Checklist penyiapan Google Cloud

Resource organisasi di Google Cloud mewakili bisnis Anda, dan berfungsi sebagai node tingkat teratas hierarki Anda. Untuk membuat organisasi, siapkan layanan identitas Google dan kaitkan dengan domain Anda. Setelah Anda menyelesaikan proses ini, resource organisasi akan dibuat secara otomatis.

Untuk ringkasan resource organisasi, lihat referensi berikut:

• Mengelola resource organisasi.
• Praktik terbaik untuk merencanakan akun dan organisasi.

Yang melakukan tugas ini

Dua administrator berikut melakukan tugas ini:

• Administrator identitas yang bertanggung jawab untuk menetapkan akses berbasis peran. Anda menetapkan orang ini sebagai administrator super Cloud Identity. Untuk mengetahui informasi selengkapnya tentang pengguna administrator super, lihat Peran administrator bawaan.

• Administrator domain dengan akses ke host domain perusahaan. Pengguna ini mengedit setelan domain Anda, seperti konfigurasi DNS, sebagai bagian dari proses verifikasi domain.

Yang Anda lakukan dalam tugas ini

• Jika belum melakukannya, siapkan Cloud Identity, tempat Anda membuat akun pengguna terkelola untuk pengguna administrator super.
• Tautkan Cloud Identity ke domain Anda (seperti example.com).
• Verifikasi domain Anda. Proses ini membuat node root hierarki resource Anda, yang dikenal sebagai resource organisasi.

Alasan kami merekomendasikan tugas ini

Anda harus mengonfigurasi hal berikut sebagai bagian dari fondasi Google Cloud Anda:

• Layanan identitas Google untuk mengelola identitas secara terpusat.
• Resource organisasi untuk menetapkan root hierarki dan kontrol akses Anda.

Opsi layanan identitas Google

Anda dapat menggunakan salah satu atau kedua layanan identitas Google berikut untuk mengelola kredensial pengguna Google Cloud:

• Cloud Identity: Mengelola pengguna dan grup secara terpusat. Anda dapat menggabungkan identitas antara Google dan penyedia identitas lainnya. Untuk informasi selengkapnya, lihat Ringkasan Cloud Identity.
• Google Workspace: Mengelola pengguna dan grup, serta memberikan akses ke produk produktivitas dan kolaborasi seperti Gmail dan Google Drive. Untuk mengetahui informasi selengkapnya, lihat Google Workspace.

Untuk informasi mendetail tentang perencanaan identitas, lihat Merencanakan proses orientasi untuk identitas perusahaan.

Sebelum memulai

Untuk memahami cara mengelola akun administrator super, lihat Praktik terbaik akun administrator super.

Mengonfigurasi penyedia identitas dan memverifikasi domain

Langkah-langkah yang Anda selesaikan dalam tugas ini bergantung pada apakah Anda pelanggan baru atau lama. Identifikasi opsi yang sesuai dengan kebutuhan Anda:

• Pelanggan baru: Siapkan Cloud Identity, verifikasi domain, dan buat organisasi Anda.

• Pelanggan lama Google Workspace: Gunakan Google Workspace sebagai penyedia identitas Anda untuk pengguna yang mengakses Google Workspace dan Google Cloud. Jika Anda berencana membuat pengguna yang hanya dapat mengakses Google Cloud, aktifkan Cloud Identity.

• Pelanggan Cloud Identity yang sudah ada: Verifikasi domain Anda, pastikan organisasi Anda dibuat, dan pastikan Cloud Identity diaktifkan.

Langkah selanjutnya

Membuat grup dan menambahkan anggota.

Dalam tugas ini, Anda akan membuat grup pengguna dan akun pengguna terkelola untuk administrator di organisasi Google Cloud Anda.

Untuk mengetahui informasi selengkapnya tentang pengelolaan akses di Google Cloud, lihat artikel berikut:

• Ringkasan Identity and Access Management (IAM).
• Untuk praktik terbaik, lihat Mengelola identitas dan akses.

