Configurar sua organização

Quando você se integra ao Trusted Cloudpela primeira vez, recebe uma nova organização vazia. Para usar essa organização, é necessário configurá-la com projetos, uma rede e outros recursos.O Trusted Cloud oferece várias opções para configurar sua organização, incluindo módulos do Terraform que ajudam a configurar rapidamente os recursos necessários para você e seus usuários começarem a usar.

Esta página é destinada a administradores que precisam configurar uma nova organização no Trusted Cloud.

Antes de ler este guia, você precisa:

• Entenda os conceitos Trusted Cloud básicos descritos na visão geral doTrusted Cloud.

• Entenda a Trusted Cloud hierarquia de recursos, incluindo organizações, pastas e projetos.

• Entenda como a nuvem privada virtual (VPC) funciona em Trusted Cloud.

• Conheça os produtos e serviços Trusted Cloud a seguir e para que eles são usados:

  • Cloud Key Management Service
  • Cloud Logging

• Se você planeja usar o Terraform para configurar sua organização, conheça o funcionamento dele.

• Se você já conhece uma configuração semelhante no Google Cloud, recomendamos que analise as principais diferenças entre Trusted Cloud e Google Cloud.

Antes de começar

Verifique o seguinte para todas as opções de configuração:

• Há um provedor de identidade (IdP) configurado para sua organização e você consegue fazer login com seu ID de administrador.
• Você configurou a Google Cloud CLI para uso com Trusted Cloud. Mesmo que você planeje configurar usando o Terraform, a Google Cloud CLI é útil para verificar a configuração na linha de comando, bem como outras tarefas administrativas.

Também recomendamos que você leia o Trusted Cloud by S3NS Fluxo guiado de configuração antes de fazer uma configuração empresarial completa. Embora nem todas as seções sejam relevantes para Trusted Cloud (por exemplo, você não pode criar uma organização sozinho), ela fornece informações de contexto, orientações e práticas recomendadas úteis para configurar sua infraestrutura. As mesmas práticas recomendadas são refletidas nos módulos do Terraform fornecidos. Ao passar pelo fluxo guiado, saiba que a configuração de empresa do console do Trusted Cloud não está disponível no Trusted Cloud.

Opções de configuração

Há três opções para configurar uma organização empresarial no Trusted Cloud:

• (Recomendado) Use os módulos do Terraform fornecidos para configurar sua organização. Esta é uma versão adaptada da configuração da base do Cloud do Google Cloud, que segue as práticas recomendadas para configurar uma organização empresarial.
• (Somente para usuários avançados) Se você tiver módulos de "zona de destino" do Terraform que usou no Google Cloud, será possível adaptá-los e reutilizá-los para configurar sua organização no Trusted Cloud. Se você escolher essa opção, analise cuidadosamente as diferenças entre os dois universos, tanto em um nível alto quanto para os serviços que você quer usar.
• É possível criar projetos, redes, políticas e outros recursos manualmente usando a Google Cloud CLI ou o console Trusted Cloud , seguindo as instruções na documentação relevante. Você pode usar essa abordagem para uma configuração mínima, conforme descrito na próxima seção, ou uma configuração empresarial completa, usando a configuração sugerida ou sua própria versão preferida.

Configuração mínima

Se você quiser testar sua nova organização antes de configurar tudo, adicione um único projeto e uma rede de nuvem privada virtual (VPC). Essa implantação básica é suficiente para conhecer os serviços disponíveis e executar nossos tutoriais de início rápido:

1. Crie um projeto na organização.

2. Crie e configure uma rede VPC chamada default no seu projeto com os seguintes comandos:

   gcloud compute networks create default
   gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
   gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
   gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
   gcloud compute firewall-rules create default-allow-icmp --allow=icmp
   

Sem rede padrão

Se você já conhece o Google Cloud, talvez não espere precisar criar uma rede: no Google Cloud, uma rede VPC padrão (com regras de firewall IPV4 pré-preenchidas) é criada automaticamente para cada projeto. No entanto, um projeto Trusted Cloud não tem uma rede padrão. Portanto, você precisa criar uma para você e os membros da equipe começarem.

