Avant d'exécuter des charges de travail de production sur Google Cloud, nous vous recommandons de configurer une base initiale pour vous aider. La configuration de Google Cloud aide les administrateurs à configurer Google Cloud pour des charges de travail évolutives. Le processus de configuration vous guide à travers une procédure interactive qui vous aide à créer une architecture de base en tenant compte des bonnes pratiques.
Pour vous aider à répondre aux besoins de votre entreprise, vous pouvez déployer rapidement une configuration par défaut ou effectuer des ajustements tout au long du processus. Selon votre workflow de déploiement préféré, vous pouvez déployer votre configuration directement à partir de la console ou télécharger et déployer Terraform pour intégrer votre propre processus IaC (Infrastructure as Code).
Ce document comprend des étapes et des informations générales pour vous aider à terminer le processus de configuration. Il est également disponible en tant que guide interactif dans la console Google Cloud :
Accéder à la configuration de Google Cloud
Le processus de configuration comprend les phases suivantes :
Établir votre organisation, vos administrateurs et votre facturation : configurez le nœud de premier niveau de votre hiérarchie, créez les utilisateurs administrateurs initiaux et connectez votre mode de paiement.
Créer une architecture initiale : sélectionnez un dossier et une structure de projet initiaux, attribuez des accès, configurez la journalisation, appliquez les paramètres de sécurité et configurez votre réseau.
Déployer vos paramètres : vos choix initiaux d'architecture sont compilés dans les fichiers de configuration Terraform. Vous pouvez les déployer rapidement via la console Google Cloud, ou télécharger les fichiers pour les personnaliser et les itérer à l'aide de votre propre workflow.
Appliquer les paramètres de surveillance et d'assistance : appliquez les paramètres de surveillance et d'assistance recommandés pour renforcer votre architecture.
Établir votre organisation, vos administrateurs et votre facturation
Organisation
Une ressource d'organisation dans Google Cloud représente votre entreprise et sert de nœud de premier niveau dans votre hiérarchie. Pour créer votre organisation, vous devez configurer un service d'identité Google et l'associer à votre domaine. Une fois ce processus terminé, une ressource Organisation est automatiquement créée.
Pour obtenir un aperçu de la ressource d'organisation, consultez les pages suivantes :
- Gérer les ressources d'organisation
- Bonnes pratiques pour planifier des comptes et des organisations
Utilisateurs effectuant cette tâche
Les deux administrateurs suivants effectuent cette tâche :
Administrateur d'identité chargé d'attribuer un accès basé sur les rôles. Vous affectez cette personne au rôle de super-administrateur Cloud Identity. Pour en savoir plus sur le super-administrateur, consultez Rôles Administrateurs prédéfinis.
Un administrateur de domaine ayant accès à l'hébergeur de domaine de l'entreprise. Cette personne modifie vos paramètres de domaine, tels que les configurations DNS, dans le cadre du processus de validation du domaine.
Actions à effectuer dans cette tâche
- Si ce n'est pas déjà fait, configurez Cloud Identity, où vous créez un compte utilisateur géré pour votre super-administrateur.
- Associez Cloud Identity à votre domaine (comme example.com).
- Validez votre domaine. Ce processus crée le nœud racine de la hiérarchie des ressources, appelé ressource d'organisation.
Raisons pour lesquelles nous recommandons cette tâche
Vous devez configurer les éléments suivants dans le cadre de vos éléments Google Cloud de base :
- Un service d'identité Google pour gérer les identités de manière centralisée.
- Une ressource d'organisation permettant d'établir la racine de votre hiérarchie et le contrôle des accès.
Options du service de gestion des identités Google
Vous utilisez l'un des services d'identité Google suivants, ou les deux, pour administrer les identifiants des utilisateurs Google Cloud :
- Cloud Identity : gestion centralisée des utilisateurs et des groupes. Vous pouvez fédérer des identités entre Google et d'autres fournisseurs d'identité. Pour en savoir plus, consultez la présentation de Cloud Identity.
- Google Workspace : gère les utilisateurs et les groupes, et permet d'accéder aux produits de productivité et de collaboration tels que Gmail et Google Drive. Pour en savoir plus, consultez Google Workspace.
Pour en savoir plus sur la planification des identités, consultez Planifier le processus d'intégration de vos identités d'entreprise.
Avant de commencer
Pour comprendre comment gérer un compte super-administrateur, consultez Bonnes pratiques relatives aux comptes super-administrateur.
Configurer un fournisseur d'identité et valider votre domaine
Les étapes de cette tâche varient selon que vous êtes un nouveau client ou un client existant. Identifiez l'option qui correspond à vos besoins :
Nouveau client : configurez Cloud Identity, validez votre domaine et créez votre organisation.
Client Google Workspace existant : utilisez Google Workspace comme fournisseur d'identité pour les utilisateurs qui accèdent à Google Workspace et à Google Cloud. Si vous envisagez de créer des utilisateurs qui n'accèdent qu'à Google Cloud, activez Cloud Identity.
Client Cloud Identity existant : validez votre domaine, assurez-vous que votre organisation a été créée et vérifiez que Cloud Identity est activé.
Nouveau client :
Nouveau client : Configurer Cloud Identity et créer votre organisation
Pour créer votre ressource d'organisation, vous devez d'abord configurer Cloud Identity, qui vous aide à gérer les utilisateurs et les groupes qui accèdent aux ressources Google Cloud.
Dans cette tâche, vous allez configurer l'édition gratuite de Cloud Identity. Vous pouvez activer Cloud Identity Premium Edition une fois la configuration initiale terminée. Pour en savoir plus, consultez la page Comparer les fonctionnalités et les éditions de Cloud Identity.
Identifiez la personne qui est l'administrateur Cloud Identity (également appelé super-administrateur) de votre organisation.
Enregistrez le nom d'utilisateur de l'administrateur au format suivant : admin-name@example.com. Par exemple, admin-maria@example.com. Spécifiez ce nom d'utilisateur lorsque vous créez votre premier utilisateur administrateur.
Pour terminer le processus de configuration et créer le compte super-administrateur, accédez à la page d'inscription à Cloud Identity.
Si des messages d'erreur s'affichent lorsque vous configurez le compte administrateur, consultez la page Erreur "Ce compte Google existe déjà".
Valider votre domaine et créer votre ressource d'organisation
Cloud Identity vous demande de confirmer que vous êtes le propriétaire du domaine. Une fois la validation terminée, votre ressource d'organisation Google Cloud est automatiquement créée pour vous.
Assurez-vous d'avoir créé un compte super-administrateur lorsque vous avez configuré votre fournisseur d'identité.
Validez votre domaine dans Cloud Identity. Au cours du processus de validation, tenez compte des points suivants :
- Lorsque vous y êtes invité, ne cliquez pas sur "Créer des utilisateurs". Vous créerez des utilisateurs dans une tâche ultérieure.
- Si vous ne parvenez pas à inscrire votre domaine, consultez Je ne parviens pas à m'inscrire à un service Google avec mon domaine.
- Le processus de validation peut prendre plusieurs heures.
Pour connaître la procédure à suivre, consultez Valider votre domaine.
Une fois les étapes de validation du domaine terminées, cliquez sur Configurer la console Google Cloud maintenant.
Connectez-vous à la console Google Cloud en tant que super-administrateur à l'aide de l'adresse e-mail que vous avez spécifiée. Par exemple, admin-maria@example.com.
Accédez à la page Configuration de Google Cloud : organisation. Votre organisation est créée automatiquement.
Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.
Demander des licences utilisateur Cloud Identity supplémentaires
La version gratuite de Cloud Identity inclut un quota de licences utilisateur. Pour en savoir plus sur l'affichage et la demande de licences, consultez Capacité en termes d'utilisateurs pour Cloud Identity Free Edition.
Client Workspace
Client Google Workspace existant : Valider votre domaine et activer Cloud Identity
Si vous êtes déjà client Google Workspace, validez votre domaine, assurez-vous que votre ressource d'organisation est automatiquement créée et activez éventuellement Cloud Identity.
Pour valider votre domaine dans Google Workspace, consultez Valider votre domaine. Au cours du processus de validation, tenez compte des points suivants :
- Lorsque vous y êtes invité, ne cliquez pas sur "Créer des utilisateurs". Vous créerez des utilisateurs dans une tâche ultérieure.
- Si vous ne parvenez pas à inscrire votre domaine, consultez Je ne parviens pas à m'inscrire à un service Google avec mon domaine.
- Le processus de validation peut prendre plusieurs heures.
Connectez-vous à la console Google Cloud en tant que super-administrateur.
Accédez à la page Configuration de Google Cloud : organisation.
