Halaman ini diterjemahkan oleh Cloud Translation API.

Men-deploy blueprint

Last reviewed 2025-05-15 UTC

Bagian ini menjelaskan proses yang dapat Anda gunakan untuk men-deploy cetak biru, konvensi penamaannya, dan alternatif untuk rekomendasi cetak biru.

Menyatukan semuanya

Untuk men-deploy fondasi perusahaan Anda sendiri sesuai dengan praktik terbaik dan rekomendasi dari cetak biru ini, ikuti tugas tingkat tinggi yang diringkas di bagian ini. Deployment memerlukan kombinasi langkah-langkah penyiapan prasyarat, deployment otomatis melalui terraform-example-foundation di GitHub, dan langkah-langkah tambahan yang harus dikonfigurasi secara manual setelah deployment foundation awal selesai.

Proses Langkah

Proses	Langkah
Prasyarat sebelum men-deploy resource pipeline fondasi	Selesaikan langkah-langkah berikut sebelum Anda men-deploy pipeline fondasi: Buat akun Cloud Identity dan verifikasi kepemilikan domain. Ajukan permohonan akun penagihan dengan invoice kepada tim penjualan Google Cloud Anda atau buat akun penagihan layanan mandiri. Terapkan praktik terbaik keamanan untuk akun administrator. Verifikasi dan selesaikan masalah terkait akun pengguna konsumen. Konfigurasi penyedia identitas eksternal sebagai sumber kebenaran untuk menyinkronkan akun pengguna dan SSO. Sediakan grup untuk kontrol akses yang diperlukan untuk menjalankan blueprint. Tentukan topologi jaringan yang akan Anda gunakan. Tentukan alat pengelolaan kode sumber Anda. Petunjuk untuk terraform-example-foundation ditulis ke repositori Git yang dihosting di Cloud Source Repositories. Tentukan alat otomatisasi CI/CD Anda. terraform-example-foundation memberikan berbagai set petunjuk untuk berbagai alat otomatisasi. Untuk terhubung ke lingkungan lokal yang sudah ada, siapkan hal-hal berikut: Rencanakan alokasi alamat IP Anda berdasarkan jumlah dan ukuran rentang yang diperlukan oleh cetak biru. Pesan koneksi Dedicated Interconnect Anda.
Langkah-langkah untuk men-deploy terraform-example-foundation dari GitHub	Ikuti petunjuk README untuk setiap tahap guna men-deploy terraform-example-foundation dari GitHub: Tahap `0-bootstrap` untuk membuat pipeline fondasi. Jika menggunakan akun penagihan layanan mandiri, Anda harus meminta kuota project tambahan sebelum melanjutkan ke tahap berikutnya. Tahap `1-org` untuk mengonfigurasi resource tingkat organisasi. Tahap `2-environments` untuk membuat lingkungan. Siapkan `3-networks-dual-svpc` `or` `3-networks-hub-and-spoke` untuk membuat resource jaringan dalam topologi pilihan Anda. Tahap `4-projects` untuk membuat pipeline infrastruktur. Secara opsional, siapkan `5-app-infra` untuk penggunaan contoh pipeline infrastruktur.
Langkah tambahan setelah deployment IaC	Setelah Anda men-deploy kode Terraform, selesaikan langkah-langkah berikut: Selesaikan perubahan konfigurasi lokal. Aktifkan Security Command Center Premium. Mengekspor data Penagihan Cloud ke BigQuery. Daftar ke paket Cloud Customer Care. Aktifkan log Transparansi Akses. Bagikan data dari Cloud Identity ke Google Cloud. Terapkan kontrol administratif untuk Cloud Identity yang tidak diotomatiskan oleh deployment IaC. Tentukan mana dari kontrol administratif tambahan untuk pelanggan dengan workload sensitif yang sesuai untuk kasus penggunaan Anda. Tinjau praktik terbaik pengoperasian dan rencanakan cara menghubungkan operasi dan kemampuan yang ada ke resource dasar.

