Al primo accesso a Trusted Cloud, ti viene fornita una nuova organizzazione vuota. Per utilizzare questa organizzazione, devi configurarla con progetti, una rete e altre risorse. Trusted Cloudoffre diverse opzioni per configurare l'organizzazione, inclusi i moduli Terraform che ti aiutano a configurare rapidamente le risorse di cui tu e i tuoi utenti avete bisogno per iniziare.
Questa pagina è rivolta agli amministratori che devono configurare una nuova organizzazione in Trusted Cloud.
Prima di leggere questa guida, devi:
Comprendi i concetti Trusted Cloud di base descritti nella Trusted Cloud panoramica.
Scopri la Trusted Cloud gerarchia delle risorse, incluse organizzazioni, cartelle e progetti.
Scopri come funziona Virtual Private Cloud (VPC) in Trusted Cloud.
Acquisisci familiarità con i seguenti Trusted Cloud prodotti e servizi e con le relative finalità:
Se prevedi di utilizzare Terraform per configurare la tua organizzazione, devi conoscere il funzionamento di Terraform.
Se hai già dimestichezza con una configurazione simile per Google Cloud, ti consigliamo di esaminare le principali differenze tra Trusted Cloud e Google Cloud.
Prima di iniziare
Assicurati quanto segue per tutte le opzioni di configurazione:
- Esiste un provider di identità (IdP) configurato per la tua organizzazione e puoi accedere con il tuo ID amministratore.
- Hai configurato Google Cloud CLI per l'utilizzo con Trusted Cloud. Anche se prevedi di eseguire la configurazione utilizzando Terraform, Google Cloud CLI è utile per verificare la configurazione dalla riga di comando, nonché per altre attività amministrative.
Ti consigliamo inoltre vivamente di consultare il Trusted Cloud by S3NS flusso di configurazione guidata prima di eseguire una configurazione completa dell'azienda. Sebbene non tutte le sezioni siano pertinenti per Trusted Cloud (ad esempio, non puoi creare un'organizzazione autonomamente), forniscono informazioni di base, indicazioni e best practice utili per configurare la tua infrastruttura. Le stesse best practice sono riportate nei nostri moduli Terraform. Tieni presente che, durante la procedura guidata, la configurazione enterprise della Trusted Cloud console non è disponibile in Trusted Cloud.
Opzioni di configurazione
Esistono tre possibili opzioni per configurare un'organizzazione aziendale su Trusted Cloud:
- (Consigliato) Utilizza i moduli Terraform forniti per configurare la tua organizzazione. Si tratta di una versione adattata della configurazione di Cloud Foundation di Google Cloud, che segue le best practice per la configurazione di un'organizzazione pronta per le aziende.
- (Solo utenti avanzati) Se hai già moduli Terraform "landing zone" che hai utilizzato in Google Cloud, puoi adattarli e riutilizzarli per configurare la tua organizzazione in Trusted Cloud. Se scegli questa opzione, devi esaminare attentamente le differenze tra i due universi, sia a livello generale sia per tutti i servizi che vuoi utilizzare.
- Puoi creare manualmente progetti, reti, criteri e altre risorse utilizzando Google Cloud CLI o la Trusted Cloud console, seguendo le istruzioni riportate nella documentazione pertinente. Puoi utilizzare questo approccio per una configurazione minima come descritto nella sezione successiva o per una configurazione completa per le aziende, utilizzando la configurazione suggerita o la tua versione preferita.
Configurazione minima
Se vuoi solo provare la nuova organizzazione prima di configurarla completamente, puoi aggiungere un singolo progetto e una rete Virtual Private Cloud (VPC). Questa implementazione di base è sufficiente per esplorare i servizi disponibili ed eseguire i nostri tutorial di guida rapida:
- Crea un progetto nella tua organizzazione.
Crea e configura una rete VPC denominata
default
nel progetto con i seguenti comandi:gcloud compute networks create default gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9 gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22 gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389 gcloud compute firewall-rules create default-allow-icmp --allow=icmp
Nessuna rete predefinita
Se hai dimestichezza con Google Cloud, potresti non aspettarti di dover creare una rete: in Google Cloud, per ogni progetto viene creata automaticamente una rete VPC predefinita (con regole firewall IPV4 predefinite). Un Trusted Cloud progetto, tuttavia, non ha una rete predefinita, quindi devi crearne una per te e per i membri del tuo team per iniziare.
Configurazione consigliata
Di seguito è riportata la configurazione di Terraform fornita, che è una versione adattata della configurazione di Cloud Foundation di Google Cloud. Puoi anche utilizzare questa sezione come linea guida se scegli di creare manualmente le tue risorse e i tuoi criteri con la Trusted Cloud console o Google Cloud CLI.
Sebbene questa configurazione rappresenti molte best practice che abbiamo riscontrato essere efficaci per la maggior parte delle organizzazioni, potrebbe non soddisfare tutti i requisiti tecnici o organizzativi. Esamina attentamente questa sezione (e Terraform stesso, se lo utilizzi) e personalizza la configurazione, se necessario.
