Node root untuk mengelola resource di Google Cloud adalah organisasi. Organisasi Google Cloud menyediakan hierarki resource yang memberikan struktur kepemilikan untuk resource dan titik lampiran bagi kebijakan organisasi dan kontrol akses. Hierarki resource terdiri dari folder, project, dan resource, serta menentukan struktur dan penggunaan layanan Google Cloud dalam sebuah organisasi.
Resource yang lebih rendah dalam hierarki mewarisi kebijakan seperti IAM mengizinkan kebijakan dan kebijakan organisasi. Semua izin akses ditolak secara default, sampai Anda menerapkan kebijakan izinkan secara langsung ke resource, atau resource mewarisi kebijakan izinkan dari level yang lebih tinggi dalam hierarki resource.
Diagram berikut menunjukkan folder dan project yang di-deploy oleh blueprint.
Bagian berikut menjelaskan folder dan project dalam diagram.
Folder
Blueprint menggunakan folder untuk mengelompokkan project berdasarkan lingkungannya. Pengelompokan logis ini digunakan untuk menerapkan konfigurasi seperti kebijakan izinkan dan kebijakan organisasi pada tingkat folder, lalu semua resource dalam folder akan mewarisi kebijakan tersebut. Tabel berikut menjelaskan folder yang merupakan bagian dari blueprint.
| Folder | Deskripsi |
|---|---|
bootstrap |
Berisi project yang digunakan untuk men-deploy komponen dasar. |
common |
Berisi project dengan resource yang digunakan bersama oleh semua lingkungan. |
production |
Berisi project dengan resource produksi. |
nonproduction |
Berisi salinan lingkungan produksi agar Anda dapat menguji beban kerja sebelum mempromosikannya ke produksi. |
development |
Berisi resource cloud yang digunakan untuk pengembangan. |
networking |
Berisi resource jaringan yang digunakan bersama oleh semua lingkungan. |
Project
Blueprint menggunakan project untuk mengelompokkan resource individual berdasarkan fungsionalitasnya dan batas yang dimaksudkan untuk kontrol akses. Tabel berikut ini menjelaskan project yang disertakan dalam blueprint.
| Folder | Project | Deskripsi |
|---|---|---|
bootstrap |
prj-b-cicd |
Berisi pipeline deployment yang digunakan untuk membangun komponen dasar organisasi. Untuk informasi selengkapnya, lihat metodologi deployment. |
prj-b-seed |
Berisi status Terraform infrastruktur Anda dan akun layanan Terraform yang diperlukan untuk menjalankan pipeline. Untuk informasi selengkapnya, lihat metodologi deployment. | |
common |
prj-c-secrets |
Berisi rahasia tingkat tinggi organisasi. Untuk mengetahui informasi selengkapnya, lihat menyimpan kredensial aplikasi dengan Secret Manager. |
prj-c-logging |
Berisi sumber log gabungan untuk log audit. Untuk informasi selengkapnya, lihat logging terpusat untuk keamanan dan audit. | |
prj-c-scc |
Berisi resource untuk membantu mengonfigurasi pemberitahuan Security Command Center dan pemantauan keamanan kustom lainnya. Untuk mengetahui informasi selengkapnya, lihat pemantauan ancaman dengan Security Command Center. | |
prj-c-billing-logs |
Berisi set data BigQuery dengan ekspor penagihan organisasi. Untuk mengetahui informasi selengkapnya, lihat mengalokasikan biaya di antara pusat biaya internal. | |
prj-c-infra-pipeline |
Berisi pipeline infrastruktur untuk men-deploy resource seperti VM dan database yang akan digunakan oleh workload. Untuk informasi selengkapnya, lihat lapisan pipeline. | |
prj-c-kms |
Berisi kunci enkripsi tingkat organisasi. Untuk informasi selengkapnya, lihat mengelola kunci enkripsi. | |
networking |
prj-net-{env}-shared-base |
Berisi project host untuk jaringan VPC Bersama untuk beban kerja yang tidak memerlukan Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat topologi jaringan. |
prj-net-{env}-shared-restricted |
