Sebelum menjalankan workload di Google Cloud, Anda harus mengonfigurasi fondasi awal untuk mendukung pekerjaan Anda. Penyiapan Google Cloud membantu administrator mengonfigurasi Google Cloud untuk workload produksi yang skalabel. Proses penyiapan akan memandu Anda melalui prosedur interaktif yang membantu Anda membuat arsitektur dasar dengan mempertimbangkan praktik terbaik.
Untuk membantu menyelaraskan dengan kebutuhan bisnis, Anda dapat dengan cepat men-deploy konfigurasi default atau melakukan penyesuaian selama proses penyiapan. Bergantung pada alur kerja deployment yang diinginkan, Anda dapat men-deploy konfigurasi langsung dari konsol, atau mendownload dan men-deploy Terraform untuk berintegrasi dengan proses Infrastructure as Code (IaC) Anda sendiri.
Dokumen ini berisi langkah-langkah dan informasi latar belakang untuk membantu Anda menyelesaikan proses penyiapan, yang juga tersedia sebagai panduan interaktif di Konsol Google Cloud:
Proses penyiapan mencakup fase berikut:
Tetapkan organisasi, administrator, dan penagihan: Siapkan node tingkat atas hierarki Anda, buat pengguna administrator awal, dan hubungkan metode pembayaran Anda.
Buat arsitektur awal: Pilih folder awal dan struktur project, tetapkan akses, siapkan jaringan Anda, dan konfigurasi logging.
Deploy setelan Anda: Pilihan arsitektur awal Anda dikompilasi dalam file konfigurasi Terraform. Anda dapat men-deploy dengan cepat melalui Konsol Google Cloud, atau mendownload file untuk menyesuaikan dan melakukan iterasi menggunakan alur kerja Anda sendiri.
Menerapkan setelan keamanan dan dukungan: Terapkan setelan pemantauan, keamanan, dan dukungan yang direkomendasikan untuk mendukung arsitektur Anda.
Menetapkan organisasi, administrator, dan penagihan Anda
Organisasi
Resource organisasi di Google Cloud mewakili bisnis Anda, dan berfungsi sebagai node tingkat teratas hierarki Anda. Untuk membuat organisasi, siapkan layanan identitas Google dan kaitkan dengan domain Anda. Setelah Anda menyelesaikan proses ini, resource organisasi akan dibuat secara otomatis.
Untuk ringkasan resource organisasi, lihat referensi berikut:
Yang melakukan tugas ini
Dua administrator berikut melakukan tugas ini:
Administrator identitas yang bertanggung jawab untuk menetapkan akses berbasis peran. Anda menetapkan orang ini sebagai administrator super Cloud Identity. Untuk mengetahui informasi selengkapnya tentang pengguna administrator super, lihat Peran administrator bawaan.
Administrator domain dengan akses ke host domain perusahaan. Pengguna ini mengedit setelan domain Anda, seperti konfigurasi DNS, sebagai bagian dari proses verifikasi domain.
Yang Anda lakukan dalam tugas ini
- Jika belum melakukannya, siapkan Cloud Identity, tempat Anda membuat akun pengguna terkelola untuk pengguna administrator super.
- Tautkan Cloud Identity ke domain Anda (seperti example.com).
- Verifikasi domain Anda. Proses ini membuat node root hierarki resource Anda, yang dikenal sebagai resource organisasi.
Alasan kami merekomendasikan tugas ini
Anda harus mengonfigurasi hal berikut sebagai bagian dari fondasi Google Cloud Anda:
- Layanan identitas Google untuk mengelola identitas secara terpusat.
- Resource organisasi untuk menetapkan root hierarki dan kontrol akses Anda.
Opsi layanan identitas Google
Anda dapat menggunakan salah satu atau kedua layanan identitas Google berikut untuk mengelola kredensial pengguna Google Cloud:
- Cloud Identity: Mengelola pengguna dan grup secara terpusat. Anda dapat menggabungkan identitas antara Google dan penyedia identitas lainnya. Untuk informasi selengkapnya, lihat Ringkasan Cloud Identity.
- Google Workspace: Mengelola pengguna dan grup, serta memberikan akses ke produk produktivitas dan kolaborasi seperti Gmail dan Google Drive. Untuk mengetahui informasi selengkapnya, lihat Google Workspace.
Untuk informasi mendetail tentang perencanaan identitas, lihat Merencanakan proses orientasi untuk identitas perusahaan.
Sebelum memulai
Untuk memahami cara mengelola akun administrator super, lihat Praktik terbaik akun administrator super.
Mengonfigurasi penyedia identitas dan memverifikasi domain
Langkah-langkah yang Anda selesaikan dalam tugas ini bergantung pada apakah Anda pelanggan baru atau lama. Identifikasi opsi yang sesuai dengan kebutuhan Anda:
Pelanggan baru: Siapkan Cloud Identity, verifikasi domain, dan buat organisasi Anda.
Pelanggan lama Google Workspace: Gunakan Google Workspace sebagai penyedia identitas Anda untuk pengguna yang mengakses Google Workspace dan Google Cloud. Jika Anda berencana membuat pengguna yang hanya dapat mengakses Google Cloud, aktifkan Cloud Identity.
Pelanggan Cloud Identity yang sudah ada: Verifikasi domain Anda, pastikan organisasi Anda dibuat, dan pastikan Cloud Identity diaktifkan.
Pelanggan baru
Pelanggan Baru: Siapkan Cloud Identity dan buat organisasi Anda
Untuk membuat resource organisasi, siapkan Cloud Identity terlebih dahulu, yang akan membantu Anda mengelola pengguna dan grup yang mengakses resource Google Cloud.
Dalam tugas ini, Anda menyiapkan Cloud Identity free edition.Anda dapat mengaktifkan Cloud Identity Premium Edition setelah menyelesaikan penyiapan awal. Untuk informasi selengkapnya, lihat Membandingkan fitur dan edisi Cloud Identity.
Mengidentifikasi orang yang berperan sebagai administrator Cloud Identity (juga dikenal sebagai administrator super) di organisasi Anda
Catat nama pengguna administrator dalam format berikut: admin-name@example.com. Misalnya, admin-maria@example.com. Tentukan nama pengguna ini saat Anda membuat pengguna administrator pertama.
Untuk menyelesaikan proses penyiapan dan membuat akun administrator super, buka halaman pendaftaran Cloud Identity.
Jika Anda mendapatkan error saat menyiapkan akun administrator, lihat error'Akun Google sudah ada'.
Verifikasi domain dan buat resource organisasi Anda
Cloud Identity mewajibkan Anda untuk memverifikasi bahwa Anda adalah pemilik domain. Setelah verifikasi selesai, resource organisasi Google Cloud Anda akan otomatis dibuat untuk Anda.
Pastikan Anda membuat akun administrator super saat mengonfigurasi penyedia identitas.
Verifikasi domain Anda di Cloud Identity. Saat Anda menyelesaikan proses verifikasi, perhatikan hal-hal berikut:
- Saat diminta, jangan klik Buat pengguna baru. Anda akan membuat pengguna baru di tugas selanjutnya.