Sélectionnez Je suis déjà client Google Workspace.
Assurez-vous que le nom de votre organisation figure dans la liste Organisation.
Si vous souhaitez créer des utilisateurs qui accèdent à Google Cloud, mais qui ne reçoivent pas de licences Google Workspace, procédez comme suit :
Dans Google Workspace, activez Cloud Identity.
Lorsque vous configurez Cloud Identity, désactivez l'attribution automatique de licences Google Workspace.
Client Cloud Identity
Client Cloud Identity existant : Valider votre domaine
Si vous êtes déjà client Cloud Identity, assurez-vous d'avoir validé votre domaine et que votre ressource d'organisation a été créée automatiquement.
Pour vérifier que vous avez validé votre domaine, consultez Valider votre domaine. Au cours du processus de validation, tenez compte des points suivants :
- Lorsque vous y êtes invité, ne cliquez pas sur "Créer des utilisateurs". Vous créerez des utilisateurs dans une tâche ultérieure.
- Si vous ne parvenez pas à enregistrer votre domaine, consultez Je ne parviens pas à m'inscrire à un service Google avec mon domaine.
- Le processus de validation peut prendre plusieurs heures.
Connectez-vous à la console Google Cloud en tant que super-administrateur.
Accédez à la page Configuration de Google Cloud : organisation.
Sélectionnez Je suis déjà client Cloud Identity.
Assurez-vous que le nom de votre organisation figure dans la liste Organisation.
Assurez-vous que Cloud Identity est activé dans la console d'administration Google : Abonnements. Connectez-vous en tant que super-administrateur.
Étapes suivantes
Utilisateurs et groupes
Dans cette tâche, vous allez créer des groupes d'utilisateurs et des comptes d'utilisateur géré pour les administrateurs de votre organisation Google Cloud.
Pour en savoir plus sur la gestion des accès sur Google Cloud, consultez les pages suivantes :
- Présentation de Cloud Identity and Access Management (IAM)
- Pour connaître les bonnes pratiques, consultez Gérer les identités et l'accès.
Avant de commencer
Recherchez et migrez les utilisateurs qui possèdent déjà un compte Google. Pour en savoir plus, consultez Ajouter des utilisateurs avec des comptes non gérés.
Utilisateurs effectuant cette tâche
Administrateur d'identité chargé de gérer l'accès des personnes ou des groupes dans votre organisation. Vous avez affecté cette personne au rôle de super-administrateur dans la tâche Organisation.
Actions à effectuer dans cette tâche
Dans cette tâche, vous allez effectuer les procédures suivantes pour gérer les utilisateurs :
- Créez un groupe pour chaque fonction administrative recommandée, y compris l'administration de l'organisation, de la facturation et du réseau.
- Créez des comptes utilisateur pour les administrateurs.
- Attribuez des utilisateurs aux groupes d'administration correspondant à leurs responsabilités.
Vous pourrez personnaliser les autorisations pour chaque groupe dans une tâche ultérieure.
Raisons pour lesquelles nous recommandons cette tâche
Cette tâche vous aide à mettre en œuvre les bonnes pratiques de sécurité suivantes :
Principe du moindre privilège : accordez aux utilisateurs les autorisations minimales nécessaires pour exécuter leur rôle et supprimez l'accès dès qu'il n'est plus nécessaire.
Contrôle des accès basé sur le rôle (RBAC) : attribuez des autorisations à des groupes d'utilisateurs en fonction de leur rôle dans la tâche. N'ajoutez pas d'autorisations à des comptes utilisateur individuels.
Vous pouvez utiliser des groupes pour appliquer efficacement des rôles IAM à un ensemble d'utilisateurs. Cette pratique vous permet de simplifier la gestion des accès.
Créer des groupes d'administration
Un groupe est un ensemble nommé de comptes Google et de comptes de service. Chaque groupe possède une adresse e-mail unique, telle que gcp-billing-admins@example.com. Vous pouvez créer des groupes pour gérer les utilisateurs et appliquer des rôles IAM à grande échelle.
Les groupes suivants sont recommandés pour vous aider à administrer les fonctions principales de votre organisation et à terminer le processus de configuration de Google Cloud.
Groupe | Description |
gcp-organization-admins
|
Administrez toutes les ressources de l'organisation. N'attribuez ce rôle qu'aux utilisateurs les plus fiables. |
gcp-billing-admins
|
Configurez des comptes de facturation et surveillez l'utilisation. |
gcp-network-admins
|
Créez des réseaux, des sous-réseaux et des règles de pare-feu cloud privé virtuel. |
gcp-hybrid-connectivity-admins
|
Créez des appareils réseau tels que des instances Cloud VPN et Cloud Router. |
gcp-logging-admins
|
Utilisez toutes les fonctionnalités de Cloud Logging. |
gcp-logging-viewers
|
Accès en lecture seule à un sous-ensemble de journaux. |
gcp-monitoring-admins
|
Les administrateurs Monitoring ont accès à toutes les fonctionnalités de Cloud Monitoring. |
gcp-security-admins |
Définissez et gérez des règles de sécurité pour l'ensemble de l'organisation, y compris la gestion des accès et les règles concernant les contraintes de l'organisation. Pour en savoir plus sur la planification de votre infrastructure de sécurité Google Cloud, consultez le plan de base d'entreprise de Google Cloud. |
gcp-developers
|
Concevez, codez et testez des applications. |
gcp-devops
|
Créez ou gérez des pipelines de bout en bout afin d'assurer l'intégration et la livraison continues, la surveillance et le provisionnement du système. |
Pour créer des groupes d'administration, procédez comme suit :
Connectez-vous à la console Google Cloud en tant que compte super-administrateur que vous avez créé dans la tâche Organisation.
Accédez à Configuration de Google Cloud : utilisateurs et groupes.
Consultez les détails de la tâche, puis cliquez sur Continuer à ajouter des utilisateurs et des groupes.
Examinez la liste des groupes d'administration recommandés, puis effectuez l'une des opérations suivantes :
- Pour créer tous les groupes recommandés, cliquez sur Créer tous les groupes.
- Si vous souhaitez créer un sous-ensemble des groupes recommandés, cliquez sur Créer dans les lignes choisies.
Cliquez sur Continuer.
Créer des utilisateurs avec accès administrateur
Nous vous recommandons initialement d'ajouter les utilisateurs chargés des procédures d'organisation, de mise en réseau, de facturation et d'autres procédures de configuration. Vous pouvez ajouter d'autres utilisateurs une fois le processus de configuration de Google Cloud terminé.
Pour ajouter des utilisateurs avec accès administrateur qui effectuent des tâches de configuration de Google Cloud, procédez comme suit :
Migrez les comptes personnels vers des comptes utilisateur gérés contrôlés par Cloud Identity. Pour connaître la procédure détaillée, consultez les pages suivantes :
Connectez-vous à la console d'administration Google à l'aide d'un compte super-administrateur.
Utilisez l'une des options suivantes pour ajouter des utilisateurs :
- Pour ajouter des utilisateurs de manière groupée, consultez Ajouter ou mettre à jour plusieurs comptes utilisateur à partir d'un fichier CSV.
- Pour ajouter des utilisateurs individuellement, consultez Ajouter des comptes utilisateur individuellement.
Lorsque vous avez terminé d'ajouter des utilisateurs, revenez à la page Configuration de Google Cloud : utilisateurs et groupes (créer des utilisateurs).
Cliquez sur Continuer.
Ajouter des utilisateurs avec accès administrateur aux groupes
Ajoutez les membres que vous avez créés aux groupes d'administrateurs correspondant à leurs tâches.
Dans Configuration de Google Cloud : utilisateurs et groupes (ajouter des utilisateurs aux groupes), consultez les détails de l'étape.
Dans chaque ligne Groupe, procédez comme suit :
- Cliquez sur Ajouter des membres.
- Saisissez l'adresse e-mail de l'utilisateur.
Dans la liste déroulante Rôle du groupe, sélectionnez les paramètres d'autorisation de groupe de l'utilisateur. Pour en savoir plus, consultez Définir les personnes autorisées à consulter, publier et modérer les posts.
Chaque membre hérite de tous les rôles IAM que vous accordez à un groupe, quel que soit le rôle du groupe que vous sélectionnez.
Pour ajouter un autre utilisateur à ce groupe, cliquez sur Ajouter un autre membre et répétez ces étapes.
Lorsque vous avez terminé d'ajouter des utilisateurs à ce groupe, cliquez sur Enregistrer.
Lorsque vous avez terminé d'ajouter des membres à des groupes, cliquez sur Confirmer les utilisateurs et les groupes.