Berisi project host untuk jaringan VPC Bersama untuk beban kerja yang memerlukan Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat topologi jaringan. | |
prj-net-interconnect |
Berisi koneksi Cloud Interconnect yang menyediakan konektivitas antara lingkungan lokal Anda dan Google Cloud. Untuk mengetahui informasi selengkapnya, lihat konektivitas hybrid. | |
prj-net-dns-hub |
Berisi resource untuk titik pusat komunikasi antara sistem DNS lokal dan Cloud DNS. Untuk mengetahui informasi selengkapnya, lihat penyiapan DNS terpusat. | |
folder lingkungan (production,
non-production, dan development) |
prj-{env}-monitoring |
Berisi project pencakupan untuk menggabungkan metrik dari project di lingkungan tersebut. Untuk informasi lebih lanjut, lihat pemberitahuan tentang metrik berbasis log dan metrik performa |
prj-{env}-secrets |
Berisi rahasia tingkat folder. Untuk mengetahui informasi selengkapnya, lihat menyimpan dan mengaudit kredensial aplikasi dengan Secret Manager. | |
prj-{env}-kms |
Berisi kunci enkripsi tingkat folder. Untuk informasi selengkapnya, lihat mengelola kunci enkripsi. | |
| project aplikasi | Berisi berbagai project tempat Anda membuat resource untuk aplikasi. Untuk mengetahui informasi selengkapnya, lihat pola deployment project dan lapisan pipeline. |
Tata kelola untuk kepemilikan resource
Sebaiknya Anda menerapkan label secara konsisten pada project untuk membantu tata kelola dan alokasi biaya. Tabel berikut menjelaskan label project yang ditambahkan ke setiap project untuk tata kelola dalam cetak biru.
| Label | Deskripsi |
|---|---|
application |
Nama aplikasi atau beban kerja yang dapat dibaca manusia yang terkait dengan project. |
businesscode |
Kode singkat yang menjelaskan unit bisnis mana yang memiliki project. Kode shared digunakan untuk project umum yang tidak terikat secara eksplisit ke unit bisnis. |
billingcode |
Kode yang digunakan untuk memberikan informasi penagihan balik. |
primarycontact |
Nama pengguna kontak utama yang bertanggung jawab atas project. Karena label project tidak dapat menyertakan karakter khusus seperti ampersand (@), label tersebut ditetapkan ke nama pengguna tanpa akhiran @example.com. |
secondarycontact |
Nama pengguna kontak sekunder sekunder yang bertanggung jawab atas project. Karena label project tidak dapat menyertakan karakter khusus seperti @, tetapkan hanya nama pengguna tanpa akhiran @example.com. |
environment |
Nilai yang mengidentifikasi jenis lingkungan, seperti
bootstrap, common, production,
non-production,development, atau network. |
envcode |
Nilai yang mengidentifikasi jenis lingkungan, disingkat menjadi
b, c, p, n,
d, atau net. |
vpc |
ID jaringan VPC yang diharapkan untuk digunakan oleh project ini. |
Google terkadang dapat mengirimkan notifikasi penting, seperti penangguhan akun atau pembaruan persyaratan produk. Blueprint menggunakan Kontak Penting untuk mengirimkan notifikasi tersebut ke grup yang Anda konfigurasi selama deployment. Kontak Penting dikonfigurasi pada node organisasi dan diwarisi oleh semua project dalam organisasi. Sebaiknya Anda meninjau grup tersebut dan memastikan bahwa email dipantau dengan andal.
Kontak Penting digunakan untuk tujuan yang berbeda dengan kolom primarycontact dan secondarycontact yang dikonfigurasi dalam label project. Kontak dalam label project dimaksudkan untuk tata kelola internal. Misalnya, jika Anda mengidentifikasi resource yang tidak mematuhi kebijakan dalam project beban kerja dan perlu
menghubungi pemilik, Anda dapat menggunakan kolom primarycontact untuk menemukan
orang atau tim yang bertanggung jawab atas beban kerja tersebut.
Langkah selanjutnya
- Baca tentang jaringan (dokumen berikutnya dalam seri ini).