- Jika Anda tidak dapat mendaftarkan domain, lihat Tidak dapat mendaftarkan domain saya ke layanan Google.
- Verifikasi mungkin memerlukan waktu beberapa jam untuk diproses.
Untuk mengetahui langkah-langkah dalam memverifikasi domain, lihat Memverifikasi domain.
Setelah menyelesaikan langkah-langkah verifikasi domain, klik Set up Google Cloud Console now.
Login ke Konsol Google Cloud sebagai pengguna administrator super menggunakan alamat email yang Anda tentukan. Misalnya, admin-maria@example.com.
Buka Google Cloud setup: Organization. Organisasi Anda dibuat secara otomatis.
Pilih organisasi Anda dari menu drop-down Pilih dari di bagian atas halaman.
Meminta lisensi pengguna Cloud Identity tambahan
Cloud Identity Free Edition mencakup alokasi lisensi pengguna. Untuk mengetahui langkah-langkah tentang cara melihat dan meminta lisensi, lihat Batas pengguna Cloud Identity Free Edition.
Pelanggan Workspace
Pelanggan Google Workspace lama: Verifikasi domain Anda dan aktifkan Cloud Identity
Jika Anda sudah menjadi pelanggan Google Workspace, verifikasi domain Anda, pastikan resource organisasi dibuat secara otomatis, dan aktifkan Cloud Identity secara opsional.
Untuk memverifikasi domain di Google Workspace, lihat Memverifikasi domain. Saat Anda menyelesaikan proses verifikasi, perhatikan hal-hal berikut:
- Saat diminta, jangan klik Buat pengguna baru. Anda akan membuat pengguna baru di tugas selanjutnya.
- Jika Anda tidak dapat mendaftarkan domain, lihat Tidak dapat mendaftarkan domain saya ke layanan Google.
- Verifikasi mungkin memerlukan waktu beberapa jam untuk diproses.
Login ke konsol Google Cloud sebagai pengguna administrator super.
Buka Google Cloud setup: Organization.
Pilih Saya adalah pelanggan Google Workspace saat ini.
Pastikan nama organisasi Anda ditampilkan dalam daftar Organisasi.
Jika Anda ingin membuat pengguna yang mengakses Google Cloud, tetapi tidak menerima lisensi Google Workspace, lakukan hal berikut.
Di Google Workspace, Aktifkan Cloud Identity.
Saat Anda menyiapkan Cloud Identity, Nonaktifkan pemberian lisensi Google Workspace otomatis.
Pelanggan Cloud Identity
Pelanggan Cloud Identity lama: Memverifikasi domain Anda
Jika Anda adalah pelanggan Cloud Identity lama, pastikan Anda telah memverifikasi domain, dan resource organisasi Anda dibuat secara otomatis.
Untuk memastikan bahwa Anda telah memverifikasi domain, lihat Memverifikasi domain Anda. Saat Anda menyelesaikan proses verifikasi, perhatikan hal-hal berikut:
- Saat diminta, jangan klik Buat pengguna baru. Anda akan membuat pengguna baru di tugas selanjutnya.
- Jika Anda tidak dapat mendaftarkan domain, lihat Tidak dapat mendaftarkan domain saya ke layanan Google.
- Verifikasi mungkin memerlukan waktu beberapa jam untuk diproses.
Login ke konsol Google Cloud sebagai pengguna administrator super.
Buka Google Cloud setup: Organization.
Pilih Saya adalah pelanggan Cloud Identity saat ini.
Pastikan nama organisasi Anda ditampilkan dalam daftar Organisasi.
Pastikan Cloud Identity sudah diaktifkan di konsol Google Admin: Langganan. Login sebagai pengguna administrator super.
Langkah selanjutnya
Pengguna dan grup
Dalam tugas ini, Anda akan membuat grup pengguna dan akun pengguna terkelola untuk administrator di organisasi Google Cloud Anda.
Untuk mengetahui informasi selengkapnya tentang pengelolaan akses di Google Cloud, lihat artikel berikut:
- Ringkasan Identity and Access Management (IAM).
- Untuk praktik terbaik, lihat Mengelola identitas dan akses.
Sebelum memulai
Temukan dan migrasikan pengguna yang telah memiliki Akun Google. Untuk informasi selengkapnya, lihat Menambahkan pengguna dengan akun yang tidak dikelola.
Yang melakukan tugas ini
Administrator identitas yang bertanggung jawab untuk mengelola akses ke individu atau grup di organisasi Anda. Anda menetapkan orang ini sebagai administrator super dalam tugas Organisasi.
Yang Anda lakukan dalam tugas ini
Dalam tugas ini, Anda akan menjalankan prosedur pengelolaan pengguna berikut:
- Buat grup untuk setiap fungsi administratif yang direkomendasikan, termasuk administrasi organisasi, penagihan, dan jaringan.
- Membuat akun pengguna untuk administrator.
- Tetapkan pengguna ke grup administratif yang sesuai dengan tanggung jawab mereka.
Anda dapat menyesuaikan izin untuk setiap grup di tugas berikutnya.
Alasan kami merekomendasikan tugas ini
Tugas ini membantu Anda menerapkan praktik terbaik keamanan berikut:
Prinsip hak istimewa terendah: Beri pengguna izin minimum yang diperlukan untuk menjalankan peran, dan hapus akses segera setelah tidak diperlukan lagi.
Role-based access control (RBAC): Tetapkan izin ke grup pengguna sesuai dengan peran tugas mereka. Jangan tambahkan izin ke akun pengguna individual.
Anda dapat menggunakan grup untuk menerapkan peran IAM secara efisien ke kumpulan pengguna. Praktik ini akan membantu Anda menyederhanakan pengelolaan akses.
Membuat grup administratif
Grup adalah kumpulan Akun Google dan akun layanan yang memiliki nama. Setiap grup memiliki alamat email unik, seperti gcp-billing-admins@example.com. Anda dapat membuat grup untuk mengelola pengguna dan menerapkan peran IAM dalam skala besar.
Grup berikut direkomendasikan untuk membantu Anda mengelola fungsi inti organisasi dan menyelesaikan proses penyiapan Google Cloud.
Group | Deskripsi |
gcp-organization-admins
|
Mengelola semua resource organisasi. Tetapkan peran ini hanya untuk pengguna yang paling tepercaya. |
gcp-billing-admins
|
Siapkan akun penagihan dan pantau penggunaannya. |
gcp-network-admins
|
Membuat jaringan, subnet, aturan firewall, dan perangkat jaringan seperti Cloud Router, Cloud VPN, dan load balancer. |
gcp-logging-admins
|
Menggunakan semua fitur Cloud Logging. |
gcp-logging-viewers
|
Akses hanya baca ke subset log. |
gcp-monitoring-admins
|
Menetapkan dan mengelola kebijakan keamanan untuk seluruh organisasi, termasuk pengelolaan akses dan kebijakan batasan organisasi. Lihat blueprint Enterprise Foundation Google Cloud untuk mengetahui informasi selengkapnya tentang perencanaan infrastruktur keamanan Google Cloud Anda. |
gcp-security-admins |
Menetapkan dan mengelola kebijakan keamanan untuk seluruh organisasi, termasuk kebijakan pengelolaan akses dan batasan organisasi. |
gcp-developers
|
Desain, kode, dan pengujian aplikasi. |
gcp-devops
|
Buat atau kelola pipeline end-to-end yang mendukung continuous integration dan continuous delivery, pemantauan, serta penyediaan sistem. |
Untuk membuat grup administratif, lakukan hal berikut:
Login ke konsol Google Cloud sebagai akun administrator super yang telah Anda buat di tugas Organisasi.