Prasyarat sebelum men-deploy resource pipeline fondasi

Selesaikan langkah-langkah berikut sebelum Anda men-deploy pipeline fondasi:

Buat akun Cloud Identity dan verifikasi kepemilikan domain.
Ajukan permohonan akun penagihan dengan invoice kepada tim penjualan Google Cloud Anda atau buat akun penagihan layanan mandiri.
Terapkan praktik terbaik keamanan untuk akun administrator.
Verifikasi dan selesaikan masalah terkait akun pengguna konsumen.
Konfigurasi penyedia identitas eksternal sebagai sumber kebenaran untuk menyinkronkan akun pengguna dan SSO.
Sediakan grup untuk kontrol akses yang diperlukan untuk menjalankan blueprint.
Tentukan topologi jaringan yang akan Anda gunakan.
Tentukan alat pengelolaan kode sumber Anda. Petunjuk untuk terraform-example-foundation ditulis ke repositori Git yang dihosting di Cloud Source Repositories.
Tentukan alat otomatisasi CI/CD Anda. terraform-example-foundation memberikan berbagai set petunjuk untuk berbagai alat otomatisasi.

Untuk terhubung ke lingkungan lokal yang sudah ada, siapkan hal-hal berikut:

Rencanakan alokasi alamat IP Anda berdasarkan jumlah dan ukuran rentang yang diperlukan oleh cetak biru.
Pesan koneksi Dedicated Interconnect Anda.

Langkah-langkah untuk men-deploy terraform-example-foundation dari GitHub

Ikuti petunjuk README untuk setiap tahap guna men-deploy terraform-example-foundation dari GitHub:

Tahap 0-bootstrap untuk membuat pipeline fondasi.
Jika menggunakan akun penagihan layanan mandiri, Anda harus meminta kuota project tambahan sebelum melanjutkan ke tahap berikutnya.
Tahap 1-org untuk mengonfigurasi resource tingkat organisasi.
Tahap 2-environments untuk membuat lingkungan.
Siapkan 3-networks-dual-svpc or 3-networks-hub-and-spoke untuk membuat resource jaringan dalam topologi pilihan Anda.
Tahap 4-projects untuk membuat pipeline infrastruktur.
Secara opsional, siapkan 5-app-infra untuk penggunaan contoh pipeline infrastruktur.

Langkah tambahan setelah deployment IaC

Setelah Anda men-deploy kode Terraform, selesaikan langkah-langkah berikut:

Selesaikan perubahan konfigurasi lokal.
Aktifkan Security Command Center Premium.
Mengekspor data Penagihan Cloud ke BigQuery.
Daftar ke paket Cloud Customer Care.
Aktifkan log Transparansi Akses.
Bagikan data dari Cloud Identity ke Google Cloud.
Terapkan kontrol administratif untuk Cloud Identity yang tidak diotomatiskan oleh deployment IaC.
Tentukan mana dari kontrol administratif tambahan untuk pelanggan dengan workload sensitif yang sesuai untuk kasus penggunaan Anda.
Tinjau praktik terbaik pengoperasian dan rencanakan cara menghubungkan operasi dan kemampuan yang ada ke resource dasar.

Kontrol administratif tambahan untuk pelanggan dengan workload sensitif

Google Cloud memberikan kontrol administratif tambahan yang dapat membantu persyaratan keamanan dan kepatuhan Anda. Namun, beberapa kontrol melibatkan biaya tambahan atau pertimbangan operasional yang mungkin tidak sesuai untuk setiap pelanggan. Kontrol ini juga memerlukan input yang disesuaikan untuk persyaratan spesifik Anda yang tidak dapat sepenuhnya diotomatiskan dalam cetak biru dengan nilai default untuk semua pelanggan.

Bagian ini memperkenalkan kontrol keamanan yang Anda terapkan secara terpusat ke fondasi Anda. Bagian ini tidak dimaksudkan untuk mencakup semua kontrol keamanan yang dapat Anda terapkan pada workload tertentu. Untuk mengetahui informasi selengkapnya tentang produk dan solusi keamanan Google, lihat Google Cloud pusat praktik terbaik keamanan.

Evaluasi apakah kontrol berikut sesuai untuk fondasi Anda berdasarkan persyaratan kepatuhan, selera risiko, dan sensitivitas data Anda.