Étapes suivantes
Attribuez des autorisations à vos groupes d'administrateurs.
Accès administrateur
Dans cette tâche, vous allez utiliser Identity and Access Management (IAM) pour attribuer des collections d'autorisations à des groupes d'administrateurs au niveau de l'organisation. Ce processus offre aux administrateurs une visibilité et un contrôle centralisés sur chaque ressource cloud appartenant à votre organisation.
Pour en savoir plus sur Identity and Access Management dans Google Cloud, consultez la présentation d'IAM.
Utilisateurs effectuant cette tâche
Pour réaliser cette tâche, vous devez avoir l'un des rôles suivants :
- Super-administrateur.
- Utilisateur doté du rôle Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin
)
Actions à effectuer dans cette tâche
Consultez la liste des rôles par défaut attribués à chaque groupe d'administrateurs que vous avez créé dans la tâche Utilisateurs et groupes.
Si vous souhaitez personnaliser un groupe, vous pouvez effectuer les opérations suivantes :
- Ajouter ou supprimer des rôles.
- Si vous ne prévoyez pas d'utiliser un groupe, vous pouvez le supprimer.
Raisons pour lesquelles nous recommandons cette tâche
Vous devez attribuer explicitement tous les rôles Administrateur de votre organisation. Cette tâche vous aide à mettre en œuvre les bonnes pratiques de sécurité suivantes :
Principe du moindre privilège : accordez aux utilisateurs les autorisations minimales nécessaires pour exécuter leurs tâches et supprimez l'accès dès qu'il n'est plus nécessaire.
Contrôle des accès basé sur le rôle (RBAC) : attribuez des autorisations à des groupes d'utilisateurs en fonction de leurs tâches. N'attribuez pas de rôles à des comptes utilisateur individuels.
Avant de commencer
Effectuez les tâches suivantes :
- Créez un super-administrateur et votre organisation dans la tâche Organisation.
- Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
Accorder l'accès aux groupes d'administrateurs
Pour accorder un accès approprié à chaque groupe d'administrateurs que vous avez créé dans la tâche Utilisateurs et groupes, examinez les rôles par défaut attribués à chaque groupe. Vous pouvez ajouter ou supprimer des rôles pour personnaliser l'accès de chaque groupe.
Assurez-vous d'être connecté à la console Google Cloud en tant que super-administrateur.
Vous pouvez également vous connecter en tant qu'utilisateur avec le rôle Administrateur d'organisation (
roles/resourcemanager.organizationAdmin
).Accédez à Configuration de Google Cloud : accès administrateur.
Sélectionnez le nom de votre organisation dans la liste déroulante Sélectionnez une organisation en haut de la page.
Consultez la présentation de la tâche, puis cliquez sur Continuer avec l'accès administrateur.
Examinez les groupes dans la colonne Groupe (compte principal) que vous avez créée dans la tâche Utilisateurs et groupes.
Pour chaque groupe, examinez les rôles IAM par défaut. Vous pouvez ajouter ou supprimer des rôles attribués à chaque groupe en fonction des besoins uniques de votre organisation.
Chaque rôle contient plusieurs autorisations qui permettent aux utilisateurs d'effectuer des tâches pertinentes. Pour en savoir plus sur les autorisations dans chaque rôle, consultez la documentation de référence sur les rôles IAM de base et prédéfinis.
Lorsque vous êtes prêt à attribuer des rôles à chaque groupe, cliquez sur Enregistrer et accorder l'accès.
Étapes suivantes
Configurez la facturation.
Facturation
Dans cette tâche, vous allez configurer un compte de facturation pour payer les ressources Google Cloud. Pour ce faire, vous devez associer l'un des éléments suivants à votre organisation.
Un compte Cloud Billing existant. Si vous n'y avez pas accès, vous pouvez demander l'accès à votre administrateur de compte de facturation.
Un nouveau compte de facturation Cloud.
Pour en savoir plus sur la facturation, consultez la documentation Cloud Billing.
Utilisateurs effectuant cette tâche
Une personne du groupe gcp-billing-admins@YOUR_DOMAIN
que vous avez créé dans la tâche Utilisateurs et groupes
Actions à effectuer dans cette tâche
- Créez ou utilisez un compte de facturation Cloud en libre-service existant.
- Décidez si vous souhaitez passer d'un compte en libre-service à un compte avec paiement sur facture.
- Configurez un compte de facturation Cloud et un mode de paiement.
Raisons pour lesquelles nous recommandons cette tâche
Les comptes Cloud Billing sont associés à un ou plusieurs projets Google Cloud et sont utilisés pour payer les ressources que vous utilisez, telles que les machines virtuelles, la mise en réseau et le stockage.
Déterminer votre type de compte de facturation
Le compte de facturation que vous associez à votre organisation est l'un des types suivants.
Libre-service (ou en ligne) : inscrivez-vous en ligne à l'aide d'une carte de crédit ou de débit. Nous vous recommandons cette option si vous êtes une petite entreprise ou une personne physique. Lorsque vous vous inscrivez en ligne pour obtenir un compte de facturation, votre compte est automatiquement configuré en tant que compte de type libre-service.
Paiement sur facture (ou hors connexion). Si vous disposez déjà d'un compte de facturation en libre-service, vous pouvez peut-être demander à bénéficier de la facturation avec paiement sur facture si votre entreprise répond à des critères d'éligibilité.
Vous ne pouvez pas créer de compte de facturation en ligne, mais vous pouvez demander à convertir un compte en libre-service en compte avec paiement sur facture.
Pour plus d'informations, consultez la section Types de comptes Cloud Billing.
Avant de commencer
Effectuez les tâches suivantes :
- Créez un super-administrateur et votre organisation dans la tâche Organisation.
- Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
- Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
Configurer le compte de facturation
Maintenant que vous avez choisi un type de compte de facturation, associez le compte de facturation à votre organisation. Une fois ce processus terminé, vous pouvez utiliser votre compte de facturation pour payer les ressources Google Cloud.
Connectez-vous à la console Google Cloud en tant qu'utilisateur du groupe
gcp-billing-admins@YOUR_DOMAIN
.Accédez à la page Configuration de Google Cloud : facturation.
Consultez la présentation de la tâche, puis cliquez sur Continuer avec la facturation.
Sélectionnez l'une des options de compte de facturation suivantes :
Créer un compte
Si votre organisation ne dispose pas de compte, créez-en un.
- Sélectionnez Je souhaite créer un compte de facturation.
- Cliquez sur Continuer.
Sélectionnez le type de compte de facturation que vous souhaitez créer. Pour connaître la procédure détaillée, consultez les pages suivantes :
- Pour créer un compte de facturation en libre-service, consultez Créer un compte de facturation Cloud en libre-service.
- Pour passer d'un compte en libre-service existant aux paiements sur facture, consultez Demander la facturation avec paiement sur facture mensuelle.
Vérifiez que votre compte de facturation a été créé :
Si vous avez créé un compte de facturation, attendez jusqu'à cinq jours ouvrés pour recevoir un e-mail de confirmation.
Accéder à la page "Facturation".
Sélectionnez votre organisation dans la liste Sélectionnez une organisation en haut de la page. Si le compte a bien été créé, il s'affiche dans la liste des comptes de facturation.
Utiliser mon compte existant
Si vous disposez déjà d'un compte de facturation, vous pouvez l'associer à votre organisation.
- Sélectionnez J'ai identifié dans cette liste un compte de facturation que j'aimerais utiliser pour effectuer la configuration.
- Dans la liste déroulante Billing (Facturation), sélectionnez le compte que vous souhaitez associer à votre organisation.
- Cliquez sur Continuer.
- Vérifiez les informations, puis cliquez sur Confirmer le compte de facturation.
Utiliser le compte d'un autre utilisateur
Si un autre utilisateur a accès à un compte de facturation existant, vous pouvez lui demander d'associer le compte de facturation à votre organisation ou de vous accorder l'accès pour terminer l'association.
- Sélectionnez Je souhaite utiliser un compte de facturation géré par un autre compte utilisateur Google.
- Cliquez sur Continuer.
- Saisissez l'adresse e-mail de l'administrateur du compte de facturation.
- Cliquez sur Contacter l'administrateur.
- Attendez que l'administrateur du compte de facturation vous contacte pour obtenir des instructions supplémentaires.
Étapes suivantes
Créer une architecture initiale
Hiérarchie et accès
Lors de cette tâche, vous allez configurer la hiérarchie de vos ressources en créant et en attribuant l'accès aux ressources suivantes :
- Dossiers
- Les dossiers constituent un mécanisme de regroupement et une façon d'isoler les projets les uns des autres. Par exemple, les dossiers peuvent représenter les principaux services de votre organisation, tels que finance ou commerce, ou des environnements de production ou hors production.
