Struktur organisasi

Last reviewed 2023-12-20 UTC

Node root untuk mengelola resource di Google Cloud adalah organisasi. Organisasi Google Cloud menyediakan hierarki resource yang memberikan struktur kepemilikan untuk resource dan titik lampiran bagi kebijakan organisasi dan kontrol akses. Hierarki resource terdiri dari folder, project, dan resource, serta menentukan struktur dan penggunaan layanan Google Cloud dalam sebuah organisasi.

Resource yang lebih rendah dalam hierarki mewarisi kebijakan seperti IAM mengizinkan kebijakan dan kebijakan organisasi. Semua izin akses ditolak secara default, sampai Anda menerapkan kebijakan izinkan secara langsung ke resource, atau resource mewarisi kebijakan izinkan dari level yang lebih tinggi dalam hierarki resource.

Diagram berikut menunjukkan folder dan project yang di-deploy oleh blueprint.

Struktur organisasi example.com.

Bagian berikut menjelaskan folder dan project dalam diagram.

Folder

Blueprint menggunakan folder untuk mengelompokkan project berdasarkan lingkungannya. Pengelompokan logis ini digunakan untuk menerapkan konfigurasi seperti kebijakan izinkan dan kebijakan organisasi pada tingkat folder, lalu semua resource dalam folder akan mewarisi kebijakan tersebut. Tabel berikut menjelaskan folder yang merupakan bagian dari blueprint.

Folder Deskripsi
bootstrap Berisi project yang digunakan untuk men-deploy komponen dasar.
common Berisi project dengan resource yang digunakan bersama oleh semua lingkungan.
production Berisi project dengan resource produksi.
nonproduction Berisi salinan lingkungan produksi agar Anda dapat menguji beban kerja sebelum mempromosikannya ke produksi.
development Berisi resource cloud yang digunakan untuk pengembangan.
networking Berisi resource jaringan yang digunakan bersama oleh semua lingkungan.

Project

Blueprint menggunakan project untuk mengelompokkan resource individual berdasarkan fungsionalitasnya dan batas yang dimaksudkan untuk kontrol akses. Tabel berikut ini menjelaskan project yang disertakan dalam blueprint.

Folder Project Deskripsi
bootstrap prj-b-cicd Berisi pipeline deployment yang digunakan untuk membangun komponen dasar organisasi. Untuk informasi selengkapnya, lihat metodologi deployment.
prj-b-seed Berisi status Terraform infrastruktur Anda dan akun layanan Terraform yang diperlukan untuk menjalankan pipeline. Untuk informasi selengkapnya, lihat metodologi deployment.
common prj-c-secrets Berisi rahasia tingkat tinggi organisasi. Untuk mengetahui informasi selengkapnya, lihat menyimpan kredensial aplikasi dengan Secret Manager.
prj-c-logging Berisi sumber log gabungan untuk log audit. Untuk informasi selengkapnya, lihat logging terpusat untuk keamanan dan audit.
prj-c-scc Berisi resource untuk membantu mengonfigurasi pemberitahuan Security Command Center dan pemantauan keamanan kustom lainnya. Untuk mengetahui informasi selengkapnya, lihat pemantauan ancaman dengan Security Command Center.
prj-c-billing-logs Berisi set data BigQuery dengan ekspor penagihan organisasi. Untuk mengetahui informasi selengkapnya, lihat mengalokasikan biaya di antara pusat biaya internal.
prj-c-infra-pipeline Berisi pipeline infrastruktur untuk men-deploy resource seperti VM dan database yang akan digunakan oleh workload. Untuk informasi selengkapnya, lihat lapisan pipeline.
prj-c-kms Berisi kunci enkripsi tingkat organisasi. Untuk informasi selengkapnya, lihat mengelola kunci enkripsi.
networking prj-net-{env}-shared-base Berisi project host untuk jaringan VPC Bersama untuk beban kerja yang tidak memerlukan Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat topologi jaringan.
prj-net-{env}-shared-restricted Berisi project host untuk jaringan VPC Bersama untuk beban kerja yang memerlukan Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat topologi jaringan.
prj-net-interconnect Berisi koneksi Cloud Interconnect yang menyediakan konektivitas antara lingkungan lokal Anda dan Google Cloud. Untuk mengetahui informasi selengkapnya, lihat konektivitas hybrid.
prj-net-dns-hub Berisi resource untuk titik pusat komunikasi antara sistem DNS lokal dan Cloud DNS. Untuk mengetahui informasi selengkapnya, lihat penyiapan DNS terpusat.
folder lingkungan (production, non-production, dan development) prj-{env}-monitoring Berisi project pencakupan untuk menggabungkan metrik dari project di lingkungan tersebut. Untuk informasi lebih lanjut, lihat pemberitahuan tentang metrik berbasis log dan metrik performa
prj-{env}-secrets Berisi rahasia tingkat folder. Untuk mengetahui informasi selengkapnya, lihat menyimpan dan mengaudit kredensial aplikasi dengan Secret Manager.
prj-{env}-kms Berisi kunci enkripsi tingkat folder. Untuk informasi selengkapnya, lihat mengelola kunci enkripsi.
project aplikasi Berisi berbagai project tempat Anda membuat resource untuk aplikasi. Untuk mengetahui informasi selengkapnya, lihat pola deployment project dan lapisan pipeline.

