Bucket status Terraform
  • Akun layanan kustom yang digunakan oleh Terraform untuk membuat resource baru di Trusted Cloud

Menerapkan Terraform

Untuk menerapkan Terraform, lakukan hal berikut:

1. Buka direktori yang berisi file konfigurasi Terraform.

2. Buka dan edit file terraform.tfvars yang disediakan untuk menentukan nilai yang Anda pilih untuk parameter berikut:

   org_id = ORG_ID
   billing_account = BILLING_ACCOUNT
   billing_project = moonrise-replace5ee46da7eba742199d747bf5477bed08moonrise-replace:BILLING_PROJECT
   prefix = FOLDER_PREFIX
   

   Ganti kode berikut:

   • ORG_ID: ID unik organisasi Anda
   • BILLING_ACCOUNT: Akun penagihan Anda
   • BILLING_PROJECT: Project penagihan organisasi Anda (terkadang dikenal sebagai project kuota)
   • FOLDER_PREFIX (opsional): Awalan yang ingin Anda terapkan ke semua nama folder dan project yang unik

3. Terapkan konfigurasi.

   terraform init
   terraform apply
   

Memecahkan masalah deployment Terraform dengan resource yang ada

Jika konfigurasi Terraform yang didownload mencoba membuat resource yang sudah ada, Terraform akan keluar dengan kode error 409. Untuk mengatasi error ini, Anda dapat menghapus resource menggunakan konsol Trusted Cloud atau gcloud CLI, lalu menerapkan kembali konfigurasi Terraform. Atau, jika resource ini sangat penting dan tidak dapat dihapus, Anda dapat mengimpor resource ke status Terraform Anda.

Verifikasi penyiapan Anda

Untuk memverifikasi penyiapan, sebaiknya periksa terlebih dahulu menggunakan Google Cloud CLI atau konsol Trusted Cloud untuk memastikan folder dan struktur project Anda telah disiapkan dengan benar.

Kemudian, Anda dapat mencoba men-deploy satu atau beberapa beban kerja aplikasi di salah satu project layanan, baik menggunakan beban kerja pilihan Anda atau dengan mengikuti beberapa tutorial panduan memulai kami. Berikut adalah tutorial singkat yang membantu Anda menyiapkan dan menjalankan contoh sederhana di Trusted Clouddengan cepat. Cari tahu selengkapnya di Langkah berikutnya.

Langkah berikutnya

• Jelajahi organisasi Anda dan verifikasi penyiapan Anda dengan mencoba tutorial mulai cepat. Berikut beberapa saran untuk membantu Anda memulai:

  • Membuat instance VM Linux di Compute Engine
  • Membuat cluster GKE dan men-deploy workload
  • Mengkueri set data publik di BigQuery (meskipun perlu diperhatikan bahwa Anda harus mengupload set data terlebih dahulu untuk mengikuti tutorial ini)

• Memperluas dan menyesuaikan penyiapan awal Anda, termasuk:

  • Buat lebih banyak project dan lampirkan ke jaringan Anda.
  • Konfigurasikan lebih lanjut logging dan pemantauan, termasuk jika lebih memilih mengonfigurasi Cloud Monitoring untuk mengirim metrik untuk visualisasi ke Grafana.

• Memberikan izin kepada pengguna dan grup dengan IAM.