Quando integra o Cloud de Confiancepela primeira vez, é-lhe fornecida uma nova organização vazia. Para usar esta organização, tem de a configurar com projetos, uma rede e outros recursos. Cloud de Confiance oferece várias opções para configurar a sua organização, incluindo módulos do Terraform que ajudam a configurar rapidamente os recursos de que precisa para começar.
Esta página destina-se a administradores que precisam de configurar uma nova organização no Cloud de Confiance.
Antes de ler este guia, deve:
Compreender os conceitos básicos descritos na Cloud de Confiancevista geral. Cloud de Confiance
Compreenda a Cloud de Confiance hierarquia de recursos, incluindo organizações, pastas e projetos.
Compreenda como funciona a nuvem virtual privada (VPC) no Cloud de Confiance.
Familiarize-se com os seguintes Cloud de Confiance produtos e serviços e para que são usados:
Se planeia usar o Terraform para configurar a sua organização, familiarize-se com o funcionamento do Terraform.
Se já conhece uma configuração semelhante para o Google Cloud, recomendamos que reveja as principais diferenças entre Cloud de Confiance o Google Cloud.
Antes de começar
Certifique-se de que o seguinte se aplica a todas as opções de configuração:
- Existe um fornecedor de identidade (IdP) configurado para a sua organização e que consegue iniciar sessão com o seu ID de administrador.
- Configurou a CLI do Google Cloud para utilização com o Cloud de Confiance. Mesmo que planeie fazer a configuração com o Terraform, a CLI gcloud é útil para validar a configuração a partir da linha de comandos, bem como para realizar tarefas administrativas adicionais.
Também recomendamos vivamente que reveja o Cloud de Confiance by S3NS fluxo guiado de configuração antes de fazer uma configuração empresarial completa. Embora nem todas as secções sejam relevantes para Cloud de Confiance (por exemplo, não pode criar uma organização), fornece informações gerais, orientações e práticas recomendadas úteis para configurar a sua infraestrutura. As mesmas práticas recomendadas refletem-se nos módulos do Terraform que fornecemos. Tenha em atenção que, ao seguir o fluxo orientado, a configuração empresarial a partir da Cloud de Confiance consola não está disponível Cloud de Confiance.
Opções de configuração
Existem três opções possíveis para configurar uma organização empresarial no Cloud de Confiance:
- (Recomendado) Use os nossos módulos do Terraform fornecidos para configurar a sua organização. Esta é uma versão adaptada da configuração da base da nuvem do Google Cloud, que segue as práticas recomendadas para configurar uma organização pronta para a empresa.
- (Apenas para utilizadores avançados) Se tiver módulos de "zona de destino" do Terraform existentes que usou no Google Cloud, pode adaptá-los e reutilizá-los para configurar a sua organização no Cloud de Confiance. Se escolher esta opção, deve rever cuidadosamente as diferenças entre os dois universos, tanto a um nível elevado como para quaisquer serviços que queira usar.
- Pode criar manualmente projetos, redes, políticas e outros recursos através da CLI do Google Cloud ou da Cloud de Confiance consola, seguindo as instruções na documentação relevante. Pode usar esta abordagem para uma configuração mínima, conforme descrito na secção seguinte, ou uma configuração empresarial completa, usando a nossa configuração sugerida ou a sua versão preferida.
Configuração mínima
Se apenas quiser experimentar a sua nova organização antes de a configurar totalmente, pode adicionar um único projeto e uma rede de nuvem privada virtual (VPC). Esta implementação básica é suficiente para explorar os serviços disponíveis e executar os nossos tutoriais de início rápido:
- Crie um projeto na sua organização.
Crie e configure uma rede VPC denominada
defaultno seu projeto com os seguintes comandos:gcloud compute networks create default gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9 gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22 gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389 gcloud compute firewall-rules create default-allow-icmp --allow=icmp
Nenhuma rede predefinida
Se estiver familiarizado com o Google Cloud, pode não esperar ter de criar uma rede: no Google Cloud, é criada automaticamente uma rede VPC predefinida (com regras de firewall IPV4 pré-preenchidas) para cada projeto. No entanto, um Cloud de Confiance projeto não tem uma rede predefinida, pelo que tem de criar uma para si e para os membros da sua equipa começarem a trabalhar.
Configuração sugerida
Segue-se a configuração implementada com o nosso Terraform fornecido, que é uma versão adaptada da configuração da base na nuvem do Google Cloud. Também pode usar esta secção como uma diretriz se optar por criar manualmente os seus próprios recursos e políticas com a Cloud de Confiance consola ou a Google Cloud CLI.
Embora esta configuração represente muitas práticas recomendadas que consideramos adequadas para a maioria das organizações, pode não cumprir todos os seus requisitos organizacionais ou técnicos. Reveja cuidadosamente esta secção (e o próprio Terraform, se o estiver a usar) e personalize a configuração, se necessário.