Sebelum memulai

Temukan dan migrasikan pengguna yang telah memiliki Akun Google. Untuk informasi selengkapnya, lihat Menambahkan pengguna dengan akun yang tidak dikelola.

Yang melakukan tugas ini

Administrator identitas yang bertanggung jawab untuk mengelola akses ke individu atau grup di organisasi Anda. Anda menetapkan orang ini sebagai administrator super dalam tugas Organisasi.

Yang Anda lakukan dalam tugas ini

Dalam tugas ini, Anda akan menjalankan prosedur pengelolaan pengguna berikut:

• Buat grup untuk setiap fungsi administratif yang direkomendasikan, termasuk administrasi organisasi, penagihan, dan jaringan.
• Membuat akun pengguna untuk administrator.
• Tetapkan pengguna ke grup administratif yang sesuai dengan tanggung jawab mereka.

Anda dapat menyesuaikan izin untuk setiap grup di tugas berikutnya.

Alasan kami merekomendasikan tugas ini

Tugas ini membantu Anda menerapkan praktik terbaik keamanan berikut:

• Prinsip hak istimewa terendah: Beri pengguna izin minimum yang diperlukan untuk menjalankan peran, dan hapus akses segera setelah tidak diperlukan lagi.

• Role-based access control (RBAC): Tetapkan izin ke grup pengguna sesuai dengan peran tugas mereka. Jangan tambahkan izin ke akun pengguna individual.

Anda dapat menggunakan grup untuk menerapkan peran IAM secara efisien ke kumpulan pengguna. Praktik ini akan membantu Anda menyederhanakan pengelolaan akses.

Membuat grup administratif

Grup adalah kumpulan Akun Google dan akun layanan yang memiliki nama. Setiap grup memiliki alamat email unik, seperti gcp-billing-admins@example.com. Anda dapat membuat grup untuk mengelola pengguna dan menerapkan peran IAM dalam skala besar.

Grup berikut direkomendasikan untuk membantu Anda mengelola fungsi inti organisasi dan menyelesaikan proses penyiapan Google Cloud.

Group	Deskripsi
gcp-organization-admins	Mengelola semua resource organisasi. Tetapkan peran ini hanya untuk pengguna yang paling tepercaya.
gcp-billing-admins	Siapkan akun penagihan dan pantau penggunaannya.
gcp-network-admins	Membuat jaringan, subnet, aturan firewall, dan perangkat jaringan seperti Cloud Router, Cloud VPN, dan load balancer.
gcp-logging-admins	Menggunakan semua fitur Cloud Logging.
gcp-logging-viewers	Akses hanya baca ke subset log.
gcp-monitoring-admins	Menetapkan dan mengelola kebijakan keamanan untuk seluruh organisasi, termasuk pengelolaan akses dan kebijakan batasan organisasi. Lihat blueprint Enterprise Foundation Google Cloud untuk mengetahui informasi selengkapnya tentang perencanaan infrastruktur keamanan Google Cloud Anda.
gcp-security-admins	Menetapkan dan mengelola kebijakan keamanan untuk seluruh organisasi, termasuk kebijakan pengelolaan akses dan batasan organisasi.
gcp-developers	Desain, kode, dan pengujian aplikasi.
gcp-devops	Buat atau kelola pipeline end-to-end yang mendukung continuous integration dan continuous delivery, pemantauan, serta penyediaan sistem.

Untuk membuat grup administratif, lakukan hal berikut:

1. Login ke konsol Google Cloud sebagai akun administrator super yang telah Anda buat di tugas Organisasi.

2. Buka Penyiapan Google Cloud: Pengguna & grup.

   Membuka Pengguna & grup

3. Tinjau detail tugas, lalu klik Lanjutkan pengguna & grup.

4. Tinjau daftar grup administratif yang direkomendasikan, lalu lakukan salah satu hal berikut:

   • Untuk membuat semua grup yang direkomendasikan, klik Buat semua grup.
   • Jika ingin membuat subset dari grup yang direkomendasikan, klik Create di baris yang dipilih.

