Questo documento nel framework dell'architettura Google Cloud fornisce le best practice per organizzare e gestire le tue risorse in Google Cloud.
Gerarchia delle risorse
Le risorse Google Cloud sono organizzate gerarchicamente in organizzazioni, cartelle e progetti. Questa gerarchia consente di gestire gli aspetti comuni delle risorse, come controllo dell'accesso, le impostazioni di configurazione e i criteri. Per le best practice per la progettazione della gerarchia delle risorse cloud, consulta Decidere una gerarchia delle risorse per la zona di destinazione Google Cloud.
Etichette e tag delle risorse
Questa sezione fornisce le best practice per l'utilizzo di etichette e tag per organizzare le risorse Google Cloud.
Usa una struttura di cartelle semplice
Le cartelle ti consentono di raggruppare qualsiasi combinazione di progetti e sottocartelle. Crea una semplice struttura di cartelle per organizzare le tue risorse Google Cloud. Se necessario, puoi aggiungere altri livelli per definire la gerarchia delle risorse in modo che supporti le tue esigenze aziendali. La struttura delle cartelle è flessibile ed estensibile.Per ulteriori informazioni, consulta Creazione e gestione delle cartelle.
Usa cartelle e progetti per riflettere i criteri di governance dei dati
Utilizza cartelle, sottocartelle e progetti per separare le risorse l'una dall'altra in modo da riflettere i criteri di governance dei dati all'interno della tua organizzazione. Ad esempio, puoi utilizzare una combinazione di cartelle e progetti per separare le risorse finanziarie, le risorse umane e l'ingegneria.
Usa i progetti per raggruppare le risorse che condividono gli stessi confini di attendibilità. Ad esempio, le risorse per lo stesso prodotto o microservizio possono appartenere allo stesso progetto. Per maggiori informazioni, consulta Decidere una gerarchia di risorse per la zona di destinazione Google Cloud.
Usa tag ed etichette all'avvio del progetto
Usa etichette e tag quando inizi a usare i prodotti Google Cloud, anche se non ti servono immediatamente. L'aggiunta di etichette e tag in un secondo momento può richiedere uno sforzo manuale, soggetto a errori e difficile da completare.
Un tag fornisce un modo per consentire o negare in modo condizionale i criteri a seconda che una risorsa abbia un tag specifico. Un'etichetta è una coppia chiave-valore che consente di organizzare le istanze Google Cloud. Per ulteriori informazioni sulle etichette, consulta i requisiti per le etichette, un elenco dei servizi che le supportano e i formati delle etichette.
Resource Manager fornisce etichette e tag per aiutarti a gestire le risorse, allocare e generare report sui costi e assegnare criteri a risorse diverse per un controllo granulare degli accessi. Ad esempio, puoi utilizzare etichette e tag per applicare principi granulari di accesso e gestione a diverse risorse e servizi del tenant. Per informazioni sulle etichette delle VM e sui tag di rete, consulta Relazione tra etichette delle VM e tag di rete.
Puoi utilizzare le etichette per più scopi, tra cui:
- Gestione della fatturazione delle risorse: le etichette sono disponibili nel sistema di fatturazione, consentendo di separare i costi per etichette. Ad esempio, puoi etichettare centri di costo o budget diversi.
- Raggruppamento delle risorse in base a caratteristiche simili o relazioni: puoi utilizzare le etichette per separare fasi o ambienti del ciclo di vita dell'applicazione diversi. Ad esempio, puoi etichettare gli ambienti di produzione, sviluppo e test.
Assegnare etichette per supportare i report su costi e fatturazione
Per supportare report granulari sui costi e sulla fatturazione in base ad attributi esterni alle strutture di reporting integrate (ad esempio per progetto o per tipo di prodotto), assegna etichette alle risorse. Le etichette possono aiutarti ad allocare il consumo a centri di costo, reparti, progetti specifici o meccanismi di ricarica interni. Per ulteriori informazioni, consulta la categoria di ottimizzazione dei costi.
