Länder, Kommunen und Bildungseinrichtungen (SLED) haben oft spezielle IT-Anforderungen im Vergleich zu anderen Unternehmen. In dieser Anleitung werden Überlegungen zum Onboarding und Best Practices zum Erstellen einer Google Cloud- und Google Workspace-Umgebung für eine SLED-Organisation definiert. Dieses Dokument richtet sich an Administratoren, die Google Cloud und Google Workspace oder Google Workspace for Education für ihre Organisation einrichten.
Identitätsübersicht
Bevor Sie eine Google Cloud-Umgebung erstellen, müssen Sie wissen, wie Google Cloud Authentifizierung, Autorisierung und Auditing bietet. Drei Cloud-Dienste arbeiten zusammen für Authentifizierung, Zugriffssteuerung und Auditing:
- Cloud Identity bietet eine Authentifizierung. Wenn Ihre Organisation Google Workspace oder Google Workspace for Education verwendet, verwenden Sie bereits Cloud Identity.
- Die Identitäts- und Zugriffsverwaltung bietet eine Autorisierung.
- Cloud-Audit-Logs bieten Auditing.
Cloud Identity
Cloud Identity ist ein IDaaS-Produkt (Identity as a Service), mit dem Sie Nutzer und Gruppen, die auf Ressourcen von Google Cloud, Google Workspace oder Google Workspace for Education zugreifen, zentral verwalten können. Cloud Identity ist in einer kostenlosen oder kostenpflichtigen (Premium) Version verfügbar. Während der Einrichtung von Google Cloud bietet Cloud Identity mithilfe eines TXT-Eintrags eine primäre Domainvalidierung an. Cloud Identity bietet folgende Vorteile:
- Ermöglicht die Erstellung und Verwaltung von Gruppen mit der Google Workspace-Admin-Konsole.
- Bietet Kontosicherheit, einschließlich Einmalanmeldung (SSO) und 2-Faktor-Authentifizierung (2FA).
- Kann als Identitätsanbieter für Drittanbieteranwendungen verwendet werden, da es SAML (Security Assertion Markup Language) und LDAP unterstützt.
Identität einrichten
Auf übergeordneter Ebene werden für das Einrichten einer Identität folgende Schritte empfohlen:
Wenn Sie Cloud Identity, Google Workspace oder Google Workspace for Education noch nicht verwenden, beginnen Sie mit einer der folgenden Anmeldeseiten:
Grundlagen-Checkliste in der Google Cloud Console. Ein Beispiel finden Sie in der Checkliste zur Unternehmenseinrichtung.
Verwenden Sie ein Administratorkonto, um die Checkliste in der Console aufzurufen.
Verwenden Sie Cloud Identity, um Ihre Domain zu bestätigen. In der Domainbestätigung wird automatisch eine Organisation erstellt, die als Stammknoten der Google Cloud-Ressourcenhierarchie dient.
Wenn Sie eine Fehlermeldung erhalten, die besagt, dass eine Domain bereits beansprucht ist, führen Sie die Rückforderung der Domain durch. Dieser Vorgang kann bis zu fünf Werktage dauern.
Melden Sie sich nach der Domainbestätigung mit dem neu erstellten Administratorkonto in der Google Workspace Admin-Konsole an.
Ermitteln Sie die Organisationsadministratoren, die die neue Google Cloud-Organisation in der Google Cloud Console verwalten.
Fügen Sie Nutzer mit der Workforce-Identitätsföderation
oder Cloud Identity hinzu. Mit Cloud Identity können Sie Nutzer auf eine der folgenden Arten hinzufügen:
Verwenden der Google Workspace-Admin-Konsole (individuell oder im Bulk)
Verwenden Sie Google Cloud Directory Sync, um die Daten in Ihrem Google-Konto mit Active Directory oder LDAP zu synchronisieren.
Synchronisierungsdienst eines Drittanbieters, z. B. Azure Active Directory
Ressourcen verwalten
In diesem Abschnitt werden die Best Practices für die Verwaltung von Ressourcen in einer SLED-Organisation beschrieben.
