Quando esegui l'onboarding a Cloud de Confiance, ti viene fornita una nuova organizzazione vuota. Per utilizzare questa organizzazione, devi configurarla con progetti, una rete e altre risorse. Cloud de Confiance offre diverse opzioni per configurare l'organizzazione, inclusi moduli Terraform che ti aiutano a configurare rapidamente le risorse necessarie a te e ai tuoi utenti per iniziare.
Questa pagina è rivolta agli amministratori che devono configurare una nuova organizzazione in Cloud de Confiance.
Prima di leggere questa guida, devi:
Comprendi i concetti Cloud de Confiance di base descritti nella Cloud de Confiance panoramica.
Comprendi la Cloud de Confiance gerarchia delle risorse, incluse organizzazioni, cartelle e progetti.
Scopri come funziona Virtual Private Cloud (VPC) in Cloud de Confiance.
Acquisisci familiarità con i seguenti Cloud de Confiance prodotti e servizi e con il loro utilizzo:
Se prevedi di utilizzare Terraform per configurare la tua organizzazione, acquisisci familiarità con il funzionamento di Terraform.
Se hai già dimestichezza con una configurazione simile per Google Cloud, ti consigliamo di esaminare le principali differenze tra Cloud de Confiance e Google Cloud.
Prima di iniziare
Assicurati che per tutte le opzioni di configurazione:
- È configurato un provider di identità (IdP) per la tua organizzazione e puoi accedere con il tuo ID amministratore.
- Hai configurato Google Cloud CLI per l'utilizzo con Cloud de Confiance. Anche se prevedi di eseguire la configurazione utilizzando Terraform, Google Cloud CLI è utile per verificare la configurazione dalla riga di comando, nonché per ulteriori attività amministrative.
Opzioni di configurazione
Esistono tre opzioni possibili per configurare un'organizzazione aziendale su Cloud de Confiance:
- (Consigliato) Utilizza i moduli Terraform forniti per configurare la tua organizzazione. Si tratta di una versione adattata della configurazione di Cloud Foundation di Google Cloud, che segue le best practice per la configurazione di un'organizzazione pronta per l'impresa.
- (Solo utenti avanzati) Se hai moduli "landing zone" Terraform esistenti che hai utilizzato in Google Cloud, puoi adattarli e riutilizzarli per configurare la tua organizzazione in Cloud de Confiance. Se scegli questa opzione, devi esaminare attentamente le differenze tra i due universi, sia a livello generale sia per i servizi che vuoi utilizzare.
- Puoi creare manualmente progetti, reti, policy e altre risorse utilizzando Google Cloud CLI o la console Cloud de Confiance , seguendo le istruzioni nella documentazione pertinente. Puoi utilizzare questo approccio per una configurazione minima, come descritto nella sezione successiva, o per una configurazione aziendale completa, utilizzando la configurazione suggerita o la versione che preferisci.
Configurazione minima
Se vuoi solo provare la tua nuova organizzazione prima di configurarla completamente, puoi aggiungere un singolo progetto e una rete Virtual Private Cloud (VPC). Questo deployment di base è sufficiente per esplorare i servizi disponibili ed eseguire i nostri tutorial di guida rapida:
- Crea un progetto nella tua organizzazione.
Crea e configura una rete VPC denominata
defaultnel tuo progetto con i seguenti comandi:gcloud compute networks create default gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9 gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22 gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389 gcloud compute firewall-rules create default-allow-icmp --allow=icmp
Nessuna rete predefinita
Se hai familiarità con Google Cloud, potresti non aspettarti di dover creare una rete: in Google Cloud, una rete VPC predefinita (con regole firewall IPv4 precompilate) viene creata automaticamente per ogni progetto. Un progetto, invece, non ha una rete predefinita, quindi devi crearne una tu per iniziare a lavorare con i membri del tuo team. Cloud de Confiance
Configurazione consigliata
Di seguito è riportata la configurazione di cui viene eseguito il deployment con Terraform fornito, che è una versione adattata della configurazione di Cloud Foundations di Google Cloud. Puoi scoprire di più su Cloud Foundations e sulle best practice che lo sottendono nel suo repository GitHub e nella documentazione di Google Cloud. Tieni presente che la configurazione guidata con Cloud Foundations dalla console Cloud de Confiance non è disponibile in Cloud de Confiance.
Puoi anche utilizzare questa sezione come linea guida se scegli di creare manualmente le tue risorse e le tue policy con la console Cloud de Confiance o Google Cloud CLI.
Sebbene questa configurazione rappresenti molte best practice che abbiamo riscontrato funzionare per la maggior parte delle organizzazioni, potrebbe non soddisfare tutti i tuoi requisiti organizzativi o tecnici. Esamina attentamente questa sezione (e Terraform stesso, se lo utilizzi) e personalizza la configurazione, se necessario.
