Il nodo radice per la gestione delle risorse in Google Cloud è organizzazione. L'organizzazione Google Cloud offre gerarchia delle risorse che fornisce una struttura di proprietà per le risorse e i punti di collegamento criteri dell'organizzazione e controlli dell'accesso. La gerarchia delle risorse è composta da cartelle, progetti risorse e definisce la struttura e l'utilizzo dei servizi Google Cloud all'interno di un'organizzazione.
Le risorse più in basso nella gerarchia ereditano criteri come i criteri di autorizzazione IAM e criteri dell'organizzazione. Per impostazione predefinita vengono negate tutte le autorizzazioni di accesso finché non applica i criteri di autorizzazione direttamente a una risorsa oppure la risorsa eredita a un livello superiore nella gerarchia delle risorse.
Il seguente diagramma mostra le cartelle e i progetti di cui è stato eseguito il deployment progetto.
Le seguenti sezioni descrivono le cartelle e i progetti nel diagramma.
Cartelle
Il progetto utilizza cartelle per raggruppare i progetti in base all'ambiente. Questo raggruppamento logico è utilizzato Applica configurazioni come criteri di autorizzazione e criteri dell'organizzazione a livello di cartella e tutte le risorse all'interno della cartella ereditano i criteri. La nella tabella seguente vengono descritte le cartelle che fanno parte del progetto.
Cartella | Descrizione |
---|---|
bootstrap |
Contiene i progetti utilizzate per il deployment dei componenti di base. |
common |
Contiene progetti con risorse condivise da tutti ambienti cloud-native. |
production |
Contiene progetti con risorse di produzione. |
nonproduction |
Contiene una copia dell'ambiente di produzione per consentirti di eseguire test dei carichi di lavoro prima di promuoverli in produzione. |
development |
Contiene le risorse cloud utilizzate per lo sviluppo. |
networking |
Contiene le risorse di networking condivise da tutti ambienti cloud-native. |
Progetti
Il progetto utilizza progetti raggruppare le singole risorse in base alla loro funzionalità e confini per il controllo dell'accesso. La tabella seguente descrive i progetti sono inclusi nel progetto.
Cartella | Progetto | Descrizione |
---|---|---|
bootstrap |
prj-b-cicd |
Contiene la pipeline di deployment utilizzata per creare componenti di base dell'organizzazione. Per ulteriori informazioni, vedi deployment metodologia. |
prj-b-seed |
Contiene lo stato di Terraform dell'infrastruttura e Account di servizio Terraform necessario per eseguire la pipeline. Per per saperne di più, consulta la metodologia di deployment. | |
common |
prj-c-secrets |
Contiene secret a livello di organizzazione. Per ulteriori informazioni, visita la pagina relativa al negozio le credenziali dell'applicazione con Secret Manager. |
prj-c-logging |
Contiene le origini log aggregate per gli audit log. Per per ulteriori informazioni, consulta l'articolo sul logging centralizzato per la sicurezza il controllo. | |
prj-c-scc |
Contiene risorse per configurare avvisi e funzionalità di Security Command Center altro monitoraggio di sicurezza personalizzato. Per ulteriori informazioni, vedi minaccia il monitoraggio con Security Command Center. | |
prj-c-billing-export |
Contiene un set di dati BigQuery con le esportazioni della fatturazione dell'organizzazione. Per ulteriori informazioni, vedi alloca tra i centri di costo interni. | |
prj-c-infra-pipeline |
Contiene una pipeline dell'infrastruttura per il deployment di risorse come VM e database utilizzati dai carichi di lavoro. Per ulteriori informazioni, consulta pipeline strati. | |
prj-c-kms |
Contiene chiavi di crittografia a livello di organizzazione. Per ulteriori informazioni, vedi gestisci chiavi di crittografia. | |
networking |
prj-net-{env}-shared-base |
Contiene il progetto host per una rete VPC condiviso per carichi di lavoro che non richiedono Controlli di servizio VPC. Per ulteriori informazioni, vedi network di classificazione. |
prj-net-{env}-shared-restricted |
Contiene il progetto host per una rete VPC condiviso per carichi di lavoro che richiedono Controlli di servizio VPC. Per ulteriori informazioni, vedi rete di classificazione. | |
prj-net-interconnect |
Contiene le connessioni Cloud Interconnect che forniscono la connettività tra il tuo ambiente on-premise in Google Cloud. Per ulteriori informazioni, consulta la sezione Ibrido per la connettività. | |
prj-net-dns-hub |
Contiene risorse per un punto di comunicazione centrale tra del sistema DNS on-premise e di Cloud DNS. Per ulteriori informazioni, consulta le istruzioni Configurazione DNS. | |
prj-{env}-secrets |
Contiene secret a livello di cartella. Per maggiori informazioni, vedi Archiviare e controllare le credenziali dell'applicazione con Secret Manager. | |
prj-{env}-kms |
Contiene chiavi di crittografia a livello di cartella. Per ulteriori informazioni, vedi manage chiavi di crittografia. | |
progetti di applicazione | Contiene vari progetti in cui crei risorse diverse applicazioni. Per ulteriori informazioni, consulta i pattern di deployment del progetto e la pipeline strati. |
Governance per la proprietà delle risorse
Ti consigliamo di applicare le etichette in modo coerente ai progetti per agevolare lo sviluppo governance e allocazione dei costi. La tabella seguente descrive le etichette del progetto aggiunte a ciascun progetto per la governance nel progetto base.
Etichetta | Descrizione |
---|---|
application |
Il nome leggibile dell'applicazione o del carico di lavoro associati al progetto. |
businesscode |
Un breve codice che descrive a quale unità aziendale è proprietaria
progetto. Il codice shared viene utilizzato per progetti comuni
che non sono esplicitamente legati a un'unità aziendale. |
billingcode |
Un codice utilizzato per fornire informazioni sullo storno di addebito. |
primarycontact |
Il nome utente del contatto principale responsabile del progetto. Poiché le etichette del progetto non possono includere caratteri speciali come come la e commerciale (@), viene impostata sul nome utente senza il suffisso @example.com. |
secondarycontact |
Il nome utente del contatto secondario secondario responsabile del progetto. Poiché le etichette di progetto non possono includere caratteri speciali come @, imposta solo il nome utente senza il Suffisso @example.com. |
environment |
Un valore che identifica il tipo di ambiente, come
bootstrap , common , production
non-production,development o network. |
envcode |
Un valore che identifica il tipo di ambiente, abbreviato in
b , c , p e n
d o net . |
vpc |
L'ID della rete VPC che dovrebbe essere utilizzata da questo progetto. |
Di tanto in tanto, Google potrebbe inviare notifiche importanti, come sospensioni dell'account o aggiornamenti ai termini dei prodotti. Il progetto utilizza Contatti necessari per inviare queste notifiche ai gruppi che configuri durante il deployment. I contatti necessari vengono configurati sul nodo organizzazione ed ereditati da tutti i progetti dell'organizzazione. Ti consigliamo di esaminare questi gruppi e assicurare che le email siano monitorate in modo affidabile.
Contatti necessari è utilizzato per uno scopo diverso rispetto a
primarycontact
e secondarycontact
campi configurati nel progetto
etichette. I contatti nelle etichette del progetto sono destinati alla governance interna. Per
Ad esempio, se identifichi risorse non conformi in un progetto di carichi di lavoro e hai bisogno
per contattare i proprietari, puoi usare il campo primarycontact
per trovare
persona o team responsabile del carico di lavoro.
Passaggi successivi
- Scopri di più sul networking (documento successivo di questa serie).