Zentralisierten Ansatz für die Google Cloud-Ressourcenverwaltung implementieren
Google Cloud bietet ein hierarchisches Containersystem, das aus Organisationen, Ordnern und Projekten besteht. Innerhalb dieser Strukturen können Sie andere Ressourcen organisieren, z. B. Compute Engine-VMs, Datenbanken und Cloud Storage-Buckets. Mithilfe dieser Hierarchie können Sie Aspekte wie Zugriffssteuerung und Konfigurationseinstellungen verwalten, die für mehrere Ressourcen übereinstimmen. Mit dem Resource Manager können Sie diese Ressourcen programmatisch verwalten.
Große Organisationen haben häufig viele Projekte und Nutzer, die direkt mit Google Cloud-Ressourcen interagieren. Zur optimalen Unterstützung bestehender Strategien für IT-Governance und die Zugriffssteuerung empfehlen wir die Implementierung eines zentralisierten Ansatzes für die Organisation von Google Cloud-Ressourcen.
Organisationsknoten verwenden, um Ressourcen zu organisieren
Ressourcen werden ausgehend vom Stammknoten organisiert, der die Organisation darstellt. Ordner können sich bis zu vier Ebenen unter dem Organisationsknoten befinden und ineinander verschachtelt sein. Diese Ordner können Projekte enthalten, die wiederum unterhalb der Projektebene andere Ressourcen als untergeordnete Elemente beinhalten. Jeder Ressource ist genau ein Element übergeordnet. Wenn Sie Richtlinien zur Zugriffssteuerung und Konfigurationseinstellungen für eine übergeordnete Ressource festlegen, übernehmen die untergeordneten Ressourcen diese Richtlinien und Einstellungen.
Ein Organisationsknoten gewährleistet, dass alle Projekte, die Nutzer in Ihrer Domain erstellen, für die Super Admins sichtbar sind. Jede primäre Domain hat einen Organisationsknoten. Der Super Admin für Google Workspace hat standardmäßig unwiderruflichen Zugriff, um die Richtlinie für die Organisation festzulegen. Bei Organisationen mit separaten IT- und Cloud-Verwaltungen muss der Super Admin von Google Workspace einen Organisationsadministrator für die Verwaltung der Organisation zuweisen. Weitere Informationen finden Sie unter Best Practices für Super Admin-Konten.
Wenn Projekte vor dem Erstellen des Organisationsknotens erstellt wurden, können Sie diese nicht verbundenen Projekte in den Organisationsknoten migrieren.
Wenn Sie Google Cloud verwenden, hat die Standardkonfiguration einen einzelnen Organisationsknoten. In den folgenden Abschnitten werden Ansätze für einzelne oder mehrere Organisationsknoten behandelt. Weitere Informationen zu diesen Optionen finden Sie unter Ressourcenhierarchie für Ihre Google Cloud-Landing-Zone auswählen.
Option 1: Einzelner Organisationsknoten
In dieser Option ordnen Sie einen einzelnen Organisationsknoten der Arbeitsbereichdomain zu, die die "Source of Truth" für IAM ist. Jeder Ordner kann eigene Administratoren und separate Rollen und andere Richtlinien haben. Das folgende Diagramm zeigt einen einzelnen Organisationsknoten mit einem Bildungsinstitut. Sie können bei Bedarf weitere Unterordner für Teams und Umgebungen hinzufügen.
Sie können globale Ressourcen wie projektübergreifende Netzwerke und freigegebene Images in einem Ordner mit Berechtigungen hosten, die den Zugriff auf alle Nutzer in der Organisation zulassen.
Hier finden Sie weitere Informationen:
Option 2: Organisationsknoten trennen
Wenn Sie Abteilungen innerhalb Ihrer Organisation als isolierte Einheiten ohne zentrale Verwaltung behandeln möchten, sollten Sie separate Organisationen erstellen. Das folgende Diagramm zeigt separate Organisationsknoten, die eine Schule als Beispiel verwenden.
Zur Implementierung dieser Konfiguration richten Sie school.edu und lab3.school.edu als separate primäre Google Workspace-Domains ein, die diskrete Organisationsknoten erzeugen. Verwenden Sie diese Option nur, wenn die folgenden Bedingungen erfüllt sind:
- Sie möchten separate Identitätsdomains verwalten.
