Saat pertama kali melakukan aktivasi ke Trusted Cloud, Anda akan diberi organisasi kosong yang baru. Untuk menggunakan organisasi ini, Anda perlu mengonfigurasinya dengan project, jaringan, dan resource lainnya. Trusted Cloud menyediakan beberapa opsi untuk mengonfigurasi organisasi, termasuk modul Terraform yang membantu Anda menyiapkan resource yang diperlukan Anda dan pengguna dengan cepat untuk memulai.
Halaman ini ditujukan bagi administrator yang perlu mengonfigurasi organisasi baru di Trusted Cloud.
Sebelum membaca panduan ini, Anda harus:
Pahami konsep dasar Trusted Cloud yang dijelaskan dalam ringkasan Trusted Cloud.
Pahami Trusted Cloud hierarki resource, termasuk organisasi, folder, dan project.
Pahami cara kerja Virtual Private Cloud (VPC) di Trusted Cloud.
Pahami produk dan layanan Trusted Cloud berikut serta kegunaannya:
Jika Anda berencana menggunakan Terraform untuk mengonfigurasi organisasi, pahami cara kerja Terraform.
Jika Anda sudah terbiasa dengan penyiapan serupa untuk Google Cloud, sebaiknya tinjau perbedaan utama antara Trusted Cloud dan Google Cloud.
Sebelum memulai
Pastikan hal berikut untuk semua opsi penyiapan:
- Ada penyedia identitas (IdP) yang dikonfigurasi untuk organisasi Anda dan Anda dapat login dengan ID administrator Anda.
- Anda telah menyiapkan Google Cloud CLI untuk digunakan dengan Trusted Cloud. Meskipun Anda berencana menyiapkan menggunakan Terraform, Google Cloud CLI berguna untuk memverifikasi penyiapan dari command line, serta tugas administratif tambahan.
Sebaiknya tinjau juga Trusted Cloud by S3NS Alur terpandu penyiapan sebelum melakukan konfigurasi perusahaan lengkap. Meskipun tidak semua bagian relevan dengan Trusted Cloud (misalnya, Anda tidak dapat membuat organisasi sendiri), bagian ini memberikan informasi latar belakang, panduan, dan praktik terbaik yang berguna untuk menyiapkan infrastruktur Anda. Praktik terbaik yang sama tercermin dalam modul Terraform yang kami berikan. Perhatikan saat mengikuti alur terpandu bahwa konfigurasi perusahaan dari Trusted Cloud console tidak tersedia di Trusted Cloud.
Opsi konfigurasi
Ada tiga opsi yang dapat digunakan untuk menyiapkan organisasi perusahaan di Trusted Cloud:
- (Direkomendasikan) Gunakan modul Terraform yang kami sediakan untuk menyiapkan organisasi Anda. Ini adalah versi adaptasi dari konfigurasi Cloud foundation Google Cloud, yang mengikuti praktik terbaik untuk menyiapkan organisasi siap perusahaan.
- (Khusus pengguna tingkat lanjut) Jika sudah memiliki modul "landing zone" Terraform yang telah digunakan di Google Cloud, Anda dapat menyesuaikan dan menggunakannya kembali untuk mengonfigurasi organisasi di Trusted Cloud. Jika memilih opsi ini, Anda harus meninjau dengan cermat perbedaan antara kedua alam semesta, baik di tingkat tinggi maupun untuk layanan apa pun yang ingin Anda gunakan.
- Anda dapat membuat project, jaringan, kebijakan, dan resource lainnya secara manual menggunakan Google Cloud CLI atau konsol Trusted Cloud , dengan mengikuti petunjuk dalam dokumentasi yang relevan. Anda dapat menggunakan pendekatan ini untuk konfigurasi minimal seperti yang dijelaskan di bagian berikutnya atau penyiapan perusahaan lengkap, menggunakan konfigurasi yang kami sarankan atau versi pilihan Anda sendiri.