5. Klik Lanjutkan.

Membuat pengguna administratif

Sebaiknya tambahkan pengguna yang telah menyelesaikan prosedur organisasi, jaringan, penagihan, dan penyiapan lainnya di awal. Anda dapat menambahkan pengguna lain setelah menyelesaikan proses penyiapan Google Cloud.

Untuk menambahkan pengguna administratif yang melakukan tugas penyiapan Google Cloud, lakukan hal berikut:

1. Migrasikan akun konsumen ke akun pengguna terkelola yang dikontrol oleh Cloud Identity. Untuk langkah-langkah mendetailnya, lihat berikut ini:

   • Memigrasikan akun konsumen.
   • Tambahkan pengguna dengan akun yang tidak dikelola.

2. Login ke konsol Google Admin menggunakan akun administrator super.

3. Gunakan salah satu opsi berikut untuk menambahkan pengguna:

   • Untuk menambahkan pengguna secara massal, lihat Menambahkan atau memperbarui beberapa pengguna dari file CSV.
   • Untuk menambahkan pengguna satu per satu, lihat Menambahkan akun untuk pengguna baru.

4. Setelah selesai menambahkan pengguna, kembali ke Penyiapan Google Cloud: Pengguna & grup (Buat pengguna).

5. Klik Lanjutkan.

Menambahkan pengguna administratif ke grup

Tambahkan anggota yang Anda buat ke grup administratif yang sesuai dengan tugas mereka.

1. Di bagian Google Cloud setup: Users & groups (Add users to groups), tinjau detail langkah-langkahnya.

2. Di setiap baris Group, lakukan hal berikut:

   1. Klik Tambahkan anggota.
   2. Masukkan alamat email pengguna.

   3. Dari menu drop-down Group role, pilih setelan izin grup pengguna. Untuk informasi selengkapnya, lihat Menetapkan siapa saja yang dapat melihat, memposting, dan memoderasi.

      Setiap anggota mewarisi semua peran IAM yang Anda berikan ke grup, terlepas dari peran grup yang Anda pilih.

   4. Untuk menambahkan pengguna lain ke grup ini, klik Tambahkan anggota lain dan ulangi langkah-langkah ini.

   5. Setelah selesai menambahkan pengguna ke grup ini, klik Simpan.

3. Setelah selesai menambahkan anggota ke grup, klik Konfirmasi pengguna & grup.

Langkah selanjutnya

Tetapkan izin ke grup administrator.

Dalam tugas ini, Anda menggunakan Identity and Access Management (IAM) untuk menetapkan kumpulan izin ke grup administrator di tingkat organisasi. Proses ini memberi administrator visibilitas dan kontrol terpusat atas setiap resource cloud yang menjadi milik organisasi Anda.

Untuk ringkasan Identity and Access Management di Google Cloud, lihat ringkasan IAM.

Yang melakukan tugas ini

Untuk melakukan tugas ini, Anda harus menjadi salah satu dari yang berikut:

• Pengguna administrator super.
• Pengguna dengan peran Administrator Organisasi (roles/resourcemanager.organizationAdmin).

Yang Anda lakukan dalam tugas ini

• Tinjau daftar peran default yang ditetapkan untuk setiap grup administrator yang Anda buat di tugas Pengguna dan grup.

• Jika ingin menyesuaikan grup, Anda dapat melakukan hal berikut:

  • Tambahkan atau hapus peran.
  • Jika tidak berencana menggunakan grup, Anda dapat menghapusnya.

Alasan kami merekomendasikan tugas ini

Anda harus memberikan semua peran administratif untuk organisasi Anda secara eksplisit. Tugas ini membantu Anda menerapkan praktik terbaik keamanan berikut:

• Prinsip hak istimewa terendah: Memberi pengguna izin minimum yang diperlukan untuk melakukan tugas mereka, dan menghapus akses segera setelah tidak diperlukan lagi.

• Role-based access control (RBAC): Menetapkan izin ke grup pengguna sesuai dengan tugas mereka. Jangan berikan peran ke akun pengguna individual.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Menambahkan pengguna dan membuat grup di tugas Users and groups.