Buka Penyiapan Google Cloud: Pengguna & grup.
Tinjau detail tugas, lalu klik Lanjutkan pengguna & grup.
Tinjau daftar grup administratif yang direkomendasikan, lalu lakukan salah satu hal berikut:
- Untuk membuat semua grup yang direkomendasikan, klik Buat semua grup.
- Jika ingin membuat subset dari grup yang direkomendasikan, klik Create di baris yang dipilih.
Klik Lanjutkan.
Membuat pengguna administratif
Sebaiknya tambahkan pengguna yang telah menyelesaikan prosedur organisasi, jaringan, penagihan, dan penyiapan lainnya di awal. Anda dapat menambahkan pengguna lain setelah menyelesaikan proses penyiapan Google Cloud.
Untuk menambahkan pengguna administratif yang melakukan tugas penyiapan Google Cloud, lakukan hal berikut:
Migrasikan akun konsumen ke akun pengguna terkelola yang dikontrol oleh Cloud Identity. Untuk langkah-langkah mendetailnya, lihat berikut ini:
Login ke konsol Google Admin menggunakan akun administrator super.
Gunakan salah satu opsi berikut untuk menambahkan pengguna:
- Untuk menambahkan pengguna secara massal, lihat Menambahkan atau memperbarui beberapa pengguna dari file CSV.
- Untuk menambahkan pengguna satu per satu, lihat Menambahkan akun untuk pengguna baru.
Setelah selesai menambahkan pengguna, kembali ke Penyiapan Google Cloud: Pengguna & grup (Buat pengguna).
Klik Lanjutkan.
Menambahkan pengguna administratif ke grup
Tambahkan anggota yang Anda buat ke grup administratif yang sesuai dengan tugas mereka.
Di bagian Google Cloud setup: Users & groups (Add users to groups), tinjau detail langkah-langkahnya.
Di setiap baris Group, lakukan hal berikut:
- Klik Tambahkan anggota.
- Masukkan alamat email pengguna.
Dari menu drop-down Group role, pilih setelan izin grup pengguna. Untuk informasi selengkapnya, lihat Menetapkan siapa saja yang dapat melihat, memposting, dan memoderasi.
Setiap anggota mewarisi semua peran IAM yang Anda berikan ke grup, terlepas dari peran grup yang Anda pilih.
Untuk menambahkan pengguna lain ke grup ini, klik Tambahkan anggota lain dan ulangi langkah-langkah ini.
Setelah selesai menambahkan pengguna ke grup ini, klik Simpan.
Setelah selesai menambahkan anggota ke grup, klik Konfirmasi pengguna & grup.
Langkah selanjutnya
Akses administratif
Dalam tugas ini, Anda menggunakan Identity and Access Management (IAM) untuk menetapkan kumpulan izin ke grup administrator di tingkat organisasi. Proses ini memberi administrator visibilitas dan kontrol terpusat atas setiap resource cloud yang menjadi milik organisasi Anda.
Untuk ringkasan Identity and Access Management di Google Cloud, lihat ringkasan IAM.
Yang melakukan tugas ini
Untuk melakukan tugas ini, Anda harus menjadi salah satu dari yang berikut:
- Pengguna administrator super.
- Pengguna dengan peran Administrator Organisasi (
roles/resourcemanager.organizationAdmin
).
Yang Anda lakukan dalam tugas ini
Tinjau daftar peran default yang ditetapkan untuk setiap grup administrator yang Anda buat di tugas Pengguna dan grup.
Jika ingin menyesuaikan grup, Anda dapat melakukan hal berikut:
- Tambahkan atau hapus peran.
- Jika tidak berencana menggunakan grup, Anda dapat menghapusnya.
Alasan kami merekomendasikan tugas ini
Anda harus memberikan semua peran administratif untuk organisasi Anda secara eksplisit. Tugas ini membantu Anda menerapkan praktik terbaik keamanan berikut:
Prinsip hak istimewa terendah: Memberi pengguna izin minimum yang diperlukan untuk melakukan tugas mereka, dan menghapus akses segera setelah tidak diperlukan lagi.
Role-based access control (RBAC): Menetapkan izin ke grup pengguna sesuai dengan tugas mereka. Jangan berikan peran ke akun pengguna individual.
Sebelum memulai
Selesaikan tugas berikut:
- Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
- Menambahkan pengguna dan membuat grup di tugas Users and groups.
Memberikan akses ke grup administrator
Untuk memberikan akses yang sesuai ke setiap grup administrator yang Anda buat di tugas Users and groups, tinjau peran default yang ditetapkan pada setiap grup. Anda dapat menambahkan atau menghapus peran untuk menyesuaikan akses setiap grup.
Pastikan Anda login ke Konsol Google Cloud sebagai pengguna administrator super.
Atau, Anda dapat login sebagai pengguna dengan peran Administrator Organisasi (
roles/resourcemanager.organizationAdmin
).Buka Penyiapan Google Cloud: Akses administratif.
Pilih nama organisasi dari menu drop-down Pilih dari di bagian atas halaman.
Tinjau ringkasan tugas, lalu klik Lanjutkan akses administratif.
Tinjau grup di kolom Group (Principal) yang Anda buat di tugas Users & groups.
Untuk setiap grup, tinjau peran IAM default. Anda dapat menambahkan atau menghapus peran yang ditetapkan ke setiap grup agar sesuai dengan kebutuhan unik organisasi Anda.
Setiap peran berisi beberapa izin yang memungkinkan pengguna melakukan tugas yang relevan. Untuk mengetahui informasi selengkapnya tentang izin di setiap peran, lihat Referensi peran dasar dan yang telah ditetapkan IAM.
Saat Anda sudah siap untuk menetapkan peran ke setiap grup, klik Simpan dan berikan akses.
Langkah selanjutnya
Siapkan billing.
Penagihan
Dalam tugas ini, Anda menyiapkan akun penagihan untuk membayar resource Google Cloud. Untuk melakukannya, kaitkan salah satu dari hal berikut dengan organisasi Anda.
Akun Penagihan Cloud yang sudah ada. Jika tidak memiliki akses ke akun tersebut, Anda dapat meminta akses dari administrator akun penagihan.
Akun Penagihan Cloud baru.
Untuk mengetahui informasi selengkapnya tentang penagihan, lihat dokumentasi Penagihan Cloud.
Yang melakukan tugas ini
Seseorang di grup gcp-billing-admins@YOUR_DOMAIN
yang Anda buat di tugas Pengguna dan grup.
