Men-deploy blueprint

Last reviewed 2023-12-20 UTC

Bagian ini menjelaskan proses yang dapat Anda gunakan untuk men-deploy blueprint, konvensi penamaannya, dan alternatif untuk rekomendasi blueprint.

Menyatukan semuanya

Untuk men-deploy fondasi perusahaan Anda sendiri sesuai dengan praktik terbaik dan rekomendasi dari blueprint ini, ikuti tugas tingkat tinggi yang diringkas di bagian ini. Deployment memerlukan kombinasi langkah penyiapan prasyarat, deployment otomatis melalui terraform-example-foundation di GitHub, dan langkah tambahan yang harus dikonfigurasi secara manual setelah deployment fondasi awal selesai.

Proses Langkah

Prasyarat sebelum men-deploy resource pipeline dasar

Selesaikan langkah-langkah berikut sebelum men-deploy pipeline fondasi:

Untuk terhubung ke lingkungan lokal yang ada, siapkan hal berikut:

Langkah-langkah untuk men-deploy terraform-example-foundation dari GitHub

Ikuti petunjuk README untuk setiap tahap guna men-deploy terraform-example-foundation dari GitHub:

Langkah tambahan setelah deployment IaC

Setelah Anda men-deploy kode Terraform, selesaikan langkah-langkah berikut:

Kontrol administratif tambahan untuk pelanggan dengan workload sensitif

Google Cloud menyediakan kontrol administratif tambahan yang dapat membantu persyaratan keamanan dan kepatuhan Anda. Namun, beberapa kontrol melibatkan biaya tambahan atau kompromi operasional yang mungkin tidak sesuai untuk setiap pelanggan. Kontrol ini juga memerlukan input yang disesuaikan untuk persyaratan khusus Anda yang tidak dapat sepenuhnya diotomatiskan dalam blueprint dengan nilai default untuk semua pelanggan.

Bagian ini memperkenalkan kontrol keamanan yang Anda terapkan secara terpusat ke fondasi Anda. Bagian ini tidak dimaksudkan untuk menjelaskan semua kontrol keamanan yang dapat Anda terapkan ke workload tertentu. Untuk informasi selengkapnya tentang produk dan solusi keamanan Google, lihat Pusat praktik terbaik keamanan Google Cloud.

Evaluasi apakah kontrol berikut sesuai untuk fondasi Anda berdasarkan persyaratan kepatuhan, selera risiko, dan sensitivitas data.

Kontrol Deskripsi

Melindungi resource Anda dengan Kontrol Layanan VPC

Kontrol Layanan VPC memungkinkan Anda menentukan kebijakan keamanan yang mencegah akses ke layanan yang dikelola Google di luar perimeter tepercaya, memblokir akses ke data dari lokasi yang tidak tepercaya, dan memitigasi risiko pemindahan data yang tidak sah. Namun, Kontrol Layanan VPC dapat menyebabkan layanan yang ada rusak hingga Anda menentukan pengecualian untuk mengizinkan pola akses yang diinginkan.

Evaluasi apakah nilai mitigasi risiko pemindahan data yang tidak sah membenarkan peningkatan kompleksitas dan overhead operasional dari penerapan Kontrol Layanan VPC. Blueprint menyiapkan jaringan yang dibatasi dan variabel opsional untuk mengonfigurasi Kontrol Layanan VPC, tetapi perimeter tidak diaktifkan hingga Anda melakukan langkah-langkah tambahan untuk mendesain dan mengaktifkannya.

Membatasi lokasi resource

Anda mungkin memiliki persyaratan peraturan bahwa resource cloud hanya boleh di-deploy di lokasi geografis yang disetujui. Batasan kebijakan organisasi ini menerapkan bahwa resource hanya dapat di-deploy dalam daftar lokasi yang Anda tentukan.

Mengaktifkan Assured Workloads

Assured Workloads menyediakan kontrol kepatuhan tambahan yang membantu Anda memenuhi rezim peraturan tertentu. Blueprint menyediakan variabel opsional di pipeline deployment untuk pengaktifan.

