In diesem Dokument des Google Cloud-Architektur-Frameworks finden Sie Best Practices zum Organisieren und Verwalten Ihrer Ressourcen in Google Cloud.
Ressourcenhierarchie
Google Cloud-Ressourcen sind in Organisationen, Ordnern und Projekten hierarchisch angeordnet. Mithilfe dieser Hierarchie können Sie gemeinsame Aspekte Ihrer Ressourcen wie Zugriffssteuerung, Konfigurationseinstellungen und Richtlinien verwalten. Best Practices zum Entwerfen der Hierarchie Ihrer Cloud-Ressourcen finden Sie unter Ressourcenhierarchie für Ihre Google Cloud-Landing-Zone festlegen.
Ressourcenlabels und -Tags
Dieser Abschnitt enthält Best Practices zum Verwenden von Labels und Tags zum Organisieren Ihrer Google Cloud-Ressourcen.
Einfache Ordnerstruktur verwenden
Mit Ordnern können Sie eine beliebige Kombination aus Projekten und Unterordnern gruppieren. Erstellen Sie eine einfache Ordnerstruktur zum Organisieren Ihrer Google Cloud-Ressourcen. Sie können bei Bedarf weitere Ebenen hinzufügen, um Ihre Ressourcenhierarchie zu definieren, damit sie Ihren Geschäftsanforderungen entspricht. Die Ordnerstruktur ist flexibel und erweiterbar. Weitere Informationen finden Sie unter Ordner erstellen und verwalten.
Data Governance-Richtlinien in Ordnern und Projekten darstellen
Verwenden Sie Ordner, Unterordner und Projekte, um Ressourcen voneinander zu trennen, um die Richtlinien für die Data Governance in Ihrer Organisation widerzuspiegeln. Sie können beispielsweise eine Kombination aus Ordnern und Projekten verwenden, um Finanz-, Personal- und Technikteams zu trennen.
Verwenden Sie Projekte zum Gruppieren von Ressourcen mit der gleichen Vertrauensgrenze. Zum Beispiel können Ressourcen für das gleiche Projekt oder den gleichen Mikrodienst zum gleichen Projekt gehören. Weitere Informationen finden Sie unter Ressourcenhierarchie für Ihre Google Cloud-Landing-Zone auswählen.
Tags und Labels bereits am Anfang Ihres Projekts verwenden
Verwenden Sie Labels und Tags, wenn Sie Google Cloud-Produkte bereits verwenden, auch wenn Sie sie nicht sofort benötigen. Das Hinzufügen von Labels und Tags erfordert später möglicherweise einen manuellen Aufwand, der fehleranfällig und schwer zu handhaben ist.
Mit Tags können Sie Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Ein Label ist ein Schlüssel/Wert-Paar, mit dem Sie Ihre Google Cloud-Instanzen organisieren können. Weitere Informationen zu Labels finden Sie unter Anforderungen für Labels, eine Liste von Diensten, die Labels unterstützen und Labelformate.
Resource Manager bietet Labels und Tags, mit denen Sie Ressourcen verwalten, Kosten zuweisen und entsprechende Berichte erstellen sowie Richtlinien verschiedenen Ressourcen für eine detaillierte Zugriffssteuerung zuweisen können. Sie können beispielsweise Labels und Tags verwenden, um detaillierte Zugriffs- und Verwaltungsprinzipien auf verschiedene Mandantenressourcen und -dienste anzuwenden. Informationen zu VM-Labels und Netzwerk-Tags finden Sie unter Beziehung zwischen VM-Labels und Netzwerk-Tags.
Sie können Labels für mehrere Zwecke verwenden, einschließlich:
- Ressourcenabrechnung verwalten: Labels sind im Abrechnungssystem verfügbar, sodass Sie Kosten durch Labels aufteilen können. Sie können beispielsweise verschiedene Kostenstellen oder Budgets mit Labels versehen.
- Ressourcen nach ähnlichen Merkmalen oder nach Beziehung gruppieren: Sie können Labels verwenden, um verschiedene Phasen oder Umgebungen der Anwendung zu unterteilen. Beispielsweise können Sie Produktions-, Entwicklungs- und Testumgebungen mit Labels versehen.
Labels für Support- und Abrechnungsberichte zuweisen
Damit detaillierte Kosten- und Abrechnungsberichte basierend auf Attributen außerhalb Ihrer integrierten Berichtsstrukturen (z. B. pro Projekt oder produktspezifischer Typ) unterstützt werden können, weisen Sie Ressourcen Labels zu. Mithilfe von Labels können Sie die Nutzung den Kostenstellen, Abteilungen, bestimmten Projekten oder internen Lademechanismen zuordnen. Weitere Informationen finden Sie unter Kategorie zur Kostenoptimierung.
