Le nœud racine pour la gestion des ressources dans Google Cloud est l'organisation. L'organisation Google Cloud fournit une hiérarchie des ressources qui constitue une structure de propriété pour les ressources ainsi que des points de liaison pour les règles d'administration et les contrôles d'accès. La hiérarchie des ressources se compose de dossiers, de projets et de ressources, et définit la structure et l'utilisation des services Google Cloud au sein d'une organisation.
Les ressources de la hiérarchie héritent des stratégies telles que les stratégies d'autorisation IAM et les règles d'administration. Par défaut, toutes les autorisations d'accès sont refusées jusqu'à ce que vous appliquiez des stratégies d'autorisation directement à une ressource ou que la ressource hérite des stratégies d'autorisation d'un niveau supérieur dans la hiérarchie des ressources.
Le schéma suivant montre les dossiers et les projets déployés par le plan.
Les sections suivantes décrivent les dossiers et les projets du diagramme.
Dossiers
Le plan utilise des dossiers pour regrouper les projets en fonction de leur environnement. Ce regroupement logique permet d'appliquer des configurations telles que des stratégies d'autorisation et des règles d'administration au niveau du dossier, puis toutes les ressources du dossier héritent des stratégies. Le tableau suivant décrit les dossiers faisant partie du plan.
Dossier | Description |
---|---|
bootstrap |
Contient les projets utilisés pour déployer les composants de base. |
common |
Contient des projets avec des ressources partagées par tous les environnements. |
production |
Contient des projets avec des ressources de production. |
nonproduction |
Contient une copie de l'environnement de production qui vous permet de tester des charges de travail avant de les promouvoir en production. |
development |
Contient les ressources cloud utilisées pour le développement. |
networking |
Contient les ressources réseau partagées par tous les environnements. |
Projets
Le plan utilise des projets pour regrouper des ressources individuelles en fonction de leurs fonctionnalités et des limites prévues pour le contrôle des accès. Le tableau suivant décrit les projets inclus dans le plan.
Dossier | Projet | Description |
---|---|---|
bootstrap |
prj-b-cicd |
Héberge le pipeline de déploiement utilisé pour créer les composants de base de l'organisation. Pour en savoir plus, consultez la section Méthodologie de déploiement. |
prj-b-seed |
Contient l'état Terraform de votre infrastructure et le compte de service Terraform requis pour exécuter le pipeline. Pour en savoir plus, consultez la section Méthodologie de déploiement. | |
common |
prj-c-secrets |
Contient des secrets au niveau de l'organisation. Pour en savoir plus, consultez la section Stocker les identifiants d'application avec Secret Manager. |
prj-c-logging |
Contient les sources de journaux agrégées pour les journaux d'audit. Pour en savoir plus, consultez la page Journalisation centralisée pour la sécurité et l'audit. | |
prj-c-scc |
Contient des ressources permettant de configurer les alertes Security Command Center et d'autres fonctionnalités de surveillance de sécurité personnalisées. Pour en savoir plus, consultez la section Surveiller les menaces avec Security Command Center. | |
prj-c-billing-logs |
Contient un ensemble de données BigQuery contenant les exportations de la facturation de l'organisation. Pour en savoir plus, consultez la page Allouer des coûts entre des centres de coûts internes. | |
prj-c-infra-pipeline |
Elle contient un pipeline d'infrastructure permettant de déployer des ressources telles que des VM et des bases de données qui seront utilisées par les charges de travail. Pour en savoir plus, consultez la section Couches de pipeline. | |
prj-c-kms |
Contient des clés de chiffrement au niveau de l'organisation. Pour en savoir plus, consultez la page Gérer les clés de chiffrement. | |
networking |
prj-net-{env}-shared-base |
Elle contient le projet hôte pour un réseau VPC partagé pour les charges de travail qui ne nécessitent pas VPC Service Controls. Pour plus d'informations, consultez la section Topologie du réseau. |