- Sie müssen die Zugriffssteuerungen, benutzerdefinierten Rollen, Abrechnungen, Kontingente und Konfigurationseinstellungen für die zweite Organisation vom zentralen Organisationsknoten
school.edugetrennt halten.
Für viele Bildungseinrichtungen mit zentralisierter IT-Governance führt das Verwalten von zwei separaten Google Cloud-Umgebungen zu Mehraufwand. Beispielsweise können Sicherheitsrichtlinien in mehreren Organisationsknoten im Laufe der Zeit voneinander abweichen, sofern Administratoren nicht darauf achten, die Richtlinien synchron zu halten.
Weitere Informationen zu den Auswirkungen dieses Ansatzes finden Sie unter Einzelnen Organisationsknoten verwenden.
Ordner zum Organisieren von Ressourcen verwenden
Mit Ordnern können Sie Google Cloud-Ressourcen verwalten, Richtlinien anwenden, Administratorberechtigungen gewähren sowie Abteilungen und Teams mehr Autonomie geben. Ordner unterstützen Sie auch dabei, Richtlinien zu verwalten und den Zugriff für eine Gruppe von Projekten gleichzeitig zu steuern. In einem Ordner verschachtelte Ordner, Projekte und Ressourcen übernehmen die Richtlinien des übergeordneten Ordners.
Im Folgenden finden Sie einige Szenarien, in denen das Verwenden von Ordnern hilfreich sein kann:
- Ihre Organisation verfügt über verschiedene Geschäftsbereiche mit jeweils einer eigenen IT-Gruppe.
- Sie ordnen Elemente einer bestehenden Struktur zu, die auf einem LDAP-Verzeichnis wie Microsoft Active Directory basiert.
- Sie möchten Projekte nach Anwendungsfällen wie IT-Infrastruktur und dem forschungsrelevanten Computing beziehungsweise Lehren und Lernen trennen.
Weitere Informationen finden Sie unter Google Cloud-Ressourcen verwalten.
Ressourcen in Projekten organisieren
Alle Google Cloud-Ressourcen, die Sie zuweisen und nutzen, müssen zu einem Projekt gehören. Ein Projekt ist die organisatorische Entität für das, was Sie erstellen möchten. Ein Projekt besteht aus Einstellungen, Berechtigungen und anderen Metadaten, die Ihre Anwendungen beschreiben. Ressourcen innerhalb eines Projekts arbeiten zusammen, indem sie über ein internes Netzwerk kommunizieren. Die in jedem Projekt enthaltenen Ressourcen bleiben über die Projektgrenzen hinaus voneinander getrennt. Sie können Ressourcen nur über eine externe Netzwerkverbindung oder ein freigegebenes Virtual Private Cloud (VPC)-Netzwerk verknüpfen.
Jedes Google Cloud-Projekt hat folgende Elemente:
- Einen Projektnamen, den Sie bereitstellen.
- Eine Projekt-ID, die Sie bereitstellen, die aber auch Google Cloud bereitstellen kann.
- Eine Projektnummer, die Google Cloud bereitstellt.
Beachten Sie beim Erstellen eines Projekts Folgendes:
- Bestimmen Sie die Inhaberschaft von Projekten und erstellen Sie separate Projekte für verschiedene Arbeitslasten oder Teams.
- Verwenden Sie separate Projekte, um eine Anwendung in Produktions- und Nichtproduktionsumgebungen zu unterteilen. Auf diese Weise haben Änderungen, die in der Nicht-Produktionsumgebung vorgenommen werden, keinen Einfluss auf die Produktionsumgebung und können mithilfe von Deployment-Skripts heraufgestuft oder übernommen werden.
- Trennen Sie Computing- und Datenressourcen zwischen Labs oder arbeiten Sie sogar innerhalb eines Labs. Diese Trennung ermöglicht eine vollständige Autonomie und Datentrennung zwischen Projekten. Dies ist nützlich, wenn ein Lab an mehreren Projekten mit konkurrierenden Beteiligten arbeitet.
Wenn Sie ein Projekt erstellen, müssen Sie es mit einem Rechnungskonto verknüpfen. Sie müssen die Rolle des Rechnungskontoadministrators oder des Rechnungskontonutzers für das Zielrechnungskonto haben, um ein neues Projekt mit einem vorhandenen Rechnungskonto verknüpfen zu können.
