Node root untuk mengelola resource di Google Cloud adalah organisasi. Organisasi Google Cloud menyediakan hierarki resource yang menyediakan struktur kepemilikan untuk resource dan titik lampiran bagi kebijakan organisasi dan kontrol akses. Hierarki resource terdiri dari folder, project, dan resource serta menentukan struktur dan penggunaan layanan Google Cloud dalam organisasi.
Resource yang lebih rendah dalam hierarki mewarisi kebijakan seperti kebijakan izin IAM dan kebijakan organisasi. Semua izin akses ditolak secara default, hingga Anda menerapkan kebijakan izin secara langsung ke resource atau resource mewarisi kebijakan izin dari level yang lebih tinggi dalam hierarki resource.
Diagram berikut menunjukkan folder dan project yang di-deploy oleh blueprint.
Bagian berikut menjelaskan folder dan project dalam diagram.
Folder
Blueprint menggunakan folder untuk mengelompokkan project berdasarkan lingkungannya. Pengelompokan logis ini digunakan untuk menerapkan konfigurasi seperti kebijakan izin dan kebijakan organisasi di level folder, lalu semua resource dalam folder mewarisi kebijakan tersebut. Tabel berikut menjelaskan folder yang merupakan bagian dari blueprint.
| Folder | Deskripsi |
|---|---|
bootstrap |
Berisi project yang digunakan untuk men-deploy komponen fondasi. |
common |
Berisi project dengan resource yang dibagikan oleh semua lingkungan. |
production |
Berisi project dengan resource produksi. |
nonproduction |
Berisi salinan lingkungan produksi yang memungkinkan Anda menguji workload sebelum mempromosikannya ke produksi. |
development |
Berisi resource cloud yang digunakan untuk pengembangan. |
networking |
Berisi resource jaringan yang dibagikan oleh semua lingkungan. |
Project
Blueprint menggunakan project untuk mengelompokkan setiap resource berdasarkan fungsinya dan batas yang dimaksudkan untuk kontrol akses. Tabel berikut menjelaskan project yang disertakan dalam blueprint.
| Folder | Project | Deskripsi |
|---|---|---|
bootstrap |
prj-b-cicd |
Berisi pipeline deployment yang digunakan untuk mem-build komponen dasar organisasi. Untuk mengetahui informasi selengkapnya, lihat metodologi deployment. |
prj-b-seed |
Berisi status Terraform dari infrastruktur dan akun layanan Terraform yang diperlukan untuk menjalankan pipeline. Untuk mengetahui informasi selengkapnya, lihat metodologi deployment. | |
common |
prj-c-secrets |
Berisi rahasia tingkat tinggi organisasi. Untuk mengetahui informasi selengkapnya, lihat menyimpan kredensial aplikasi dengan Secret Manager. |
prj-c-logging |
Berisi sumber log gabungan untuk log audit. Untuk mengetahui informasi selengkapnya, lihat logging terpusat untuk keamanan dan audit. | |
prj-c-scc |
Berisi referensi untuk membantu mengonfigurasi pemberitahuan Security Command Center dan pemantauan keamanan kustom lainnya. Untuk informasi selengkapnya, lihat pemantauan ancaman dengan Security Command Center. | |
prj-c-billing-export |
Berisi set data BigQuery dengan ekspor penagihan organisasi. Untuk informasi selengkapnya, lihat mengalokasikan biaya antara pusat biaya internal. | |
prj-c-infra-pipeline |
Berisi pipeline infrastruktur untuk men-deploy resource seperti VM dan database yang akan digunakan oleh workload. Untuk mengetahui informasi selengkapnya, lihat lapisan pipeline. | |
prj-c-kms |
Berisi kunci enkripsi tingkat organisasi. Untuk informasi selengkapnya, lihat mengelola kunci enkripsi. | |
networking |
prj-net-{env}-shared-base |