prj-net-{env}-shared-restricted |
Elle contient le projet hôte pour un réseau VPC partagé pour les charges de travail qui nécessitent VPC Service Controls. Pour plus d'informations, consultez la section Topologie du réseau. | |
prj-net-interconnect |
Contient les connexions Cloud Interconnect qui fournissent la connectivité entre votre environnement sur site et Google Cloud. Pour en savoir plus, consultez l'article Connectivité hybride. | |
prj-net-dns-hub |
Il contient des ressources pour un point de communication central entre votre système DNS sur site et Cloud DNS. Pour en savoir plus, consultez la section Configuration DNS centralisée. | |
Dossiers d'environnement (production,
non-production et development ) |
prj-{env}-monitoring |
Contient un projet de champ d'application pour agréger les métriques des projets dans cet environnement. Pour en savoir plus, consultez la page Créer des alertes sur les métriques basées sur les journaux et les métriques de performances. |
prj-{env}-secrets |
Contient des secrets au niveau du dossier. Pour en savoir plus, consultez la page Stocker et auditer les identifiants de l'application avec Secret Manager. | |
prj-{env}-kms |
Contient des clés de chiffrement au niveau du dossier. Pour en savoir plus, consultez la page Gérer les clés de chiffrement. | |
application projects | Contient divers projets dans lesquels vous créez des ressources pour les applications. Pour en savoir plus, consultez les sections Modèles de déploiement de projet et Couches de pipeline. |
Gouvernance pour la propriété des ressources
Nous vous recommandons d'appliquer des libellés de manière cohérente à vos projets pour faciliter la gouvernance et l'attribution des coûts. Le tableau suivant décrit les libellés de projet ajoutés à chaque projet pour la gouvernance du plan.
Libellé | Description |
---|---|
application |
Nom lisible de l'application ou de la charge de travail associée au projet. |
businesscode |
Code court décrivant l'unité commerciale dont dépend le projet. Le code shared est utilisé pour les projets courants qui ne sont pas explicitement liés à une unité commerciale. |
billingcode |
Code utilisé pour fournir des informations de rejet de débit. |
primarycontact |
Nom d'utilisateur du contact principal responsable du projet. Étant donné que les libellés de projet ne peuvent pas inclure de caractères spéciaux tels que l'esperluette (@), ils sont définis sur le nom d'utilisateur sans le suffixe @example.com. |
secondarycontact |
Nom d'utilisateur du contact secondaire secondaire responsable du projet. Comme les libellés de projet ne peuvent pas inclure de caractères spéciaux tels que @, définissez uniquement le nom d'utilisateur sans le suffixe @example.com. |
environment |
Une valeur qui identifie le type d'environnement, telle que
bootstrap , common , production ,
non-production,development ou network. |
envcode |
Une valeur qui identifie le type d'environnement, raccourcie vers b , c , p , n , d ou net . |
vpc |
ID du réseau VPC que ce projet est censé utiliser. |
Il peut arriver que Google vous envoie des notifications importantes, telles que la suspension de votre compte ou la modification de vos conditions produit. Le plan utilise les contacts essentiels pour envoyer ces notifications aux groupes que vous configurez lors du déploiement. Les contacts essentiels sont configurés au niveau du nœud d'organisation et sont hérités par tous les projets de l'organisation. Nous vous recommandons de vérifier ces groupes et de vous assurer que la surveillance des e-mails est fiable.
Les contacts essentiels sont utilisés à des fins différentes de celles des champs primarycontact
et secondarycontact
configurés dans les libellés de projet. Les contacts des libellés de projet sont destinés à la gouvernance interne. Par exemple, si vous identifiez des ressources non conformes dans un projet de charge de travail et que vous devez contacter les propriétaires, vous pouvez utiliser le champ primarycontact
pour rechercher la personne ou l'équipe responsable de cette charge de travail.
Étapes suivantes
- Lisez la section sur la mise en réseau (document suivant de cette série).