Gérer les ressources cloud

Ce document du framework d'architecture Google Cloud décrit les bonnes pratiques à suivre pour organiser et gérer vos ressources dans Google Cloud.

Hiérarchie des ressources

Les ressources Google Cloud sont organisées de façon hiérarchique dans des organisations, dossiers et projets. Cette hiérarchie vous permet de gérer les aspects communs de vos ressources, tels que le contrôle des accès, les paramètres de configuration et les règles. Pour connaître les bonnes pratiques de conception de la hiérarchie de vos ressources cloud, consultez la page Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud.

Libellés et tags de ressources

Cette section présente les bonnes pratiques pour organiser les ressources Google Cloud à l'aide de libellés et de tags.

Utiliser une structure de dossiers simple

Les dossiers vous permettent de regrouper n'importe quelle combinaison de projets et de sous-dossiers. Créez une structure de dossiers simple pour organiser vos ressources Google Cloud. Vous pouvez ajouter d'autres niveaux selon vos besoins pour définir une hiérarchie de ressources qui réponde aux besoins de votre entreprise. La structure des dossiers est flexible et extensible. Pour en savoir plus, consultez la page Créer et gérer des dossiers.

Utiliser des dossiers et des projets pour refléter les règles de gouvernance des données

Utilisez des dossiers, des sous-dossiers et des projets pour séparer les ressources les unes des autres afin de refléter les règles de gouvernance des données de votre organisation. Par exemple, vous pouvez utiliser une combinaison de dossiers et de projets pour séparer le service financier, les ressources humaines et l'ingénierie.

Utilisez des projets pour regrouper des ressources partageant la même limite de confiance. Par exemple, les ressources d'un même produit ou d'un même microservice peuvent appartenir au même projet. Pour plus d'informations, consultez la section Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud.

Utilisez des tags et des étiquettes dès le début de votre projet

Utilisez des libellés et tags lorsque vous commencez à utiliser les produits Google Cloud, même si vous n'en avez pas besoin immédiatement. L'ajout ultérieur de libellés et de tags peut nécessiter un effort manuel difficile et potentiellement source d'erreurs.

Un tag permettent d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Un libellé est une paire clé/valeur qui vous permet d'organiser plus efficacement vos instances Google Cloud. Pour en savoir plus sur les libellés, consultez les exigences relatives aux libellés, une liste de services compatibles avec les libellés et les formats de libellés.

Resource Manager fournit des libellés et tags pour vous aider à gérer les ressources, à allouer et générer des rapports sur les coûts, et à attribuer des stratégies à différentes ressources pour un contrôle d'accès précis. Par exemple, vous pouvez utiliser des libellés et des tags pour appliquer un contrôle d'accès et des principes de gestion précis à différents services et ressources locataires. Pour en savoir plus sur les libellés de VM et les tags réseau, consultez la section Relation entre les libellés de VM et les tags réseau.

Vous pouvez utiliser des libellés à plusieurs fins, y compris les suivantes :

• Gestion de la facturation des ressources : les libellés sont disponibles dans le système de facturation, ce qui vous permet de séparer les coûts par libellé. Par exemple, vous pouvez ajouter des libellés aux différents centres de coûts ou budgets.
• Regroupement des ressources par caractéristiques similaires ou par relation : vous pouvez utiliser des libellés pour séparer différentes étapes du cycle de vie de l'application ou différents environnements. Par exemple, vous pouvez ajouter des libellés aux environnements de production, de développement et de test.

Attribuer des libellés pour la création de rapports sur les coûts et la facturation

Pour bénéficier de rapports de coûts et de facturation précis basés sur des attributs en dehors de vos structures de création de rapports intégrées (par type de projet ou de produit par exemple), attribuez des libellés aux ressources. Les libellés peuvent vous aider à attribuer la consommation à des centres de coûts, des services, des projets spécifiques ou des mécanismes de recharge interne. Pour en savoir plus, consultez la section Catégorie d'optimisation des coûts.