Le sezioni seguenti descrivono le varie risorse nella configurazione consigliata.
Organizzazione
A livello superiore dell'organizzazione, la configurazione suggerita prevede due cartelle. La prima cartella contiene progetti che contengono risorse comuni come Cloud KMS e le risorse di logging condivise dalla tua organizzazione. L'altra cartella viene utilizzata per archiviare i progetti correlati alla rete, come l'hub Cloud DNS per la tua organizzazione e i progetti host VPC condivisi di base e con rete limitata per ogni ambiente (sviluppo, non di produzione e di produzione).
example-organization
└── fldr-common
├── s3ns:prj-c-kms
├── s3ns:prj-c-logging
└── fldr-network
├── s3ns:prj-net-dns
├── s3ns:prj-d-shared-base
├── s3ns:prj-d-shared-restricted
├── s3ns:prj-n-shared-base
├── s3ns:prj-n-shared-restricted
├── s3ns:prj-p-shared-base
└── s3ns:prj-p-shared-restricted
Ambienti
La configurazione suggerita ha una cartella per ogni ambiente: produzione, non produzione e gestione temporanea. Ogni cartella contiene un progetto che può essere utilizzato da Cloud KMS per le risorse di gestione delle chiavi associate specificamente a questo ambiente.
example-organization
└── fldr-development
├── s3ns:prj-d-kms
└── fldr-nonproduction
├── s3ns:prj-n-kms
└── fldr-production
├── s3ns:prj-p-kms
Topologia di rete
La configurazione ha una rete VPC condiviso per ambiente (sviluppo, non di produzione e di produzione) in una configurazione standard con una baseline di sicurezza ragionevole. Questa configurazione include:
- (Facoltativo) Esempi di subnet per sviluppo, non di produzione e di produzione inclusi gli intervalli secondari.
- Policy firewall gerarchico creato per consentire l'accesso remoto alle VM.
- Criterio firewall gerarchico creato per consentire i controlli di integrità del bilanciamento del carico.
- Criterio firewall gerarchico creato per consentire l'attivazione di KMS di Windows.
- VM / disco criptato
- È stato applicato il criterio Cloud DNS predefinito, con il logging DNS e il forwarding delle query in entrata attivati.
Progetti
Ogni ambiente può avere una serie di progetti di servizio connessi alle reti VPC condiviso descritte nella sezione precedente. Se lo esegui il deployment senza modifiche, Terraform fornito da Google crea il seguente insieme di progetti. I progetti sono raggruppati in cartelle
in ogni ambiente, dove ogni cartella è associata a un'unità di business in particolare. Per ogni unità aziendale viene creato un progetto infra-pipeline
condiviso con trigger Cloud Build, richieste di firma dei certificati (CSR) per il codice dell'infrastruttura dell'applicazione e bucket Cloud Storage per l'archiviazione dello stato.
example-organization/
└── fldr-development
└── fldr-development-bu1
├── s3ns:prj-d-bu1-sample-floating
├── s3ns:prj-d-bu1-sample-base
├── s3ns:prj-d-bu1-sample-restrict
├── s3ns:prj-d-bu1-sample-peering
└── fldr-development-bu2
├── s3ns:prj-d-bu2-sample-floating
├── s3ns:prj-d-bu2-sample-base
├── s3ns:prj-d-bu2-sample-restrict
└── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
└── fldr-nonproduction-bu1
├── s3ns:prj-n-bu1-sample-floating
├── s3ns:prj-n-bu1-sample-base
├── s3ns:prj-n-bu1-sample-restrict
├── s3ns:prj-n-bu1-sample-peering
└── fldr-nonproduction-bu2
├── s3ns:prj-n-bu2-sample-floating
├── s3ns:prj-n-bu2-sample-base
├── s3ns:prj-n-bu2-sample-restrict
└── s3ns:prj-n-bu2-sample-peering
└── fldr-production
└── fldr-production-bu1
├── s3ns:prj-p-bu1-sample-floating
├── s3ns:prj-p-bu1-sample-base
├── s3ns:prj-p-bu1-sample-restrict
├── s3ns:prj-p-bu1-sample-peering
└── fldr-production-bu2
├── s3ns:prj-p-bu2-sample-floating
├── s3ns:prj-p-bu2-sample-base
├── s3ns:prj-p-bu2-sample-restrict
└── s3ns:prj-p-bu2-sample-peering
└── fldr-common
├── s3ns:prj-c-bu1-infra-pipeline
└── s3ns:prj-c-bu2-infra-pipeline
Logging e monitoraggio
L'ultimo passaggio della configurazione suggerita configura un bucket di log e sink di log Pub/Sub nel progetto di logging comune dell'organizzazione. Le API richieste sono abilitate in base alle necessità. A livello di organizzazione è configurato un sink aggregato non intercettante per inoltrare le voci di log al progetto comune che contiene il bucket di log. Scopri di più su come funziona in Spazio di archiviazione centralizzato per i log.