Mit Active Assist Ressourcen im großen Maßstab verwalten
Wenn Ihre Organisation wächst, steigt im Allgemeinen auch die Komplexität. Projekte werden nicht verwendet, VMs sind inaktiv und Berechtigungen werden erteilt, aber nicht entfernt, wenn sie nicht mehr benötigt werden. Um die Komplexität zu verringern, empfehlen wir, ein aktuelles Asset-Inventar zu verwalten und es anhand der Empfehlungen und Insights von Active Assist zu überprüfen. Active Assist bietet Empfehlungen zum Suchen inaktiver VMs, zum Entfernen überschüssiger IAM-Berechtigungen, zum Löschen oder Rückgewinnung nicht verwendeter Projekte.
Die Verwendung dieser Empfehlungen kann für Ihr Unternehmen erhebliche Vorteile haben. Zu diesen Vorteilen gehören die Reduzierung unnötiger Ausgaben und die Verringerung der Sicherheitsrisiken sowie die Leistung und Verwaltbarkeit Ihrer Organisation.
Sie können Cloud Asset Inventory verwenden, um auf ein Inventar und einen Verlauf aller Google Cloud-Projekte und der zugehörigen Ressourcen zuzugreifen. Sie können den Assetverlauf nach BigQuery oder Cloud Storage exportieren.
Zugriffssteuerungen verwalten
In diesem Abschnitt werden Best Practices für die Verwaltung des Zugriffs auf Google Cloud- und Google Workspace-Dienste beschrieben.
Gruppen für die Richtlinienverwaltung verwenden
Es empfiehlt sich, in Richtlinien Gruppen anstelle von einzelnen Nutzern zu verwenden. Wenn Teammitglieder der Gruppe beitreten und diese verlassen, können Sie die Gruppenmitgliedschaft anpassen und die richtigen Richtlinienänderungen erfolgen automatisch. Um diese Vorgehensweise zu implementieren, erstellen Sie Google Groups-Gruppen, die auf Jobfunktionen für jedes Projekt oder jeden Ordner basieren. Anschließend weisen Sie jeder Gruppe mehrere Rollen zu, die für den Aufgabenbereich erforderlich sind.
Zum Verwalten von Gruppen kann ein Super Admin oder delegierter Administrator die Google Workspace-Admin-Konsole verwenden.
Geringste Berechtigung zum Erstellen von Vertrauensgrenzen verwenden
Berücksichtigen Sie bei der Entscheidung über eine Projektstruktur IT-Zertifizierungsgrenzen, die wahrscheinlich einem vorhandenen IT-Governance-Modell oder Sicherheitsmodell folgen. Angenommen, Ihre Organisation enthält separate Abteilungen wie Ingenieurwesen, Wirtschaft und Recht, die Vertrauensgrenzen zwischeneinander pflegen müssen.
Wenn Sie die Best Practice zur geringsten Berechtigung anwenden, können Sie Nutzerkonten und Dienstkonten projektübergreifend verschiedene Rollen zuweisen. Wenn ein Nutzer Administratorzugriff auf ein Projekt hat, aber nur Lesezugriff auf ein anderes Projekt benötigt, können Sie diese Rollen mithilfe einer Berechtigungsrichtlinie explizit definieren. Weitere Informationen finden Sie in der IAM-Anleitung zum Grundsatz der geringsten Berechtigung.
Dienstkonten, Rollen und Richtlinien verwenden, um den Zugriff auf Ressourcen zu verwalten
Große Unternehmen trennen häufig Betriebsteams wie die Sicherheits- und Netzwerkverwaltung von anderen Abteilungen. Diese Trennung erfordert die Verwendung von Ressourcen, die von anderen Teams verwaltet werden und dem Grundsatz der geringsten Berechtigung folgen. Konfigurieren Sie diese Trennung mithilfe von IAM und Dienstkonten.
Mit IAM steuern Sie die Zugriffskontrolle und legen fest, wer welchen Zugriff auf welche Ressourcen hat. Durch das Erstellen einer "allow"-Richtlinie weisen Sie Nutzern Rollen zu. Für einen differenzierten Zugriff auf bestimmte Google Cloud-Ressourcen können Sie vordefinierte Rollen verwenden oder benutzerdefinierte Rollen festlegen.