As secções seguintes descrevem os vários recursos na nossa configuração sugerida.
Organização
No nível superior da sua organização, a nossa configuração sugerida tem duas pastas. A primeira pasta contém projetos com recursos comuns, como recursos do Cloud KMS e de registo partilhados pela sua organização. A outra pasta é usada para armazenar projetos relacionados com a rede, como o hub do Cloud DNS para a sua organização, e projetos anfitriões da VPC partilhada de rede base e restrita para cada ambiente (desenvolvimento, não produção e produção).
example-organization
└── fldr-common
├── s3ns:prj-c-kms
├── s3ns:prj-c-logging
└── fldr-network
├── s3ns:prj-net-dns
├── s3ns:prj-d-shared-base
├── s3ns:prj-d-shared-restricted
├── s3ns:prj-n-shared-base
├── s3ns:prj-n-shared-restricted
├── s3ns:prj-p-shared-base
└── s3ns:prj-p-shared-restricted
Ambientes
A nossa configuração sugerida tem uma pasta para cada ambiente: produção, não produção e teste. Cada pasta contém um projeto que pode ser usado pelo Cloud KMS para recursos de gestão de chaves associados especificamente a este ambiente.
example-organization
└── fldr-development
├── s3ns:prj-d-kms
└── fldr-nonproduction
├── s3ns:prj-n-kms
└── fldr-production
├── s3ns:prj-p-kms
Topologia de rede
A configuração tem uma rede VPC partilhada por ambiente (desenvolvimento, não produção e produção) numa configuração padrão com uma base de segurança razoável. Esta configuração inclui:
- (Opcional) Exemplos de sub-redes para desenvolvimento, não produção e produção, incluindo intervalos secundários.
- Política de firewall hierárquica criada para permitir o acesso remoto a VMs.
- Política de firewall hierárquica criada para permitir verificações de estado de funcionamento do balanceamento de carga.
- Política de firewall hierárquica criada para permitir a ativação do KMS do Windows.
- VM / disco encriptado
- Política de DNS do Cloud predefinida aplicada, com o registo de DNS e o encaminhamento de consultas de entrada ativados.
Projetos
Cada ambiente pode ter vários projetos de serviço ligados às redes VPC partilhadas descritas na secção anterior. Se o implementar sem modificações, o nosso código
Terraform cria o seguinte conjunto de projetos. Os projetos estão agrupados em pastas em cada ambiente, em que cada pasta está associada a uma unidade de negócio específica. Para cada unidade de negócio, é criado um projeto infra-pipeline partilhado com
acionadores do Cloud Build, pedidos de assinatura de certificados (CSRs) para código de infraestrutura de aplicações e
contentores do Cloud Storage para armazenamento de estado.
example-organization/
└── fldr-development
└── fldr-development-bu1
├── s3ns:prj-d-bu1-sample-floating
├── s3ns:prj-d-bu1-sample-base
├── s3ns:prj-d-bu1-sample-restrict
├── s3ns:prj-d-bu1-sample-peering
└── fldr-development-bu2
├── s3ns:prj-d-bu2-sample-floating
├── s3ns:prj-d-bu2-sample-base
├── s3ns:prj-d-bu2-sample-restrict
└── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
└── fldr-nonproduction-bu1
├── s3ns:prj-n-bu1-sample-floating
├── s3ns:prj-n-bu1-sample-base
├── s3ns:prj-n-bu1-sample-restrict
├── s3ns:prj-n-bu1-sample-peering
└── fldr-nonproduction-bu2
├── s3ns:prj-n-bu2-sample-floating
├── s3ns:prj-n-bu2-sample-base
├── s3ns:prj-n-bu2-sample-restrict
└── s3ns:prj-n-bu2-sample-peering
└── fldr-production
└── fldr-production-bu1
├── s3ns:prj-p-bu1-sample-floating
├── s3ns:prj-p-bu1-sample-base
├── s3ns:prj-p-bu1-sample-restrict
├── s3ns:prj-p-bu1-sample-peering
└── fldr-production-bu2
├── s3ns:prj-p-bu2-sample-floating
├── s3ns:prj-p-bu2-sample-base
├── s3ns:prj-p-bu2-sample-restrict
└── s3ns:prj-p-bu2-sample-peering
└── fldr-common
├── s3ns:prj-c-bu1-infra-pipeline
└── s3ns:prj-c-bu2-infra-pipeline
Registo e monitorização
O último passo na nossa configuração sugerida configura um contentor de registos e um destino de registos do Pub/Sub no projeto de registo comum da organização. As APIs necessárias estão ativadas conforme necessário. Um sink agregado sem interceção é configurado ao nível da organização para encaminhar as entradas de registo para o projeto comum que contém o contentor de registos. Pode saber mais sobre como funciona o armazenamento de registos centralizado.