Le sezioni seguenti descrivono le varie risorse nella configurazione suggerita.
Organizzazione
Al livello più alto della tua organizzazione, la nostra configurazione suggerita ha due cartelle. La prima cartella contiene progetti che contengono risorse comuni come Cloud KMS e risorse Logging condivise dalla tua organizzazione. L'altra cartella viene utilizzata per archiviare i progetti correlati alla rete, come l'hub Cloud DNS per la tua organizzazione e i progetti host VPC condiviso di rete di base e con limitazioni per ogni ambiente (sviluppo, non di produzione e produzione).
example-organization
└── fldr-common
├── s3ns:prj-c-kms
├── s3ns:prj-c-logging
└── fldr-network
├── s3ns:prj-net-dns
├── s3ns:prj-d-shared-base
├── s3ns:prj-d-shared-restricted
├── s3ns:prj-n-shared-base
├── s3ns:prj-n-shared-restricted
├── s3ns:prj-p-shared-base
└── s3ns:prj-p-shared-restricted
Ambienti
La configurazione che suggeriamo prevede una cartella per ogni ambiente: produzione, non di produzione e gestione temporanea. Ogni cartella contiene un progetto che può essere utilizzato da Cloud KMS per le risorse di gestione delle chiavi associate specificamente a questo ambiente.
example-organization
└── fldr-development
├── s3ns:prj-d-kms
└── fldr-nonproduction
├── s3ns:prj-n-kms
└── fldr-production
├── s3ns:prj-p-kms
Topologia di rete
La configurazione prevede una rete VPC condiviso per ambiente (sviluppo, non di produzione e produzione) in una configurazione standard con una ragionevole baseline di sicurezza. Questa configurazione include:
- (Facoltativo) Subnet di esempio per sviluppo, non produzione e produzione inclusi gli intervalli secondari.
- Policy firewall gerarchica creata per consentire l'accesso remoto alle VM.
- Policy del firewall gerarchica creata per consentire i controlli di integrità del bilanciamento del carico.
- Policy firewall gerarchica creata per consentire l'attivazione di Windows KMS.
- VM / disco criptato
- Policy Cloud DNS predefinita applicata, con il logging DNS e l'inoltro delle query in entrata attivati.
Progetti
Ogni ambiente può avere un numero di progetti di servizio connessi alle reti VPC condiviso descritte nella sezione precedente. Se lo implementi senza modifiche, il nostro
Terraform crea il seguente insieme di progetti. I progetti sono raggruppati in cartelle
in ogni ambiente, dove ogni cartella è associata a una particolare unità
aziendale. Per ogni unità aziendale viene creato un progetto infra-pipeline condiviso con
trigger Cloud Build, richieste di firma del certificato (CSR) per il codice dell'infrastruttura dell'applicazione e
bucket Cloud Storage per l'archiviazione dello stato.
example-organization/
└── fldr-development
└── fldr-development-bu1
├── s3ns:prj-d-bu1-sample-floating
├── s3ns:prj-d-bu1-sample-base
├── s3ns:prj-d-bu1-sample-restrict
├── s3ns:prj-d-bu1-sample-peering
└── fldr-development-bu2
├── s3ns:prj-d-bu2-sample-floating
├── s3ns:prj-d-bu2-sample-base
├── s3ns:prj-d-bu2-sample-restrict
└── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
└── fldr-nonproduction-bu1
├── s3ns:prj-n-bu1-sample-floating
├── s3ns:prj-n-bu1-sample-base
├── s3ns:prj-n-bu1-sample-restrict
├── s3ns:prj-n-bu1-sample-peering
└── fldr-nonproduction-bu2
├── s3ns:prj-n-bu2-sample-floating
├── s3ns:prj-n-bu2-sample-base
├── s3ns:prj-n-bu2-sample-restrict
└── s3ns:prj-n-bu2-sample-peering
└── fldr-production
└── fldr-production-bu1
├── s3ns:prj-p-bu1-sample-floating
├── s3ns:prj-p-bu1-sample-base
├── s3ns:prj-p-bu1-sample-restrict
├── s3ns:prj-p-bu1-sample-peering
└── fldr-production-bu2
├── s3ns:prj-p-bu2-sample-floating
├── s3ns:prj-p-bu2-sample-base
├── s3ns:prj-p-bu2-sample-restrict
└── s3ns:prj-p-bu2-sample-peering
└── fldr-common
├── s3ns:prj-c-bu1-infra-pipeline
└── s3ns:prj-c-bu2-infra-pipeline
Logging e monitoraggio
L'ultimo passaggio della configurazione suggerita configura un bucket di log e un sink di log Pub/Sub nel progetto di logging comune dell'organizzazione. Le API richieste sono abilitate in base alle necessità. Un sink aggregato non intercettante è configurato a livello di organizzazione per indirizzare le voci di log al progetto comune che contiene il bucket di log. Per scoprire di più su come funziona, consulta Archiviazione centralizzata dei log.