Configuração sugerida

A configuração a seguir é implantada com o Terraform fornecido, que é uma versão adaptada da configuração do Cloud Foundation do Google Cloud. Você também pode usar esta seção como uma diretriz se optar por criar manualmente seus próprios recursos e políticas com o Trusted Cloud console ou a Google Cloud CLI.

Embora essa configuração represente muitas práticas recomendadas que funcionam para a maioria das organizações, ela pode não atender a todos os requisitos organizacionais ou técnicos. Analise esta seção (e o Terraform, se estiver usando) com cuidado e personalize a configuração, se necessário.

As seções a seguir descrevem os vários recursos na configuração sugerida.

Organização

No nível superior da sua organização, a configuração sugerida tem duas pastas. A primeira pasta contém projetos que contêm recursos comuns, como o Cloud KMS e os recursos de registro compartilhados pela organização. A outra pasta é usada para armazenar projetos relacionados à rede, como o hub do Cloud DNS para sua organização e os projetos de host de VPC compartilhada para rede de base e restrita para cada ambiente (desenvolvimento, não produção e produção).

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

Ambientes

Nossa configuração sugerida tem uma pasta para cada ambiente: produção, não produção e preparação. Cada pasta contém um projeto que pode ser usado pelo Cloud KMS para recursos de gerenciamento de chaves associados especificamente a esse ambiente.

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

Topologia de rede

A configuração tem uma rede VPC compartilhada por ambiente (desenvolvimento, não produção e produção) em uma configuração padrão com um nível de segurança básico razoável. Essa configuração inclui:

• (Opcional) Exemplos de sub-redes para desenvolvimento, não produção e produção, incluindo intervalos secundários.
• Política de firewall hierárquica criada para permitir o acesso remoto a VMs.
• Política de firewall hierárquica criada para permitir verificações de integridade do balanceamento de carga.
• Política de firewall hierárquica criada para permitir a ativação do KMS do Windows.
• VM / disco criptografado
• Política padrão do Cloud DNS aplicada, com a geração de registros DNS e o encaminhamento de consulta de entrada ativados.

Projetos

Cada ambiente pode ter vários projetos de serviço conectados às redes VPC compartilhada descritas na seção anterior. Se você implantar o Terraform sem modificações, o Terraform fornecido vai criar o seguinte conjunto de projetos. Os projetos são agrupados em pastas em cada ambiente, em que cada pasta é associada a uma unidade de negócios específica. Para cada unidade de negócios, um projeto infra-pipeline compartilhado é criado com gatilhos do Cloud Build, solicitações de assinatura de certificado (CSRs, na sigla em inglês) para o código de infraestrutura do aplicativo e buckets do Cloud Storage para armazenamento de estado.

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

Geração de registros e monitoramento

A última etapa da configuração sugerida configura um bucket de registros e um coletor de registros do Pub/Sub no projeto de geração de registros comum da organização. As APIs necessárias são ativadas conforme necessário. Um coletor agregado não de interceptação é configurado no nível da organização para encaminhar entradas de registro ao projeto comum que contém o bucket de registros. Saiba mais sobre como isso funciona em Armazenamento centralizado de registros.

Você e os membros da sua organização podem conferir os registros no Logs Explorer no console Trusted Cloud ou conectando uma assinatura ao tópico do Pub/Sub no modo de pull. O Cloud Logging no Trusted Cloud retém registros por apenas 30 dias.

Usar o Terraform para configurar sua organização

Nossa abordagem recomendada para configurar sua organização é usar o Terraform, principalmente se você nunca configurou uma organização no Google Cloud. O Terraform fornecido configura automaticamente pastas, projetos, geração de registros e monitoramento centralizados, rede e muito mais, conforme descrito em Configuração sugerida. É possível adaptar essa configuração às suas necessidades antes ou depois da implantação.