Mengaktifkan log akses data

Anda mungkin memiliki persyaratan untuk mencatat semua akses ke data atau resource sensitif tertentu.

Evaluasi tempat beban kerja Anda menangani data sensitif yang memerlukan log akses data, dan aktifkan log untuk setiap layanan dan lingkungan yang menangani data sensitif.

Mengaktifkan Persetujuan Akses

Persetujuan Akses memastikan bahwa Cloud Customer Care dan engineering memerlukan persetujuan eksplisit Anda setiap kali mereka perlu mengakses konten pelanggan Anda.

Evaluasi proses operasional yang diperlukan untuk meninjau permintaan Access Approval guna mengurangi kemungkinan penundaan dalam menyelesaikan insiden dukungan.

Mengaktifkan Key Access Justifications

Justifikasi Akses Kunci memungkinkan Anda mengontrol secara terprogram apakah Google dapat mengakses kunci enkripsi Anda, termasuk untuk operasi otomatis dan untuk Layanan Pelanggan guna mengakses konten pelanggan Anda.

Evaluasi biaya dan overhead operasional yang terkait dengan Key Access Justifications serta dependensinya pada Cloud External Key Manager (Cloud EKM).

Menonaktifkan Cloud Shell

Cloud Shell adalah lingkungan pengembangan online. Shell ini dihosting di server yang dikelola Google di luar lingkungan Anda, sehingga tidak tunduk pada kontrol yang mungkin telah Anda terapkan di workstation developer Anda sendiri.

Jika Anda ingin mengontrol secara ketat workstation mana yang dapat digunakan developer untuk mengakses resource cloud, nonaktifkan Cloud Shell. Anda juga dapat mengevaluasi Cloud Workstations untuk opsi workstation yang dapat dikonfigurasi di lingkungan Anda sendiri.

Membatasi akses ke konsol Google Cloud

Dengan Google Cloud, Anda dapat membatasi akses ke konsol Google Cloud berdasarkan atribut tingkat akses seperti keanggotaan grup, rentang alamat IP tepercaya, dan verifikasi perangkat. Beberapa atribut memerlukan langganan tambahan ke Chrome Enterprise Premium.

Evaluasi pola akses yang Anda percayai untuk akses pengguna ke aplikasi berbasis web seperti konsol sebagai bagian dari pen-deployment zero trust yang lebih besar.

Konvensi penamaan

Sebaiknya Anda memiliki konvensi penamaan standar untuk resource Google Cloud. Tabel berikut menjelaskan konvensi yang direkomendasikan untuk nama resource dalam blueprint.

Resource Konvensi penamaan

Folder

fldr-environment

environment adalah deskripsi resource tingkat folder dalam organisasi Google Cloud. Misalnya, bootstrap, common, production, nonproduction, development, atau network.

Contoh: fldr-production

ID Project

prj-environmentcode-description-randomid

  • environmentcode adalah bentuk singkat dari kolom lingkungan (salah satu dari b, c, p, n, d, atau net). Project host VPC Bersama menggunakan environmentcode dari lingkungan terkait. Project untuk resource jaringan yang digunakan bersama di seluruh lingkungan, seperti project interconnect, menggunakan kode lingkungan net.
  • description adalah informasi tambahan tentang project. Anda dapat menggunakan singkatan yang singkat dan dapat dibaca manusia.
  • randomid adalah akhiran acak untuk mencegah konflik nama resource yang harus unik secara global dan untuk mengurangi serangan penyerang yang menebak nama resource. Blueprint akan otomatis menambahkan ID alfanumerik empat karakter secara acak.

Contoh: prj-c-logging-a1b2

Jaringan VPC

vpc-environmentcode-vpctype-vpcconfig

  • environmentcode adalah bentuk singkat dari kolom lingkungan (salah satu dari b, c, p, n, d, atau net).
  • vpctype adalah salah satu dari shared, float, atau peer.
  • vpcconfig adalah base atau restricted untuk menunjukkan apakah jaringan dimaksudkan untuk digunakan dengan Kontrol Layanan VPC atau tidak.