Berisi project host untuk jaringan VPC Bersama bagi workload yang tidak memerlukan Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat topologi jaringan. |
prj-net-{env}-shared-restricted |
Berisi project host untuk jaringan VPC Bersama bagi workload yang memerlukan Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat topologi jaringan. | |
prj-net-interconnect |
Berisi koneksi Cloud Interconnect yang menyediakan konektivitas antara lingkungan lokal Anda dan Google Cloud. Untuk mengetahui informasi selengkapnya, lihat konektivitas hybrid. | |
prj-net-dns-hub |
Berisi resource untuk titik komunikasi terpusat antara sistem DNS lokal dan Cloud DNS. Untuk informasi selengkapnya, lihat penyiapan DNS terpusat. | |
prj-{env}-secrets |
Berisi rahasia tingkat folder. Untuk mengetahui informasi selengkapnya, lihat menyimpan dan mengaudit kredensial aplikasi dengan Secret Manager. | |
prj-{env}-kms |
Berisi kunci enkripsi tingkat folder. Untuk informasi selengkapnya, lihat mengelola kunci enkripsi. | |
| project aplikasi | Berisi berbagai project tempat Anda membuat resource untuk aplikasi. Untuk informasi selengkapnya, lihat pola deployment project dan lapisan pipeline. |
Tata kelola untuk kepemilikan resource
Sebaiknya terapkan label secara konsisten ke project Anda untuk membantu pemerintahan dan alokasi biaya. Tabel berikut menjelaskan label project yang ditambahkan ke setiap project untuk tata kelola dalam blueprint.
| Label | Deskripsi |
|---|---|
application |
Nama aplikasi atau beban kerja yang dapat dibaca manusia dan dikaitkan dengan project. |
businesscode |
Kode singkat yang menjelaskan unit bisnis mana yang memiliki
project. Kode shared digunakan untuk project umum
yang tidak terikat secara eksplisit dengan unit bisnis. |
billingcode |
Kode yang digunakan untuk memberikan informasi penagihan balik. |
primarycontact |
Nama pengguna kontak utama yang bertanggung jawab atas project. Karena label project tidak dapat menyertakan karakter khusus seperti ampersand (@), label ditetapkan ke nama pengguna tanpa akhiran @example.com. |
secondarycontact |
Nama pengguna kontak sekunder sekunder yang bertanggung jawab atas project. Karena label project tidak dapat menyertakan karakter khusus seperti @, tetapkan hanya nama pengguna tanpa akhiran @example.com. |
environment |
Nilai yang mengidentifikasi jenis lingkungan, seperti
bootstrap, common, production,
non-production,development, atau network. |
envcode |
Nilai yang mengidentifikasi jenis lingkungan, disingkat menjadi
b, c, p, n,
d, atau net. |
vpc |
ID jaringan VPC yang diharapkan akan digunakan oleh project ini. |
Google terkadang mengirimkan notifikasi penting seperti penangguhan akun atau pembaruan pada persyaratan produk. Blueprint menggunakan Kontak Penting untuk mengirim notifikasi tersebut ke grup yang Anda konfigurasi selama deployment. Kontak Penting dikonfigurasi di node organisasi dan diwarisi oleh semua project dalam organisasi. Sebaiknya tinjau grup ini dan pastikan email dipantau dengan andal.
Kontak Penting digunakan untuk tujuan yang berbeda dengan
kolom primarycontact dan secondarycontact yang dikonfigurasi dalam label
project. Kontak di label project ditujukan untuk tata kelola internal. Misalnya, jika Anda mengidentifikasi resource yang tidak mematuhi kebijakan di project beban kerja dan perlu
menghubungi pemiliknya, Anda dapat menggunakan kolom primarycontact untuk menemukan
orang atau tim yang bertanggung jawab atas beban kerja tersebut.
Langkah selanjutnya
- Baca tentang jaringan (dokumen berikutnya dalam seri ini).