Yang Anda lakukan dalam tugas ini
- Buat atau gunakan akun Penagihan Cloud layanan mandiri yang sudah ada.
- Tentukan apakah akan beralih dari akun layanan mandiri ke akun yang ditagih.
- Siapkan akun Penagihan Cloud dan metode pembayaran.
Alasan kami merekomendasikan tugas ini
Akun Penagihan Cloud ditautkan ke satu atau beberapa project Google Cloud dan digunakan untuk membayar resource yang Anda gunakan, seperti virtual machine, jaringan, dan penyimpanan.
Menentukan jenis akun penagihan
Akun penagihan yang dikaitkan dengan organisasi Anda adalah salah satu jenis berikut.
Layanan mandiri (atau online): Mendaftar secara online menggunakan kartu kredit atau debit. Kami merekomendasikan opsi ini jika Anda adalah bisnis kecil atau perorangan. Saat mendaftar secara online untuk akun penagihan, akun Anda otomatis disiapkan sebagai akun layanan mandiri.
Dalam invoice (atau offline). Jika sudah memiliki akun penagihan layanan mandiri, Anda mungkin memenuhi syarat untuk mengajukan permohonan penagihan dengan invoice jika bisnis Anda memenuhi persyaratan kelayakan.
Anda tidak dapat membuat akun yang ditagih secara online, tetapi Anda dapat mengajukan permohonan untuk mengonversi akun layanan mandiri menjadi akun yang ditagih.
Untuk informasi selengkapnya, lihat Jenis akun Penagihan Cloud.
Sebelum memulai
Selesaikan tugas berikut:
- Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
- Menambahkan pengguna dan membuat grup di tugas Users and groups.
- Tetapkan peran IAM ke grup di tugas Akses administratif.
Menyiapkan akun penagihan
Setelah memilih jenis akun penagihan, kaitkan akun penagihan dengan organisasi Anda. Setelah menyelesaikan proses ini, Anda dapat menggunakan akun penagihan untuk membayar resource Google Cloud.
Login ke konsol Google Cloud sebagai pengguna dari grup
gcp-billing-admins@YOUR_DOMAIN
.Buka Penyiapan Google Cloud: Penagihan.
Tinjau ringkasan tugas, lalu klik Continue billing.
Pilih salah satu opsi akun penagihan berikut:
Buat akun baru
Jika organisasi Anda belum memiliki akun, buat akun baru.
- Pilih I want to create a new billing account.
- Klik Lanjutkan.
Pilih jenis akun penagihan yang ingin Anda buat. Untuk mengetahui langkah-langkah mendetailnya, lihat referensi berikut:
- Untuk membuat akun layanan mandiri baru, lihat artikel Membuat akun Penagihan Cloud layanan mandiri baru.
- Untuk mentransisikan akun layanan mandiri yang sudah ada ke penagihan dengan invoice, lihat Mengajukan permohonan penagihan dengan invoice bulanan.
Pastikan bahwa akun penagihan Anda telah dibuat:
Jika Anda membuat akun yang ditagih, tunggu hingga 5 hari kerja untuk menerima konfirmasi email.
Buka halaman Penagihan.
Pilih organisasi Anda dari daftar Pilih dari di bagian atas halaman. Jika berhasil dibuat, akun akan ditampilkan di daftar akun penagihan.
Gunakan akun saya yang ada
Jika sudah memiliki akun penagihan, Anda dapat mengaitkannya dengan organisasi Anda.
- Pilih Saya mengidentifikasi akun penagihan dari daftar ini yang ingin digunakan untuk menyelesaikan langkah-langkah penyiapan.
- Dari menu drop-down Billing, pilih akun yang ingin dikaitkan dengan organisasi Anda.
- Klik Lanjutkan.
- Tinjau detailnya, lalu klik Konfirmasi akun penagihan.
Gunakan akun pengguna lain
Jika pengguna lain memiliki akses ke akun penagihan yang sudah ada, Anda dapat meminta pengguna tersebut untuk mengaitkan akun penagihan dengan organisasi Anda, atau pengguna dapat memberi Anda akses untuk menyelesaikan pengaitan.
- Pilih Saya ingin menggunakan akun penagihan yang dikelola oleh akun pengguna Google lain.
- Klik Lanjutkan.
- Masukkan alamat email administrator akun penagihan.
- Klik Hubungi administrator.
- Tunggu hingga administrator akun penagihan menghubungi Anda untuk memberikan petunjuk lebih lanjut.
Langkah selanjutnya
Membuat arsitektur awal
Hierarki dan akses
Dalam tugas ini, Anda menyiapkan hierarki resource dengan membuat dan menetapkan akses ke resource berikut:
- Folder
- Menyediakan mekanisme pengelompokan dan batas isolasi antar-project. Misalnya, folder dapat mewakili departemen utama di organisasi Anda, seperti keuangan atau retail, atau lingkungan seperti produksi atau non-produksi.
- Project
- Batasi resource Google Cloud Anda, seperti virtual machine, database, dan bucket penyimpanan.
Untuk pertimbangan desain dan praktik terbaik guna mengatur resource Anda dalam project, lihat artikel Menentukan hierarki resource untuk zona landing Google Cloud Anda.
Yang melakukan tugas ini
Seseorang di grup gcp-organization-admins@YOUR_DOMAIN
yang Anda buat di tugas Pengguna dan grup dapat
melakukan tugas ini.
Yang Anda lakukan dalam tugas ini
- Buat struktur hierarki awal yang mencakup folder dan project.
- Tetapkan kebijakan IAM untuk mengontrol akses ke folder dan project Anda.
Alasan kami merekomendasikan tugas ini
Membuat struktur untuk folder dan project dapat membantu Anda mengelola resource Google Cloud serta menetapkan akses berdasarkan cara organisasi Anda beroperasi. Misalnya, Anda dapat mengatur dan memberikan akses ke resource berdasarkan kumpulan unik wilayah geografis, struktur anak perusahaan, atau framework akuntabilitas organisasi Anda.
Merencanakan hierarki resource
Hierarki resource membantu Anda membuat batas dan berbagi resource di seluruh organisasi untuk tugas umum. Anda membuat hierarki menggunakan salah satu konfigurasi awal berikut, berdasarkan struktur organisasi Anda:
Berorientasi pada lingkungan dan sederhana:
- Mengisolasi lingkungan seperti
Non-production
danProduction
. - Terapkan kebijakan, persyaratan peraturan, dan kontrol akses yang berbeda di setiap folder lingkungan.
- Cocok untuk perusahaan kecil dengan lingkungan terpusat.
- Mengisolasi lingkungan seperti
Berorientasi pada tim yang sederhana:
- Pisahkan tim seperti
Development
danQA
. - Isolasi akses ke resource menggunakan folder lingkungan turunan di bawah setiap folder tim.
- Cocok untuk perusahaan kecil dengan tim otonom.
- Pisahkan tim seperti
Berorientasi pada lingkungan:
- Prioritaskan isolasi lingkungan seperti
Non-production
danProduction
. - Di setiap folder lingkungan, pisahkan unit bisnis.
- Di bawah setiap unit bisnis, pisahkan tim.