- Projets
- Les projets contiennent vos ressources Google Cloud, telles que les machines virtuelles, les bases de données et les buckets de stockage.
Pour obtenir des informations sur la conception et les bonnes pratiques d'organisation de vos ressources dans des projets, consultez la section Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud.
Utilisateurs effectuant cette tâche
Une personne du groupe gcp-organization-admins@YOUR_DOMAIN
que vous avez créé dans la tâche Utilisateurs et groupes peut effectuer cette tâche.
Actions à effectuer dans cette tâche
- Créez une structure hiérarchique initiale qui inclut des dossiers et des projets.
- Définissez des stratégies IAM pour contrôler l'accès à vos dossiers et projets.
Raisons pour lesquelles nous recommandons cette tâche
La création d'une structure pour les dossiers et les projets vous aide à gérer les ressources Google Cloud et à attribuer des accès en fonction du fonctionnement de votre organisation. Par exemple, vous pouvez organiser les ressources et y accorder l'accès en fonction de la collection unique de régions géographiques, de structures de filiales ou de frameworks de responsabilité de votre organisation.
Planifier la hiérarchie des ressources
Votre hiérarchie des ressources vous aide à créer des limites et à partager des ressources dans votre organisation pour des tâches courantes. Créez votre hiérarchie à l'aide de l'une des configurations initiales suivantes, en fonction de votre structure organisationnelle :
Axée sur un environnement simple :
- Isolez les environnements tels que
Non-production
etProduction
. - Implémentez des règles, des exigences réglementaires et des contrôles d'accès distincts dans chaque dossier d'environnement.
- Recommandé pour les petites entreprises disposant d'environnements centralisés.
- Isolez les environnements tels que
Axée sur une équipe simple :
- Isolez les équipes telles que
Development
etQA
. - Isolez l'accès aux ressources à l'aide de dossiers d'environnement enfants dans chaque dossier d'équipe.
- Recommandé pour les petites entreprises disposant d'équipes autonomes.
- Isolez les équipes telles que
Axée sur l'environnement :
- Donnez la priorité à l'isolation des environnements tels que
Non-production
etProduction
. - Sous chaque dossier d'environnement, isolez les unités commerciales.
- Identifiez les équipes de chaque unité commerciale.
- Recommandé pour les grandes entreprises disposant d'environnements centralisés.
- Donnez la priorité à l'isolation des environnements tels que
Axée sur l'entreprise :
- Priorisez l'isolation des unités commerciales telles que
Human Resources
etEngineering
pour vous assurer que les utilisateurs ne peuvent accéder qu'aux ressources et aux données dont ils ont besoin. - Sous chaque unité commerciale, isolez les équipes.
- Isolez les environnements pour chaque équipe.
- Recommandé pour les grandes entreprises disposant d'équipes autonomes.
- Priorisez l'isolation des unités commerciales telles que
Chaque configuration comporte un dossier Common
pour les projets contenant des ressources partagées. Il peut s'agir de projets de journalisation et de surveillance.
Avant de commencer
Effectuez les tâches suivantes :
- Créez un super-administrateur et votre organisation dans la tâche Organisation.
- Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
- Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
- Créez ou associez un compte de facturation dans la tâche Facturation.
Configurer les dossiers et projets initiaux
Sélectionnez la hiérarchie des ressources qui représente votre structure organisationnelle.
Pour configurer les dossiers et projets initiaux, procédez comme suit :
Connectez-vous à la console Google Cloud avec un utilisateur du groupe
gcp-organization-admins@YOUR_DOMAIN
que vous avez créé dans la tâche Utilisateurs et groupes.Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.
Accédez à Configuration de Google Cloud : hiérarchie et accès.
Consultez la présentation des tâches, puis cliquez sur Démarrer à côté de Hiérarchie des ressources.
Sélectionnez une configuration de démarrage.
Cliquez sur Continuer et configurer.
Personnalisez la hiérarchie de vos ressources en fonction de votre structure organisationnelle. Par exemple, vous pouvez personnaliser les éléments suivants :
- Noms des dossiers
Projets de service pour chaque équipe Pour accorder l'accès aux projets de service, vous pouvez créer les éléments suivants :
- Un groupe pour chaque projet de service
- Utilisateurs de chaque groupe
Pour obtenir une présentation des projets de service, consultez VPC partagé.
Projets requis pour la surveillance, la journalisation et la mise en réseau.
Projets personnalisés.
Cliquez sur Continuer.
Accorder l'accès à vos dossiers et projets
Dans la tâche Accès administrateur, vous avez accordé un accès administrateur aux groupes au niveau de l'organisation. Dans cette tâche, vous allez configurer l'accès aux groupes qui interagissent avec les dossiers et projets nouvellement configurés.
Les projets, les dossiers et les organisations possèdent chacun leurs propres stratégies IAM, qui sont héritées via la hiérarchie des ressources :
- Organisation : les stratégies s'appliquent à tous les dossiers et projets au sein de l'organisation.
- Dossier : les stratégies s'appliquent aux projets et aux autres dossiers du dossier.
- Projet : les stratégies ne s'appliquent qu'à ce projet et à ses ressources.
Mettez à jour les stratégies IAM pour vos dossiers et projets :
Dans la section Configurer le contrôle des accès de la page Hiérarchie et accès, accordez à vos groupes l'accès à vos dossiers et projets :
Dans le tableau, examinez la liste des rôles IAM recommandés accordés à chaque groupe pour chaque ressource.
Si vous souhaitez modifier les rôles attribués à chaque groupe, cliquez sur Modifier sur la ligne souhaitée.
Pour en savoir plus sur chaque rôle, consultez Rôles de base et prédéfinis IAM.
Cliquez sur Continuer.
Vérifiez les modifications apportées, puis cliquez sur Confirmer le brouillon de configuration.
Étape suivante
Configurez un emplacement centralisé pour stocker et analyser les données de journal.
Centraliser la journalisation
Lors de cette tâche, vous allez configurer la journalisation pour l'ensemble de votre organisation, y compris pour les projets que vous avez créés dans une tâche précédente.
Utilisateurs effectuant cette tâche
Vous devez disposer de l'un des rôles suivants :
- Rôle administrateur Logging (
roles/logging.admin
) - Adhésion au groupe
gcp-logging-admins@YOUR_DOMAIN
que vous avez créé dans la tâche Utilisateurs et groupes
Actions à effectuer dans cette tâche
Organisez de manière centralisée les journaux créés dans les projets de votre organisation afin de faciliter la sécurité, l'audit et la conformité.
Raisons pour lesquelles nous recommandons cette tâche
Le stockage et la conservation des journaux simplifient l'analyse et conservent votre piste d'audit.
Avant de commencer
Effectuez les tâches suivantes :
- Créez un super-administrateur et votre organisation dans la tâche Organisation.
- Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
- Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
- Créez ou associez un compte de facturation dans la tâche Facturation.
- Configurez votre hiérarchie et attribuez l'accès à la tâche Hiérarchie et accès.
Organiser la journalisation de manière centralisée
Cloud Logging vous aide à stocker, rechercher, analyser et surveiller les données et les événements des journaux de Google Cloud. Vous pouvez également collecter et traiter les journaux de vos applications, de vos ressources sur site et d'autres clouds. Nous vous recommandons d'utiliser Cloud Logging pour regrouper les journaux dans un seul bucket de journaux.
Pour en savoir plus, consultez les ressources suivantes :
- Pour en savoir plus, consultez la page Présentation du routage et du stockage.
- Pour en savoir plus sur la journalisation des ressources sur site, consultez la page Journaliser des ressources sur site avec BindPlane.
- Pour savoir comment modifier le filtre de journal après avoir déployé votre configuration, consultez la section Filtres d'inclusion.
Pour stocker les données de journaux dans un bucket de journaux central, procédez comme suit :
Connectez-vous à la console Google Cloud en tant qu'utilisateur que vous avez identifié dans la section Qui effectue cette tâche.
Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.
Accédez à la configuration de Google Cloud : centraliser la journalisation.
Consultez la présentation de la tâche, puis cliquez sur Démarrer la configuration de la journalisation.
Vérifiez les détails de la tâche.
Pour acheminer les journaux vers un bucket de journaux central, assurez-vous que l'option Stocker les journaux d'audit des activités d'administration au niveau de l'organisation dans un bucket de journaux est sélectionnée.
Développez Acheminer les journaux vers un bucket de journaux Logging, puis procédez comme suit :
Dans le champ Nom du bucket de journaux, saisissez un nom pour le bucket de journaux central.
