設定您的機構

首次加入 Trusted Cloud時,系統會為您提供一個新的空白機構。如要使用這個機構,您必須使用專案、網路和其他資源進行設定。 Trusted Cloud提供多種設定機構的選項,包括 Terraform 模組,可協助您快速設定您和使用者需要的資源,以便開始使用。

本文適用於需要在 Trusted Cloud中設定新機構的管理員。

閱讀本指南前,請先完成下列事項:

事前準備

請確認所有設定選項都符合下列條件:

我們也強烈建議您先查看 Trusted Cloud by S3NS 設定引導流程,再進行完整的企業設定。雖然並非所有章節都與Trusted Cloud相關 (例如,您無法自行建立機構),但這份文件提供有用的背景資訊、指引和最佳做法,協助您設定基礎架構。我們提供的 Terraform 模組也採用相同的最佳做法。請注意,在引導式流程中, Trusted Cloud無法使用 Trusted Cloud 控制台的企業設定。

設定選項

您可以透過三種方式在 Trusted Cloud上設定企業機構:

  • (建議) 使用我們提供的 Terraform 模組設定機構。這是 Google Cloud 雲端基礎架構設定的調整版本,遵循最佳做法設定可供企業使用的機構。
  • (僅限進階使用者) 如果您在 Google Cloud 中使用過現有的 Terraform「登陸區」模組,可以調整並重複使用這些模組,在 Trusted Cloud中設定貴機構。如果您選擇這個選項,請仔細查看兩個宇宙之間的差異,包括高層級和您要使用的任何服務。
  • 您可以使用 Google Cloud CLI 或 Trusted Cloud 控制台,按照相關說明文件中的指示手動建立專案、網路、政策和其他資源。您可以使用這種方法設定最小設定 (如下一節所述),或設定完整的企業環境,並使用 Google 建議的設定或您偏好的版本。

希望將設定需求減至最低

如果您只想在設定新機構前先試用,可以新增單一專案和虛擬私有雲 (VPC) 網路。這項基本部署作業足以讓您探索可用的服務,並執行我們的快速入門教學課程:

  1. 在貴機構中建立專案

  2. 使用下列指令,在專案中建立及設定名為 default 的虛擬私有雲網路:

    gcloud compute networks create default
gcloud compute firewall-rules create default-allow-internal --allow=tcp:1-65535,udp:1-65535,icmp --source-ranges 10.128.0.0/9
gcloud compute firewall-rules create default-allow-ssh --allow=tcp:22
gcloud compute firewall-rules create default-allow-rdp --allow=tcp:3389
gcloud compute firewall-rules create default-allow-icmp --allow=icmp

沒有預設網路

如果您熟悉 Google Cloud,可能不會認為自己需要建立網路:在 Google Cloud 中,系統會為每個專案自動建立預設虛擬私有雲網路 (含預先填入的 IPV4 防火牆規則)。不過, Trusted Cloud專案有預設網路,因此您必須自行建立一個網路,讓您和團隊成員可以開始使用。

建議設定

以下是使用我們提供的 Terraform 部署的設定,這是 Google Cloud Cloud foundation 設定的調整版本。如果您選擇使用 Trusted Cloud 控制台或 Google Cloud CLI 手動建立自有資源和政策,也可以將本節內容做為指南。

雖然這項設定代表我們發現適用於大多數機構的許多最佳做法,但可能無法滿足您所有的機構或技術需求。請仔細查看本節內容 (以及使用中的 Terraform),並視需要自訂設定。