Éviter de créer un grand nombre de libellés

Évitez de créer un grand nombre de libellés. Nous vous recommandons de créer les libellés principalement au niveau du projet, et d'éviter de les créer à des niveaux inférieures à celui de l'équipe. La création de libellés trop précis peut entraîner du bruit dans vos analyses. Pour en savoir plus sur les cas d'utilisation courants des libellés, consultez la section Utilisations courantes des libellés.

Éviter d'ajouter des informations sensibles aux libellés

Les libellés ne sont pas conçus pour gérer des informations sensibles. N'incluez pas d'informations sensibles dans les libellés, ce qui inclut les informations pouvant être personnellement identifiables, telles que le nom ou le titre d'une personne.

Anonymiser les informations dans les noms de projet.

Appliquez un modèle de dénomination de projet tel que COMPANY_INITIAL_IDENTIFIER-ENVIRONMENT-APP_NAME, où les espaces réservés sont uniques et ne dévoilent pas les noms de sociétés ou d'applications. N'incluez pas d'attributs susceptibles de changer à l'avenir, comme un nom d'équipe ou une technologie.

Appliquer des tags représentant les dimensions métier

Vous pouvez appliquer des tags pour modéliser d'autres aspects commerciaux tels que la structure organisationnelle, les régions, les types de charge de travail ou les centres de coûts. Pour en savoir plus sur les tags, consultez les pages Présentation des tags, Héritage des tags et Créer et gérer des tags. Pour apprendre à utiliser les tags avec les règles, consultez la page Règles et tags. Pour découvrir comment gérer les contrôles d'accès à l'aide de tags, consultez la section Tags et contrôle des accès.

Règles d'administration

Cette section présente les bonnes pratiques pour configurer des règles de gouvernance sur les ressources Google Cloud dans toute la hiérarchie des ressources cloud.

Établir des conventions de nommage de projet

Établissez une convention de nommage de projet standardisée, par exemple SYSTEM_NAME-ENVIRONMENT (dev, test, uat, stage, prod).

Les noms de projet ne doivent pas comporter plus de 30 caractères.

Bien que vous puissiez appliquer un préfixe tel que COMPANY_TAG-SUB_GROUP/SUBSIDIARY_TAG, les noms de projet peuvent devenir obsolètes lorsque les entreprises subissent des réorganisations. Envisagez de déplacer les noms identifiables des noms de projets vers les libellés de projet.

Automatiser la création de projet

Pour créer des projets pour la production et les entreprises de grande envergure, utilisez un processus automatisé tel queDeployment Manager ou le module Terraform de la fabrique de projets Google Cloud. Ces outils permettent d'exécuter les opérations suivantes :

• Créer automatiquement des environnements de développement, de test et de production ou des projets disposant d'autorisations appropriées.
• Configurer la journalisation et la surveillance

Le module Terraform de la fabrique de projets Google Cloud vous aide à automatiser la création de projets Google Cloud. Dans les grandes entreprises, nous vous recommandons d'examiner et d'approuver les projets avant de les créer dans Google Cloud. Ce processus permet de s'assurer que :

• Les coûts peuvent bien être attribués. Pour en savoir plus, consultez la section Catégorie d'optimisation des coûts.
• Les approbations sont en place pour les importations de données.
• Les exigences réglementaires ou de conformité sont satisfaites.

Lorsque vous automatisez la création et la gestion des projets et ressources Google Cloud, vous bénéficiez d'un niveau cohérent de reproductibilité et de testabilité. Gérer la configuration sous forme de code vous permet de gérer les versions et le cycle de vie de la configuration ainsi que les artefacts logiciels. L'automatisation vous permet d'intégrer les bonnes pratiques comme les conventions de nommage cohérentes et l'étiquetage de ressources. À mesure que vos exigences évoluent, l'automatisation simplifie la refactorisation des projets.

Auditer régulièrement vos systèmes

Pour vous assurer que les demandes de nouveaux projets peuvent être auditées et approuvées, intégrez le système de gestion des demandes de votre entreprise ou un système autonome fournissant des audits.