In Google Cloud wird einem Super Admin in Google Workspace standardmäßig die Rolle des Organisationsadministrators zugewiesen. Diese Rolle wird verwendet, um anderen Nutzern Berechtigungen zu erteilen, und kann aus dem Super Admin-Nutzerkonto nicht entfernt werden. Die wichtigste Rolle, die ein Super Admin gewähren muss, ist die Rolle des Projekterstellers, sodass designierte Nutzer ihre eigenen Projekte erstellen können.
Weitere Informationen zu Dienstkonten finden Sie unter Details zu Dienstkonten.
Privilegierte Konten sparsam erstellen
Weisen Sie entsprechend dem Grundsatz der geringsten Berechtigung Super Admin-Rollen separaten Konten von den regulären Konten Ihrer Administratoren zu. Zum Beispiel könnten Sie alex@school.edu für tägliche Aktivitäten verwenden und alex.admin@school.edu für Änderungen an der Google Workspace-Admin-Konsole oder Google Cloud Console.
Identitäten für Arbeitslasten erstellen
Google Cloud verwendet Dienstkonten zum Aufrufen von Google API-Aufrufen, um sicherzustellen, dass die Anmeldedaten von Nutzern nicht direkt verwendet werden. Diese Konten werden auf folgende Weise sowohl als Identität als auch als Ressource behandelt:
- Wenn ein Dienstkonto als Identität fungiert, gewähren Sie ihm Rollen, damit es auf eine Ressource wie einen Storage-Bucket zugreifen kann.
- Wenn ein Dienstkonto als Ressource fungiert, müssen Sie Nutzern die Berechtigung zum Zugriff auf dieses Konto erteilen, genauso wie Sie die Berechtigung zum Zugriff auf ein BigQuery-Dataset gewähren. Sie können einem Nutzer die Rolle des Inhabers, Mitbearbeiters, Betrachters oder Dienstkontonutzers zuweisen. Nutzer mit der Rolle "Dienstkontonutzer" können auf alle Ressourcen zugreifen, auf die das Dienstkonto Zugriff hat.
Abrechnung verwalten
Es gibt zwei Arten von Cloud-Rechnungskonten: Selfservice-Konto (oder Onlinekonto) und Rechnungskonto (oder Offlinekonto).
Ein Selfservice-Konto bietet folgende Funktionen:
- Sofern in Ihrem Land oder Ihrer Region unterstützt, erfolgt die Zahlung mit einem Zahlungsmittel wie einer Kreditkarte, einer Debitkarte oder einem ACH-Lastschrift.
- Die Kosten werden automatisch dem Zahlungsmittel belastet, das mit dem Cloud-Rechnungskonto verknüpft ist.
- Sie können sich ohne Hilfe von uns für Selfservice-Konten registrieren.
- Zu den für Selfservice-Konten generierten Dokumenten gehören Kontoauszüge, Zahlungsbelege und Rechnungen mit ausgewiesener Umsatzsteuer. Greifen Sie über die Console auf diese Dokumente zu.
Features eines Kontos mit Rechnungsstellung sind:
- Die Zahlung erfolgt per Scheck oder Überweisung.
- Rechnungen werden per Post oder elektronisch gesendet.
- Über die Konsole können Sie auf Rechnungen und Zahlungsbelege zugreifen.
- Sie müssen zur Abrechnung per Rechnungsstellung berechtigt sein. Weitere Informationen finden Sie unter Berechtigung für Rechnungen.
In den folgenden Abschnitten werden die Best Practices für beide Arten von Cloud-Rechnungskonten beschrieben.
Cloud Billing-Daten zur Analyse in BigQuery exportieren
Zum Analysieren Ihrer Nutzung und Kosten exportieren Sie Ihre Abrechnungsdaten in ein BigQuery-Dataset.
Das Exportieren von Rechnungsdaten in BigQuery kann Ihnen dabei helfen, Projekte zu finden, deren Ausgaben das von Ihnen festgelegte Limit überschreiten. Sie können auch die Liste der Dienste abfragen, die Ihnen in Rechnung gestellt werden. Die folgende Abfrage listet z. B. alle Projekte auf, für die im aktuellen Monat mehr als 0,10 $ ausgegeben wurden:
SELECT
project.name,
cost
FROM
YOUR_BIGQUERY_TABLE
WHERE
cost > 0.1 AND usage_month IN "YYYY-MM"
ORDER BY
cost DESC
Dabei gilt:
- YOUR_BIGQUERY_TABLE durch Ihren Tabellennamen.