Kontrol	Deskripsi
Melindungi resource Anda dengan Kontrol Layanan VPC	Kontrol Layanan VPC memungkinkan Anda menentukan kebijakan keamanan yang mencegah akses ke layanan yang dikelola Google di luar perimeter tepercaya, memblokir akses ke data dari lokasi yang tidak tepercaya, dan mengurangi risiko pemindahan data yang tidak sah. Namun, Kontrol Layanan VPC dapat menyebabkan layanan yang ada menjadi tidak berfungsi hingga Anda menentukan pengecualian untuk mengizinkan pola akses yang diinginkan. Evaluasi apakah nilai mitigasi risiko pemindahan data yang tidak sah sebanding dengan peningkatan kompleksitas dan overhead operasional saat menerapkan Kontrol Layanan VPC. Blueprint menyiapkan kontrol jaringan prasyarat dan perimeter Kontrol Layanan VPC uji coba, tetapi perimeter tidak diterapkan hingga Anda melakukan langkah-langkah tambahan.
Membatasi lokasi resource	Anda mungkin memiliki persyaratan peraturan bahwa resource cloud hanya boleh di-deploy di lokasi geografis yang disetujui. Batasan kebijakan organisasi ini memastikan bahwa resource hanya dapat di-deploy di daftar lokasi yang Anda tentukan.
Aktifkan Assured Workloads	Assured Workloads menyediakan kontrol kepatuhan tambahan yang membantu Anda memenuhi rezim peraturan tertentu. Blueprint menyediakan variabel opsional dalam pipeline deployment untuk pengaktifan.
Mengaktifkan log akses data	Anda mungkin memiliki persyaratan untuk mencatat semua akses ke data atau resource sensitif tertentu. Evaluasi tempat beban kerja Anda menangani data sensitif yang memerlukan log akses data, dan aktifkan log untuk setiap layanan dan lingkungan yang menangani data sensitif.
Mengaktifkan Persetujuan Akses	Persetujuan Akses memastikan bahwa Cloud Customer Care dan engineering memerlukan persetujuan eksplisit Anda setiap kali mereka perlu mengakses konten pelanggan Anda. Evaluasi proses operasional yang diperlukan untuk meninjau permintaan Persetujuan Akses guna memitigasi kemungkinan penundaan dalam menyelesaikan insiden dukungan.
Mengaktifkan Key Access Justifications	Justifikasi Akses Kunci memungkinkan Anda mengontrol secara terprogram apakah Google dapat mengakses kunci enkripsi Anda, termasuk untuk operasi otomatis dan agar Dukungan Pelanggan dapat mengakses konten pelanggan Anda. Evaluasi biaya dan overhead operasional yang terkait dengan Key Access Justifications serta dependensinya pada Cloud External Key Manager (Cloud EKM).
Menonaktifkan Cloud Shell	Cloud Shell adalah lingkungan pengembangan online. Shell ini dihosting di server yang dikelola Google di luar lingkungan Anda, sehingga tidak tunduk pada kontrol yang mungkin telah Anda terapkan di workstation developer Anda sendiri. Jika Anda ingin mengontrol secara ketat workstation yang dapat digunakan developer untuk mengakses resource cloud, nonaktifkan Cloud Shell. Anda juga dapat mengevaluasi Cloud Workstations untuk opsi workstation yang dapat dikonfigurasi di lingkungan Anda sendiri.
Membatasi akses ke Google Cloud konsol	Google Cloud memungkinkan Anda membatasi akses ke konsol Google Cloud berdasarkan atribut tingkat akses seperti keanggotaan grup, rentang alamat IP tepercaya, dan verifikasi perangkat. Beberapa atribut memerlukan langganan tambahan ke Chrome Enterprise Premium. Evaluasi pola akses yang Anda percayai untuk akses pengguna ke aplikasi berbasis web seperti konsol sebagai bagian dari deployment zero trust yang lebih besar.

Konvensi penamaan

Sebaiknya Anda memiliki konvensi penamaan standar untuk resourceGoogle Cloud . Tabel berikut menjelaskan konvensi yang direkomendasikan untuk nama resource dalam cetak biru.