Contoh: vpc-p-shared-base

Subnet

sn-environmentcode-vpctype-vpcconfig-region{-description}

  • environmentcode adalah bentuk singkat dari kolom lingkungan (salah satu dari b, c, p, n, d, atau net).
  • vpctype adalah salah satu dari shared, float, atau peer.
  • vpcconfig adalah base atau restricted untuk menunjukkan apakah jaringan dimaksudkan untuk digunakan dengan Kontrol Layanan VPC atau tidak.
  • region adalah region Google Cloud yang valid tempat resource berada. Sebaiknya hapus tanda hubung dan gunakan bentuk singkatan dari beberapa wilayah dan rute untuk menghindari batas karakter. Misalnya, au (Australia), na (Amerika Utara), sa (Amerika Selatan), eu (Eropa), se (tenggara), atau ne (timur laut).
  • description adalah informasi tambahan tentang subnet. Anda dapat menggunakan singkatan pendek yang dapat dibaca manusia.

Contoh: sn-p-shared-restricted-uswest1

Kebijakan firewall

fw-firewalltype-scope-environmentcode{-description}

  • firewalltype adalah hierarchical atau network.
  • scope adalah global atau region Google Cloud tempat resource berada. Sebaiknya hapus tanda hubung dan gunakan bentuk singkatan dari beberapa wilayah dan rute untuk menghindari batas karakter. Misalnya, au (Australia), na (Amerika Utara), sa (Amerika Selatan), eu (Eropa), se (tenggara), atau ne (timur laut).
  • environmentcode adalah bentuk singkat dari kolom lingkungan (salah satu dari b, c, p, n, d, atau net) yang memiliki resource kebijakan.
  • description adalah informasi tambahan tentang kebijakan firewall hierarkis. Anda dapat menggunakan singkatan pendek yang dapat dibaca manusia.

Misalnya:

fw-hierarchical-global-c-01

fw-network-uswest1-p-shared-base

Cloud Router

cr-environmentcode-vpctype-vpcconfig-region{-description}

  • environmentcode adalah bentuk singkat dari kolom lingkungan (salah satu dari b, c, p, n, d, atau net).
  • vpctype adalah salah satu dari shared, float, atau peer.
  • vpcconfig adalah base atau restricted untuk menunjukkan apakah jaringan dimaksudkan untuk digunakan dengan Kontrol Layanan VPC atau tidak.
  • region adalah region Google Cloud yang valid tempat resource berada. Sebaiknya hapus tanda hubung dan gunakan bentuk singkatan dari beberapa wilayah dan rute untuk menghindari batas karakter. Misalnya, au (Australia), na (Amerika Utara), sa (Amerika Selatan), eu (Eropa), se (tenggara), atau ne (timur laut).
  • description adalah informasi tambahan tentang Cloud Router. Anda dapat menggunakan singkatan pendek yang dapat dibaca manusia.

Contoh: cr-p-shared-base-useast1-cr1

Koneksi Cloud Interconnect

ic-dc-colo

  • dc adalah nama pusat data Anda yang terhubung ke Cloud Interconnect.
  • colo adalah nama fasilitas kolokasi yang di-peering dengan Cloud Interconnect dari pusat data lokal.

Contoh: ic-mydatacenter-lgazone1

Lampiran VLAN Cloud Interconnect

vl-dc-colo-environmentcode-vpctype-vpcconfig-region{-description}

  • dc adalah nama pusat data Anda yang terhubung ke Cloud Interconnect.
  • colo adalah nama fasilitas kolokasi yang di-peering dengan Cloud Interconnect dari pusat data lokal.
  • environmentcode adalah bentuk singkat dari kolom lingkungan (salah satu dari b, c, p, n, d, atau net).
  • vpctype adalah salah satu dari shared, float, atau peer.
  • vpcconfig adalah base atau restricted untuk menunjukkan apakah jaringan dimaksudkan untuk digunakan dengan Kontrol Layanan VPC atau tidak.
  • region adalah region Google Cloud yang valid tempat resource berada. Sebaiknya hapus tanda hubung dan gunakan bentuk singkatan dari beberapa wilayah dan rute untuk menghindari batas karakter. Misalnya, au (Australia), na (Amerika Utara), sa (Amerika Selatan), eu (Eropa), se (tenggara), atau ne (timur laut).
  • description adalah informasi tambahan tentang VLAN. Anda dapat menggunakan singkatan pendek yang dapat dibaca manusia.