Zu viele Labels vermeiden
Vermeiden Sie es, zu viele Labels zu erstellen. Wir empfehlen, Labels in erster Linie auf Projektebene zu erstellen und Labels auf der Ebene von Untergruppen zu vermeiden. Wenn Sie zu detaillierte Labels erstellen, kann dies zu unnötigen Analysen führen. Informationen zu gängigen Anwendungsfällen für Labels finden Sie unter Gängige Anwendungsfälle von Labels.
Labels keine vertraulichen Informationen hinzufügen
Labels sind nicht für vertrauliche Informationen gedacht. Labels dürfen keine vertraulichen Informationen enthalten, einschließlich Informationen, die möglicherweise personenbezogen sind, z. B. den Namen oder Titel einer Person.
Informationen in Projektnamen anonymisieren
Verwenden Sie ein Projektnamensmuster wie COMPANY_INITIAL_IDENTIFIER-ENVIRONMENT-APP_NAME, wobei die Platzhalter eindeutig sind und keine Namen von Unternehmen oder Anwendungen erkennen lassen. Geben Sie keine Attribute an, die sich in Zukunft ändern können, z. B. einen Teamname oder eine Technologie.
Tags auf Modellgeschäftsdimensionen anwenden
Sie können Tags anwenden, um zusätzliche Geschäftsdimensionen wie Organisationsstruktur, Regionen, Arbeitslasttypen oder Kostenstellen zu modellieren. Weitere Informationen zu Tags finden Sie unter Tags – Übersicht, Tag-Übernahme und Tags erstellen und verwalten. Informationen zum Verwenden von Tags mit Richtlinien finden Sie unter Richtlinien und Tags. Informationen zur Verwendung von Tags zur Verwaltung der Zugriffssteuerung finden Sie unter Tags und Zugriffssteuerung.
Organisationsrichtlinien
Dieser Abschnitt enthält Best Practices zum Konfigurieren von Governance-Regeln für Google Cloud-Ressourcen in der gesamten Cloudressourcenhierarchie.
Namenskonventionen für Projekte festlegen
Legen Sie eine standardisierte Namenskonvention für Projekte fest, z. B. SYSTEM_NAME-ENVIRONMENT (dev, test, uat, stage, prod).
Projektnamen dürfen nicht länger als 30 Zeichen sein.
Sie können zwar ein Präfix wie COMPANY_TAG-SUB_GROUP/SUBSIDIARY_TAG anwenden, aber Projektnamen können veraltet sein, wenn Unternehmen Reorganisationen durchlaufen.
Ziehen Sie in Betracht, identifizierbare Namen von Projektnamen zu Projektlabels zu verschieben.
Projekterstellung automatisieren
Um Projekte für die Produktion und für große Unternehmen zu erstellen, verwenden Sie einen automatisierten Prozess wie Deployment Manager oder Terraform-Modul für Google Cloud Project Factory. Diese Tools tun Folgendes:
- Entwicklungs-, Test- und Produktionsumgebungen oder Projekte mit den entsprechenden Berechtigungen automatisch erstellen.
- Logging und Monitoring konfigurieren.
Mit dem Terraform-Modul für Google Cloud Project Factory können Sie die Erstellung von Google Cloud-Projekten automatisieren. In großen Unternehmen empfehlen wir Ihnen, Projekte zu prüfen und zu genehmigen, bevor Sie sie in Google Cloud erstellen. Dadurch wird Folgendes sichergestellt:
- Kosten können zugeordnet werden. Weitere Informationen finden Sie unter Kategorie zur Kostenoptimierung.
- Für Datenuploads gelten Genehmigungen.
- Gesetzliche oder Compliance-Anforderungen werden erfüllt.
Die Automatisierung der Erstellung und Verwaltung von Google Cloud-Projekten und -Ressourcen bietet Ihnen Konsistenz, Reproduzierbarkeit und Testbarkeit. Wenn Sie Ihre Konfiguration als Code behandeln, können Sie den Lebenszyklus der Konfiguration zusammen mit den Softwareartefakten versionieren und verwalten. Die Automatisierung ermöglicht Ihnen, Best Practices wie konsistente Namenskonventionen und Ressourcenlabels zu unterstützen. Wenn sich Ihre Anforderungen ändern, vereinfacht die Automatisierung die Projektrefaktorierung.
Systeme regelmäßig prüfen
Binden Sie das Ticketsystem Ihres Unternehmens oder ein eigenständiges System mit Auditing ein, um sicherzustellen, dass Anfragen für neue Projekte geprüft und genehmigt werden können.
