Neste documento do framework de arquitetura do Google Cloud, você verá as práticas recomendadas para organizar e gerenciar seus recursos no Google Cloud.
Hierarquia de recursos
Os recursos do Google Cloud são organizados hierarquicamente em organizações, pastas e projetos. Essa hierarquia permite gerenciar aspectos comuns dos recursos, como controle de acesso, definições de configuração e políticas. Veja as práticas recomendadas para projetar a hierarquia dos recursos de nuvem em Decidir uma hierarquia de recursos para sua zona de destino do Google Cloud.
Etiquetas e rótulos de recursos
Nesta seção, você verá as práticas recomendadas para usar rótulos e tags e organizar seus recursos do Google Cloud.
Usar uma estrutura de pastas simples
Com as pastas, você pode agrupar qualquer combinação de projetos e subpastas. Crie uma estrutura de pastas simples para organizar seus recursos do Google Cloud. É possível adicionar mais níveis conforme necessário para definir sua hierarquia de recursos para que ela atenda às necessidades da sua empresa. A estrutura de pastas é flexível e extensível.Para saber mais, consulte Como criar e gerenciar pastas.
Usar pastas e projetos para refletir as políticas de governança de dados
Use pastas, subpastas e projetos para separar os recursos de acordo com as políticas de governança de dados na sua organização. Por exemplo, use uma combinação de pastas e projetos para separar recursos financeiros, humanos e engenharia.
Use projetos para agrupar recursos que compartilham o mesmo limite de confiança. Por exemplo, recursos para o mesmo produto ou microsserviço podem pertencer ao mesmo projeto. Para mais informações, consulte Decidir uma hierarquia de recursos para sua zona de destino do Google Cloud.
Use tags e rótulos no início do projeto
Use rótulos e tags quando começar a usar os produtos do Google Cloud, mesmo que não precise deles imediatamente. A adição de rótulos e tags posteriormente pode exigir esforços manuais que podem ser propensos a erros e difíceis de concluir.
As tags fornecem uma maneira de permitir ou negar políticas condicionalmente se um recurso tiver uma tag específica. Um rótulo é um par de chave-valor que ajuda a organizar suas instâncias do Google Cloud. Para mais informações sobre rótulos, consulte requisitos para rótulos, uma lista de serviços compatíveis com rótulos e formatos de rótulo de dados.
O Resource Manager fornece rótulos e tags para ajudar a gerenciar recursos, alocar e gerar relatórios sobre custos e atribuir políticas a diferentes recursos para controles de acesso granulares. Por exemplo, é possível usar rótulos e tags para aplicar princípios de gerenciamento e acesso granular a diferentes recursos e serviços de locatário. Para informações sobre rótulos de VM e tags de rede, consulte Relação entre rótulos de VM e tags de rede.
É possível usar rótulos para várias finalidades, incluindo as seguintes:
- Gerenciamento do faturamento de recursos: os rótulos estão disponíveis no sistema de faturamento, o que permite separar o custo por rótulos. Por exemplo, é possível rotular diferentes centros de custo ou orçamentos.
- Agrupar recursos por características semelhantes ou por relação: use rótulos para separar estágios ou ciclos de vida de aplicativos diferentes. Por exemplo, você pode rotular ambientes de produção, desenvolvimento e teste.
Atribua rótulos para dar suporte aos relatórios de custo e faturamento
Para aceitar relatórios granulares de custo e faturamento com base em atributos fora das estruturas de relatórios integradas, como por projeto ou por tipo de produto, atribua rótulos aos recursos. Os rótulos ajudam a alocar o consumo para centros de custos, departamentos, projetos específicos ou mecanismos de recarga internos. Para mais informações, consulte a categoria de otimização de custos.
Evite criar um grande número de rótulos
Evite criar um grande número de rótulos. Recomendamos que você crie rótulos principalmente no nível do projeto e evite criar rótulos no nível da subequipe. Se você criar rótulos muito granulares, eles poderão adicionar ruído às suas análises. Para saber mais sobre casos de uso comuns de rótulos, consulte Usos comuns de rótulos.
Evite adicionar informações confidenciais a rótulos
Os rótulos não foram criados para processar informações confidenciais. Não inclua informações confidenciais em rótulos, incluindo informações que possam ser de identificação pessoal, como o nome ou a profissão de uma pessoa.
Deixe as informações nos nomes dos projetos anônimas
Siga um padrão de nomenclatura do projeto, como COMPANY_INITIAL_IDENTIFIER-ENVIRONMENT-APP_NAME, em que os marcadores são exclusivos e não revelam nomes de empresas ou aplicativos. Não inclua atributos que possam ser alterados no futuro, por exemplo, um nome ou uma tecnologia.
Aplicar tags às dimensões de negócios do modelo
É possível aplicar tags para modelar outras dimensões de negócios, como estrutura organizacional, regiões, tipos de carga de trabalho ou centros de custo. Para saber mais sobre tags, consulte Visão geral de tags, Herança de tags e Como criar e gerenciar tags. Para saber como usar tags com políticas, consulte Políticas e tags. Veja como usar tags para gerenciar o controle de acesso em Tags e controle de acesso.
Políticas organizacionais
Esta seção apresenta as práticas recomendadas para configurar regras de governança nos recursos do Google Cloud na hierarquia de recursos da nuvem.
Estabelecer convenções de nomenclatura de projetos
Estabeleça uma convenção de nomenclatura padronizada para o projeto, por exemplo, SYSTEM_NAME-ENVIRONMENT (dev, test, uat, stage, prod).
Os nomes dos projetos têm um limite de 30 caracteres.