- YYYY-MM durch den aktuellen Monat und das aktuelle Datum. Beispiel:
2022-10
Einzelnes Rechnungskonto für die Verwaltung von Abrechnung und Budgets verwenden
Verwenden Sie die Google Cloud Console, um Ihr Cloud-Rechnungskonto zu verwalten. Von dort aus können Sie die Kontoeinstellungen wie Zahlungsmethoden und Administratorkontakte aktualisieren. Über die Konsole können Sie auch Budgets oder Benachrichtigungen einrichten, sich den Zahlungsverlauf ansehen oder Zahlungsdaten exportieren.
Für die meisten Organisationen ist ein einziges Rechnungskonto für alle Projekte ausreichend. Organisationsweite Rabatte gelten für alle Projekte, die mit dem Rechnungskonto verknüpft sind. Sie können eine einzelne Zahlung an Google ausführen, um die monatliche Rechnung zu begleichen, und Sie können organisationsspezifische, abteilungsspezifische oder laborspezifische Projekte mit einem internen IT-Rückbuchungsprozess berechnen.
Das folgende Diagramm zeigt, wie das einzelne Rechnungskonto funktioniert:
Abrechnungsfaktoren können auch beeinflussen, wie Sie Projekte und Ordner in Google Cloud organisieren. Entsprechend Ihren internen Kostenstellen können Sie die Organisation wie im folgenden Diagramm gestalten.
In diesem Diagramm repräsentieren Ordner alle Projekte und Assets, die einer Kostenstelle, einer Abteilung oder einem IT-Projekt zugeordnet sind. Die Kosten werden für jedes Projekt angezeigt und der Abrechnungsexport nach BigQuery enthält Projekt-IDs.
Ziehen Sie mehrere Rechnungskonten in Betracht, wenn Kostenstellen eine separate Rechnung begleichen müssen oder Ihre Organisation Arbeitslasten hat, die in einer anderen Währung bezahlen müssen. Bei diesem Ansatz muss möglicherweise für jedes Rechnungskonto oder jede Interaktion mit einem Google Cloud-Reseller eine Vereinbarung unterzeichnet werden.
Rechnungskontorollen zuweisen
Rechnungskontorollen helfen Ihnen, Rechnungskonten zu verwalten. Sie können bestimmten Nutzern auf Organisationsebene die folgenden Abrechnungsrollen zuweisen.
| Rolle | Beschreibung |
|---|---|
| Rechnungskontoadministrator | Verwaltet alle Rechnungskonten in der Organisation. |
| Rechnungskontoersteller | Erstellt Rechnungskonten in der Organisation. |
| Rechnungskontonutzer | Verknüpft Projekte mit Rechnungskonten. |
| Projektabrechnung-Administrator | Ist zum Zuweisen des Rechnungskontos eines Projekts oder zum Deaktivieren der Projektabrechnung berechtigt. |
| Rechnungskonto-Kostenverwalter | Verwaltet Budgets und Ansichten und exportiert Kosteninformationen für Rechnungskonten. Sie können jedoch keine Preisinformationen aufrufen oder exportieren. |
| Rechnungskonto-Betrachter | Rufen Sie Kontoinformationen und Transaktionen im Rechnungskonto auf. |
Damit Nutzer alle Rechnungskonten in Ihrer Organisation aufrufen können, weisen Sie die Rolle des Rechnungskontoadministrators auf Organisationsebene zu. Nutzen Sie die Rolle des Rechnungskontoerstellers, um gezielt festzulegen, wer mit den entsprechenden Berechtigungen Rechnungskonten wie erstellen darf. Weitere Informationen finden Sie unter Rechnungskonto erstellen, ändern oder schließen und unter Übersicht über die Zugriffssteuerung für Abrechnungen.
Weitere Informationen zum Ändern des Rechnungskontos eines Projekts finden Sie unter Rechnungskonto des Projekts ändern.