Dans la liste Région du bucket de journaux, sélectionnez la région dans laquelle vos données de journal sont stockées.
Pour en savoir plus, consultez la section Emplacements des buckets de journaux.
Nous vous recommandons de stocker les journaux pendant 365 jours. Pour personnaliser la durée de conservation, saisissez le nombre de jours dans le champ Durée de conservation.
Les journaux stockés pendant plus de 30 jours entraînent des frais de conservation. Pour en savoir plus, consultez la synthèse des tarifs de Cloud Logging.
Exporter des journaux en dehors de Google Cloud
Si vous souhaitez exporter des journaux vers une destination externe à Google Cloud, vous pouvez les exporter à l'aide de Pub/Sub. Par exemple, si vous utilisez plusieurs fournisseurs cloud, vous pouvez décider d'exporter les données de journal de chaque fournisseur cloud vers un outil tiers.
Vous pouvez filtrer les journaux que vous exportez en fonction de vos besoins et exigences. Par exemple, vous pouvez choisir de limiter les types de journaux que vous exportez pour contrôler les coûts ou réduire le bruit dans vos données.
Pour en savoir plus sur l'exportation de journaux, consultez les ressources suivantes :
- Pour découvrir une présentation, consultez la page Qu'est-ce que Pub/Sub ?
- Pour en savoir plus sur les tarifs, consultez les ressources suivantes :
- Pour en savoir plus sur la diffusion en continu vers Splunk, consultez Déployer des flux de journaux depuis Google Cloud vers Splunk.
Pour exporter des journaux, procédez comme suit :
Cliquez sur Diffuser vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.
Dans le champ ID du sujet Pub/Sub, saisissez un identifiant pour le sujet contenant vos journaux exportés. Pour en savoir plus sur l'abonnement à un sujet, consultez la section Abonnements pull.
Pour empêcher l'exportation de l'un des journaux recommandés suivants, désélectionnez la case correspondante :
- Cloud Audit Logs : activité d'administration : appels ou actions d'API qui modifient la configuration ou les métadonnées des ressources.
- Cloud Audit Logs : événement système : actions de Google Cloud qui modifient la configuration des ressources.
- Access Transparency : actions effectuées par le personnel de Google lorsqu'il accède au contenu des clients.
Sélectionnez les journaux supplémentaires suivants pour les exporter :
- Cloud Audit Logs : accès aux données : appels d'API qui lisent la configuration ou les métadonnées des ressources, et appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur.
- Cloud Audit Logs : refus de règles : refus d'accès aux comptes utilisateur ou de service par le service Google Cloud en raison de non-respect des règles de sécurité.
Pour en savoir plus sur chaque type de journal, consultez Comprendre Cloud Audit Logs.
Terminer la configuration de la journalisation
Pour effectuer la tâche de journalisation, procédez comme suit :
Cliquez sur Continuer.
Vérifiez vos détails de configuration de journalisation, puis cliquez sur Confirmer le brouillon de configuration.
Votre configuration de journalisation n'est pas déployée tant que vous n'avez pas déployé vos paramètres dans une tâche ultérieure.
Étape suivante
Sécurité
Dans cette tâche, vous allez configurer des paramètres et des produits de sécurité pour protéger votre organisation.
Utilisateurs effectuant cette tâche
Vous devez disposer de l'un des rôles suivants pour effectuer cette tâche :
- Rôle Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin
) - Adhésion à l'un des groupes suivants que vous avez créés dans la tâche Utilisateurs et groupes :
gcp-organization-admins@<your-domain>.com
gcp-security-admins@<your-domain>.com
Actions à effectuer dans cette tâche
Appliquez les règles d'administration recommandées en fonction des catégories suivantes :
- Gestion des accès
- Comportement du compte de service
- Configuration du réseau VPC
Vous activez également Security Command Center pour centraliser les rapports sur les failles et les menaces.
Raisons pour lesquelles nous recommandons cette tâche
L'application de règles d'administration recommandées vous permet de limiter les actions utilisateur qui ne correspondent pas à votre stratégie de sécurité.
L'activation de Security Command Center vous permet de créer un emplacement central pour analyser les failles et les menaces.
Avant de commencer
Effectuez les tâches suivantes :
- Créez un super-administrateur et votre organisation dans la tâche Organisation.
- Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
- Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
Démarrer la tâche de sécurité
Connectez-vous à la console Google Cloud avec un utilisateur que vous avez identifié dans la section Qui effectue cette tâche.
Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.
Accédez à la configuration de Google Cloud : sécurité.
Consultez la présentation des tâches, puis cliquez sur Démarrer la sécurité.
Centraliser les rapports sur les failles et les menaces
Pour centraliser les services de signalement des failles et des menaces, activez Security Command Center. Cela vous permet de renforcer votre stratégie de sécurité et de limiter les risques. Pour en savoir plus, consultez la page Présentation de Security Command Center.
Sur la page Configuration de Google Cloud : Sécurité, assurez-vous que la case Activer Security Command Center : Standard est cochée.
Cette tâche active le niveau Standard sans frais. Vous pourrez passer à la version Premium ultérieurement. Pour en savoir plus, consultez la page Niveaux de service Security Command Center.
Cliquez sur Appliquer les configurations Security Command Center.
Appliquer les règles d'administration recommandées
Les règles d'administration s'appliquent au niveau de l'organisation et sont héritées par les dossiers et les projets. Dans cette tâche, vous allez examiner et appliquer la liste des règles recommandées. Vous pouvez modifier les règles d'administration à tout moment. Pour en savoir plus, consultez la présentation du service de règles d'administration.
Consultez la liste des règles d'administration recommandées. Si vous ne souhaitez pas appliquer une règle recommandée, cochez la case correspondante pour la supprimer.
Pour obtenir une explication détaillée de chaque règle d'administration, consultez la page Contraintes liées aux règles d'administration.
Cliquez sur Confirmer les configurations des règles d'administration.
Les règles d'administration que vous sélectionnez sont appliquées lorsque vous déployez votre configuration dans une tâche ultérieure.
Étape suivante
Réseaux VPC
Dans cette tâche, vous allez définir votre configuration de mise en réseau initiale, que vous pourrez adapter à vos besoins.
Architecture de cloud privé virtuel
Un réseau cloud privé virtuel (VPC) est une version virtuelle d'un réseau physique, implémentée au sein du réseau de production de Google. Un Réseau VPC est une ressource globale qui consiste en des sous-réseaux régionaux.
Les réseaux VPC fournissent des fonctionnalités de mise en réseau aux ressources Google Cloud, telles que des instances de machines virtuelles Compute Engine, des conteneurs GKE et des instances de l'environnement flexible App Engine.
Le VPC partagé connecte les ressources de différents projets à un réseau VPC commun, afin qu'elles puissent communiquer entre elles à l'aide des adresses IP internes du réseau. Le schéma suivant illustre l'architecture de base d'un réseau VPC partagé avec des projets de service associés.
Lorsque vous utilisez un VPC partagé, vous désignez un projet hôte et vous lui associez un ou plusieurs projets de service. Les réseaux cloud privés virtuels du projet hôte sont appelés "réseaux VPC partagés".
L'exemple de diagramme comporte des projets hôtes de production et hors production, qui contiennent chacun un réseau VPC partagé. Vous pouvez utiliser un projet hôte pour gérer les éléments suivants de manière centralisée :
- Routes
- Pare-feu
- Connexions VPN
- Sous-réseaux
Un projet de service est un projet associé à un projet hôte. Vous pouvez partager des sous-réseaux, y compris des plages secondaires, entre des projets hôtes et des projets de service.
Dans cette architecture, chaque réseau VPC partagé contient des sous-réseaux publics et privés :
- Le sous-réseau public peut être utilisé par des instances Web pour la connectivité externe.
- Le sous-réseau privé peut être utilisé par des instances orientées vers l'intérieur auxquelles aucune adresse IP publique n'est allouée.
Dans cette tâche, vous allez créer une configuration réseau initiale basée sur l'exemple de schéma.
Utilisateurs effectuant cette tâche
Vous devez disposer de l'un des éléments suivants pour effectuer cette tâche :
- Le rôle
roles/compute.networkAdmin
. - Inclusion dans le groupe
gcp-network-admins@YOUR_DOMAIN
que vous avez créé dans la tâche Utilisateurs et groupes
Actions à effectuer dans cette tâche
Créez une configuration réseau initiale, y compris les éléments suivants :
- Créez plusieurs projets hôtes pour refléter vos environnements de développement.
- Créez un réseau VPC partagé dans chaque projet hôte pour permettre à des ressources distinctes de partager le même réseau.
- Créez des sous-réseaux distincts dans chaque réseau VPC partagé pour fournir un accès réseau aux projets de service.