Os membros da sua organização e você podem ver os registos no Logs Explorer a partir da consola ou associando uma subscrição ao tópico do Pub/Sub no modo de obtenção. Cloud de Confiance O Cloud Logging Cloud de Confiance conserva os registos apenas durante trinta dias.
Use o Terraform para configurar a sua organização
A nossa abordagem recomendada para configurar a sua organização é usar o Terraform, especialmente se nunca tiver configurado uma organização no Google Cloud. O Terraform fornecido configura automaticamente pastas, projetos, registo e monitorização centralizados, redes e muito mais, conforme descrito na configuração sugerida. Pode adaptar esta configuração às suas próprias necessidades antes ou depois da implementação.
O Terraform é adaptado da configuração da base na nuvem do Google Cloud. Pode saber muito mais sobre os módulos de base da nuvem no respetivo repositório, embora tenha em atenção que nem todas as informações são relevantes para esta configuração específica doCloud de Confiance.
Antes de começar, certifique-se de que tem a ferramenta Terraform instalada. Uma vez que o Cloud Shell não é suportado em Cloud de Confiance, siga as instruções para instalar o Terraform localmente.
Transfira os ficheiros do Terraform.
Para transferir os recursos mais recentes do Terraform, contacte a sua equipa de apoio técnico ou de conta. O download público do Terraform a partir do GitHub vai estar disponível em breve!
Antes de implementar a configuração, reveja (e, se necessário, edite) o que é implementado para a sua organização, conforme descrito em Configuração sugerida. Além da configuração, o Terraform fornecido também inclui um módulo de bootstrap que implementa o seguinte:
- Um projeto
s3ns:prj-b-seedque contém o seguinte:- Segmento de estado do Terraform
- Contas de serviço personalizadas usadas pelo Terraform para criar novos recursos no Cloud de Confiance
Aplique o Terraform
Para aplicar o Terraform, faça o seguinte:
- Aceda ao diretório que contém os ficheiros de configuração do Terraform.
Abra e edite o ficheiro
terraform.tfvarsfornecido para especificar os valores escolhidos para os seguintes parâmetros:org_id = ORG_ID billing_account = BILLING_ACCOUNT billing_project = moonrise-replaceddb25d6eb49b4db4bb4c4d8bdb106ab1moonrise-replace:BILLING_PROJECT prefix = FOLDER_PREFIXSubstitua o seguinte:
ORG_ID: o ID exclusivo da sua organizaçãoBILLING_ACCOUNT: a sua conta de faturaçãoBILLING_PROJECT: o projeto de faturação da sua organização (por vezes, conhecido como o respetivo projeto de quota)FOLDER_PREFIX(opcional): um prefixo que quer aplicar a todos os nomes únicos de pastas e projetos
Implemente a configuração.
terraform init terraform apply
Resolva problemas de implementação do Terraform com recursos existentes
Se a configuração do Terraform transferida tentar criar recursos que já existem, o Terraform termina com um código de erro 409. Para resolver estes erros, pode eliminar o recurso através da Cloud de Confiance consola Cloud de Confiance ou da CLI gcloud e, em seguida, voltar a aplicar a configuração do Terraform.
Em alternativa, se estes recursos forem críticos e não puderem ser eliminados, pode importar recursos para o seu estado do Terraform.
Valide a configuração
Para validar a configuração, recomendamos que verifique primeiro através da CLI do Google Cloud ou da consola se a estrutura de pastas e projetos foi configurada corretamente. Cloud de Confiance
Em seguida, pode tentar implementar uma carga de trabalho de aplicação ou cargas de trabalho num dos projetos de serviço, usando uma carga de trabalho à sua escolha ou seguindo alguns dos nossos tutoriais de início rápido. Estes são tutoriais breves que ajudam a criar rapidamente um exemplo simples no Cloud de Confiance. Saiba mais em O que se segue.
O que se segue?
Explore a sua organização e valide a configuração experimentando um tutorial de início rápido. Seguem-se algumas sugestões para começar:
- Crie uma instância de VM Linux no Compute Engine
- Crie um cluster do GKE e implemente uma carga de trabalho
- Consultar um conjunto de dados público no BigQuery (no entanto, tenha em atenção que tem de pré-carregar um conjunto de dados para seguir este tutorial)
Expanda e personalize a configuração inicial, incluindo:
- Crie mais projetos e anexe-os às suas redes.
- Configure ainda mais o registo e a monitorização, incluindo, se preferir, a configuração do Cloud Monitoring para enviar métricas para visualização para o Grafana.
Conceda autorizações a utilizadores e grupos com o IAM.