Contoh: vl-mydatacenter-lgazone1-p-shared-base-useast1-cr1

Grup

grp-gcp-description@example.com

Dengan description adalah informasi tambahan tentang grup. Anda dapat menggunakan singkatan singkat yang dapat dibaca manusia.

Contoh: grp-gcp-billingadmin@example.com

Peran khusus

rl-description

Dengan description adalah informasi tambahan tentang peran. Anda dapat menggunakan singkatan yang pendek dan dapat dibaca manusia.

Contoh: rl-customcomputeadmin

Akun layanan

sa-description@projectid.

Dengan keterangan:

  • description adalah informasi tambahan tentang akun layanan. Anda dapat menggunakan singkatan pendek yang dapat dibaca manusia.
  • projectid adalah ID project yang unik secara global.

Contoh: sa-terraform-net@prj-b-seed-a1b2.

Bucket penyimpanan

bkt-projectid-description

Dengan keterangan:

  • projectid adalah ID project yang unik secara global.
  • description adalah informasi tambahan tentang bucket penyimpanan. Anda dapat menggunakan singkatan pendek yang dapat dibaca manusia.

Contoh: bkt-prj-c-infra-pipeline-a1b2-app-artifacts

Alternatif untuk rekomendasi default

Praktik terbaik yang direkomendasikan dalam blueprint mungkin tidak cocok untuk setiap pelanggan. Anda dapat menyesuaikan rekomendasi apa pun untuk memenuhi persyaratan spesifik Anda. Tabel berikut memperkenalkan beberapa variasi umum yang mungkin Anda perlukan berdasarkan stack teknologi dan cara kerja yang ada.

Area keputusan Alternatif yang memungkinkan

Organisasi: Blueprint menggunakan satu organisasi sebagai node root untuk semua resource.

Menentukan hierarki resource untuk zona landing Google Cloud Anda memperkenalkan skenario saat Anda mungkin lebih memilih beberapa organisasi, seperti berikut:

  • Organisasi Anda menyertakan sub-perusahaan yang kemungkinan akan dijual di masa mendatang atau yang dijalankan sebagai entitas yang sepenuhnya terpisah.
  • Anda ingin bereksperimen di lingkungan sandbox tanpa konektivitas ke organisasi yang ada.

Struktur folder: Blueprint memiliki struktur folder yang sederhana, dengan beban kerja dibagi menjadi folder production, non-production dan development di lapisan atas.

Menentukan hierarki resource untuk zona landing Google Cloud Anda memperkenalkan pendekatan lain untuk menyusun struktur folder berdasarkan cara Anda ingin mengelola resource dan mewarisi kebijakan, seperti:

  • Folder berdasarkan lingkungan aplikasi
  • Folder berdasarkan entitas regional atau anak perusahaan
  • Folder berdasarkan framework akuntabilitas

Kebijakan organisasi: Blueprint menerapkan semua batasan kebijakan organisasi di node organisasi.

Anda mungkin memiliki kebijakan keamanan atau cara kerja yang berbeda untuk berbagai bagian bisnis. Dalam skenario ini, terapkan batasan kebijakan organisasi di node yang lebih rendah dalam hierarki resource. Tinjau daftar lengkap batasan kebijakan organisasi yang membantu memenuhi persyaratan Anda.

Alat pipeline deployment: Blueprint menggunakan Cloud Build untuk menjalankan pipeline otomatisasi.

Anda mungkin lebih memilih produk lain untuk pipeline deployment, seperti Terraform Enterprise, GitLab Runners, GitHub Actions, atau Jenkins. Blueprint menyertakan rute alternatif untuk setiap produk.

Repositori kode untuk deployment: Blueprint menggunakan Cloud Source Repositories sebagai repositori Git pribadi terkelola.

Gunakan sistem kontrol versi pilihan Anda untuk mengelola repositori kode, seperti GitLab, GitHub, atau Bitbucket.