Raisons pour lesquelles nous recommandons cette tâche
Des équipes distinctes peuvent utiliser un VPC partagé pour se connecter à un réseau VPC commun géré de manière centralisée.
Avant de commencer
Effectuez les tâches suivantes :
- Créez un super-administrateur et votre organisation dans la tâche Organisation.
- Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
- Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
- Créez ou associez un compte de facturation dans la tâche Facturation.
- Configurez votre hiérarchie et attribuez des droits d'accès dans la tâche Hiérarchie et accès.
Configurer l'architecture réseau
Créez votre configuration réseau initiale avec deux projets hôtes pour segmenter les charges de travail hors production et de production. Chaque projet hôte contient un réseau VPC partagé, qui peut être utilisé par plusieurs projets de service. Vous allez configurer les détails du réseau, puis déployer un fichier de configuration dans une tâche ultérieure.
Pour configurer votre réseau initial, procédez comme suit :
Connectez-vous à la console Google Cloud en tant qu'utilisateur du groupe
gcp-organization-admins@YOUR_DOMAIN
que vous avez créé dans la tâche Utilisateurs et groupes.Sélectionnez votre organisation dans la liste déroulante Sélectionnez une organisation en haut de la page.
Accédez à la page Configuration de Google Cloud : mise en réseau.
Examinez l'architecture réseau par défaut.
Pour modifier le nom du réseau, procédez comme suit :
- Cliquez sur more_vert Actions.
- Sélectionnez Modifier le nom du réseau.
- Dans le champ Nom du réseau, saisissez des lettres minuscules, des chiffres ou des tirets. Le nom du réseau ne peut pas dépasser 25 caractères.
- Cliquez sur Enregistrer.
Modifier les détails du pare-feu
Les règles de pare-feu par défaut du projet hôte sont basées sur les bonnes pratiques recommandées. Vous pouvez choisir de désactiver une ou plusieurs des règles de pare-feu par défaut. Pour en savoir plus sur les règles de pare-feu, consultez la section Règles de pare-feu VPC.
Pour modifier les paramètres de pare-feu, procédez comme suit :
Cliquez sur more_vert Actions.
Sélectionnez Modifier les règles de pare-feu.
Pour en savoir plus sur chaque règle de pare-feu par défaut, consultez la section Règles préremplies dans le réseau par défaut.
Pour désactiver une règle de pare-feu, décochez la case correspondante.
Pour désactiver la journalisation des règles de pare-feu, cliquez sur Désactivé.
Par défaut, le trafic en provenance et à destination des instances Compute Engine est enregistré à des fins d'audit. Ce processus entraîne des coûts. Pour plus d'informations, consultez Journalisation des règles de pare-feu.
Cliquez sur Enregistrer.
Modifier les détails du sous-réseau
Chaque réseau VPC contient au moins un sous-réseau, qui est une ressource régionale à laquelle une plage d'adresses IP est associée. Dans cette configuration multirégionale, vous devez disposer d'au moins deux sous-réseaux avec des plages d'adresses IP qui ne se chevauchent pas.
Pour en savoir plus, consultez la section Sous-réseaux.
Chaque sous-réseau est configuré en suivant les bonnes pratiques recommandées. Si vous souhaitez personnaliser chaque sous-réseau, procédez comme suit :
- Cliquez sur more_vert Actions.
- Sélectionnez Modifier les sous-réseaux.
- Dans le champ Nom, saisissez des lettres minuscules, des chiffres ou des tirets. Le nom de sous-réseau ne peut pas dépasser 25 caractères.
Dans la liste déroulante Région, sélectionnez une région proche de votre point de service.
Nous recommandons une région différente pour chaque sous-réseau. Vous ne pouvez pas modifier la région une fois que vous avez déployé votre configuration. Pour en savoir plus sur le choix d'une région, consultez la section Ressources régionales.
Dans le champ Plage d'adresses IP, saisissez une plage au format CIDR (par exemple, 10.0.0.0/24).
La plage que vous saisissez ne doit pas chevaucher d'autres sous-réseaux de ce réseau. Pour en savoir plus sur les plages valides, consultez la section Plages de sous-réseaux IPv4.
Répétez ces étapes pour le Sous-réseau 2.
Pour configurer des sous-réseaux supplémentaires dans ce réseau, cliquez sur Ajouter un sous-réseau et répétez ces étapes.
Cliquez sur Enregistrer.
Vos sous-réseaux sont automatiquement configurés conformément aux bonnes pratiques. Si vous souhaitez modifier la configuration, procédez comme suit sur la page Configuration de Google Cloud : réseaux VPC :
Pour désactiver les journaux de flux VPC, sélectionnez Désactivé dans la colonne Journaux de flux.
Lorsque les journaux de flux sont activés, chaque sous-réseau enregistre les flux réseau que vous pouvez analyser à des fins de sécurité, d'optimisation des dépenses et autres. Pour en savoir plus, consultez la page Utiliser des journaux de flux VPC.
Les journaux de flux VPC entraînent des coûts. Pour en savoir plus, consultez la page Tarifs du cloud privé virtuel.
Pour désactiver l'Accès privé à Google, dans la colonne Accès privé, sélectionnez Désactivé.
Lorsque l'Accès privé à Google est activé, les instances de VM sans adresses IP externes peuvent accéder aux API et services Google. Pour plus d'informations, consultez Accès privé à Google.
Pour activer Cloud NAT, dans la colonne Cloud NAT, sélectionnez Activé.
Lorsque Cloud NAT est activé, certaines ressources peuvent créer des connexions sortantes vers Internet. Pour en savoir plus, consultez la présentation de Cloud NAT.
Cloud NAT entraîne des coûts. Pour en savoir plus, consultez la page Tarifs du cloud privé virtuel.
Cliquez sur Continuer avec l'association des projets de service.
Associer des projets de service à vos projets hôtes
Un projet de service est un projet associé à un projet hôte. Ce rattachement permet au projet de service de participer à un VPC partagé. Chaque projet de service peut être exploité et géré par différents départements ou équipes afin de créer une séparation des responsabilités.
Pour en savoir plus sur la connexion de plusieurs projets à un réseau VPC commun, consultez la page Présentation du VPC partagé.
Pour associer des projets de service à vos projets hôtes et terminer la configuration, procédez comme suit :
Pour chaque sous-réseau du tableau Réseaux VPC partagés, sélectionnez un projet de service à connecter. Pour ce faire, sélectionnez-le dans la liste déroulante Sélectionner un projet de la colonne Projet de service.
Vous pouvez connecter un projet de service à plusieurs sous-réseaux.
Cliquez sur Continuer vers la vérification.
Vérifiez votre configuration et apportez des modifications.
Vous pouvez apporter des modifications jusqu'au déploiement de votre fichier de configuration.
Cliquez sur Confirmer le brouillon de configuration. Votre configuration réseau est ajoutée à votre fichier de configuration.
Votre réseau ne sera déployé que lorsque vous déploierez votre fichier de configuration dans une tâche ultérieure.
Étape suivante
Configurez une connectivité hybride, qui vous aide à connecter des serveurs sur site ou d'autres fournisseurs cloud à Google Cloud.
Connectivité hybride
Dans cette tâche, vous établissez des connexions entre vos réseaux de pairs (sur site ou dans un autre cloud) et vos réseaux Google Cloud, comme illustré dans le diagramme suivant.
Ce processus crée un VPN haute disponibilité, une solution que vous pouvez créer rapidement pour transmettre des données sur Internet public.
Une fois votre configuration Google Cloud déployée, nous vous recommandons de créer une connexion plus robuste à l'aide de Cloud Interconnect.
Pour plus d'informations sur les connexions entre les réseaux de pairs et Google Cloud, consultez les ressources suivantes :
Utilisateurs effectuant cette tâche
Vous devez disposer du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin
).
Actions à effectuer dans cette tâche
Créez des connexions haute disponibilité et à faible latence entre vos réseaux VPC et vos réseaux sur site ou d'autres réseaux cloud. Vous configurez les composants suivants :
- Passerelle VPN haute disponibilité Google Cloud : ressource régionale dotée de deux interfaces, chacune avec sa propre adresse IP. Vous spécifiez le type de pile IP, qui détermine si le trafic IPv6 est accepté dans votre connexion. Pour en savoir plus, consultez la page VPN haute disponibilité.
- Passerelle VPN de pairs : passerelle de votre réseau de pairs à laquelle la passerelle VPN haute disponibilité Google Cloud se connecte. Vous saisissez les adresses IP externes que votre passerelle de pairs utilise pour se connecter à Google Cloud. Pour plus d'informations, consultez la page Configurer la passerelle VPN de pairs.