Configurer les projets de manière cohérente

Configurez les projets pour répondre aux besoins de votre entreprise de manière cohérente. Tenez compte des points suivants lorsque vous configurez des projets :

• ID du projet et conventions de nommage
• Association de comptes de facturation
• Configuration de la mise en réseau
• API et services activés
• Configuration des accès à Compute Engine
• Exportation des journaux et rapports d'utilisation
• Privilège de suppression de projets

Dissocier et isoler des charges de travail ou des environnements

Les quotas et les limites sont appliqués au niveau du projet. Pour gérer les quotas et les limites, dissociez et isolez les charges de travail ou les environnements au niveau du projet. Pour en savoir plus, consultez la section Les quotas et leur utilisation.

Le découplage des environnements est différent des exigences de classification des données. La séparation des données de l'infrastructure peut être coûteuse et complexe à mettre en œuvre. Par conséquent, nous vous recommandons de mettre en œuvre la classification des données en fonction des exigences de sensibilité et de conformité.

Appliquer l'isolation de la facturation

Appliquez l'isolation de la facturation pour prendre en charge différents comptes de facturation et avoir une visibilité sur les coûts par charge de travail et par environnement. Pour en savoir plus, consultez les pages Créer, modifier ou fermer un compte de facturation Cloud en libre-service et Activer, désactiver ou modifier la facturation pour un projet.

Pour minimiser la complexité administrative, utilisez des contrôles de gestion d'accès précis pour les environnements critiques au niveau du projet, ou pour les charges de travail réparties sur plusieurs projets. Lorsque vous organisez le contrôle des accès pour les applications de production critiques, vous vous assurez que les charges de travail sont sécurisées et gérées efficacement.

Utiliser le service de règles d'administration pour contrôler les ressources

L'APIService de règles d'administration offre aux administrateurs de règles un contrôle centralisé et automatisé des ressources cloud de votre organisation afin qu'ils puissent configurer des contraintes sur l'ensemble de la hiérarchie de ressources. Pour en savoir plus, consultez la section Ajouter un administrateur de règles d'administration.

Utiliser le service de règles d'administration pour se conformer aux réglementations

Pour répondre aux exigences de conformité, utilisez le Service de règles d'administration afin appliquer les exigences de conformité relatives au partage et à l'accès aux ressources. Par exemple, vous pouvez limiter le partage avec des parties externes ou déterminer où déployer les ressources cloud. Voici d'autres scénarios de conformité :

• Centraliser le contrôle pour configurer des restrictions qui définissent la façon dont les ressources de votre organisation peuvent être utilisées.
• Définir et mettre en place des règles visant à aider vos équipes de développement à respecter les limites de conformité.
• Aider les propriétaires de projet et leurs équipes à apporter des modifications au système tout en maintenant la conformité réglementaire et en minimisant les préoccupations liées au non-respect des règles de conformité.

Limiter le partage des ressources en fonction du domaine

Une règle d'administration de partage restreint vous permet d'empêcher le partage des ressources Google Cloud avec des identités en dehors de votre organisation. Pour en savoir plus, consultez les pages Restreindre les identités par domaine et Contraintes liées aux règles d'administration.

Désactiver la création de comptes de service et de clés

Pour améliorer la sécurité, limitez l'utilisation des comptes de service Cloud IAM (Cloud Identity and Access Management) et des clés correspondantes. Pour en savoir plus, consultez la page Restreindre l'utilisation des comptes de service.

Limiter l'emplacement physique des nouvelles ressources

Limitez l'emplacement physique des ressources nouvellement créées en restreignant les emplacements des ressources. Pour afficher la liste des contraintes vous permettant de contrôler les ressources de votre organisation, consultez la page Contraintes liées au service de règles d'administration.

Étape suivante

Découvrez comment choisir et gérer les ressources de calcul, y compris :

• Approche de migration de calcul.

• Concevoir des charges de travail et faire évoluer vos charges de travail.

• Gérer les opérations.

• Gérer les migrations de VM.

Découvrez d'autres catégories du framework d'architecture telles que la fiabilité, l'excellence opérationnelle, la sécurité, la confidentialité et la conformité.