Resource	Konvensi penamaan
Folder	`fldr-environment` `environment` adalah deskripsi resource tingkat folder dalam organisasi Google Cloud. Misalnya, `bootstrap`, `common`, `production`, `nonproduction`, `development`, atau `network`. Contoh: `fldr-production`
ID Project	`prj-environmentcode-description-randomid` `environmentcode` adalah bentuk singkat dari kolom lingkungan (salah satu dari `b`, `c`, `p`, `n`, `d`, atau `net`). Project host VPC Bersama menggunakan `environmentcode` dari lingkungan terkait. Project untuk resource jaringan yang dibagikan di seluruh lingkungan, seperti project `interconnect`, menggunakan kode lingkungan `net`. `description` adalah informasi tambahan tentang project. Anda dapat menggunakan singkatan pendek yang mudah dibaca. `randomid` adalah akhiran acak untuk mencegah tabrakan nama resource yang harus unik secara global dan untuk memitigasi serangan yang menebak nama resource. Blueprint akan otomatis menambahkan ID alfanumerik empat karakter acak. Contoh: `prj-c-logging-a1b2`
Jaringan VPC	`vpc-environmentcode-vpctype` `environmentcode` adalah bentuk singkat dari kolom lingkungan (salah satu dari `b`, `c`, `p`, `n`, `d`, atau `net`). `vpctype` adalah salah satu dari `svpc`, `float`, atau `peer`. Contoh: `vpc-p-svpc`
Subnet	`sn-environmentcode-vpctype-region{-description`} `environmentcode` adalah bentuk singkat dari kolom lingkungan (salah satu dari `b`, `c`, `p`, `n`, `d`, atau `net`). `vpctype` adalah salah satu dari `svpc`, `float`, atau `peer`. `region` adalah Google Cloud region yang valid tempat resource berada. Sebaiknya hapus tanda hubung dan gunakan bentuk singkat dari beberapa wilayah dan arah untuk menghindari batas karakter. Misalnya, `au` (Australia), `na` (Amerika Utara), `sa` (Amerika Selatan), `eu` (Eropa), `se` (tenggara), atau `ne` (timur laut). `description` adalah informasi tambahan tentang subnet. Anda dapat menggunakan singkatan pendek yang mudah dibaca. Contoh: `sn-p-svpc-uswest1`
Kebijakan firewall	`fw-firewalltype-scope-environmentcode{-description`} `firewalltype` adalah `hierarchical` atau `network`. `scope` adalah `global` atau Google Cloud region tempat resource berada. Sebaiknya hapus tanda hubung dan gunakan bentuk singkat dari beberapa wilayah dan arah untuk menghindari batas karakter. Misalnya, `au` (Australia), `na` (Amerika Utara), `sa` (Amerika Selatan), `eu` (Eropa), `se` (tenggara), atau `ne` (timur laut). `environmentcode` adalah bentuk singkat dari kolom lingkungan (salah satu dari `b`, `c`, `p`, `n`, `d`, atau `net`) yang memiliki resource kebijakan. `description` adalah informasi tambahan tentang kebijakan firewall hierarkis. Anda dapat menggunakan singkatan pendek yang mudah dibaca. Misalnya: `fw-hierarchical-global-c-01` `fw-network-uswest1-p-svpc`