Konfigurasi minimal
Jika hanya ingin mencoba organisasi baru sebelum menyiapkannya sepenuhnya, Anda dapat menambahkan satu project dan jaringan Virtual Private Cloud (VPC). Deployment dasar ini cukup untuk menjelajahi layanan yang tersedia dan menjalankan tutorial memulai cepat kami:
- Buat project di organisasi Anda.
Buat dan konfigurasikan jaringan VPC bernama
default
di project Anda dengan perintah berikut:gcloud compute networks create default gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9 gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22 gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389 gcloud compute firewall-rules create default-allow-icmp --allow=icmp
Tidak ada jaringan default
Jika sudah terbiasa dengan Google Cloud, Anda mungkin tidak perlu membuat jaringan: di Google Cloud, jaringan VPC default (dengan aturan firewall IPV4 yang telah diisi otomatis) dibuat secara otomatis untuk setiap project. Namun, project Trusted Cloudtidak memiliki jaringan default, jadi Anda harus membuatnya sendiri untuk Anda dan anggota tim Anda agar dapat memulai.
Konfigurasi yang disarankan
Berikut adalah konfigurasi yang di-deploy dengan Terraform yang kami sediakan, yang merupakan versi adaptasi dari konfigurasi Cloud foundation Google Cloud. Anda juga dapat menggunakan bagian ini sebagai panduan jika memilih untuk membuat resource dan kebijakan sendiri secara manual dengan konsol Trusted Cloud atau Google Cloud CLI.
Meskipun konfigurasi ini mewakili banyak praktik terbaik yang kami temukan cocok untuk sebagian besar organisasi, konfigurasi ini mungkin tidak memenuhi semua persyaratan organisasi atau teknis Anda. Tinjau bagian ini (dan Terraform itu sendiri jika digunakan) dengan cermat, dan sesuaikan konfigurasi jika diperlukan.
Bagian berikut menjelaskan berbagai resource dalam konfigurasi yang kami sarankan.
Organisasi
Di tingkat teratas organisasi Anda, konfigurasi yang kami sarankan memiliki dua folder. Folder pertama berisi project yang berisi resource umum seperti resource Cloud KMS dan Logging yang dibagikan oleh organisasi Anda. Folder lainnya digunakan untuk menyimpan project terkait jaringan seperti hub Cloud DNS untuk organisasi Anda, dan project host VPC Bersama jaringan dasar dan terbatas untuk setiap lingkungan (pengembangan, non-produksi, dan produksi).
example-organization
└── fldr-common
├── s3ns:prj-c-kms
├── s3ns:prj-c-logging
└── fldr-network
├── s3ns:prj-net-dns
├── s3ns:prj-d-shared-base
├── s3ns:prj-d-shared-restricted
├── s3ns:prj-n-shared-base
├── s3ns:prj-n-shared-restricted
├── s3ns:prj-p-shared-base
└── s3ns:prj-p-shared-restricted
Lingkungan
Konfigurasi yang kami sarankan memiliki folder untuk setiap lingkungan: produksi, non-produksi, dan staging. Setiap folder berisi project yang dapat digunakan oleh Cloud KMS untuk resource pengelolaan kunci yang terkait secara khusus dengan lingkungan ini.
example-organization
└── fldr-development
├── s3ns:prj-d-kms
└── fldr-nonproduction
├── s3ns:prj-n-kms
└── fldr-production
├── s3ns:prj-p-kms
Topologi jaringan
Konfigurasi ini memiliki jaringan VPC Bersama per lingkungan (pengembangan, nonproduksi, dan produksi) dalam konfigurasi standar dengan dasar pengukuran keamanan yang wajar. Konfigurasi ini mencakup:
- (Opsional) Contoh subnet untuk pengembangan, non-produksi, dan produksi termasuk rentang sekunder.
- Kebijakan firewall hierarkis yang dibuat untuk mengizinkan akses jarak jauh ke VM.
- Kebijakan firewall hierarkis yang dibuat untuk mengizinkan health check load balancing.
- Kebijakan firewall hierarkis yang dibuat untuk mengizinkan aktivasi KMS Windows.
- VM / disk terenkripsi
- Kebijakan Cloud DNS default diterapkan, dengan logging DNS dan penerusan kueri masuk diaktifkan.