- Cocok untuk perusahaan besar dengan lingkungan terpusat.
- Prioritaskan isolasi lingkungan seperti
Berorientasi unit bisnis:
- Prioritaskan isolasi unit bisnis seperti
Human Resources
danEngineering
untuk membantu memastikan pengguna hanya dapat mengakses resource dan data yang mereka butuhkan. - Di bawah setiap unit bisnis, pisahkan tim.
- Di bawah setiap tim, isolasi lingkungan.
- Cocok untuk perusahaan besar dengan tim otonom.
- Prioritaskan isolasi unit bisnis seperti
Setiap konfigurasi memiliki folder Common
untuk project yang berisi resource
bersama. Termasuk di dalamnya adalah logging dan pemantauan project.
Sebelum memulai
Selesaikan tugas berikut:
- Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
- Menambahkan pengguna dan membuat grup di tugas Users and groups.
- Tetapkan peran IAM ke grup di tugas Akses administratif.
- Buat atau tautkan akun penagihan di tugas Billing.
Mengonfigurasi folder dan project awal
Pilih hierarki resource yang mewakili struktur organisasi Anda.
Untuk mengonfigurasi folder dan project awal, lakukan hal berikut:
Login ke konsol Google Cloud sebagai pengguna dari grup
gcp-organization-admins@YOUR_DOMAIN
yang telah Anda buat di tugas Users and groups.Pilih organisasi Anda dari menu drop-down Pilih dari di bagian atas halaman.
Buka Google Cloud setup: Hierarchy & access.
Tinjau ringkasan tugas, lalu klik Start di samping Resource hierarchy.
Pilih konfigurasi awal.
Klik Continue and Configure.
Sesuaikan hierarki resource untuk mencerminkan struktur organisasi Anda. Misalnya, Anda dapat menyesuaikan hal berikut:
- Nama folder.
Project layanan untuk setiap tim. Untuk memberikan akses ke project layanan, Anda dapat membuat hal berikut:
- Grup untuk setiap project layanan.
- Pengguna di setiap grup.
Untuk ringkasan project layanan, lihat VPC Bersama.
Project yang diperlukan untuk pemantauan, logging, dan jaringan.
Project kustom.
Klik Lanjutkan.
Memberikan akses ke folder dan project
Di tugas Akses administratif, Anda memberikan akses administratif ke grup di tingkat organisasi. Dalam tugas ini, Anda mengonfigurasi akses ke grup yang berinteraksi dengan folder dan project yang baru dikonfigurasi.
Project, folder, dan organisasi memiliki kebijakan IAM sendiri yang diwarisi melalui hierarki resource:
- Organisasi: Kebijakan berlaku untuk semua folder dan project di organisasi.
- Folder: Kebijakan berlaku untuk project dan folder lain di dalam folder.
- Project: Kebijakan hanya berlaku untuk project tersebut dan resource-nya.
Perbarui kebijakan IAM untuk folder dan project Anda:
Di bagian Configure access control pada Hierarchy & access, beri grup Anda akses ke folder dan project:
Pada tabel, tinjau daftar rekomendasi peran IAM yang diberikan ke setiap grup untuk setiap resource.
Jika Anda ingin mengubah peran yang ditetapkan ke setiap grup, klik Edit di baris yang diinginkan.
Untuk mengetahui informasi lebih lanjut tentang setiap peran, lihat Peran dasar dan bawaan IAM.
Klik Lanjutkan.
Tinjau perubahan Anda, lalu klik Konfirmasi konfigurasi draf.
Langkah selanjutnya
Networking
Dalam tugas ini, Anda akan menyiapkan konfigurasi jaringan awal, yang dapat diskalakan sesuai kebutuhan Anda.
Arsitektur Virtual Private Cloud
Jaringan Virtual Private Cloud (VPC) adalah versi virtual dari jaringan fisik yang diimplementasikan di dalam jaringan produksi Google. Jaringan VPC adalah resource global yang terdiri dari subnetwork (subnet) regional.
Jaringan VPC menyediakan kemampuan jaringan ke resource Google Cloud Anda, seperti instance virtual machine Compute Engine, container GKE, dan instance lingkungan fleksibel App Engine.
VPC Bersama menghubungkan resource dari beberapa project ke jaringan VPC umum, sehingga resource tersebut dapat saling berkomunikasi menggunakan alamat IP internal jaringan. Diagram berikut menunjukkan arsitektur dasar jaringan VPC Bersama dengan project layanan yang terpasang.
Saat menggunakan VPC Bersama, Anda menetapkan project host dan melampirkan satu atau beberapa project layanan ke project tersebut. Jaringan Virtual Private Cloud di project host disebut Jaringan VPC bersama.
Diagram contoh memiliki project host produksi dan non-produksi, yang masing-masing berisi jaringan VPC Bersama. Anda dapat menggunakan project host untuk mengelola hal-hal berikut secara terpusat:
- Rute
- Firewall
- Koneksi VPN
- Subnet
Project layanan adalah project apa pun yang terpasang pada project host. Anda dapat membagikan subnet, termasuk rentang sekunder, antara project host dan layanan.
Dalam arsitektur ini, setiap jaringan VPC Bersama berisi subnet publik dan pribadi:
- Subnet publik dapat digunakan oleh instance yang terhubung ke internet untuk konektivitas eksternal.
- Subnet pribadi dapat digunakan oleh instance yang terhubung secara internal yang tidak mengalokasikan alamat IP publik.
Dalam tugas ini, Anda akan membuat konfigurasi jaringan awal berdasarkan contoh diagram.
Yang melakukan tugas ini
Anda memerlukan salah satu hal berikut untuk melakukan tugas ini:
- Peran
roles/compute.networkAdmin
. - Penyertaan dalam grup
gcp-network-admins@YOUR_DOMAIN
yang Anda buat di tugas Pengguna dan grup.
Yang Anda lakukan dalam tugas ini
Buat konfigurasi jaringan awal, termasuk yang berikut ini:
- Buat beberapa project host untuk mencerminkan lingkungan pengembangan Anda.
- Buat jaringan VPC Bersama di setiap project host agar resource yang berbeda dapat berbagi ke jaringan yang sama.
- Buat subnet yang berbeda di setiap jaringan VPC Bersama untuk memberikan akses jaringan ke project layanan.
Alasan kami merekomendasikan tugas ini
Tim berbeda dapat menggunakan VPC Bersama untuk terhubung ke jaringan VPC umum yang dikelola secara terpusat.
Sebelum memulai
Selesaikan tugas berikut:
- Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
- Menambahkan pengguna dan membuat grup di tugas Users and groups.
- Tetapkan peran IAM ke grup di tugas Akses administratif.
- Buat atau tautkan akun penagihan di tugas Billing.
- Siapkan hierarki Anda dan tetapkan akses di tugas Hierarki dan akses.
Mengonfigurasi arsitektur jaringan Anda
Buat konfigurasi jaringan awal Anda dengan dua project host untuk menyegmentasi beban kerja non-produksi dan produksi. Setiap project host berisi jaringan VPC Bersama, yang dapat digunakan oleh beberapa project layanan. Anda mengonfigurasi detail jaringan, lalu men-deploy file konfigurasi pada tugas berikutnya.