Memberikan akses ke grup administrator

Untuk memberikan akses yang sesuai ke setiap grup administrator yang Anda buat di tugas Users and groups, tinjau peran default yang ditetapkan pada setiap grup. Anda dapat menambahkan atau menghapus peran untuk menyesuaikan akses setiap grup.

1. Pastikan Anda login ke Konsol Google Cloud sebagai pengguna administrator super.

   Atau, Anda dapat login sebagai pengguna dengan peran Administrator Organisasi (roles/resourcemanager.organizationAdmin).

2. Buka Penyiapan Google Cloud: Akses administratif.

   Buka Akses administratif

3. Pilih nama organisasi dari menu drop-down Pilih dari di bagian atas halaman.

4. Tinjau ringkasan tugas, lalu klik Lanjutkan akses administratif.

5. Tinjau grup di kolom Group (Principal) yang Anda buat di tugas Users & groups.

6. Untuk setiap grup, tinjau peran IAM default. Anda dapat menambahkan atau menghapus peran yang ditetapkan ke setiap grup agar sesuai dengan kebutuhan unik organisasi Anda.

   Setiap peran berisi beberapa izin yang memungkinkan pengguna melakukan tugas yang relevan. Untuk mengetahui informasi selengkapnya tentang izin di setiap peran, lihat Referensi peran dasar dan yang telah ditetapkan IAM.

7. Saat Anda sudah siap untuk menetapkan peran ke setiap grup, klik Simpan dan berikan akses.

Langkah selanjutnya

Siapkan billing.

Dalam tugas ini, Anda menyiapkan akun penagihan untuk membayar resource Google Cloud. Untuk melakukannya, kaitkan salah satu dari hal berikut dengan organisasi Anda.

• Akun Penagihan Cloud yang sudah ada. Jika tidak memiliki akses ke akun tersebut, Anda dapat meminta akses dari administrator akun penagihan.

• Akun Penagihan Cloud baru.

Untuk mengetahui informasi selengkapnya tentang penagihan, lihat dokumentasi Penagihan Cloud.

Yang melakukan tugas ini

Seseorang di grup gcp-billing-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

• Buat atau gunakan akun Penagihan Cloud layanan mandiri yang sudah ada.
• Tentukan apakah akan beralih dari akun layanan mandiri ke akun yang ditagih.
• Siapkan akun Penagihan Cloud dan metode pembayaran.

Alasan kami merekomendasikan tugas ini

Akun Penagihan Cloud ditautkan ke satu atau beberapa project Google Cloud dan digunakan untuk membayar resource yang Anda gunakan, seperti virtual machine, jaringan, dan penyimpanan.

Menentukan jenis akun penagihan

Akun penagihan yang dikaitkan dengan organisasi Anda adalah salah satu jenis berikut.

• Layanan mandiri (atau online): Mendaftar secara online menggunakan kartu kredit atau debit. Kami merekomendasikan opsi ini jika Anda adalah bisnis kecil atau perorangan. Saat mendaftar secara online untuk akun penagihan, akun Anda otomatis disiapkan sebagai akun layanan mandiri.

• Dalam invoice (atau offline). Jika sudah memiliki akun penagihan layanan mandiri, Anda mungkin memenuhi syarat untuk mengajukan permohonan penagihan dengan invoice jika bisnis Anda memenuhi persyaratan kelayakan.

Anda tidak dapat membuat akun yang ditagih secara online, tetapi Anda dapat mengajukan permohonan untuk mengonversi akun layanan mandiri menjadi akun yang ditagih.

Untuk informasi selengkapnya, lihat Jenis akun Penagihan Cloud.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Menambahkan pengguna dan membuat grup di tugas Users and groups.
• Tetapkan peran IAM ke grup di tugas Akses administratif.

Menyiapkan akun penagihan

Setelah memilih jenis akun penagihan, kaitkan akun penagihan dengan organisasi Anda. Setelah menyelesaikan proses ini, Anda dapat menggunakan akun penagihan untuk membayar resource Google Cloud.

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-billing-admins@YOUR_DOMAIN.

