O nó de raiz para gerir recursos no Google Cloud é a organização. A Google Cloud organização fornece uma hierarquia de recursos que oferece uma estrutura de propriedade para recursos e pontos de ligação para políticas da organização e controlos de acesso. A hierarquia de recursos consiste em pastas, projetos e recursos e define a estrutura e a utilização dos serviços numa organização. Google Cloud
Os recursos mais abaixo na hierarquia herdam políticas, como políticas de autorização da IAM e políticas da organização. Por predefinição, todas as autorizações de acesso são recusadas até aplicar políticas de autorização diretamente a um recurso ou o recurso herdar as políticas de autorização de um nível superior na hierarquia de recursos.
O diagrama seguinte mostra as pastas e os projetos implementados pelo projeto.
As secções seguintes descrevem as pastas e os projetos no diagrama.
Pastas
O projeto usa pastas para agrupar projetos com base no respetivo ambiente. Este agrupamento lógico é usado para aplicar configurações, como políticas de permissão e políticas de organização, ao nível da pasta. Em seguida, todos os recursos na pasta herdam as políticas. A tabela seguinte descreve as pastas que fazem parte do plano detalhado.
| Pasta | Descrição |
|---|---|
bootstrap |
Contém os projetos que são usados para implementar componentes básicos. |
common |
Contém projetos com recursos partilhados por todos os ambientes. |
production |
Contém projetos com recursos de produção. |
nonproduction |
Contém uma cópia do ambiente de produção para lhe permitir testar as cargas de trabalho antes de as promover para produção. |
development |
Contém os recursos da nuvem que são usados para o desenvolvimento. |
networking |
Contém os recursos de rede partilhados por todos os ambientes. |
Projetos
O projeto usa projetos para agrupar recursos individuais com base na respetiva funcionalidade e nos limites destinados ao controlo de acesso. A tabela seguinte descreve os projetos que estão incluídos no plano.
| Pasta | Projeto | Descrição |
|---|---|---|
bootstrap |
prj-b-cicd |
Contém o pipeline de implementação usado para criar os componentes base da organização. Para mais informações, consulte a metodologia de implementação. |
prj-b-seed |
Contém o estado do Terraform da sua infraestrutura e a conta de serviço do Terraform necessária para executar o pipeline. Para mais informações, consulte a metodologia de implementação. | |
common |
prj-c-secrets |
Contém segredos ao nível da organização. Para mais informações, consulte o artigo sobre como armazenar credenciais de aplicações com o Secret Manager. |
prj-c-logging |
Contém as origens de registos agregadas para registos de auditoria. Para mais informações, consulte o registo centralizado para segurança e auditoria. | |
prj-c-scc |
Contém recursos para ajudar a configurar alertas do Security Command Center e outra monitorização de segurança personalizada. Para mais informações, consulte o artigo Monitorização de ameaças com o Security Command Center. | |
prj-c-billing-export |
Contém um conjunto de dados do BigQuery com as exportações de faturação da organização. Para mais informações, consulte o artigo sobre como atribuir custos entre centros de custos internos. | |
prj-c-infra-pipeline |
Contém um pipeline de infraestrutura para implementar recursos como VMs e bases de dados a serem usados por cargas de trabalho. Para mais informações, consulte as camadas de pipeline. | |
prj-c-kms |
Contém chaves de encriptação para encriptar serviços partilhados na pasta comum. Para mais informações, consulte o artigo sobre como gerir as chaves de encriptação. | |
networking |
prj-net-{env}-svpc |
Contém o projeto anfitrião de uma rede VPC partilhada. Para mais informações, consulte a topologia de rede. |
prj-net-hub |
Contém a rede VPC partilhada usada como um hub entre o ambiente no local e os raios. Google Cloud Este projeto é criado apenas na topologia de centro e nó. Para mais informações, consulte a topologia de rede. | |
prj-net-interconnect |
Contém as ligações do Cloud Interconnect que fornecem conetividade entre o seu ambiente nas instalações e oGoogle Cloud. Para mais informações, consulte o artigo sobre a conetividade híbrida. | |
ambientes: -
development (d) |
prj-{env}-{workload_name_or_id} |
Contém vários projetos de carga de trabalho nos quais cria recursos para aplicações. Para mais informações, consulte os padrões de implementação de projetos e as camadas de pipeline. |
prj-{env}-secrets |
Contém segredos ao nível da pasta. Para mais informações, consulte o artigo Armazene e audite credenciais de aplicações com o Secret Manager. | |
prj-{env}-kms | Contém chaves de encriptação para encriptar serviços em cada pasta de ambiente. Para mais informações, consulte gerir chaves de encriptação. |
Administração para a propriedade de recursos
Recomendamos que aplique etiquetas de forma consistente aos seus projetos para ajudar na governação e na atribuição de custos. A tabela seguinte descreve as etiquetas de projeto que são adicionadas a cada projeto para a governação no projeto.
| Etiqueta | Descrição |
|---|---|
application |
O nome legível da aplicação ou da carga de trabalho associada ao projeto. |
businesscode |
Um código curto que descreve a unidade de negócio proprietária do projeto. O código shared é usado para projetos comuns que não estão explicitamente associados a uma unidade de negócio. |
billingcode |
Um código usado para fornecer informações de estorno. |
primarycontact |
O nome de utilizador do contacto principal responsável pelo projeto. Uma vez que as etiquetas de projetos não podem incluir carateres especiais, como o símbolo comercial (@), são definidas para o nome de utilizador sem o sufixo @example.com. |
secondarycontact |
O nome de utilizador do contacto secundário responsável pelo projeto. Uma vez que as etiquetas de projetos não podem incluir carateres especiais, como @, defina apenas o nome de utilizador sem o sufixo @example.com. |
environment |
Um valor que identifica o tipo de ambiente, como
bootstrap, common, production,
non-production,development ou network. |
envcode |
Um valor que identifica o tipo de ambiente, abreviado para
b, c, p, n,
d ou net. |
vpc |
O ID da rede VPC que este projeto deve usar. |
Ocasionalmente, a Google pode enviar notificações importantes, como suspensões de contas ou atualizações aos termos dos produtos. O projeto usa os contactos essenciais para enviar essas notificações aos grupos que configurar durante a implementação. Os contactos essenciais são configurados no nó da organização e herdados por todos os projetos na organização. Recomendamos que reveja estes grupos e se certifique de que os emails são monitorizados de forma fiável.
Os contactos essenciais são usados para um propósito diferente dos campos primarycontact e secondarycontact configurados nas etiquetas de projetos. Os contactos nas etiquetas de projetos destinam-se à administração interna. Por exemplo, se identificar recursos não conformes num projeto de carga de trabalho e precisar de contactar os proprietários, pode usar o campo primarycontact para encontrar a pessoa ou a equipa responsável por essa carga de trabalho.
O que se segue?
- Leia acerca das redes (próximo documento desta série).