Untuk mengonfigurasi jaringan awal Anda, lakukan hal berikut.
Login ke konsol Google Cloud sebagai pengguna dari grup
gcp-organization-admins@YOUR_DOMAIN
yang Anda buat di tugas Users and groups.Pilih organisasi dari menu drop-down Pilih organisasi di bagian atas halaman.
Buka Google Cloud setup: Networking.
Tinjau arsitektur jaringan default.
Untuk mengedit nama jaringan, lakukan hal berikut:
- Klik more_vert Tindakan
- Pilih Edit nama jaringan.
- Di kolom Nama jaringan, masukkan huruf kecil, angka, atau tanda hubung. Nama jaringan tidak boleh lebih dari 25 karakter.
- Klik Save.
Ubah detail firewall
Aturan firewall default pada project host didasarkan pada praktik terbaik yang direkomendasikan. Untuk mengetahui informasi umum mengenai aturan firewall, lihat Aturan firewall VPC.
Untuk mengubah setelan firewall, lakukan hal berikut:
Klik more_vert Tindakan.
Pilih Edit firewall rules.
Untuk mengetahui informasi mendetail tentang setiap aturan firewall default, lihat Aturan yang telah diisi otomatis di jaringan default.
Untuk menonaktifkan aturan firewall, hapus centang pada kotak yang sesuai.
Untuk menonaktifkan Firewall Rules Logging, klik Off.
Secara default, traffic ke dan dari instance Compute Engine dicatat ke dalam log untuk tujuan audit. Proses ini menimbulkan biaya. Untuk mengetahui informasi selengkapnya, lihat Logging Aturan Firewall.
Klik Save.
Ubah detail subnet
Setiap jaringan VPC berisi minimal satu subnet, yang merupakan resource regional dengan rentang alamat IP yang terkait. Dalam konfigurasi multi-regional ini, Anda harus memiliki setidaknya dua subnet dengan rentang IP yang tidak tumpang-tindih.
Untuk mengetahui informasi selengkapnya, lihat Subnet.
Setiap subnet dikonfigurasi menggunakan praktik terbaik yang direkomendasikan. Jika Anda ingin menyesuaikan setiap subnet, lakukan hal berikut:
- Klik more_vert Tindakan
- Pilih Edit subnet.
- Di kolom Nama, masukkan huruf kecil, angka, atau tanda hubung. Nama subnet tidak boleh lebih dari 25 karakter.
Dari drop-down Region, pilih region yang dekat dengan tempat layanan Anda.
Kami merekomendasikan region yang berbeda untuk setiap subnet. Anda tidak dapat mengubah region setelah men-deploy konfigurasi. Untuk mengetahui informasi tentang cara memilih region, lihat Resource regional.
Di kolom IP address range, masukkan rentang dalam notasi CIDR— misalnya, 10.0.0.0/24.
Rentang yang Anda masukkan tidak boleh tumpang tindih dengan subnet lain di jaringan ini. Untuk mengetahui informasi tentang rentang yang valid, lihat Rentang subnet IPv4.
Ulangi langkah-langkah ini untuk Subnet 2.
Untuk mengonfigurasi subnet tambahan di jaringan ini, klik Tambahkan subnet dan ulangi langkah-langkah ini.
Klik Save.
Subnet Anda dikonfigurasi secara otomatis sesuai dengan praktik terbaik. Jika Anda ingin mengubah konfigurasi, di halaman Penyiapan Google Cloud: Jaringan VPC, lakukan langkah berikut:
Untuk menonaktifkan VPC Flow Logs, dari kolom Flow logs, pilih Off.
Jika log aliran aktif, setiap subnet akan mencatat alur jaringan yang dapat Anda analisis untuk keamanan, pengoptimalan biaya, dan tujuan lainnya. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Log Aliran VPC.
Log Aliran VPC dikenai biaya. Untuk mengetahui informasi selengkapnya, lihat Harga Virtual Private Cloud.
Untuk menonaktifkan Akses Google Pribadi, dari kolom Akses pribadi, pilih Nonaktif.
Saat Akses Google Pribadi aktif, instance VM yang tidak memiliki alamat IP eksternal dapat menjangkau Google API dan layanan Google. Untuk mengetahui informasi selengkapnya, lihat Akses Google Pribadi.
Untuk mengaktifkan Cloud NAT, dari kolom Cloud NAT, pilih On.
Saat Cloud NAT diaktifkan, resource tertentu dapat membuat koneksi keluar ke internet. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud NAT.
Cloud NAT menimbulkan biaya. Untuk mengetahui informasi selengkapnya, lihat Harga Virtual Private Cloud.
Klik Lanjutkan untuk menautkan project layanan.
Menautkan project layanan ke project host
Project layanan adalah project apa pun yang telah dilampirkan ke project host. Lampiran ini memungkinkan project layanan berpartisipasi dalam VPC Bersama. Setiap project layanan dapat dioperasikan dan dikelola oleh departemen atau tim yang berbeda untuk memisahkan tanggung jawab.
Untuk informasi lebih lanjut tentang menghubungkan beberapa project ke jaringan VPC umum, lihat Ringkasan VPC Bersama.
Untuk menautkan project layanan ke project host dan menyelesaikan konfigurasi, lakukan langkah berikut:
Untuk setiap subnet dalam tabel Shared VPC networks, pilih project layanan yang akan dihubungkan. Untuk melakukannya, pilih dari menu drop-down Select a project di kolom Service project.
Anda dapat menghubungkan project layanan ke beberapa subnet.
Klik Continue to Review.
Tinjau konfigurasi Anda, dan buat perubahan.
Anda dapat mengeditnya hingga Anda men-deploy file konfigurasi.
Klik Konfirmasi konfigurasi draf. Konfigurasi jaringan Anda akan ditambahkan ke file konfigurasi.
Jaringan Anda tidak di-deploy hingga Anda men-deploy file konfigurasi di tugas berikutnya.
Langkah selanjutnya
Konfigurasikan lokasi pusat untuk menyimpan dan menganalisis data log.
Memusatkan logging
Dalam tugas ini, Anda menyiapkan Cloud Logging untuk merutekan log dari project organisasi Anda ke bucket log pusat.
Yang melakukan tugas ini
Anda harus memiliki salah satu hal berikut:
- Peran Admin Logging (
roles/logging.admin
). - Keanggotaan dalam grup
gcp-logging-admins@YOUR_DOMAIN
yang Anda buat di tugas Users and groups.
Yang Anda lakukan dalam tugas ini
Kelola log secara terpusat yang dibuat dalam project di seluruh organisasi Anda untuk membantu menjaga keamanan, pengauditan, dan kepatuhan.
Alasan kami merekomendasikan tugas ini
Mengonfigurasi penyimpanan dan retensi logging menyederhanakan analisis dan mempertahankan jejak audit Anda.
Sebelum memulai
Selesaikan tugas berikut:
- Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
- Menambahkan pengguna dan membuat grup di tugas Users and groups.