Budgets und Benachrichtigungen zur Überwachung der Abrechnung erstellen
Wenn Sie Ihr Rechnungskonto und einzelne Projekte überwachen möchten, können Sie Budgets erstellen und E-Mail-Benachrichtigungen an Abrechnungsadministratoren und Abrechnungsnutzer senden.
Durch Budgets werden Benachrichtigungen generiert, nicht jedoch die Abrechnung für Projekte deaktiviert, sodass ein Projekt auch dann ausgeführt wird, wenn es das Budget überschreitet. Wenn ein Projekt das Budget überschreitet, müssen Sie die Abrechnung manuell deaktivieren. Da das Budget nicht in Echtzeit aktualisiert wird, erkennen Sie unter Umständen das übermäßige Problem nicht für ein oder zwei Tage.
Wenn Sie Budgetbenachrichtigungen an Nutzer senden möchten, die keine Abrechnungsadministratoren oder Abrechnungsnutzer sind, konfigurieren Sie Cloud Monitoring-Benachrichtigungskanäle.
Ressourcen mithilfe von Labels organisieren
Labels sind Schlüssel/Wert-Paare, mit denen Sie Ihre Google Cloud-Ressourcen organisieren können. Labels werden an das Abrechnungssystem weitergeleitet und sind im Abrechnungsexport in BigQuery enthalten. Mit Labels können Sie in Rechnung gestellte Kosten nach Label abfragen.
Durch das Hinzufügen von Labels zu Ressourcen nach Abteilung, Hochschule, Arbeitslast oder Lab können Sie abgerechnete Gebühren der richtigen Entität zuordnen, ohne für jedes neue Projekt separate Rechnungskonten erstellen zu müssen. Weitere Informationen zu Labels finden Sie unter Labels erstellen und verwalten.
Kontingente und Limits überwachen
Viele Ressourcen in Google Cloud sind durch Kontingente beschränkt. Beispiel: Ein neues Projekt, das einem neu verknüpften Rechnungskonto zugeordnet ist, hat in Compute Engine ein Kontingent von acht virtuellen CPUs. Sie können Ihre Kontingentnutzung in der Google Cloud Console überwachen. Sie können auch eine Kontingenterhöhung anfordern, um auf weitere Ressourcen oder neue Ressourcen wie GPUs zuzugreifen.
Ihr Netzwerk verwalten
In diesem Abschnitt werden Best Practices für die Verwaltung Ihres Google Cloud-Netzwerks beschrieben.
Netzwerkansatz auswählen
Isolieren Sie Ihre Cloud-Dienste mit VPC. Verwenden Sie beispielsweise VPC, um ein Netzwerk einzurichten, das einen gemeinsamen und privaten RFC-1918-IP-Bereich enthält, der sich über alle Ihre Projekte erstreckt. Anschließend fügen Sie Instanzen aus jedem anderen Projekt zu diesem Netzwerk oder seinen Subnetzwerken hinzu. Für jedes neue Projekt wird ein Standard-VPC-Netzwerk erstellt. Dieses Standardnetzwerk ist für Tests oder die Entwicklung geeignet, sollte jedoch für die Produktion durch ein benutzerdefiniertes VPC-Netzwerk ersetzt werden.
Sie können auch eine Cloud VPN-Verbindung an ein einzelnes Netzwerk anhängen, das von allen oder einem Teil der Projekte verwendet werden kann. Verwenden Sie die VPN-Verbindung, um eine Verbindung zu einem Google Cloud-spezifischen RFC 1918 IP-Bereich herzustellen oder um den RFC 1918-IP-Adressbereich Ihres lokalen Netzwerks zu erweitern.