Jika Anda menggunakan repositori pribadi yang dihosting di lingkungan lokal, konfigurasikan jalur jaringan pribadi dari repositori ke lingkungan Google Cloud.

Penyedia identitas: Blueprint mengasumsikan Active Directory lokal dan menggabungkan identitas ke Cloud Identity menggunakan Google Cloud Directory Sync.

Jika sudah menggunakan Google Workspace, Anda dapat menggunakan identitas Google yang sudah dikelola di Google Workspace.

Jika tidak memiliki penyedia identitas, Anda dapat membuat dan mengelola identitas pengguna langsung di Cloud Identity.

Jika sudah memiliki penyedia identitas, seperti Okta, Ping, atau Azure Entra ID, Anda dapat mengelola akun pengguna di penyedia identitas yang ada dan menyinkronkannya ke Cloud Identity.

Jika Anda memiliki kedaulatan data atau persyaratan kepatuhan yang mencegah Anda menggunakan Cloud Identity, dan jika Anda tidak memerlukan identitas pengguna Google terkelola untuk layanan Google lainnya seperti Google Ads atau Google Marketing Platform, Anda mungkin lebih memilih penggabungan identitas tenaga kerja. Dalam skenario ini, perhatikan batasan pada layanan yang didukung.

Beberapa region: Blueprint men-deploy resource regional ke dua region Google Cloud yang berbeda untuk membantu mengaktifkan desain beban kerja dengan mempertimbangkan persyaratan ketersediaan tinggi dan pemulihan dari bencana.

Jika memiliki pengguna akhir di lebih banyak lokasi geografis, Anda dapat mengonfigurasi lebih banyak region Google Cloud untuk membuat resource yang lebih dekat dengan pengguna akhir dengan latensi yang lebih rendah.

Jika Anda memiliki batasan kedaulatan data atau kebutuhan ketersediaan Anda dapat dipenuhi di satu region, Anda mungkin hanya mengonfigurasi satu region Google Cloud.

Alokasi alamat IP: Blueprint menyediakan kumpulan rentang alamat IP.

Anda mungkin perlu mengubah rentang alamat IP tertentu yang digunakan berdasarkan ketersediaan alamat IP di lingkungan hybrid yang ada. Jika Anda mengubah rentang alamat IP, gunakan blueprint sebagai panduan untuk jumlah dan ukuran rentang yang diperlukan, dan tinjau rentang alamat IP yang valid untuk Google Cloud.

Jaringan hybrid: Blueprint menggunakan Dedicated Interconnect di beberapa situs fisik dan region Google Cloud untuk bandwidth dan ketersediaan maksimum.

Bergantung pada persyaratan biaya, bandwidth, dan keandalan, Anda dapat mengonfigurasi Partner Interconnect atau Cloud VPN.

Jika Anda perlu mulai men-deploy resource dengan konektivitas pribadi sebelum Dedicated Interconnect dapat diselesaikan, Anda dapat memulai dengan Cloud VPN dan beralih untuk menggunakan Dedicated Interconnect nanti.

Jika tidak memiliki lingkungan lokal, Anda mungkin tidak memerlukan jaringan campuran sama sekali.

Perimeter Kontrol Layanan VPC: Blueprint merekomendasikan satu perimeter yang mencakup semua project layanan yang terkait dengan jaringan VPC yang dibatasi. Project yang terkait dengan jaringan VPC dasar tidak disertakan di dalam perimeter.

Anda mungkin memiliki kasus penggunaan yang memerlukan beberapa perimeter untuk organisasi atau Anda mungkin memutuskan untuk tidak menggunakan Kontrol Layanan VPC sama sekali.

Untuk mengetahui informasinya, lihat menentukan cara memitigasi pemindahan data yang tidak sah melalui Google API.

Secret Manager: Blueprint men-deploy project untuk menggunakan Secret Manager di folder common untuk secret seluruh organisasi, dan project di setiap folder lingkungan untuk secret khusus lingkungan.

Jika Anda memiliki satu tim yang bertanggung jawab untuk mengelola dan mengaudit secret sensitif di seluruh organisasi, Anda mungkin lebih memilih untuk hanya menggunakan satu project untuk mengelola akses ke secret.