Tata kelola untuk kepemilikan resource

Sebaiknya Anda menerapkan label secara konsisten pada project untuk membantu tata kelola dan alokasi biaya. Tabel berikut menjelaskan label project yang ditambahkan ke setiap project untuk tata kelola dalam cetak biru.

Label Deskripsi
application Nama aplikasi atau beban kerja yang dapat dibaca manusia yang terkait dengan project.
businesscode Kode singkat yang menjelaskan unit bisnis mana yang memiliki project. Kode shared digunakan untuk project umum yang tidak terikat secara eksplisit ke unit bisnis.
billingcode Kode yang digunakan untuk memberikan informasi penagihan balik.
primarycontact Nama pengguna kontak utama yang bertanggung jawab atas project. Karena label project tidak dapat menyertakan karakter khusus seperti ampersand (@), label tersebut ditetapkan ke nama pengguna tanpa akhiran @example.com.
secondarycontact Nama pengguna kontak sekunder sekunder yang bertanggung jawab atas project. Karena label project tidak dapat menyertakan karakter khusus seperti @, tetapkan hanya nama pengguna tanpa akhiran @example.com.
environment Nilai yang mengidentifikasi jenis lingkungan, seperti bootstrap, common, production, non-production,development, atau network.
envcode Nilai yang mengidentifikasi jenis lingkungan, disingkat menjadi b, c, p, n, d, atau net.
vpc ID jaringan VPC yang diharapkan untuk digunakan oleh project ini.

Google terkadang dapat mengirimkan notifikasi penting, seperti penangguhan akun atau pembaruan persyaratan produk. Blueprint menggunakan Kontak Penting untuk mengirimkan notifikasi tersebut ke grup yang Anda konfigurasi selama deployment. Kontak Penting dikonfigurasi pada node organisasi dan diwarisi oleh semua project dalam organisasi. Sebaiknya Anda meninjau grup tersebut dan memastikan bahwa email dipantau dengan andal.

Kontak Penting digunakan untuk tujuan yang berbeda dengan kolom primarycontact dan secondarycontact yang dikonfigurasi dalam label project. Kontak dalam label project dimaksudkan untuk tata kelola internal. Misalnya, jika Anda mengidentifikasi resource yang tidak mematuhi kebijakan dalam project beban kerja dan perlu menghubungi pemilik, Anda dapat menggunakan kolom primarycontact untuk menemukan orang atau tim yang bertanggung jawab atas beban kerja tersebut.

Langkah selanjutnya

  • Baca tentang jaringan (dokumen berikutnya dalam seri ini).