以下各節將說明建議設定中的各種資源。

機構

在貴機構的頂層,我們建議的設定包含兩個資料夾。第一個資料夾包含專案,其中包含貴機構共用的常用資源,例如 Cloud KMS 和 Logging 資源。另一個資料夾則用於儲存網路相關專案,例如貴機構的 Cloud DNS 中樞,以及每個環境 (開發、非實際工作環境和實際工作環境) 的基礎和受限制網路 共用 VPC 主機專案

example-organization
└── fldr-common
    ├── s3ns:prj-c-kms
    ├── s3ns:prj-c-logging
└── fldr-network
    ├── s3ns:prj-net-dns
    ├── s3ns:prj-d-shared-base
    ├── s3ns:prj-d-shared-restricted
    ├── s3ns:prj-n-shared-base
    ├── s3ns:prj-n-shared-restricted
    ├── s3ns:prj-p-shared-base
    └── s3ns:prj-p-shared-restricted

環境

我們建議的設定會為每個環境建立資料夾:實際工作環境、非實際工作環境和測試環境。每個資料夾都包含一個專案,Cloud KMS 可使用該專案管理與此環境相關聯的金鑰管理資源。

example-organization
└── fldr-development
    ├── s3ns:prj-d-kms
└── fldr-nonproduction
    ├── s3ns:prj-n-kms
└── fldr-production
    ├── s3ns:prj-p-kms

網路拓撲

在標準設定中,每個環境 (開發、非實際工作環境和實際工作環境) 都有一個共用虛擬私有雲網路,並設有合理的安全基準。這項設定包括:

  • (選用) 開發、非正式工作環境和正式工作環境的子網路範例,包括次要範圍。
  • 建立階層式防火牆政策,允許遠端存取 VM。
  • 建立階層式防火牆政策,允許負載平衡健康狀態檢查。
  • 建立階層式防火牆政策,允許 Windows KMS 啟用。
  • VM / 加密磁碟
  • 套用預設的 Cloud DNS 政策,並啟用 DNS 記錄和傳入查詢轉送功能。

專案

每個環境都可以有許多服務專案連結至前一個章節所述的共用虛擬私有雲網路。如果您部署未經修改的應用程式,我們提供的 Terraform 會建立下列專案組合。專案會在每個環境中以資料夾分組,每個資料夾都會與特定業務單位建立關聯。針對每個業務單位,系統會使用 Cloud Build 觸發事件、應用程式基礎架構程式碼的憑證簽署要求 (CSR),以及狀態儲存空間的 Cloud Storage 值區,建立共用 infra-pipeline 專案。

example-organization/
└── fldr-development
    └── fldr-development-bu1
        ├── s3ns:prj-d-bu1-sample-floating
        ├── s3ns:prj-d-bu1-sample-base
        ├── s3ns:prj-d-bu1-sample-restrict
        ├── s3ns:prj-d-bu1-sample-peering
    └── fldr-development-bu2
        ├── s3ns:prj-d-bu2-sample-floating
        ├── s3ns:prj-d-bu2-sample-base
        ├── s3ns:prj-d-bu2-sample-restrict
        └── s3ns:prj-d-bu2-sample-peering
└── fldr-nonproduction
    └── fldr-nonproduction-bu1
        ├── s3ns:prj-n-bu1-sample-floating
        ├── s3ns:prj-n-bu1-sample-base
        ├── s3ns:prj-n-bu1-sample-restrict
        ├── s3ns:prj-n-bu1-sample-peering
    └── fldr-nonproduction-bu2
        ├── s3ns:prj-n-bu2-sample-floating
        ├── s3ns:prj-n-bu2-sample-base
        ├── s3ns:prj-n-bu2-sample-restrict
        └── s3ns:prj-n-bu2-sample-peering
└── fldr-production
    └── fldr-production-bu1
        ├── s3ns:prj-p-bu1-sample-floating
        ├── s3ns:prj-p-bu1-sample-base
        ├── s3ns:prj-p-bu1-sample-restrict
        ├── s3ns:prj-p-bu1-sample-peering
    └── fldr-production-bu2
        ├── s3ns:prj-p-bu2-sample-floating
        ├── s3ns:prj-p-bu2-sample-base
        ├── s3ns:prj-p-bu2-sample-restrict
        └── s3ns:prj-p-bu2-sample-peering
└── fldr-common
    ├── s3ns:prj-c-bu1-infra-pipeline
    └── s3ns:prj-c-bu2-infra-pipeline