Cloud Router	`cr-environmentcode-vpctype-region{-description`} `environmentcode` adalah bentuk singkat dari kolom lingkungan (salah satu dari `b`, `c`, `p`, `n`, `d`, atau `net`). `vpctype` adalah salah satu dari `svpc`, `float`, atau `peer`. `region` adalah region Google Cloud yang valid tempat resource berada. Sebaiknya hapus tanda hubung dan gunakan bentuk singkat dari beberapa wilayah dan arah untuk menghindari batas karakter. Misalnya, `au` (Australia), `na` (Amerika Utara), `sa` (Amerika Selatan), `eu` (Eropa), `se` (tenggara), atau `ne` (timur laut). `description` adalah informasi tambahan tentang Cloud Router. Anda dapat menggunakan singkatan pendek yang mudah dibaca. Contoh: `cr-p-svpc-useast1-cr1`
Koneksi Cloud Interconnect	`ic-dc-colo` `dc` adalah nama pusat data Anda yang terhubung ke Cloud Interconnect. `colo` adalah nama fasilitas kolokasi yang di-peering dengan Cloud Interconnect dari pusat data lokal. Contoh: `ic-mydatacenter-lgazone1`
Lampiran VLAN Cloud Interconnect	`vl-dc-colo-environmentcode-vpctype-region{-description}` `dc` adalah nama pusat data Anda yang terhubung ke Cloud Interconnect. `colo` adalah nama fasilitas kolokasi yang di-peering dengan Cloud Interconnect dari pusat data lokal. `environmentcode` adalah bentuk singkat dari kolom lingkungan (salah satu dari `b`, `c`, `p`, `n`, `d`, atau `net`). `vpctype` adalah salah satu dari `svpc`, `float`, atau `peer`. `region` adalah region Google Cloud yang valid tempat resource berada. Sebaiknya hapus tanda hubung dan gunakan bentuk singkat dari beberapa wilayah dan arah untuk menghindari batas karakter. Misalnya, `au` (Australia), `na` (Amerika Utara), `sa` (Amerika Selatan), `eu` (Eropa), `se` (tenggara), atau `ne` (timur laut). `description` adalah informasi tambahan tentang VLAN. Anda dapat menggunakan singkatan pendek yang mudah dibaca. Contoh: `vl-mydatacenter-lgazone1-p-svpc-useast1-cr1`
Grup	`grp-gcp-description@example.com` Where `description` adalah informasi tambahan tentang grup. Anda dapat menggunakan singkatan pendek yang mudah dibaca. Contoh: `grp-gcp-billingadmin@example.com`
Peran khusus	`rl-description` Tempat `description` adalah informasi tambahan tentang peran. Anda dapat menggunakan singkatan yang pendek dan mudah dibaca. Contoh: `rl-customcomputeadmin`
Akun layanan	`sa-description@projectid.` Dengan: `description` adalah informasi tambahan tentang akun layanan. Anda dapat menggunakan singkatan pendek yang mudah dibaca. `projectid` adalah ID project yang unik secara global. Contoh: `sa-terraform-net@prj-b-seed-a1b2.`
Bucket penyimpanan	`bkt-projectid-description` Dengan: `projectid` adalah ID project yang unik secara global. `description` adalah informasi tambahan tentang bucket penyimpanan. Anda dapat menggunakan singkatan pendek yang mudah dibaca. Contoh: `bkt-prj-c-infra-pipeline-a1b2-app-artifacts`