Projekte einheitlich konfigurieren
Konfigurieren Sie Projekte so, dass sie die Anforderungen Ihrer Organisation einheitlich erfüllen. Geben Sie beim Einrichten von Projekten Folgendes an:
- Projekt-ID und Namenskonventionen
- Rechnungskontoverknüpfung
- Netzwerkkonfiguration
- Aktivierte APIs und Dienste
- Compute Engine-Zugriffskonfiguration
- Logexport und -nutzungsberichte
- Sperre für Löschen von Projekten
Arbeitslasten oder Umgebungen entkoppeln und isolieren
Kontingente und Limits werden auf Projektebene erzwungen. Zur Verwaltung von Kontingenten und Limits entkoppeln und isolieren Sie Arbeitslasten oder Umgebungen auf Projektebene. Weitere Informationen finden Sie unter Mit Kontingenten arbeiten.
Die Entkoppelung von Umgebungen unterscheidet sich von den Anforderungen an die Datenklassifizierung. Die Trennung der Daten von der Infrastruktur kann teuer und komplex sein, daher empfehlen wir, die Datenklassifizierung basierend auf den Anforderungen an die Vertraulichkeit und Compliance der Daten implementieren.
Abrechnungsisolation erzwingen
Erzwingen Sie die Abrechnungsisolation, um verschiedene Rechnungskonten und Kostentransparenz pro Arbeitslast und Umgebung zu unterstützen. Weitere Informationen finden Sie unter Selfservice-Cloud-Rechnungskonto erstellen, ändern oder schließen und Abrechnung für ein Projekt aktivieren, deaktivieren oder ändern.
Verwenden Sie zur Minimierung der administrativen Komplexität detaillierte Steuerelemente für die Zugriffsverwaltung für kritische Umgebungen auf Projektebene oder für Arbeitslasten, die auf mehrere Projekte verteilt sind. Wenn Sie die Zugriffssteuerung für kritische Produktionsanwendungen auswählen, sorgen Sie dafür, dass Arbeitslasten effektiv gesichert und verwaltet werden.
Ressourcen mit dem Organisationsrichtliniendienst steuern
Der Organisationsrichtliniendienst gibt Richtlinienadministratoren die zentrale und programmatische Kontrolle über die Cloud-Ressourcen Ihrer Organisation. Die Richtlinienadmistratoren können Einschränkungen für die gesamte Ressourcenhierarchie konfigurieren. Weitere Informationen finden Sie unter Organisationsrichtlinienadministrator hinzufügen.
Mit dem Organisationsrichtliniendienst rechtliche Bestimmungen einhalten
Verwenden Sie zum Erfüllen der Compliance-Anforderungen den Organisationsrichtliniendienst und erzwingen Sie so die Einhaltung der Compliance-Anforderungen bei der Ressourcenfreigabe und dem Ressourcenzugriff. Sie können beispielsweise die Freigabe für externe Parteien beschränken oder festlegen, wo Cloudressourcen geografisch bereitgestellt werden sollen. Weitere Compliance-Szenarien:
- Sie zentralisieren die Kontrolle, um Einschränkungen zu konfigurieren, die festlegen, wie die Ressourcen Ihrer Organisation verwendet werden können.
- Sie definieren Richtlinien, damit Ihre Entwicklungsteams die Compliance-Einschränkungen einhalten können.
- Sie unterstützen Projektinhaber und ihre Teams dabei, Systemänderungen vorzunehmen und gleichzeitig die Einhaltung gesetzlicher Vorschriften zu gewährleisten und Bedenken hinsichtlich Verletzung von Compliance-Regeln zu minimieren.
Ressourcenfreigabe auf Grundlage der Domain beschränken
Mit einer Organisationsrichtlinie für die eingeschränkte Freigabe können Sie verhindern, dass Google Cloud-Ressourcen für Identitäten außerhalb Ihrer Organisation freigegeben werden. Weitere Informationen finden Sie unter Identitäten nach Domain einschränken und Einschränkungen für Organisationsrichtlinien.
Erstellen von Dienstkonten und Schlüsseln deaktivieren
Zur Verbesserung der Sicherheit sollten Sie die Verwendung von IAM-Dienstkonten (Identity and Access Management) und entsprechenden Schlüsseln einschränken. Weitere Informationen finden Sie unter Nutzung von Dienstkonten einschränken.
Standort neuer Ressourcen einschränken
Beschränken Sie den physischen Standort neu erstellter Ressourcen, indem Sie Ressourcenstandorte einschränken. Eine Liste der Einschränkungen, die Ihnen die Kontrolle über die Ressourcen Ihrer Organisation ermöglichen, finden Sie unter Einschränkungen für Organisationsrichtliniendienste.
Nächste Schritte
Computing auswählen und verwalten, einschließlich:
Weitere Kategorien im Bereich Architektur-Framework kennenlernen, z. B. Zuverlässigkeit, operative Exzellenz sowie Sicherheit, Datenschutz und Compliance