2. Buka Penyiapan Google Cloud: Penagihan.

   Buka Penagihan

3. Tinjau ringkasan tugas, lalu klik Continue billing.

4. Pilih salah satu opsi akun penagihan berikut:

   Buat akun baru

   Jika organisasi Anda belum memiliki akun, buat akun baru.

   1. Pilih I want to create a new billing account.
   2. Klik Lanjutkan.

   3. Pilih jenis akun penagihan yang ingin Anda buat. Untuk mengetahui langkah-langkah mendetailnya, lihat referensi berikut:

      • Untuk membuat akun layanan mandiri baru, lihat artikel Membuat akun Penagihan Cloud layanan mandiri baru.
      • Untuk mentransisikan akun layanan mandiri yang sudah ada ke penagihan dengan invoice, lihat Mengajukan permohonan penagihan dengan invoice bulanan.

   4. Pastikan bahwa akun penagihan Anda telah dibuat:

      1. Jika Anda membuat akun yang ditagih, tunggu hingga 5 hari kerja untuk menerima konfirmasi email.

      2. Buka halaman Penagihan.

      3. Pilih organisasi Anda dari daftar Pilih dari di bagian atas halaman. Jika berhasil dibuat, akun akan ditampilkan di daftar akun penagihan.

   Gunakan akun saya yang ada

   Jika sudah memiliki akun penagihan, Anda dapat mengaitkannya dengan organisasi Anda.

   1. Pilih Saya mengidentifikasi akun penagihan dari daftar ini yang ingin digunakan untuk menyelesaikan langkah-langkah penyiapan.
   2. Dari menu drop-down Billing, pilih akun yang ingin dikaitkan dengan organisasi Anda.
   3. Klik Lanjutkan.
   4. Tinjau detailnya, lalu klik Konfirmasi akun penagihan.

   Gunakan akun pengguna lain

   Jika pengguna lain memiliki akses ke akun penagihan yang sudah ada, Anda dapat meminta pengguna tersebut untuk mengaitkan akun penagihan dengan organisasi Anda, atau pengguna dapat memberi Anda akses untuk menyelesaikan pengaitan.

   1. Pilih Saya ingin menggunakan akun penagihan yang dikelola oleh akun pengguna Google lain.
   2. Klik Lanjutkan.
   3. Masukkan alamat email administrator akun penagihan.
   4. Klik Hubungi administrator.
   5. Tunggu hingga administrator akun penagihan menghubungi Anda untuk memberikan petunjuk lebih lanjut.

Langkah selanjutnya

Buat hierarki resource dan tetapkan akses.

Dalam tugas ini, Anda menyiapkan hierarki resource dengan membuat dan menetapkan akses ke resource berikut:

Folder

Menyediakan mekanisme pengelompokan dan batas isolasi antar-project. Misalnya, folder dapat mewakili departemen utama di organisasi Anda, seperti keuangan atau retail, atau lingkungan seperti produksi atau non-produksi.

Project

Batasi resource Google Cloud Anda, seperti virtual machine, database, dan bucket penyimpanan.

Untuk pertimbangan desain dan praktik terbaik guna mengatur resource Anda dalam project, lihat artikel Menentukan hierarki resource untuk zona landing Google Cloud Anda.

Yang melakukan tugas ini

Seseorang di grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup dapat melakukan tugas ini.

Yang Anda lakukan dalam tugas ini

• Buat struktur hierarki awal yang mencakup folder dan project.
• Tetapkan kebijakan IAM untuk mengontrol akses ke folder dan project Anda.

Alasan kami merekomendasikan tugas ini

Membuat struktur untuk folder dan project dapat membantu Anda mengelola resource Google Cloud serta menetapkan akses berdasarkan cara organisasi Anda beroperasi. Misalnya, Anda dapat mengatur dan memberikan akses ke resource berdasarkan kumpulan unik wilayah geografis, struktur anak perusahaan, atau framework akuntabilitas organisasi Anda.

