El nodo raíz para administrar recursos en Google Cloud es la organización. La organización de Google Cloud proporciona una jerarquía de recursos que proporciona una estructura de propiedad para los recursos y puntos de conexión para las políticas de la organización y los controles de acceso. La jerarquía de recursos consta de carpetas, proyectos y recursos, y define la estructura y el uso de los servicios de Google Cloud dentro de una organización.
Los recursos que se encuentran más abajo en la jerarquía heredan las políticas, como las políticas de permiso de IAM y las políticas de la organización. Todos los permisos de acceso se rechazan de forma predeterminada, hasta que apliques políticas de permisos directamente a un recurso o este herede las políticas de permisos de un nivel superior en la jerarquía de recursos.
En el siguiente diagrama, se muestran las carpetas y los proyectos que implementa el plano.
En las siguientes secciones, se describen las carpetas y los proyectos del diagrama.
Carpetas
El plano usa carpetas para agrupar proyectos según su entorno. Esta agrupación lógica se usa para aplicar parámetros de configuración como políticas de permiso y políticas de la organización a nivel de carpeta y, luego, todos los recursos dentro de la carpeta heredan las políticas. En la siguiente tabla, se describen las carpetas que forman parte del plano.
Carpeta | Descripción |
---|---|
bootstrap |
Contiene los proyectos que se usan para implementar componentes básicos. |
common |
Contiene proyectos con recursos que se comparten en todos los entornos. |
production |
Contiene proyectos con recursos de producción. |
nonproduction |
Contiene una copia del entorno de producción para que puedas probar las cargas de trabajo antes de ascenderlas a producción. |
development |
Contiene los recursos de la nube que se usan para el desarrollo. |
networking |
Contiene los recursos de red que comparten todos los entornos. |
Proyectos
El plano usa proyectos para agrupar recursos individuales según su funcionalidad y los límites previstos para el control de acceso. En la siguiente tabla, se describen los proyectos que se incluyen en el plano.
Carpeta | Proyecto | Descripción |
---|---|---|
bootstrap |
prj-b-cicd |
Contiene la canalización de implementación que se usa para compilar los componentes básicos de la organización. Para obtener más información, consulta la metodología de implementación. |
prj-b-seed |
Contiene el estado de Terraform de tu infraestructura y la cuenta de servicio de Terraform necesaria para ejecutar la canalización. Para obtener más información, consulta la metodología de implementación. | |
common |
prj-c-secrets |
Contiene secretos a nivel de organización. Para obtener más información, consulta Almacena credenciales de aplicaciones con Secret Manager. |
prj-c-logging |
Contiene las fuentes de registro agregadas para los registros de auditoría. Si deseas obtener más información, consulta Registro centralizado para seguridad y auditoría. | |
prj-c-scc |
Contiene recursos para ayudar a configurar las alertas de Security Command Center y otra supervisión de seguridad personalizada. Para obtener más información, consulta supervisión de amenazas con Security Command Center. | |
prj-c-billing-export |
Contiene un conjunto de datos de BigQuery con las exportaciones de facturación de la organización. Para obtener más información, consulta Asigna costos entre los centros de costos internos. | |
prj-c-infra-pipeline |
Contiene una canalización de infraestructura para implementar recursos como VMs y bases de datos que usarán las cargas de trabajo. Para obtener más información, consulta capas de canalización. | |
prj-c-kms |
Contiene claves de encriptación a nivel de la organización. Para obtener más información, consulta Administra claves de encriptación. | |
networking |
prj-net-{env}-shared-base |
Contiene el proyecto host para una red de VPC compartida en las cargas de trabajo que no requieren Controles del servicio de VPC. Para obtener más información, consulta la topología de red. |
prj-net-{env}-shared-restricted |
Contiene el proyecto host para una red de VPC compartida en las cargas de trabajo que requieren Controles del servicio de VPC. Para obtener más información, consulta la topología de red. | |
prj-net-interconnect |
Contiene las conexiones de Cloud Interconnect que proporcionan conectividad entre tu entorno local y Google Cloud. Para obtener más información, consulta Conectividad híbrida. | |
prj-net-dns-hub |
Contiene recursos para un punto central de comunicación entre el sistema DNS local y Cloud DNS. Para obtener más información, consulta Configuración de DNS centralizada. | |
prj-{env}-secrets |
Contiene secretos a nivel de carpeta. Para obtener más información, consulta Almacena y audita las credenciales de la aplicación con Secret Manager. | |
prj-{env}-kms |
Contiene claves de encriptación a nivel de carpeta. Para obtener más información, consulta Administra claves de encriptación. | |
proyectos de aplicación | Contiene varios proyectos en los que creas recursos para aplicaciones. Para obtener más información, consulta los patrones de implementación de proyectos y las capas de canalización. |
Administración de la propiedad de los recursos
Te recomendamos que apliques etiquetas a tus proyectos de forma coherente para facilitar la administración de costos y la administración de costos. En la siguiente tabla, se describen las etiquetas del proyecto que se agregan a cada proyecto para la administración en el plano.
Etiqueta | Descripción |
---|---|
application |
El nombre legible por humanos de la aplicación o la carga de trabajo asociada con el proyecto. |
businesscode |
Un código corto que describe qué unidad de negocios es propietaria del proyecto. El código shared se usa para los proyectos comunes que no están vinculados de forma explícita a una unidad de negocios. |
billingcode |
Un código que se usa para proporcionar información de devolución de cargos. |
primarycontact |
El nombre de usuario del contacto principal que es responsable del proyecto. Debido a que las etiquetas de proyecto no pueden incluir caracteres especiales como el signo et (@), se establece en el nombre de usuario sin el sufijo @example.com. |
secondarycontact |
El nombre de usuario del contacto secundario que es responsable del proyecto. Debido a que las etiquetas de proyecto no pueden incluir caracteres especiales como @, configura solo el nombre de usuario sin el sufijo @example.com. |
environment |
Un valor que identifica el tipo de entorno, como bootstrap , common , production , non-production,development o network. |
envcode |
Un valor que identifica el tipo de entorno, abreviado como b , c , p , n , d o net . |
vpc |
Es el ID de la red de VPC que se espera que use este proyecto. |
En ocasiones, es posible que Google envíe notificaciones importantes, como suspensiones de cuentas o actualizaciones de las condiciones de los productos. El modelo usa Contactos esenciales para enviar esas notificaciones a los grupos que configuras durante la implementación. Los contactos esenciales se configuran en el nodo de la organización y son heredados por todos los proyectos de la organización. Te recomendamos revisar estos grupos y asegurarte de que los correos electrónicos se supervisen de manera confiable.
Los contactos esenciales se usan para un propósito diferente a los campos primarycontact
y secondarycontact
que se configuran en las etiquetas del proyecto. Los contactos en las etiquetas de proyecto están destinados a la administración interna. Por ejemplo, si identificas recursos que no cumplen con las políticas en un proyecto de carga de trabajo y necesitas comunicarte con los propietarios, puedes usar el campo primarycontact
para encontrar a la persona o el equipo responsable de esa carga de trabajo.
¿Qué sigue?
- Lee sobre las herramientas de redes (siguiente documento de esta serie).