- Tetapkan peran IAM ke grup di tugas Akses administratif.
- Buat atau tautkan akun penagihan di tugas Billing.
- Siapkan hierarki Anda dan tetapkan akses di tugas Hierarki dan akses.
Mengatur logging secara terpusat
Cloud Logging membantu Anda menyimpan, menelusuri, menganalisis, memantau, serta membuat pemberitahuan terkait data log dan peristiwa dari Google Cloud. Anda juga dapat mengumpulkan dan memproses log dari aplikasi, resource lokal, dan cloud lainnya. Untuk ringkasan tentang cara Logging untuk merutekan dan menyimpan log, lihat Ringkasan pemilihan rute dan penyimpanan.
Untuk menyimpan data log Anda di bucket log pusat, lakukan tindakan berikut:
Login ke konsol Google Cloud sebagai pengguna dari grup
gcp-logging-admins@YOUR_DOMAIN
yang telah Anda buat di tugas Users and groups.Pilih organisasi Anda dari menu drop-down Pilih dari di bagian atas halaman.
Buka Google Cloud setup: Centralize logging.
Tinjau ringkasan tugas, lalu klik Start logging configuration.
Tinjau detail tugas.
Untuk merutekan log ke bucket log pusat, pastikan Simpan log audit aktivitas admin tingkat organisasi di bucket log dipilih.
Di kolom Log bucket name, masukkan nama untuk bucket log pusat.
Dari daftar Log bucket region, pilih region tempat data log Anda disimpan.
Untuk mengetahui informasi selengkapnya, lihat Lokasi bucket log.
Sebaiknya simpan log selama 365 hari. Untuk menyesuaikan periode retensi, masukkan jumlah hari di kolom Retention period.
Log yang disimpan lebih dari 30 hari akan dikenai biaya retensi. Untuk mengetahui informasi selengkapnya, lihat ringkasan harga Cloud Logging.
Klik Lanjutkan.
Tinjau detail konfigurasi Router Log Anda, lalu klik Confirm draft configuration.
Konfigurasi logging Anda tidak di-deploy hingga Anda men-deploy konfigurasi pada tugas berikutnya.
Langkah selanjutnya
Deploy konfigurasi Anda, yang mencakup setelan untuk hierarki serta akses, jaringan, dan logging.
Men-deploy setelan
Deploy atau download
Setelah menyelesaikan proses penyiapan Google Cloud, setelan Anda dari tugas berikut akan dikompilasi ke dalam file konfigurasi Terraform:
Untuk menerapkan setelan, Anda meninjau pilihan Anda dan memilih metode deployment.
Yang melakukan tugas ini
Seseorang di grup gcp-organization-admins@YOUR_DOMAIN
yang Anda buat di tugas Pengguna dan grup.
Yang Anda lakukan dalam tugas ini
Deploy file konfigurasi untuk menerapkan setelan penyiapan Anda.
Alasan kami merekomendasikan tugas ini
Anda harus men-deploy file konfigurasi untuk menerapkan setelan yang dipilih.
Sebelum memulai
Anda harus menyelesaikan tugas-tugas berikut:
- Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
- Menambahkan pengguna dan membuat grup di tugas Users and groups.
- Tetapkan peran IAM ke grup di tugas Akses administratif.
- Buat atau tautkan akun penagihan di tugas Billing.
- Siapkan hierarki Anda dan tetapkan akses di tugas Hierarki dan akses.
Tugas-tugas berikut direkomendasikan:
- Konfigurasi jaringan awal Anda dalam tugas Networking.
- Konsolidasikan data log di satu lokasi dalam tugas Centralize logging.
Tinjau detail konfigurasi Anda
Lakukan hal berikut untuk memastikan bahwa setelan konfigurasi sudah lengkap:
Login ke konsol Google Cloud sebagai pengguna dari grup
gcp-organization-admins@YOUR_DOMAIN
yang Anda buat di tugas Users and groups.Pilih organisasi Anda dari menu drop-down Pilih dari di bagian atas halaman.
Buka Google Cloud setup: Deploy or download.
Tinjau setelan konfigurasi yang Anda pilih. Klik setiap tab berikut dan tinjau setelan Anda:
- Hierarki & akses resource
- Jaringan
- Logging
Men-deploy konfigurasi
Setelah meninjau detail konfigurasi, gunakan salah satu opsi berikut:
Deploy langsung dari konsol: Gunakan opsi ini jika Anda belum memiliki alur kerja deployment Terraform, dan menginginkan metode deployment yang sederhana. Anda hanya dapat men-deploy menggunakan metode ini satu kali.
Download dan deploy file Terraform: Gunakan opsi ini jika Anda ingin mengotomatiskan pengelolaan resource menggunakan alur kerja deployment Terraform. Anda dapat mendownload dan men-deploy menggunakan metode ini beberapa kali.
Deploy menggunakan salah satu opsi berikut:
Men-deploy secara langsung
Jika Anda belum memiliki alur kerja Terraform dan menginginkan deployment satu kali yang sederhana, Anda dapat men-deploy langsung dari konsol.
Klik Deploy secara langsung.
Tunggu beberapa menit hingga deployment selesai.
Jika deployment gagal, lakukan langkah berikut:
- Untuk mencoba kembali deployment, klik Retry Process.
- Jika deployment gagal setelah beberapa kali percobaan, Anda dapat menghubungi administrator untuk mendapatkan bantuan. Untuk melakukannya, klik Hubungi administrator organisasi.
Download dan deploy
Jika Anda ingin melakukan iterasi deployment menggunakan alur kerja deployment Terraform, download dan deploy file konfigurasi.
Untuk mendownload file konfigurasi Anda, klik Download sebagai Terraform.
Paket yang Anda download berisi file konfigurasi Terraform berdasarkan setelan yang Anda pilih pada tugas berikut:
- Hierarki & akses
- Jaringan
- Pusatkan logging
Jika hanya ingin men-deploy file konfigurasi yang relevan dengan tanggung jawab Anda, Anda dapat menghindari mendownload file yang tidak relevan. Untuk melakukannya, hapus kotak centang untuk file konfigurasi yang tidak diperlukan.
Klik Download. Paket
terraform.tar.gz
yang menyertakan file yang dipilih akan didownload ke sistem file lokal Anda.Untuk mengetahui langkah-langkah deployment yang mendetail, lihat Men-deploy fondasi Anda menggunakan Terraform yang didownload dari konsol.
Langkah selanjutnya
Menerapkan setelan keamanan dan dukungan
Pemantauan
Cloud Monitoring dikonfigurasi secara otomatis untuk project Google Cloud Anda. Dalam tugas ini, Anda akan mempelajari praktik terbaik pemantauan opsional.
Sebelum memulai
Selesaikan tugas berikut:
- Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
- Menambahkan pengguna dan membuat grup di tugas Users and groups.
- Tetapkan peran IAM ke grup di tugas Akses administratif.
Yang melakukan tugas ini
Seseorang di grup gcp-monitoring-admins@YOUR_DOMAIN
yang Anda buat di tugas Pengguna dan grup.