Project
Setiap lingkungan dapat memiliki sejumlah project layanan yang terhubung ke jaringan VPC Bersama yang dijelaskan di bagian sebelumnya. Jika Anda men-deploynya tanpa diubah, Terraform yang kami berikan akan membuat kumpulan project berikut. Project dikelompokkan dalam folder
di setiap lingkungan, dengan setiap folder dikaitkan dengan unit
bisnis tertentu. Untuk setiap unit bisnis, project infra-pipeline
bersama dibuat dengan pemicu Cloud Build, Permintaan Penandatanganan Sertifikat (CSR) untuk kode infrastruktur aplikasi, dan bucket Cloud Storage untuk penyimpanan status.
example-organization/
└── fldr-development
└── fldr-development-bu1
├── s3ns:prj-d-bu1-sample-floating
├── s3ns:prj-d-bu1-sample-base
├── s3ns:prj-d-bu1-sample-restrict
├── s3ns:prj-d-bu1-sample-peering
└── fldr-development-bu2
├── s3ns:prj-d-bu2-sample-floating
├── s3ns:prj-d-bu2-sample-base
├── s3ns:prj-d-bu2-sample-restrict
└── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
└── fldr-nonproduction-bu1
├── s3ns:prj-n-bu1-sample-floating
├── s3ns:prj-n-bu1-sample-base
├── s3ns:prj-n-bu1-sample-restrict
├── s3ns:prj-n-bu1-sample-peering
└── fldr-nonproduction-bu2
├── s3ns:prj-n-bu2-sample-floating
├── s3ns:prj-n-bu2-sample-base
├── s3ns:prj-n-bu2-sample-restrict
└── s3ns:prj-n-bu2-sample-peering
└── fldr-production
└── fldr-production-bu1
├── s3ns:prj-p-bu1-sample-floating
├── s3ns:prj-p-bu1-sample-base
├── s3ns:prj-p-bu1-sample-restrict
├── s3ns:prj-p-bu1-sample-peering
└── fldr-production-bu2
├── s3ns:prj-p-bu2-sample-floating
├── s3ns:prj-p-bu2-sample-base
├── s3ns:prj-p-bu2-sample-restrict
└── s3ns:prj-p-bu2-sample-peering
└── fldr-common
├── s3ns:prj-c-bu1-infra-pipeline
└── s3ns:prj-c-bu2-infra-pipeline
Logging dan pemantauan
Langkah terakhir dalam konfigurasi yang kami sarankan akan mengonfigurasi bucket log dan sink log Pub/Sub di project logging umum organisasi. API yang diperlukan diaktifkan sesuai kebutuhan. Sink gabungan yang tidak menyadap dikonfigurasi di level organisasi untuk merutekan entri log ke project umum yang berisi bucket log. Anda dapat mempelajari lebih lanjut cara kerjanya di Penyimpanan log terpusat.
Anda dan anggota organisasi dapat melihat log di Logs Explorer dari konsol Trusted Cloud atau dengan menghubungkan langganan ke topik Pub/Sub dalam mode pull. Cloud Logging di Trusted Cloud hanya menyimpan log selama tiga puluh hari.
Menggunakan Terraform untuk mengonfigurasi organisasi
Pendekatan yang kami rekomendasikan untuk mengonfigurasi organisasi Anda adalah menggunakan Terraform, terutama jika Anda belum pernah menyiapkan organisasi di Google Cloud. Terraform yang disediakan akan otomatis menyiapkan folder default, project, logging dan pemantauan terpusat, jaringan, dan lainnya, seperti yang dijelaskan dalam Konfigurasi yang disarankan. Anda dapat menyesuaikan konfigurasi ini sesuai kebutuhan Anda sendiri sebelum atau setelah deployment.
Terraform diadaptasi dari konfigurasi Cloud foundation Google Cloud. Anda dapat mengetahui lebih lanjut modul fondasi Cloud di repositorinya, meskipun perlu diketahui bahwa tidak semua informasi relevan dengan penyiapan khususTrusted Cloudini.