Jika Anda mengizinkan tim workload mengelola secret mereka sendiri, Anda mungkin tidak menggunakan project terpusat untuk mengelola akses ke secret, dan sebagai gantinya mengizinkan tim menggunakan instance Secret Manager mereka sendiri dalam project workload.

Cloud KMS: Blueprint men-deploy project untuk menggunakan Cloud KMS di folder common untuk kunci di seluruh organisasi, dan project untuk setiap folder lingkungan untuk kunci di setiap lingkungan.

Jika Anda memiliki satu tim yang bertanggung jawab untuk mengelola dan mengaudit kunci enkripsi di seluruh organisasi, sebaiknya gunakan satu project saja untuk mengelola akses ke kunci. Pendekatan terpusat dapat membantu memenuhi persyaratan kepatuhan seperti kustodian kunci enkripsi PCI.

Jika Anda mengizinkan tim workload mengelola kunci mereka sendiri, Anda mungkin tidak menggunakan project terpusat untuk mengelola akses ke kunci, dan sebagai gantinya mengizinkan tim menggunakan instance Cloud KMS mereka sendiri dalam project workload.

Sink log gabungan: Blueprint mengonfigurasi kumpulan sink log di node organisasi sehingga tim keamanan pusat dapat meninjau log audit dari seluruh organisasi.

Anda mungkin memiliki tim yang berbeda yang bertanggung jawab untuk mengaudit berbagai bagian bisnis, dan tim ini mungkin memerlukan log yang berbeda untuk melakukan tugas mereka. Dalam skenario ini, desain beberapa sink gabungan di folder dan project yang sesuai, lalu buat filter sehingga setiap tim hanya menerima log yang diperlukan, atau desain tampilan log untuk kontrol akses terperinci ke bucket log umum.

Perincian pipeline infrastruktur: Blueprint ini menggunakan model yang memungkinkan setiap unit bisnis memiliki pipeline infrastruktur terpisah untuk mengelola project workload mereka.

Anda mungkin lebih memilih satu pipeline infrastruktur yang dikelola oleh tim pusat jika memiliki tim pusat yang bertanggung jawab untuk men-deploy semua project dan infrastruktur. Tim pusat ini dapat menerima permintaan pull dari tim beban kerja untuk ditinjau dan disetujui sebelum pembuatan project, atau tim dapat membuat permintaan pull sendiri sebagai respons terhadap sistem tiket.

Anda mungkin lebih memilih pipeline yang lebih terperinci jika setiap tim beban kerja memiliki kemampuan untuk menyesuaikan pipeline mereka sendiri dan Anda ingin mendesain akun layanan dengan hak istimewa yang lebih terperinci untuk pipeline tersebut.

Ekspor SIEM:Blueprint ini mengelola semua temuan keamanan di Security Command Center.

Tentukan apakah Anda akan mengekspor temuan keamanan dari Security Command Center ke alat seperti Google Security Operations atau SIEM yang ada, atau apakah tim akan menggunakan konsol untuk melihat dan mengelola temuan keamanan. Anda dapat mengonfigurasi beberapa ekspor dengan filter unik untuk tim yang berbeda dengan cakupan dan tanggung jawab yang berbeda.

Penelusuran DNS untuk layanan Google Cloud dari lokal: Blueprint mengonfigurasi endpoint Private Service Connect unik untuk setiap VPC Bersama, yang dapat membantu mengaktifkan desain dengan beberapa perimeter Kontrol Layanan VPC.

Anda mungkin tidak memerlukan perutean dari lingkungan lokal ke endpoint Private Service Connect pada tingkat perincian ini jika Anda tidak memerlukan beberapa perimeter Kontrol Layanan VPC.

Daripada memetakan host lokal ke endpoint Private Service Connect menurut lingkungan, Anda dapat menyederhanakan desain ini untuk menggunakan satu endpoint Private Service Connect dengan paket API yang sesuai, atau menggunakan endpoint generik untuk private.googleapis.com dan restricted.googleapis.com.

Langkah selanjutnya