Embora seja possível aplicar um prefixo como COMPANY_TAG-SUB_GROUP/SUBSIDIARY_TAG,
os nomes dos projetos podem ficar desatualizados quando as empresas estiverem passando por reorganizações.
Pense em mover nomes identificáveis de nomes de projetos para rótulos de projeto.
Automatizar a criação de projetos
Para criar projetos para empresas de produção e em grande escala, use um processo automatizado como o Deployment Manager; ou Módulo do Terraform para a fábrica do projeto do Google Cloud de dados. Essas ferramentas fazem o seguinte:
- Crie automaticamente ambientes de desenvolvimento, testes e produção que tenham as permissões apropriadas.
- Configure a geração de registros e o monitoramento.
O módulo Terraform do fábrica do projeto do Google Cloud ajuda a automatizar a criação de projetos do Google Cloud. Em grandes empresas, recomendamos que você analise e aprove os projetos antes de criá-los no Google Cloud. Esse processo ajuda a garantir o seguinte:
- Os custos podem ser atribuídos. Para mais informações, consulte a categoria de otimização de custos.
- As aprovações estão em vigor para o upload de dados.
- Requisitos regulamentares ou de conformidade são atendidos.
Ao automatizar a criação e o gerenciamento de projetos e recursos do Google Cloud, você recebe o benefício da consistência, reprodutibilidade e testabilidade. Se você tratar sua configuração como código, poderá modificar e gerenciar o ciclo de vida dela junto com seus artefatos de software. A automação permite a aplicação de práticas recomendadas, como convenções de nomenclatura consistentes e rotulagem de recursos. Com a evolução dos requisitos, a automação simplifica a refatoração de projetos.
Faça auditorias dos seus sistemas regularmente
Para garantir que as solicitações de novos projetos possam ser auditadas e aprovadas, integre o sistema de tíquetes da sua empresa ou a um sistema independente que ofereça auditoria.
Configurar projetos de maneira consistente
Configure projetos para atender às necessidades da sua organização de forma consistente. Inclua o seguinte ao configurar projetos:
- Convenções de nomenclatura e ID de projetos
- Vinculação de conta de faturamento
- Configurações de rede
- APIs e serviços ativados
- Configuração de acesso do Compute Engine
- Relatórios de uso e exportação de registros
- Garantia de remoção de projeto
Separe e isole cargas de trabalho ou ambientes
As cotas e limites são aplicados no nível do projeto. Para gerenciar cotas e limites, separe e isole cargas de trabalho ou ambientes no nível do projeto. Para mais informações, consulte Como trabalhar com cotas.
A dissociação de ambientes é diferente dos requisitos de classificação de dados. A separação de dados da infraestrutura pode ser cara e complexa. Portanto, recomendamos que você implemente a classificação de dados com base na confidencialidade dos dados e nos requisitos de conformidade.
Aplicar o isolamento do faturamento
Aplique o isolamento de faturamento para oferecer compatibilidade com diferentes contas de faturamento e visibilidade de custos por carga de trabalho e ambiente. Para mais informações, consulte Criar, modificar ou encerrar sua conta de autoatendimento do Cloud Billing e Ativar, desativar ou alterar o faturamento de um projeto.
Para minimizar a complexidade administrativa, use controles de gerenciamento de acesso granulares para ambientes críticos no nível do projeto ou para cargas de trabalho espalhadas por vários projetos. Ao selecionar o controle de acesso para aplicativos de produção críticos, você garante que as cargas de trabalho sejam protegidas e gerenciadas de maneira eficiente.
Usar o serviço de políticas da organização para controlar recursos
O serviço de políticas da organização fornece aos administradores de políticas um controle centralizado e programático sobre os recursos de nuvem da organização para que possam configurar restrições na hierarquia de recursos. Para mais informações, consulte Adicionar um administrador de política da organização.
Usar o serviço de políticas da organização para obedecer às políticas regulamentares
Para atender aos requisitos de conformidade, use o serviço de política da organização para impor requisitos de conformidade para acesso e compartilhamento de recursos. Por exemplo, é possível limitar o compartilhamento com partes externas ou determinar onde implantar recursos de nuvem geograficamente. Outros cenários de conformidade são os seguintes:
- Centralizar o controle para configurar restrições que definem como os recursos da organização podem ser usados.
- Definir e estabelecer políticas para ajudar as equipes de desenvolvimento a permanecer dentro dos limites de conformidade.
- Ajudar os proprietários de projetos e as equipes a fazer mudanças no sistema, mantendo a conformidade regulatória e minimizando as preocupações sobre o descumprimento de regras de conformidade.
Limite o compartilhamento de recursos com base no domínio
Uma política da organização de compartilhamento restrito ajuda a impedir que os recursos do Google Cloud sejam compartilhados com identidades fora da organização. Para mais informações, consulte Como restringir identidades por domínio e Restrições da política da organização.
Desativar conta de serviço e criação de chave
Para ajudar a melhorar a segurança, limite o uso de contas de serviço de gerenciamento de identidade e acesso (IAM, na sigla em inglês) e das chaves correspondentes. Para mais informações, consulte Como restringir o uso da conta de serviço.
Restringir o local físico de novos recursos
Restrinja o local físico de recursos recém-criados restringindo locais de recursos. Para ver uma lista de restrições que dão a você o controle dos recursos da sua organização, consulte Restrições do serviço de políticas da organização.
A seguir
Saiba como escolher e gerenciar a computação, incluindo as seguintes:
Explore outras categorias no Framework de arquitetura, como confiabilidade, excelência operacional e segurança, privacidade e conformidade.