Alternatif untuk rekomendasi default

Praktik terbaik yang direkomendasikan dalam cetak biru mungkin tidak berfungsi untuk setiap pelanggan. Anda dapat menyesuaikan rekomendasi apa pun untuk memenuhi persyaratan spesifik Anda. Tabel berikut memperkenalkan beberapa variasi umum yang mungkin Anda perlukan berdasarkan tumpukan teknologi dan cara kerja yang ada.

Area keputusan	Alternatif yang memungkinkan
Organisasi: Cetak biru menggunakan satu organisasi sebagai node root untuk semua resource.	Menentukan hierarki resource untuk Google Cloud landing zone Anda memperkenalkan skenario yang mungkin membuat Anda lebih memilih beberapa organisasi, seperti berikut: Organisasi Anda menyertakan sub-perusahaan yang kemungkinan akan dijual pada masa mendatang atau yang dijalankan sebagai entitas yang sepenuhnya terpisah. Anda ingin bereksperimen di lingkungan sandbox tanpa konektivitas ke organisasi Anda yang ada.
Struktur folder: Cetak biru memiliki struktur folder yang membagi beban kerja menjadi folder `production, non-production` dan `development` di lapisan atas.	Menentukan hierarki resource untuk Google Cloud zona landing Anda memperkenalkan pendekatan lain untuk menyusun folder berdasarkan cara Anda ingin mengelola resource dan mewarisi kebijakan, seperti: Folder berdasarkan lingkungan aplikasi Folder berdasarkan entitas atau anak perusahaan regional Folder berdasarkan framework akuntabilitas
Kebijakan organisasi: Blueprint ini menerapkan semua batasan kebijakan organisasi di node organisasi.	Anda mungkin memiliki kebijakan keamanan atau cara kerja yang berbeda untuk berbagai bagian bisnis. Dalam skenario ini, terapkan batasan kebijakan organisasi di node yang lebih rendah dalam hierarki resource. Tinjau daftar lengkap batasan kebijakan organisasi yang membantu memenuhi persyaratan Anda.
Alat pipeline deployment: Cetak biru ini menggunakan Cloud Build untuk menjalankan pipeline otomatisasi.	Anda mungkin lebih memilih produk lain untuk pipeline deployment, seperti Terraform Enterprise, GitLab Runners, GitHub Actions, atau Jenkins. Cetakan mencakup arah alternatif untuk setiap produk.
Repositori kode untuk deployment: Blueprint ini menggunakan Cloud Source Repositories sebagai repositori Git pribadi terkelola.	Gunakan sistem kontrol versi pilihan Anda untuk mengelola repositori kode, seperti GitLab, GitHub, atau Bitbucket. Jika Anda menggunakan repositori pribadi yang dihosting di lingkungan lokal, konfigurasi jalur jaringan pribadi dari repositori ke lingkungan Google CloudAnda.
Penyedia identitas: Cetak biru ini mengasumsikan Active Directory lokal dan menggabungkan identitas ke Cloud Identity menggunakan Google Cloud Directory Sync.	Jika sudah menggunakan Google Workspace, Anda dapat menggunakan identitas Google yang sudah dikelola di Google Workspace. Jika tidak memiliki penyedia identitas yang ada, Anda dapat membuat dan mengelola identitas pengguna secara langsung di Cloud Identity. Jika Anda memiliki penyedia identitas yang sudah ada, seperti Okta, Ping, atau Azure Entra ID, Anda dapat mengelola akun pengguna di penyedia identitas yang sudah ada dan menyinkronkannya ke Cloud Identity. Jika Anda memiliki persyaratan kepatuhan atau kedaulatan data yang mencegah Anda menggunakan Cloud Identity, dan jika Anda tidak memerlukan identitas pengguna Google terkelola untuk layanan Google lainnya seperti Google Ads atau Google Marketing Platform, maka Anda mungkin lebih memilih federasi identitas tenaga kerja. Dalam skenario ini, perhatikan batasan pada layanan yang didukung.
Beberapa region: Cetak biru men-deploy resource regional ke dalam dua region Google Cloud berbeda untuk membantu mengaktifkan desain workload dengan mempertimbangkan persyaratan ketersediaan tinggi dan pemulihan dari bencana.	Jika Anda memiliki pengguna akhir di lebih banyak lokasi geografis, Anda dapat mengonfigurasi lebih banyak Google Cloud region untuk membuat resource yang lebih dekat dengan pengguna akhir dengan latensi yang lebih rendah. Jika Anda memiliki batasan kedaulatan data atau kebutuhan ketersediaan Anda dapat dipenuhi dalam satu region, Anda dapat mengonfigurasi hanya satu regionGoogle Cloud .
Alokasi alamat IP: Cetak biru ini menyediakan serangkaian rentang alamat IP.	Anda mungkin perlu mengubah rentang alamat IP tertentu yang digunakan berdasarkan ketersediaan alamat IP di lingkungan hybrid yang ada. Jika Anda mengubah rentang alamat IP, gunakan cetak biru sebagai panduan untuk jumlah dan ukuran rentang yang diperlukan, dan tinjau rentang alamat IP yang valid untukGoogle Cloud.