In der folgenden Tabelle werden zwei der am häufigsten verwendeten Netzwerkoptionen in Google Cloud beschrieben.
| Netzwerkoption | Beschreibung |
|---|---|
| Direct Peering | Wenn Sie eine registrierte ASN (autonome Systemnummer) haben und öffentlich routingfähige IP-Präfixe haben, stellen Sie eine Verbindung zu Google über Direct Peering her. Diese Option beruht auf dem gleichen Verbindungsmodell wie das öffentliche Internet. Im Gegensatz zum öffentlichen Internet gibt es jedoch keinen Dienstanbieter. Weitere Informationen finden Sie unter Google Edge-Netzwerk. |
| Carrier Peering | Wenn Sie keine öffentlichen ASN haben oder über einen Dienstanbieter eine Verbindung zu Google herstellen möchten, verwenden Sie Carrier Peering. Carrier Peering wurde für Kunden entwickelt, die eine professionelle Verbindung zum Google Edge-Netzwerk benötigen. |
Es ist oft schwierig, die mit dem ausgehenden Traffic verbundenen Kosten vorherzusagen. Um Mitgliedern von Internet2 Higher Education zu helfen, verzichtet Google auf Gebühren für ausgehenden Internettraffic, die zu Listenpreisen bis zu maximal 15 % der gesamten monatlichen Verbrauchskosten berechnet werden. Dieses Angebot gilt für bestimmte SKUs für ausgehenden Internettraffic.
Weitere Informationen zu Netzwerkoptionen finden Sie unter Netzwerkverbindungsprodukt auswählen.
Hilfe
In diesem Abschnitt werden die Best Practices beschrieben, um Hilfe von Google zu erhalten.
Supportplan auswählen, der Ihren Anforderungen entspricht
Wählen Sie einen Supportplan aus, der den Anforderungen Ihrer Organisation und des Dokuments entspricht, die die entsprechenden Berechtigungen zum Erstellen eines Supportfalls haben.
Basissupport ist kostenlos und für alle Google Cloud-Nutzer verfügbar. Basic umfasst Abrechnungssupport, aber keinen technischen Support. Wenn Sie technischen Support erhalten möchten, müssen Sie einen technischen Supportplan erwerben.
Sie können technische Supportstufen für Google Cloud nur auf Organisationsebene erwerben. Die Gebühr für den technischen Support wird auf Projektebene für alle Projekte in der Organisation berechnet.
Einen detaillierten Feature- und Kostenvergleich der Supportpläne finden Sie unter Cloud Customer Care.
Wir empfehlen den SLED-Organisationen zumindest, den Standardsupportplan zu erwerben. Wenn Ihre Organisation jedoch geschäftskritische Arbeitslasten ausführt, können Sie einen erweiterten Supportplan erwerben. Mit dem erweiterten Supportplan können Sie rund um die Uhr auf Customer Care zugreifen, Fälle über die Customer Support API erstellen und Fälle eskalieren.
Für Ihre Organisation kann es von Vorteil sein, einen Technical Account Manager zu unterstützen, der Onboarding, Fallverwaltung, Fallausweitung und monatliche Überprüfungen der betrieblichen Integrität unterstützt. Wenn Sie einen Technical Account Manager möchten, aber keinen Premiumsupportplan möchten, empfehlen wir den Technical Account Advisor Service.
Sie können den Standardsupport und den erweiterten Support über die Google Cloud Console erwerben. Wenn Sie den Premium-Support erwerben möchten, wenden Sie sich an den Vertrieb.
Supportfälle erstellen und eskalieren
Zum Erstellen eines Falls können Sie die Google Cloud Console oder die Cloud Support API verwenden (erweiterter oder Premiumsupport erforderlich). Beachten Sie beim Erstellen eines Falls die entsprechende Supportfallpriorität.
Wenn Sie für Ihren Fall bereits die entsprechende Fallpriorität festgelegt haben und Probleme mit dem Supportprozess auftreten, können Sie den Fall eskalieren. Eine Liste möglicher Gründe für die Eskalation eines Falls finden Sie unter Fall eskalieren.
Wenn Sie Premiumsupport haben, können Sie während der lokalen Geschäftszeiten auch eine Eskalation bei Ihrem Technical Account Manager anfordern.
Nächste Schritte
- Weitere Informationen zu den einzelnen Google Cloud-Diensten.
- Weitere Informationen zu Network Intelligence Center
- Erfahren Sie, wie Google Cloud-Dienste Amazon Web Services (AWS) oder Microsoft Azure-Dienste zugeordnet werden.
- Nehmen Sie an einem Kurs teil oder zertifizieren Sie sich zu Grundlagenkenntnissen zu Google Cloud.
- Google Cloud Boost-Funktion für Schulungs-Labs und -pfade von Google Cloud