Evita di creare un numero elevato di etichette
Evita di creare un numero elevato di etichette. Ti consigliamo di creare le etichette principalmente a livello di progetto e di evitare di crearle a livello di team secondario. Se crei etichette troppo granulari, potresti aggiungere rumore matematico ai tuoi dati di analisi. Per scoprire di più sui casi d'uso comuni delle etichette, consulta Utilizzi comuni delle etichette.
Evita di aggiungere informazioni sensibili alle etichette
Le etichette non sono progettate per gestire informazioni sensibili. Non includere informazioni sensibili nelle etichette, comprese informazioni che potrebbero essere identificabili personalmente, come il nome o il titolo di una persona.
Anonimizza le informazioni nei nomi dei progetti
Segui un modello di denominazione dei progetti come COMPANY_INITIAL_IDENTIFIER-ENVIRONMENT-APP_NAME, in cui i segnaposto sono univoci e non rivelano i nomi di aziende o applicazioni. Non includere attributi che possono cambiare in futuro, ad esempio il nome di un team o la tecnologia.
Applica i tag per modellare le dimensioni aziendali
Puoi applicare tag per modellare dimensioni aziendali aggiuntive, come struttura organizzativa, regioni, tipi di carichi di lavoro o centri di costo. Per scoprire di più sui tag, consulta Panoramica dei tag, Eredità dei tag e Creazione e gestione dei tag. Per informazioni su come utilizzare i tag con i criteri, consulta Criteri e tag. Per scoprire come utilizzare i tag per gestire il controllo dell'accesso'accesso, consulta Tag e controllo dell'accesso.
Criteri dell'organizzazione
Questa sezione fornisce le best practice per la configurazione delle regole di governance sulle risorse Google Cloud nella gerarchia delle risorse cloud.
Stabilisci convenzioni di denominazione dei progetti
Stabilisci una convenzione di denominazione dei progetti standardizzata, ad esempio
SYSTEM_NAME-ENVIRONMENT (dev, test, uat, stage, prod).
I nomi di progetto hanno un limite di 30 caratteri.
Anche se puoi applicare un prefisso come COMPANY_TAG-SUB_GROUP/SUBSIDIARY_TAG, i nomi dei progetti possono diventare obsoleti quando le aziende vengono riorganizzate.
Valuta la possibilità di spostare i nomi identificabili dai nomi dei progetti alle etichette dei progetti.
Automatizza la creazione dei progetti
Per creare progetti per la produzione e le aziende su larga scala, utilizza un processo automatizzato come Deployment Manager o il modulo Terraform per la fabbrica di progetti Google Cloud. Questi strumenti:
- Crea automaticamente ambienti o progetti di sviluppo, test e produzione che dispongono delle autorizzazioni appropriate.
- Configura il logging e il monitoraggio.
Il modulo Terraform per la fabbrica di progetti Google Cloud ti aiuta ad automatizzare la creazione di progetti Google Cloud. Nelle aziende di grandi dimensioni, consigliamo di rivedere e approvare i progetti prima di crearli in Google Cloud. Questa procedura consente di garantire quanto segue:
- Possono essere attribuiti dei costi. Per ulteriori informazioni, consulta la categoria di ottimizzazione dei costi.
- I caricamenti dei dati sono in corso di approvazione.
- Vengono soddisfatti i requisiti normativi o di conformità.
Quando automatizzi la creazione e la gestione di progetti e risorse di Google Cloud, ottieni il vantaggio di coerenza, riproducibilità e testbilità. Trattare la configurazione come codice ti consente di gestire la versione e il ciclo di vita della configurazione insieme agli artefatti software. L'Automation consente di supportare best practice come convenzioni di denominazione coerenti e etichettatura delle risorse. Man mano che i requisiti si evolvono, l'automazione semplifica il refactoring del progetto.
Controlla regolarmente i tuoi sistemi
Per assicurarti che le richieste di nuovi progetti possano essere controllate e approvate, esegui l'integrazione con il sistema di gestione delle richieste di assistenza della tua azienda o con un sistema autonomo che fornisce funzioni di controllo.