Jaringan hybrid: Cetak biru ini menggunakan Dedicated Interconnect di beberapa situs fisik dan Google Cloud region untuk bandwidth dan ketersediaan maksimum.	Bergantung pada persyaratan biaya, bandwidth, dan keandalan, Anda dapat mengonfigurasi Partner Interconnect atau Cloud VPN. Jika Anda perlu mulai men-deploy resource dengan konektivitas pribadi sebelum Dedicated Interconnect dapat diselesaikan, Anda dapat memulai dengan Cloud VPN dan beralih menggunakan Dedicated Interconnect nanti. Jika tidak memiliki lingkungan lokal yang sudah ada, Anda mungkin tidak memerlukan jaringan hybrid sama sekali.
Perimeter Kontrol Layanan VPC: Cetak biru merekomendasikan satu perimeter yang mencakup semua project layanan untuk topologi VPC Bersama Anda.	Anda mungkin memiliki kasus penggunaan yang memerlukan beberapa perimeter untuk organisasi atau Anda dapat memutuskan untuk tidak menggunakan Kontrol Layanan VPC sama sekali. Untuk mengetahui informasi selengkapnya, lihat menentukan cara memitigasi pemindahan data yang tidak sah melalui Google API.
Secret Manager: Cetak biru men-deploy project untuk menggunakan Secret Manager di folder `common` untuk secret di seluruh organisasi, dan project di setiap folder lingkungan untuk secret khusus lingkungan.	Jika Anda memiliki satu tim yang bertanggung jawab untuk mengelola dan mengaudit secret sensitif di seluruh organisasi, sebaiknya gunakan satu project saja untuk mengelola akses ke secret. Jika Anda mengizinkan tim workload mengelola secret mereka sendiri, Anda mungkin tidak menggunakan project terpusat untuk mengelola akses ke secret, dan malah mengizinkan tim menggunakan instance Secret Manager mereka sendiri dalam project workload.
Cloud KMS: Cetak biru men-deploy project untuk menggunakan Cloud KMS di folder `common` untuk kunci di seluruh organisasi, dan project untuk setiap folder lingkungan untuk kunci di setiap lingkungan.	Jika Anda memiliki satu tim yang bertanggung jawab untuk mengelola dan mengaudit kunci enkripsi di seluruh organisasi, sebaiknya gunakan hanya satu project untuk mengelola akses ke kunci. Pendekatan terpusat dapat membantu memenuhi persyaratan kepatuhan seperti pemegang kunci PCI. Jika Anda mengizinkan tim workload mengelola kunci mereka sendiri, Anda mungkin tidak menggunakan project terpusat untuk mengelola akses ke kunci, dan malah mengizinkan tim menggunakan instance Cloud KMS mereka sendiri di project workload.
Sink log gabungan: Cetak biru mengonfigurasi serangkaian sink log di node organisasi sehingga tim keamanan pusat dapat meninjau log audit dari seluruh organisasi.	Anda mungkin memiliki tim yang berbeda yang bertanggung jawab untuk mengaudit berbagai bagian bisnis, dan tim ini mungkin memerlukan log yang berbeda untuk melakukan tugasnya. Dalam skenario ini, desain beberapa tujuan gabungan di folder dan project yang sesuai, lalu buat filter agar setiap tim hanya menerima log yang diperlukan, atau desain tampilan log untuk kontrol akses terperinci ke bucket log umum.
Granularitas pipeline infrastruktur: Cetak biru menggunakan model di mana setiap unit bisnis memiliki pipeline infrastruktur terpisah untuk mengelola project workload mereka.	Anda mungkin lebih memilih pipeline infrastruktur tunggal yang dikelola oleh tim pusat jika Anda memiliki tim pusat yang bertanggung jawab untuk men-deploy semua project dan infrastruktur. Tim pusat ini dapat menerima permintaan pull dari tim beban kerja untuk ditinjau dan disetujui sebelum pembuatan proyek, atau tim dapat membuat permintaan pull sendiri sebagai respons terhadap sistem tiket. Anda mungkin lebih memilih pipeline yang lebih terperinci jika setiap tim workload memiliki kemampuan untuk menyesuaikan pipeline mereka sendiri dan Anda ingin mendesain akun layanan dengan hak istimewa yang lebih terperinci untuk pipeline.
Ekspor SIEM:Blueprint mengelola semua temuan keamanan di Security Command Center.	Tentukan apakah Anda akan mengekspor temuan keamanan dari Security Command Center ke alat seperti Google Security Operations atau SIEM yang sudah ada, atau apakah tim akan menggunakan konsol untuk melihat dan mengelola temuan keamanan. Anda dapat mengonfigurasi beberapa ekspor dengan filter unik untuk tim yang berbeda dengan cakupan dan tanggung jawab yang berbeda.

Langkah berikutnya

Terapkan cetak biru menggunakan contoh dasar Terraform di GitHub.
Pelajari lebih lanjut prinsip desain praktik terbaik dengan Google Cloud Framework yang Dirancang dengan Baik.
Tinjau kumpulan cetak biru untuk membantu Anda mempercepat desain dan pembangunan workload perusahaan umum, termasuk yang berikut:
Lihat solusi terkait untuk di-deploy di atas lingkungan dasar Anda.

Men-deploy blueprint Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.