O Terraform é adaptado da configuração do Cloud Foundation do Google Cloud. Você pode encontrar muito mais informações sobre os módulos de base do Cloud no repositório, mas saiba que nem todas as informações são relevantes para essa configuração específica doTrusted Cloud.

Antes de começar, verifique se a ferramenta Terraform está instalada. Como o Cloud Shell não tem suporte para Trusted Cloud, siga as instruções para instalar o Terraform localmente.

Faça o download dos arquivos do Terraform.

Para fazer o download dos recursos mais recentes do Terraform, entre em contato com a equipe de suporte ou de contas. O download público do Terraform no GitHub será lançado em breve.

Antes de implantar a configuração, revise (e, se necessário, edite) o que foi implantado para sua organização, conforme descrito em Configuração sugerida. Além da configuração, o Terraform fornecido também inclui um módulo bootstrap que implanta o seguinte:

• Um projeto s3ns:prj-b-seed que contém o seguinte:
  • Bucket de estado do Terraform
  • Contas de serviço personalizadas usadas pelo Terraform para criar novos recursos em Trusted Cloud

Aplicar o Terraform

Para aplicar o Terraform, faça o seguinte:

1. Acesse o diretório que contém os arquivos de configuração do Terraform.

2. Abra e edite o arquivo terraform.tfvars fornecido para especificar os valores escolhidos para os seguintes parâmetros:

   org_id = ORG_ID
   billing_account = BILLING_ACCOUNT
   billing_project = moonrise-replace5ee46da7eba742199d747bf5477bed08moonrise-replace:BILLING_PROJECT
   prefix = FOLDER_PREFIX
   

   Substitua:

   • ORG_ID: o ID exclusivo da organização
   • BILLING_ACCOUNT: sua conta de faturamento
   • BILLING_PROJECT: o projeto de faturamento da sua organização (também conhecido como projeto de cota)
   • FOLDER_PREFIX (opcional): um prefixo que você quer aplicar a todos os nomes de pastas e projetos únicos.

3. Implantar a configuração

   terraform init
   terraform apply
   

Resolver problemas de implantação do Terraform com recursos atuais

Se a configuração do Terraform transferida por download tentar criar recursos que já existem, o Terraform será fechado com um código de erro 409. Para resolver esses erros, exclua o recurso usando o console Trusted Cloud ou a CLI gcloud e aplique novamente a configuração do Terraform. Como alternativa, se esses recursos forem essenciais e não puderem ser excluídos, é possível importar recursos para o estado do Terraform.

Verificar sua configuração

Para verificar a configuração, recomendamos que você use a Google Cloud CLI ou o console Trusted Cloud para verificar se a pasta e a estrutura do projeto foram configuradas corretamente.

Em seguida, tente implantar uma carga de trabalho de aplicativo em um dos projetos de serviço, usando uma carga de trabalho de sua escolha ou seguindo alguns dos nossos tutoriais de início rápido. Esses são tutoriais curtos que ajudam você a criar e usar rapidamente um exemplo simples no Trusted Cloud. Saiba mais em Próximas etapas.

A seguir

• Teste um tutorial de início rápido para conferir sua configuração e conhecer sua organização. Confira algumas sugestões para começar:

  • Criar uma instância de VM do Linux no Compute Engine
  • Criar um cluster do GKE e implantar uma carga de trabalho
  • Consultar um conjunto de dados público no BigQuery. No entanto, você precisa fazer o upload prévio de um conjunto de dados para seguir este tutorial.

• Estender e personalizar a configuração inicial, incluindo:

  • Crie mais projetos e anexe-os às suas redes.
  • Configure ainda mais o registro e o monitoramento, incluindo, se preferir, configurar o Cloud Monitoring para enviar métricas de visualização ao Grafana.

• Conceder permissões a usuários e grupos com o IAM.