Yang Anda lakukan dalam tugas ini
Tinjau dan terapkan praktik terbaik pemantauan opsional.
Alasan kami merekomendasikan tugas ini
Anda dapat menerapkan praktik terbaik pemantauan untuk melakukan hal berikut:
- Fasilitasi kolaborasi di antara pengguna yang memantau organisasi Anda.
- Pantau infrastruktur Google Cloud Anda di satu tempat.
- Kumpulkan metrik dan log aplikasi yang penting.
Meninjau dan menerapkan praktik terbaik pemantauan
Cloud Monitoring mengumpulkan metrik, peristiwa, dan metadata dari layanan Google Cloud, monitor sintetis, instrumentasi aplikasi, dan komponen aplikasi umum lainnya. Cloud Monitoring dikonfigurasi secara otomatis untuk project Google Cloud Anda.
Dalam tugas ini, Anda dapat menerapkan praktik terbaik berikut untuk membuat konfigurasi Cloud Monitoring default.
Untuk membantu kolaborasi, buat kebijakan organisasi yang memberikan peran Monitoring Viewer kepada setiap akun utama di organisasi Anda untuk setiap project.
Untuk memantau infrastruktur Google Cloud Anda di satu tempat, konfigurasikan project untuk membaca metrik dari beberapa project Google Cloud menggunakan Cakupan Metrik.
Untuk mengumpulkan metrik dan log aplikasi untuk virtual machine, lakukan langkah berikut:
- Untuk Compute Engine, instal Agen Operasional.
- Untuk Google Kubernetes Engine (GKE), siapkan Google Cloud Managed Service untuk Prometheus.
Langkah selanjutnya
Keamanan
Dalam tugas ini, Anda akan mengonfigurasi setelan keamanan dan produk untuk membantu melindungi organisasi Anda.
Yang melakukan tugas ini
Anda harus memiliki salah satu dari hal berikut untuk menyelesaikan tugas ini:
- Peran Organization Policy Administrator (
roles/orgpolicy.policyAdmin
) dan Security Center Admin (roles/securitycenter.admin
). - Keanggotaan dalam grup
gcp-organization-admins@<your-domain>.com
yang Anda buat di tugas Users and groups.
Yang Anda lakukan dalam tugas ini
Terapkan kebijakan organisasi yang direkomendasikan berdasarkan kategori berikut:
- Pengelolaan akses.
- Perilaku akun layanan.
- Konfigurasi jaringan VPC.
Anda juga akan mengaktifkan Security Command Center untuk memusatkan pelaporan kerentanan dan ancaman.
Alasan kami merekomendasikan tugas ini
Menerapkan kebijakan organisasi yang direkomendasikan membantu Anda membatasi tindakan pengguna yang tidak sesuai dengan postur keamanan Anda.
Mengaktifkan Security Command Center membantu Anda membuat lokasi terpusat untuk menganalisis kerentanan dan ancaman.
Sebelum memulai
Selesaikan tugas berikut:
- Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
- Menambahkan pengguna dan membuat grup di tugas Users and groups.
- Tetapkan peran IAM ke grup di tugas Akses administratif.
Menerapkan kebijakan organisasi yang direkomendasikan
Kebijakan organisasi berlaku di tingkat organisasi, dan diwarisi oleh folder dan project. Dalam tugas ini, tinjau dan terapkan daftar kebijakan yang direkomendasikan. Anda dapat mengubah kebijakan organisasi kapan saja. Untuk informasi selengkapnya, lihat Pengantar Layanan Kebijakan Organisasi.
Login ke konsol Google Cloud dengan pengguna dari grup
gcp-organization-admins@<your-domain>.com
yang Anda buat di tugas Users & groups.Pilih organisasi Anda dari drop-down Pilih dari di bagian atas halaman.
Buka Penyiapan Google Cloud: Keamanan.
Tinjau ringkasan tugas, lalu klik Continue Security.
Tinjau daftar kebijakan organisasi yang direkomendasikan. Jika Anda tidak ingin menerapkan kebijakan yang direkomendasikan, klik kotak centangnya untuk menghapusnya.
Untuk penjelasan mendetail tentang setiap kebijakan organisasi, lihat Batasan kebijakan organisasi.
Memusatkan pelaporan kerentanan dan ancaman
Untuk memusatkan layanan pelaporan kerentanan dan ancaman, aktifkan Security Command Center. Hal ini membantu Anda memperkuat postur keamanan dan memitigasi risiko. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Security Command Center.
Di halaman Google Cloud setup: Security, pada bagian Security Command Center, pastikan kotak centang Enable Security Command Center: Standard diaktifkan.
Tugas ini mengaktifkan paket Standar gratis. Anda dapat meningkatkan ke versi Premium di lain waktu. Untuk mengetahui informasi selengkapnya, lihat Tingkat layanan Security Command Center.
Klik Terapkan kebijakan organisasi dan Security Command Center.
Langkah selanjutnya
Support
Dalam tugas ini, Anda memilih rencana dukungan yang sesuai dengan kebutuhan bisnis Anda.
Yang melakukan tugas ini
Seseorang di grup gcp-organization-admins@YOUR_DOMAIN
yang dibuat di tugas Pengguna dan grup.
Yang Anda lakukan dalam tugas ini
Memilih paket dukungan berdasarkan kebutuhan perusahaan Anda.
Alasan kami merekomendasikan tugas ini
Paket dukungan premium memberikan dukungan yang penting bagi bisnis untuk menyelesaikan masalah dengan cepat menggunakan bantuan dari pakar di Google Cloud.
Memilih opsi dukungan
Anda akan otomatis mendapatkan Dukungan Dasar gratis, yang mencakup akses ke resource berikut:
Sebaiknya pelanggan perusahaan mendaftar ke Dukungan Premium, yang menawarkan dukungan teknis melalui konsultasi pribadi dengan engineer dukungan Google. Untuk membandingkan paket dukungan, lihat layanan pelanggan Google Cloud.
Sebelum memulai
Selesaikan tugas berikut:
- Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
- Menambahkan pengguna dan membuat grup di tugas Users and groups.
- Tetapkan peran IAM ke grup di tugas Akses administratif.
Mengaktifkan dukungan
Identifikasi dan pilih opsi dukungan.
Tinjau dan pilih paket dukungan. Untuk mengetahui informasi selengkapnya, lihat Google Cloud Customer Care.
Login ke konsol Google Cloud dengan pengguna dari grup
gcp-organization-admins@<your-domain>.com
yang Anda buat di tugas Pengguna dan grup.Buka Penyiapan Google Cloud: Dukungan.
Tinjau detail tugas, lalu klik Lihat penawaran dukungan untuk memilih opsi dukungan.
Setelah menyiapkan opsi dukungan, kembali ke halaman Google Cloud setup: Support, lalu klik Mark task as completed.
Langkah selanjutnya
Setelah menyelesaikan penyiapan Google Cloud, Anda siap memperluas penyiapan awal, men-deploy solusi bawaan, dan memigrasikan alur kerja yang ada. Untuk mengetahui informasi selengkapnya, lihat Memperluas penyiapan awal dan mulai membuat aplikasi.