Sebelum memulai, pastikan Anda telah menginstal alat Terraform. Karena Cloud Shell tidak didukung di Trusted Cloud, ikuti petunjuk untuk menginstal Terraform secara lokal.
Download file Terraform.
Untuk mendownload aset Terraform terbaru, hubungi tim dukungan atau akun Anda. Download Terraform publik dari GitHub akan segera hadir.
Sebelum men-deploy konfigurasi, tinjau (dan jika diperlukan, edit) apa yang di-deploy untuk organisasi Anda, seperti yang dijelaskan dalam Konfigurasi yang disarankan. Selain konfigurasi, Terraform yang disediakan juga menyertakan modul bootstrap yang men-deploy hal berikut:
- Project
s3ns:prj-b-seed
yang berisi hal berikut:- Bucket status Terraform
- Akun layanan kustom yang digunakan oleh Terraform untuk membuat resource baru di Trusted Cloud
Menerapkan Terraform
Untuk menerapkan Terraform, lakukan hal berikut:
- Buka direktori yang berisi file konfigurasi Terraform.
Buka dan edit file
terraform.tfvars
yang disediakan untuk menentukan nilai yang Anda pilih untuk parameter berikut:org_id = ORG_ID billing_account = BILLING_ACCOUNT billing_project = moonrise-replace5ee46da7eba742199d747bf5477bed08moonrise-replace:BILLING_PROJECT prefix = FOLDER_PREFIX
Ganti kode berikut:
ORG_ID
: ID unik organisasi AndaBILLING_ACCOUNT
: Akun penagihan AndaBILLING_PROJECT
: Project penagihan organisasi Anda (terkadang dikenal sebagai project kuota)FOLDER_PREFIX
(opsional): Awalan yang ingin Anda terapkan ke semua nama folder dan project yang unik
Terapkan konfigurasi.
terraform init terraform apply
Memecahkan masalah deployment Terraform dengan resource yang ada
Jika konfigurasi Terraform yang didownload mencoba membuat resource yang
sudah ada, Terraform akan keluar dengan kode error
409
. Untuk mengatasi error ini, Anda
dapat menghapus resource menggunakan konsol Trusted Cloud
atau gcloud CLI, lalu menerapkan kembali konfigurasi Terraform.
Atau, jika resource ini sangat penting dan tidak dapat dihapus, Anda dapat
mengimpor resource
ke status Terraform Anda.
Verifikasi penyiapan Anda
Untuk memverifikasi penyiapan, sebaiknya periksa terlebih dahulu menggunakan Google Cloud CLI atau konsol Trusted Cloud untuk memastikan folder dan struktur project Anda telah disiapkan dengan benar.
Kemudian, Anda dapat mencoba men-deploy satu atau beberapa beban kerja aplikasi di salah satu project layanan, baik menggunakan beban kerja pilihan Anda atau dengan mengikuti beberapa tutorial panduan memulai kami. Berikut adalah tutorial singkat yang membantu Anda menyiapkan dan menjalankan contoh sederhana di Trusted Clouddengan cepat. Cari tahu selengkapnya di Langkah berikutnya.
Langkah berikutnya
Jelajahi organisasi Anda dan verifikasi penyiapan Anda dengan mencoba tutorial mulai cepat. Berikut beberapa saran untuk membantu Anda memulai:
- Membuat instance VM Linux di Compute Engine
- Membuat cluster GKE dan men-deploy workload
- Mengkueri set data publik di BigQuery (meskipun perlu diperhatikan bahwa Anda harus mengupload set data terlebih dahulu untuk mengikuti tutorial ini)
Memperluas dan menyesuaikan penyiapan awal Anda, termasuk:
- Buat lebih banyak project dan lampirkan ke jaringan Anda.
- Konfigurasikan lebih lanjut logging dan pemantauan, termasuk jika lebih memilih mengonfigurasi Cloud Monitoring untuk mengirim metrik untuk visualisasi ke Grafana.
Memberikan izin kepada pengguna dan grup dengan IAM.