Tu e i membri della tua organizzazione potete visualizzare i log in Esplora log dalla Trusted Cloud console o collegando un abbonamento all'argomento Pub/Sub in modalità pull. Cloud Logging in Trusted Cloud conserva i log solo per 30 giorni.
Utilizzare Terraform per configurare l'organizzazione
Il nostro approccio consigliato per configurare l'organizzazione è utilizzare Terraform, in particolare se non hai mai configurato un'organizzazione su Google Cloud. Terraform fornito configura automaticamente cartelle, progetti, logging e monitoraggio centralizzati, networking e altro ancora, come descritto nella configurazione suggerita. Puoi adattare questa configurazione alle tue esigenze prima o dopo il deployment.
Terraform è adattato dalla configurazione di Cloud foundation di Google Cloud. Puoi scoprire molto di più sui moduli Cloud Foundation nel suo repository, ma tieni presente che non tutte le informazioni sono pertinenti per questa configurazione specifica diTrusted Cloud.
Prima di iniziare, assicurati di aver installato lo strumento Terraform. Poiché Cloud Shell non è supportato in Trusted Cloud, segui le istruzioni per installare Terraform localmente.
Scarica i file Terraform.
Per scaricare gli asset Terraform più recenti, contatta il team di assistenza o dell'account. A breve sarà disponibile il download pubblico di Terraform da GitHub.
Prima di eseguire il deployment della configurazione, controlla (e, se necessario, modifica) ciò che è stato eseguito per la tua organizzazione, come descritto in Configurazione suggerita. Oltre alla configurazione, Terraform fornito include anche un modulo di bootstrap che esegue il deployment di quanto segue:
- Un progetto
s3ns:prj-b-seed
contenente quanto segue:- Bucket dello stato di Terraform
- Account di servizio personalizzati utilizzati da Terraform per creare nuove risorse in Trusted Cloud
Applica Terraform
Per applicare Terraform:
- Vai alla directory contenente i file di configurazione Terraform.
Apri e modifica il file
terraform.tfvars
fornito per specificare i valori scelti per i seguenti parametri:org_id = ORG_ID billing_account = BILLING_ACCOUNT billing_project = moonrise-replace5ee46da7eba742199d747bf5477bed08moonrise-replace:BILLING_PROJECT prefix = FOLDER_PREFIX
Sostituisci quanto segue:
ORG_ID
: l'ID univoco della tua organizzazioneBILLING_ACCOUNT
: il tuo account di fatturazioneBILLING_PROJECT
: il progetto di fatturazione della tua organizzazione (a volte noto come progetto quota)FOLDER_PREFIX
(facoltativo): un prefisso da applicare a tutti i nomi univoci di cartelle e progetti
Esegui il deployment della configurazione.
terraform init terraform apply
Risolvere i problemi di deployment di Terraform con risorse esistenti
Se la configurazione Terraform scaricata tenta di creare risorse già esistenti, Terraform esce con un codice di errore 409
. Per risolvere questi errori, puoi eliminare la risorsa utilizzando la Trusted Cloud console o gcloud CLI, quindi applicare nuovamente la configurazione di Terraform.
In alternativa, se queste risorse sono fondamentali e non possono essere eliminate, puoi
importarle
nel tuo stato Terraform.
Verificare la configurazione
Per verificare la configurazione, ti consigliamo di controllare innanzitutto, utilizzando Google Cloud CLI o la Trusted Cloud console, che la cartella e la struttura del progetto siano state configurate correttamente.
Puoi quindi provare a eseguire il deployment di uno o più carichi di lavoro dell'applicazione in uno dei progetti di servizio, utilizzando un carico di lavoro a tua scelta o seguendo alcuni dei nostri tutorial di avvio rapido. Si tratta di brevi tutorial che ti aiutano a eseguire rapidamente un semplice esempio su Trusted Cloud. Scopri di più nella sezione Passaggi successivi.
Passaggi successivi
Esplora la tua organizzazione e verifica la configurazione provando un tutorial di inizio rapido. Ecco alcuni suggerimenti per iniziare:
- Creare un'istanza VM Linux in Compute Engine
- Crea un cluster GKE ed esegui il deployment di un carico di lavoro
- Esegui una query su un set di dati pubblico in BigQuery (tieni presente che dovrai caricare in anteprima un set di dati per seguire questo tutorial)
Estendere e personalizzare la configurazione iniziale, ad esempio:
- Crea altri progetti e collegali alle tue reti.
- Configura ulteriormente il logging e il monitoraggio, ad esempio, se preferisci, configura Cloud Monitoring in modo da inviare le metriche per la visualizzazione a Grafana.
Concedi autorizzazioni a utenti e gruppi con IAM.