- Cloud Router : utilise le protocole BGP (Border Gateway Protocol) pour échanger de manière dynamique des routes entre votre VPC et vos réseaux de pairs. Vous attribuez un numéro de système autonome (ASN) comme identifiant à votre routeur Cloud Router et spécifiez l'ASN utilisé par votre routeur pair. Pour plus d'informations, consultez la page Créer un routeur Cloud Router pour connecter un réseau VPC à un réseau de pairs.
- Tunnels VPN : connectez la passerelle Google Cloud à la passerelle de pairs. Vous spécifiez le protocole IKE (Internet Key Exchange) à utiliser pour établir le tunnel. Vous pouvez saisir votre propre clé IKE générée précédemment, ou générer et copier une nouvelle clé. Pour obtenir des informations générales, consultez la page Configurer l'IKE.
Raisons pour lesquelles nous recommandons cette tâche
Un VPN haute disponibilité fournit une connexion sécurisée et à disponibilité élevée entre votre infrastructure existante et Google Cloud.
Avant de commencer
Effectuez les tâches suivantes :
- Créez un super-administrateur et votre organisation dans la tâche Organisation.
- Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
- Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
- Créez ou associez un compte de facturation dans la tâche Facturation.
- Configurez votre hiérarchie et attribuez l'accès à la tâche Hiérarchie et accès.
- Configurez votre réseau dans la tâche Réseaux VPC.
Recueillez les informations suivantes auprès de votre administrateur réseau de pairs :
- Nom de votre passerelle VPN de pairs : passerelle à laquelle votre Cloud VPN se connecte.
- Adresse IP de l'interface de pairs 0 : adresse IP externe de votre passerelle de réseau de pairs.
- Adresse IP de l'interface de pairs 1 : une deuxième adresse externe, ou vous pouvez réutiliser l'adresse IP 0 si votre réseau de pairs ne possède qu'une seule adresse IP externe.
- Numéro de système autonome (ASN) de pairs : identifiant unique attribué à votre routeur de réseau de pairs.
- ASN du routeur Cloud Router : identifiant unique que vous attribuerez à votre routeur Cloud Router.
- Clés IKE (Internet Key Exchange) : clés que vous utilisez pour établir deux tunnels VPN avec votre passerelle VPN de pairs. Si vous ne possédez pas de clés, vous pouvez les générer lors de cette configuration, puis les appliquer à votre passerelle de pairs.
Configurer vos connexions
Procédez comme suit pour connecter vos réseaux VPC à vos réseaux de pairs :
Connectez-vous en tant qu'utilisateur disposant du rôle "Administrateur de l'organisation".
Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.
Accédez à Configuration de Google Cloud : connectivité hybride.
Pour consulter les détails de la tâche, procédez comme suit :
Consultez la présentation des tâches, puis cliquez sur Démarrer la connectivité hybride.
Cliquez sur chaque onglet pour en savoir plus sur la connectivité hybride, puis cliquez sur Continuer.
Découvrez ce à quoi vous attendre à chaque étape de la tâche, puis cliquez sur Continuer.
Vérifiez les informations de configuration de la passerelle de pairs que vous devez collecter, puis cliquez sur Continuer.
Dans la zone Connexions hybrides, identifiez les réseaux VPC que vous souhaitez connecter en fonction des besoins de votre entreprise.
Sur la ligne du premier réseau que vous avez choisi, cliquez sur Configurer.
Dans la zone Présentation de la configuration, lisez la description et cliquez sur Suivant.
Dans la zone Passerelle VPN haute disponibilité Google Cloud, procédez comme suit :
Dans le champ Nom de la passerelle Cloud VPN, saisissez jusqu'à 60 caractères à l'aide de lettres minuscules, de chiffres et de tirets.
Dans la zone Type de pile d'adresses IP internes du tunnel VPN, sélectionnez l'un des types de pile suivants :
- IPv4 et IPv6 (recommandé) : accepte le trafic IPv4 et IPv6. Nous vous recommandons ce paramètre si vous prévoyez d'autoriser le trafic IPv6 dans votre tunnel.
- IPv4 : ne peut accepter que le trafic IPv4.
Le type de pile détermine le type de trafic autorisé dans le tunnel entre votre réseau VPC et votre réseau homologue. Vous ne pouvez pas modifier le type de pile une fois la passerelle créée. Pour en savoir plus, consultez les ressources suivantes :
Cliquez sur Suivant.
Dans la zone Passerelle VPN de pairs, procédez comme suit :
Dans le champ Nom de la passerelle VPN de pairs, saisissez le nom fourni par votre administrateur réseau de pairs. Vous pouvez saisir jusqu'à 60 caractères à l'aide de lettres minuscules, de chiffres et de tirets.
Dans le champ Adresse IP de l'interface de pairs 0, saisissez l'adresse IP externe de l'interface de la passerelle de pairs fournie par votre administrateur réseau de pairs.
Dans le champ Adresse IP de l'interface de pairs 1, effectuez l'une des opérations suivantes :
- Si votre passerelle de pairs dispose d'une deuxième interface, saisissez son adresse IP.
- Si votre passerelle de pairs ne comporte qu'une seule interface, saisissez la même adresse que celle que vous avez saisie dans le champ Adresse IP de l'interface de pairs 0.
Pour plus d'informations, consultez la page Configurer la passerelle VPN de pairs.
Cliquez sur Suivant.
Dans la zone Cloud Router, procédez comme suit :
Dans le champ Numéro ASN du routeur cloud, saisissez le numéro de système autonome que vous souhaitez attribuer à votre routeur Cloud Router, tel que fourni par l'administrateur de votre réseau de pairs. Pour plus d'informations, consultez la page Créer un routeur Cloud Router.
Dans le champ Numéro ASN du routeur de pairs, saisissez le numéro de système autonome de votre routeur de réseau de pairs, tel qu'il vous a été fourni par votre administrateur réseau de pairs.
Dans la zone Tunnel VPN 0, procédez comme suit :
Dans le champ Nom du tunnel 0, saisissez jusqu'à 60 caractères à l'aide de lettres minuscules, de chiffres et de tirets.
Dans la zone version de l'IKE, sélectionnez l'une des options suivantes :
- IKEv2 (recommandé) : accepte le trafic IPv6.
- IKEv1 : utilisez ce paramètre si vous ne prévoyez pas d'autoriser le trafic IPv6 dans le tunnel.
Pour en savoir plus, consultez Configurer des tunnels VPN.
Dans le champ Clé IKE pré-partagée, saisissez la clé que vous utilisez dans la configuration de votre passerelle de pairs, telle que fournie par l'administrateur de votre réseau de pairs. Si vous ne disposez pas d'une clé, vous pouvez cliquer sur Générer et copier, puis attribuer la clé à votre administrateur réseau de pairs.
Dans la zone Tunnel VPN 1, répétez l'étape précédente pour appliquer les paramètres du deuxième tunnel. Vous configurez ce tunnel pour assurer la redondance et un débit supplémentaire.
Cliquez sur Enregistrer.
Répétez ces étapes pour tous les autres réseaux VPC que vous souhaitez connecter à votre réseau de pairs.
Après le déploiement
Une fois que vous avez déployé votre configuration Google Cloud, procédez comme suit pour vous assurer que votre connexion réseau est complète :
Collaborez avec votre administrateur réseau de pairs pour aligner votre réseau de pairs sur vos paramètres de connectivité hybride. Une fois le déploiement effectué, des instructions spécifiques sont fournies pour votre réseau homologue, y compris les suivantes :
- Paramètres des tunnels
- Paramètres de pare-feu
- Paramètres IKE
Validez les connexions réseau que vous avez créées. Par exemple, vous pouvez utiliser Network Intelligence Center pour vérifier la connectivité entre les réseaux. Pour en savoir plus, consultez la présentation des Tests de connectivité.
Si vos besoins commerciaux nécessitent une connexion plus robuste, utilisez Cloud Interconnect. Pour en savoir plus, consultez la page Choisir un produit de Connectivité réseau.
Étape suivante
Déployez votre configuration, qui comprend les paramètres de votre hiérarchie et de vos accès, de la journalisation, du réseau et de la connectivité hybride.
Déployer vos paramètres
Déployer ou télécharger
Une fois le processus de configuration de Google Cloud terminé, vos paramètres issus des tâches suivantes sont compilés dans les fichiers de configuration Terraform :
Pour appliquer vos paramètres, examinez vos sélections et choisissez une méthode de déploiement.
Utilisateurs effectuant cette tâche
Une personne du groupe gcp-organization-admins@YOUR_DOMAIN
que vous avez créé dans la tâche Utilisateurs et groupes
Actions à effectuer dans cette tâche
Déployez des fichiers de configuration pour appliquer vos paramètres de configuration.
