Configura la tua organizzazione

Al primo accesso a Trusted Cloud, ti viene fornita una nuova organizzazione vuota. Per utilizzare questa organizzazione, devi configurarla con progetti, una rete e altre risorse. Trusted Cloudoffre diverse opzioni per configurare l'organizzazione, inclusi i moduli Terraform che ti aiutano a configurare rapidamente le risorse di cui tu e i tuoi utenti avete bisogno per iniziare.

Questa pagina è rivolta agli amministratori che devono configurare una nuova organizzazione in Trusted Cloud.

Prima di leggere questa guida, devi:

Prima di iniziare

Assicurati quanto segue per tutte le opzioni di configurazione:

Ti consigliamo inoltre vivamente di consultare il Trusted Cloud by S3NS flusso di configurazione guidata prima di eseguire una configurazione completa dell'azienda. Sebbene non tutte le sezioni siano pertinenti per Trusted Cloud (ad esempio, non puoi creare un'organizzazione autonomamente), forniscono informazioni di base, indicazioni e best practice utili per configurare la tua infrastruttura. Le stesse best practice sono riportate nei nostri moduli Terraform. Tieni presente che, durante la procedura guidata, la configurazione enterprise della Trusted Cloud console non è disponibile in Trusted Cloud.

Opzioni di configurazione

Esistono tre possibili opzioni per configurare un'organizzazione aziendale su Trusted Cloud:

  • (Consigliato) Utilizza i moduli Terraform forniti per configurare la tua organizzazione. Si tratta di una versione adattata della configurazione di Cloud Foundation di Google Cloud, che segue le best practice per la configurazione di un'organizzazione pronta per le aziende.
  • (Solo utenti avanzati) Se hai già moduli Terraform "landing zone" che hai utilizzato in Google Cloud, puoi adattarli e riutilizzarli per configurare la tua organizzazione in Trusted Cloud. Se scegli questa opzione, devi esaminare attentamente le differenze tra i due universi, sia a livello generale sia per tutti i servizi che vuoi utilizzare.
  • Puoi creare manualmente progetti, reti, criteri e altre risorse utilizzando Google Cloud CLI o la Trusted Cloud console, seguendo le istruzioni riportate nella documentazione pertinente. Puoi utilizzare questo approccio per una configurazione minima come descritto nella sezione successiva o per una configurazione completa per le aziende, utilizzando la configurazione suggerita o la tua versione preferita.

Configurazione minima

Se vuoi solo provare la nuova organizzazione prima di configurarla completamente, puoi aggiungere un singolo progetto e una rete Virtual Private Cloud (VPC). Questa implementazione di base è sufficiente per esplorare i servizi disponibili ed eseguire i nostri tutorial di guida rapida:

  1. Crea un progetto nella tua organizzazione.
  2. Crea e configura una rete VPC denominata default nel progetto con i seguenti comandi:

    gcloud compute networks create default
    gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
    gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
    gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
    gcloud compute firewall-rules create default-allow-icmp --allow=icmp
    

Nessuna rete predefinita

Se hai dimestichezza con Google Cloud, potresti non aspettarti di dover creare una rete: in Google Cloud, per ogni progetto viene creata automaticamente una rete VPC predefinita (con regole firewall IPV4 predefinite). Un Trusted Cloud progetto, tuttavia, non ha una rete predefinita, quindi devi crearne una per te e per i membri del tuo team per iniziare.

Configurazione consigliata

Di seguito è riportata la configurazione di Terraform fornita, che è una versione adattata della configurazione di Cloud Foundation di Google Cloud. Puoi anche utilizzare questa sezione come linea guida se scegli di creare manualmente le tue risorse e i tuoi criteri con la Trusted Cloud console o Google Cloud CLI.

Sebbene questa configurazione rappresenti molte best practice che abbiamo riscontrato essere efficaci per la maggior parte delle organizzazioni, potrebbe non soddisfare tutti i requisiti tecnici o organizzativi. Esamina attentamente questa sezione (e Terraform stesso, se lo utilizzi) e personalizza la configurazione, se necessario.

Le sezioni seguenti descrivono le varie risorse nella configurazione consigliata.

Organizzazione

A livello superiore dell'organizzazione, la configurazione suggerita prevede due cartelle. La prima cartella contiene progetti che contengono risorse comuni come Cloud KMS e le risorse di logging condivise dalla tua organizzazione. L'altra cartella viene utilizzata per archiviare i progetti correlati alla rete, come l'hub Cloud DNS per la tua organizzazione e i progetti host VPC condivisi di base e con rete limitata per ogni ambiente (sviluppo, non di produzione e di produzione).

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

Ambienti

La configurazione suggerita ha una cartella per ogni ambiente: produzione, non produzione e gestione temporanea. Ogni cartella contiene un progetto che può essere utilizzato da Cloud KMS per le risorse di gestione delle chiavi associate specificamente a questo ambiente.

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

Topologia di rete

La configurazione ha una rete VPC condiviso per ambiente (sviluppo, non di produzione e di produzione) in una configurazione standard con una baseline di sicurezza ragionevole. Questa configurazione include:

  • (Facoltativo) Esempi di subnet per sviluppo, non di produzione e di produzione inclusi gli intervalli secondari.
  • Policy firewall gerarchico creato per consentire l'accesso remoto alle VM.
  • Criterio firewall gerarchico creato per consentire i controlli di integrità del bilanciamento del carico.
  • Criterio firewall gerarchico creato per consentire l'attivazione di KMS di Windows.
  • VM / disco criptato
  • È stato applicato il criterio Cloud DNS predefinito, con il logging DNS e il forwarding delle query in entrata attivati.