Configura i progetti in modo coerente
Configura progetti in modo da soddisfare in modo coerente le esigenze della tua organizzazione. Quando configuri i progetti, includi quanto segue:
- ID progetto e convenzioni di denominazione
- Collegamento dell'account di fatturazione
- Configurazione della rete
- API e servizi abilitati
- Configurazione dell'accesso a Compute Engine
- Esportazione dei log e report sull'utilizzo
- Blocco per la rimozione del progetto
Disaccoppia e isola carichi di lavoro o ambienti
Quote e limiti vengono applicati a livello di progetto. Per gestire quote e limiti, disaccoppia e isola i carichi di lavoro o gli ambienti a livello di progetto. Per ulteriori informazioni, consulta Utilizzo delle quote.
Il disaccoppiamento degli ambienti è diverso dai requisiti di classificazione dei dati. La separazione dei dati dall'infrastruttura può essere costosa e complessa da implementare, pertanto ti consigliamo di implementare la classificazione dei dati in base alla sensibilità dei dati e ai requisiti di conformità.
Applicare l'isolamento della fatturazione
Applica l'isolamento della fatturazione per supportare account di fatturazione diversi e visibilità dei costi per carico di lavoro e ambiente. Per ulteriori informazioni, vedi Creare, modificare o chiudere l'account di fatturazione Cloud self-service e Attivare, disattivare o modificare la fatturazione per un progetto.
Per ridurre al minimo la complessità amministrativa, utilizza controlli granulari di gestione degli accessi per ambienti critici a livello di progetto o per carichi di lavoro distribuiti in più progetti. Quando selezioni controllo dell'accesso per le applicazioni di produzione critiche, ti assicuri che i carichi di lavoro siano protetti e gestiti in modo efficace.
Usa il servizio Criteri dell'organizzazione per controllare le risorse
Il servizio Criteri dell'organizzazione offre agli amministratori dei criteri un controllo centralizzato e programmatico sulle risorse cloud della tua organizzazione in modo che possano configurare i vincoli nella gerarchia delle risorse. Per ulteriori informazioni, consulta Aggiungere un amministratore dei criteri dell'organizzazione.
Usa il servizio Criteri dell'organizzazione per rispettare i criteri normativi
Per soddisfare i requisiti di conformità, utilizza il servizio Criteri dell'organizzazione per applicare i requisiti di conformità per la condivisione e l'accesso alle risorse. Ad esempio, puoi limitare la condivisione con parti esterne o determinare dove eseguire il deployment delle risorse cloud geograficamente. Altri scenari di conformità includono:
- Centralizzazione del controllo per configurare limitazioni che definiscono le modalità di utilizzo delle risorse dell'organizzazione.
- Definire e stabilire criteri per aiutare i team di sviluppo a rimanere entro i limiti di conformità.
- Aiutare i proprietari dei progetti e i loro team ad apportare modifiche al sistema mantenendo la conformità normativa e riducendo al minimo i problemi di violazione delle regole di conformità.
Limita la condivisione delle risorse in base al dominio
Un criterio dell'organizzazione di condivisione limitata consente di impedire la condivisione delle risorse Google Cloud con identità esterne all'organizzazione. Per saperne di più, consulta Limitazione delle identità per dominio e Vincoli dei criteri dell'organizzazione.
Disabilita creazione di account di servizio e chiavi
Per migliorare la sicurezza, limita l'utilizzo degli account di servizio Identity and Access Management (IAM) e delle chiavi corrispondenti. Per ulteriori informazioni, consulta Limitazione dell'utilizzo degli account di servizio.
Limita la località fisica delle nuove risorse
Limita la località fisica delle risorse appena create limitando le località delle risorse. Per visualizzare un elenco dei vincoli che ti consentono di controllare le risorse della tua organizzazione, vedi Vincoli del servizio Criteri dell'organizzazione.
Passaggi successivi
Scopri come scegliere e gestire il computing, incluso quanto segue:
Esplora altre categorie nel framework dell'architettura come affidabilità, eccellenza operativa e sicurezza, privacy e conformità.