記錄和監控

建議設定的最後一個步驟,是在機構的一般記錄專案中設定記錄檔值區和 Pub/Sub 記錄接收器。系統會視需要啟用必要的 API。在機構層級設定非攔截的匯總接收器,將記錄項目轉送至包含記錄檔值區的通用專案。如要進一步瞭解這項功能的運作方式,請參閱「集中式記錄儲存空間」。

您和貴機構成員可以透過 Trusted Cloud 控制台,或在拉取模式中將訂閱項目連結至 Pub/Sub 主題,在記錄檔探索工具中查看記錄。Cloud Logging 在 Trusted Cloud 中只會保留記錄三十天。

使用 Terraform 設定機構

我們建議您使用 Terraform 設定機構,尤其是如果您從未在 Google Cloud 上設定機構的話。如「建議設定」一節所述,提供的 Terraform 會自動設定預設資料夾、專案、集中記錄和監控、網路等。您可以在部署前或部署後,根據自己的需求調整這項設定。

這份 Terraform 是根據 Google Cloud 的 Cloud 基礎設定進行調整。您可以在 Cloud 基礎模組的存放區中進一步瞭解相關資訊,但請注意,並非所有資訊都與此Trusted Cloud專屬設定相關。

開始操作前,請確認您已安裝 Terraform 工具。由於 Trusted Cloud不支援 Cloud Shell,請按照操作說明在本機安裝 Terraform。

下載 Terraform 檔案。

如要下載最新的 Terraform 素材資源,請與支援團隊或帳戶團隊聯絡。我們很快就會在 GitHub 上發布 Terraform 的公開下載版本!

部署設定前,請先查看 (並視需要編輯) 貴機構的部署內容,如「建議設定」一節所述。除了設定之外,提供的 Terraform 還包含啟動程序模組,可部署下列項目:

  • 包含下列項目的 s3ns:prj-b-seed 專案:
    • Terraform 狀態值區
    • Terraform 用於在 Trusted Cloud中建立新資源的自訂服務帳戶

套用 Terraform

如要套用 Terraform,請按照下列步驟操作:

  1. 前往包含 Terraform 設定檔的目錄。

  2. 開啟並編輯提供的 terraform.tfvars 檔案,為下列參數指定所選值:

    org_id = ORG_ID
billing_account = BILLING_ACCOUNT
billing_project = moonrise-replace5ee46da7eba742199d747bf5477bed08moonrise-replace:BILLING_PROJECT
prefix = FOLDER_PREFIX

    更改下列內容:

    • ORG_ID:貴機構的專屬 ID
    • BILLING_ACCOUNT:您的帳單帳戶
    • BILLING_PROJECT:機構的帳單專案 (有時稱為配額專案)
    • FOLDER_PREFIX (選用):您要套用至所有專屬資料夾和專案名稱的前置字串

  3. 部署設定。

    terraform init
terraform apply

排解 Terraform 與現有資源部署問題

如果下載的 Terraform 設定嘗試建立已存在的資源,Terraform 會結束並顯示 409 錯誤代碼。如要解決這些錯誤,您可以使用 Trusted Cloud 控制台或 gcloud CLI 刪除資源,然後重新套用 Terraform 設定。或者,如果這些資源非常重要且無法刪除,您可以將資源匯入 Terraform 狀態。

驗證設定

如要驗證設定,建議您先使用 Google Cloud CLI 或 Trusted Cloud 控制台檢查資料夾和專案結構是否已正確設定。

接著,您可以嘗試在某個服務專案中部署應用程式工作負載或多個工作負載,方法是使用所選的工作負載,或按照我們的快速入門教學課程操作。以下是簡短的教學課程,可協助您快速在 Trusted Cloud上啟用及執行簡單的範例。詳情請參閱「後續步驟」一節。

後續步驟