Progetti

Ogni ambiente può avere una serie di progetti di servizio connessi alle reti VPC condiviso descritte nella sezione precedente. Se lo esegui il deployment senza modifiche, Terraform fornito da Google crea il seguente insieme di progetti. I progetti sono raggruppati in cartelle in ogni ambiente, dove ogni cartella è associata a un'unità di business in particolare. Per ogni unità aziendale viene creato un progetto infra-pipeline condiviso con trigger Cloud Build, richieste di firma dei certificati (CSR) per il codice dell'infrastruttura dell'applicazione e bucket Cloud Storage per l'archiviazione dello stato.

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

Logging e monitoraggio

L'ultimo passaggio della configurazione suggerita configura un bucket di log e sink di log Pub/Sub nel progetto di logging comune dell'organizzazione. Le API richieste sono abilitate in base alle necessità. A livello di organizzazione è configurato un sink aggregato non intercettante per inoltrare le voci di log al progetto comune che contiene il bucket di log. Scopri di più su come funziona in Spazio di archiviazione centralizzato per i log.

Tu e i membri della tua organizzazione potete visualizzare i log in Esplora log dalla Trusted Cloud console o collegando un abbonamento all'argomento Pub/Sub in modalità pull. Cloud Logging in Trusted Cloud conserva i log solo per 30 giorni.

Utilizzare Terraform per configurare l'organizzazione

Il nostro approccio consigliato per configurare l'organizzazione è utilizzare Terraform, in particolare se non hai mai configurato un'organizzazione su Google Cloud. Terraform fornito configura automaticamente cartelle, progetti, logging e monitoraggio centralizzati, networking e altro ancora, come descritto nella configurazione suggerita. Puoi adattare questa configurazione alle tue esigenze prima o dopo il deployment.

Terraform è adattato dalla configurazione di Cloud foundation di Google Cloud. Puoi scoprire molto di più sui moduli Cloud Foundation nel suo repository, ma tieni presente che non tutte le informazioni sono pertinenti per questa configurazione specifica diTrusted Cloud.

Prima di iniziare, assicurati di aver installato lo strumento Terraform. Poiché Cloud Shell non è supportato in Trusted Cloud, segui le istruzioni per installare Terraform localmente.

Scarica i file Terraform.

Per scaricare gli asset Terraform più recenti, contatta il team di assistenza o dell'account. A breve sarà disponibile il download pubblico di Terraform da GitHub.

Prima di eseguire il deployment della configurazione, controlla (e, se necessario, modifica) ciò che è stato eseguito per la tua organizzazione, come descritto in Configurazione suggerita. Oltre alla configurazione, Terraform fornito include anche un modulo di bootstrap che esegue il deployment di quanto segue:

  • Un progetto s3ns:prj-b-seed contenente quanto segue:
    • Bucket dello stato di Terraform
    • Account di servizio personalizzati utilizzati da Terraform per creare nuove risorse in Trusted Cloud

Applica Terraform

Per applicare Terraform:

  1. Vai alla directory contenente i file di configurazione Terraform.
  2. Apri e modifica il file terraform.tfvars fornito per specificare i valori scelti per i seguenti parametri:

    org_id = ORG_ID
    billing_account = BILLING_ACCOUNT
    billing_project = moonrise-replace5ee46da7eba742199d747bf5477bed08moonrise-replace:BILLING_PROJECT
    prefix = FOLDER_PREFIX
    

    Sostituisci quanto segue:

    • ORG_ID: l'ID univoco della tua organizzazione
    • BILLING_ACCOUNT: il tuo account di fatturazione
    • BILLING_PROJECT: il progetto di fatturazione della tua organizzazione (a volte noto come progetto quota)
    • FOLDER_PREFIX (facoltativo): un prefisso da applicare a tutti i nomi univoci di cartelle e progetti
  3. Esegui il deployment della configurazione.

    terraform init
    terraform apply
    

Risolvere i problemi di deployment di Terraform con risorse esistenti

Se la configurazione Terraform scaricata tenta di creare risorse già esistenti, Terraform esce con un codice di errore 409. Per risolvere questi errori, puoi eliminare la risorsa utilizzando la Trusted Cloud console o gcloud CLI, quindi applicare nuovamente la configurazione di Terraform. In alternativa, se queste risorse sono fondamentali e non possono essere eliminate, puoi importarle nel tuo stato Terraform.

Verificare la configurazione

Per verificare la configurazione, ti consigliamo di controllare innanzitutto, utilizzando Google Cloud CLI o la Trusted Cloud console, che la cartella e la struttura del progetto siano state configurate correttamente.

Puoi quindi provare a eseguire il deployment di uno o più carichi di lavoro dell'applicazione in uno dei progetti di servizio, utilizzando un carico di lavoro a tua scelta o seguendo alcuni dei nostri tutorial di avvio rapido. Si tratta di brevi tutorial che ti aiutano a eseguire rapidamente un semplice esempio su Trusted Cloud. Scopri di più nella sezione Passaggi successivi.

Passaggi successivi