Raisons pour lesquelles nous recommandons cette tâche
Vous devez déployer des fichiers de configuration pour appliquer les paramètres que vous avez sélectionnés.
Avant de commencer
Vous devez effectuer les tâches suivantes :
- Créez un super-administrateur et votre organisation dans la tâche Organisation.
- Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
- Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
- Créez ou associez un compte de facturation dans la tâche Facturation.
- Configurez votre hiérarchie et attribuez des accès dans la tâche Hiérarchie et accès.
Les tâches suivantes sont recommandées :
- Regroupez les données de journal dans un emplacement unique dans la tâche Centraliser la journalisation.
- Renforcez votre stratégie de sécurité en configurant des services sans frais dans la tâche Sécurité.
- Configurez votre réseau initial dans la tâche Réseaux VPC.
- Connectez des réseaux de pairs à Google Cloud dans la tâche Connectivité hybride.
Vérifier les détails de votre configuration
Pour vérifier que vos paramètres de configuration sont complets, procédez comme suit :
Connectez-vous à la console Google Cloud en tant qu'utilisateur du groupe
gcp-organization-admins@YOUR_DOMAIN
que vous avez créé dans la tâche Utilisateurs et groupes.Sélectionnez votre organisation dans le menu déroulant Sélectionnez une organisation en haut de la page.
Accédez à la configuration Google Cloud : déployer ou télécharger.
Vérifiez les paramètres de configuration que vous avez sélectionnés. Cliquez sur chacun des onglets suivants et vérifiez vos paramètres :
- Hiérarchie des ressources et accès aux ressources
- Journalisation
- Sécurité
- Réseaux VPC
- Connectivité hybride
Déployer la configuration
Après avoir vérifié les détails de votre configuration, utilisez l'une des options suivantes :
Déployer directement depuis la console : utilisez cette option si vous n'avez pas de workflow de déploiement Terraform et que vous souhaitez une méthode de déploiement simple. Vous ne pouvez utiliser cette méthode qu'une seule fois.
Télécharger et déployer le fichier Terraform : utilisez cette option si vous souhaitez automatiser la gestion des ressources à l'aide d'un workflow de déploiement Terraform. Vous pouvez télécharger et déployer cette méthode plusieurs fois.
Procédez au déploiement à l'aide de l'une des options suivantes :
Déployer directement
Si vous ne disposez pas d'un workflow Terraform et que vous souhaitez un déploiement simple et unique, vous pouvez le déployer directement à partir de la console.
Cliquez sur Déployer directement.
Un délai de quelques minutes peut être nécessaire.
Si le déploiement échoue, procédez comme suit :
- Pour relancer le déploiement, cliquez sur Relancer le processus.
- Si le déploiement échoue après plusieurs tentatives, vous pouvez contacter un administrateur pour obtenir de l'aide. Pour ce faire, cliquez sur Contacter l'administrateur de l'organisation.
Télécharger et déployer
Si vous souhaitez itérer sur votre déploiement à l'aide de votre workflow de déploiement Terraform, téléchargez et déployez des fichiers de configuration.
Pour télécharger votre fichier de configuration, cliquez sur Télécharger au format Terraform.
Le package que vous téléchargez contient des fichiers de configuration Terraform en fonction des paramètres que vous avez sélectionnés dans les tâches suivantes :
- Hiérarchie et accès
- Centraliser la journalisation
- Sécurité
- Réseaux VPC
- Connectivité hybride
Si vous ne souhaitez déployer que des fichiers de configuration pertinents pour vos responsabilités, vous pouvez éviter de télécharger des fichiers non pertinents. Pour ce faire, décochez les cases correspondant aux fichiers de configuration dont vous n'avez pas besoin.
Cliquez sur Télécharger. Un package
terraform.tar.gz
contenant les fichiers sélectionnés est téléchargé sur votre système de fichiers local.Pour connaître la procédure de déploiement détaillée, consultez la page Déployer vos fondations à l'aide de Terraform téléchargé depuis la console.
Étapes suivantes
Appliquer les paramètres de surveillance et d'assistance
Surveillance
Cloud Monitoring est automatiquement configuré pour vos projets Google Cloud. Dans cette tâche, vous allez découvrir les bonnes pratiques facultatives de surveillance.
Avant de commencer
Effectuez les tâches suivantes :
- Créez un super-administrateur et votre organisation dans la tâche Organisation.
- Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
- Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
Utilisateurs effectuant cette tâche
Une personne du groupe gcp-monitoring-admins@YOUR_DOMAIN
que vous avez créé dans la tâche Utilisateurs et groupes
Actions à effectuer dans cette tâche
Examiner et mettre en œuvre les bonnes pratiques facultatives de surveillance.
Raisons pour lesquelles nous recommandons cette tâche
Vous pouvez mettre en œuvre les bonnes pratiques de surveillance pour effectuer les opérations suivantes :
- Simplifier la collaboration entre les utilisateurs qui surveillent votre organisation.
- Surveiller votre infrastructure Google Cloud depuis un emplacement unique.
- Recueillir les métriques et les journaux d'application importants.
Examiner et mettre en œuvre les bonnes pratiques de surveillance
Cloud Monitoring collecte des métriques, des événements et des métadonnées provenant de services Google Cloud, de moniteurs synthétiques, de l'instrumentation d'applications et de divers composants d'application courants. Cloud Monitoring est automatiquement configuré pour vos projets Google Cloud.
Dans cette tâche, vous pouvez mettre en œuvre les bonnes pratiques suivantes pour vous développer la configuration Cloud Monitoring par défaut.
Pour faciliter la collaboration, créez une règle d'administration qui attribue le rôle Lecteur Monitoring à chaque compte principal de votre organisation pour chaque projet.
Pour surveiller votre infrastructure Google Cloud en un seul endroit, configurez un projet pour lire les métriques de plusieurs projets Google Cloud à l'aide des champs d'application de métriques.
Pour collecter les métriques et les journaux d'application pour les machines virtuelles, procédez comme suit :
- Pour Compute Engine, installez l'agent Ops.
- Pour Google Kubernetes Engine (GKE), configurez Google Cloud Managed Service pour Prometheus.
Étape suivante
Assistance
Dans cette tâche, vous allez choisir une formule d'assistance répondant aux besoins de votre entreprise.
Utilisateurs effectuant cette tâche
Une personne du groupe gcp-organization-admins@YOUR_DOMAIN
créé dans la tâche Utilisateurs et groupes.
Actions à effectuer dans cette tâche
Choisissez une formule d'assistance en fonction des besoins de votre entreprise.
Raisons pour lesquelles nous recommandons cette tâche
Une formule d'assistance Premium vous offre une assistance commerciale stratégique afin de résoudre rapidement les problèmes avec l'aide d'experts Google Cloud.
Choisissez une option d'assistance
Vous bénéficiez automatiquement de l'assistance Basic, qui inclut l'accès aux ressources suivantes :
- Documentation
- Assistance de la communauté et discussions
- Assistance pour les problèmes de facturation
Nous recommandons aux entreprises clientes de souscrire à l'assistance Premium, qui offre une assistance technique individuelle par des ingénieurs Google. Pour comparer les forfaits d'assistance, consultez la page Assistance Google Cloud Customer Care.
Avant de commencer
Effectuez les tâches suivantes :
- Créez un super-administrateur et votre organisation dans la tâche Organisation.
- Ajoutez des utilisateurs et créez des groupes dans la tâche Utilisateurs et groupes.
- Attribuez des rôles IAM aux groupes dans la tâche Accès administrateur.
Activer l'assistance
Identifiez et sélectionnez une option d'assistance.
Examinez et sélectionnez une formule d'assistance. Pour plus d'informations, consultez Assistance Google Cloud Customer Care.
Connectez-vous à la console Google Cloud avec un utilisateur du groupe
gcp-organization-admins@<your-domain>.com
que vous avez créé dans la tâche Utilisateurs et groupes.Accédez à la configuration de Google Cloud : assistance.
Examinez les détails de la tâche, puis cliquez sur Afficher les offres d'assistance pour sélectionner une option d'assistance.
Après avoir configuré votre option d'assistance, revenez à la page Configuration de Google Cloud : assistance, puis cliquez sur Marquer la tâche comme terminée.
Étapes suivantes
Maintenant que vous avez terminé la configuration de Google Cloud, vous êtes prêt à étendre la configuration initiale, à déployer des solutions prédéfinies et à migrer vos workflows existants. Pour en savoir plus, consultez Étendre votre configuration initiale et commencer à créer.