Tu e i membri della tua organizzazione potete visualizzare i log in Esplora log dalla console Cloud de Confiance o collegando un abbonamento all'argomento Pub/Sub in modalità pull. Cloud Logging in Cloud de Confiance conserva i log solo per 30 giorni.
Utilizzare Terraform per configurare l'organizzazione
L'approccio consigliato per configurare l'organizzazione è utilizzare Terraform, in particolare se non hai mai configurato un'organizzazione su Google Cloud. Il Terraform fornito configura automaticamente cartelle, progetti, logging e monitoraggio centralizzati, networking e altro ancora predefiniti, come descritto in Configurazione suggerita. Puoi adattare questa configurazione alle tue esigenze prima o dopo l'implementazione.
Terraform è adattato dalla configurazione Cloud foundation di Google Cloud. Puoi scoprire molto di più sui moduli di base del cloud nel suo repository, anche se tieni presente che non tutte le informazioni sono pertinenti a questa configurazione specifica diCloud de Confiance.
Prima di iniziare, assicurati di aver installato lo strumento Terraform. Poiché Cloud Shell non è supportato in Cloud de Confiance, segui le istruzioni per installare Terraform localmente.
Scarica i file Terraform.
Per scaricare gli asset Terraform più recenti, contatta il team di assistenza o il team dedicato al tuo account. Il download pubblico di Terraform da GitHub sarà disponibile a breve.
Prima di eseguire il deployment della configurazione, esamina (e se necessario modifica) ciò che viene implementato per la tua organizzazione, come descritto in Configurazione suggerita. Oltre alla configurazione, il file Terraform fornito include anche un modulo di bootstrap che esegue il deployment di quanto segue:
- Un progetto
s3ns:prj-b-seedche contiene quanto segue:- Bucket di stato Terraform
- Service account personalizzati utilizzati da Terraform per creare nuove risorse in Cloud de Confiance
Applica Terraform
Per applicare Terraform:
- Vai alla directory che contiene i file di configurazione Terraform.
Apri e modifica il file
terraform.tfvarsfornito per specificare i valori scelti per i seguenti parametri:org_id = ORG_ID billing_account = BILLING_ACCOUNT billing_project = moonrise-replace2952c126fbf343e7885e9e663e8189b1moonrise-replace:BILLING_PROJECT prefix = FOLDER_PREFIXSostituisci quanto segue:
ORG_ID: l'ID univoco della tua organizzazioneBILLING_ACCOUNT: Il tuo account di fatturazioneBILLING_PROJECT: il progetto di fatturazione della tua organizzazione (a volte noto come progetto di quota)FOLDER_PREFIX(Facoltativo) Un prefisso da applicare a tutti i nomi univoci di cartelle e progetti
Esegui il deployment della configurazione.
terraform init terraform apply
Risolvere i problemi relativi al deployment di Terraform con risorse esistenti
Se la configurazione Terraform scaricata tenta di creare risorse che
esistono già, Terraform esce con un codice di errore
409. Per risolvere questi errori, puoi eliminare la risorsa utilizzando la console Cloud de Confiance o gcloud CLI, quindi applicare nuovamente la configurazione di Terraform.
In alternativa, se queste risorse sono fondamentali e non possono essere eliminate, puoi
importarle
nel tuo stato di Terraform.
Verificare la configurazione
Per verificare la configurazione, ti consigliamo di controllare prima utilizzando Google Cloud CLI o la console Cloud de Confiance che la struttura di cartelle e progetti sia stata configurata correttamente.
Puoi quindi provare a eseguire il deployment di uno o più workload dell'applicazione in uno dei progetti di servizio, utilizzando un workload a tua scelta o seguendo uno dei nostri tutorial di avvio rapido. Si tratta di brevi tutorial che ti aiutano a configurare rapidamente un semplice esempio su Cloud de Confiance. Scopri di più nella sezione Qual è il prossimo passaggio?
Passaggi successivi
Esplora la tua organizzazione e verifica la configurazione provando un tutorial di avvio rapido. Ecco alcuni suggerimenti per iniziare:
- Crea un'istanza VM Linux in Compute Engine
- Crea un cluster GKE ed esegui il deployment di un workload
- Esegui una query su un set di dati pubblico in BigQuery (tieni presente che dovrai caricare in anticipo un set di dati per seguire questo tutorial)
Estendi e personalizza la configurazione iniziale, tra cui:
- Crea altri progetti e collegali alle tue reti.
- Configura ulteriormente il logging e il monitoraggio, inclusa la configurazione di Cloud Monitoring per inviare le metriche per la visualizzazione a Grafana, se preferisci.
Concedi autorizzazioni a utenti e gruppi con IAM.