Merencanakan hierarki resource

Hierarki resource membantu Anda membuat batas dan berbagi resource di seluruh organisasi untuk tugas umum. Anda membuat hierarki menggunakan salah satu konfigurasi awal berikut, berdasarkan struktur organisasi Anda:

• Berorientasi pada lingkungan dan sederhana:

  • Mengisolasi lingkungan seperti Non-production dan Production.
  • Terapkan kebijakan, persyaratan peraturan, dan kontrol akses yang berbeda di setiap folder lingkungan.
  • Cocok untuk perusahaan kecil dengan lingkungan terpusat.

• Berorientasi pada tim yang sederhana:

  • Pisahkan tim seperti Development dan QA.
  • Isolasi akses ke resource menggunakan folder lingkungan turunan di bawah setiap folder tim.
  • Cocok untuk perusahaan kecil dengan tim otonom.

• Berorientasi pada lingkungan:

  • Prioritaskan isolasi lingkungan seperti Non-production dan Production.
  • Di setiap folder lingkungan, pisahkan unit bisnis.
  • Di bawah setiap unit bisnis, pisahkan tim.
  • Cocok untuk perusahaan besar dengan lingkungan terpusat.

• Berorientasi unit bisnis:

  • Prioritaskan isolasi unit bisnis seperti Human Resources dan Engineering untuk membantu memastikan pengguna hanya dapat mengakses resource dan data yang mereka butuhkan.
  • Di bawah setiap unit bisnis, pisahkan tim.
  • Di bawah setiap tim, isolasi lingkungan.
  • Cocok untuk perusahaan besar dengan tim otonom.

Setiap konfigurasi memiliki folder Common untuk project yang berisi resource bersama. Termasuk di dalamnya adalah logging dan pemantauan project.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Menambahkan pengguna dan membuat grup di tugas Users and groups.
• Tetapkan peran IAM ke grup di tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Billing.

Mengonfigurasi folder dan project awal

Pilih hierarki resource yang mewakili struktur organisasi Anda.

Untuk mengonfigurasi folder dan project awal, lakukan hal berikut:

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-organization-admins@YOUR_DOMAIN yang telah Anda buat di tugas Users and groups.

2. Pilih organisasi Anda dari menu drop-down Pilih dari di bagian atas halaman.

3. Buka Google Cloud setup: Hierarchy & access.

   Buka Hierarki & akses

4. Tinjau ringkasan tugas, lalu klik Start di samping Resource hierarchy.

5. Pilih konfigurasi awal.

6. Klik Continue and Configure.

7. Sesuaikan hierarki resource untuk mencerminkan struktur organisasi Anda. Misalnya, Anda dapat menyesuaikan hal berikut:

   • Nama folder.

   • Project layanan untuk setiap tim. Untuk memberikan akses ke project layanan, Anda dapat membuat hal berikut:

     • Grup untuk setiap project layanan.
     • Pengguna di setiap grup.

     Untuk ringkasan project layanan, lihat VPC Bersama.

   • Project yang diperlukan untuk pemantauan, logging, dan jaringan.

   • Project kustom.

8. Klik Lanjutkan.

9. Berikan akses ke folder dan project Anda.

Memberikan akses ke folder dan project

Di tugas Akses administratif, Anda memberikan akses administratif ke grup di tingkat organisasi. Dalam tugas ini, Anda mengonfigurasi akses ke grup yang berinteraksi dengan folder dan project yang baru dikonfigurasi.

Project, folder, dan organisasi memiliki kebijakan IAM sendiri yang diwarisi melalui hierarki resource:

• Organisasi: Kebijakan berlaku untuk semua folder dan project di organisasi.
• Folder: Kebijakan berlaku untuk project dan folder lain di dalam folder.
• Project: Kebijakan hanya berlaku untuk project tersebut dan resource-nya.

Perbarui kebijakan IAM untuk folder dan project Anda:

1. Di bagian Configure access control pada Hierarchy & access, beri grup Anda akses ke folder dan project:

   1. Pada tabel, tinjau daftar rekomendasi peran IAM yang diberikan ke setiap grup untuk setiap resource.

   2. Jika Anda ingin mengubah peran yang ditetapkan ke setiap grup, klik Edit di baris yang diinginkan.

      Untuk mengetahui informasi lebih lanjut tentang setiap peran, lihat Peran dasar dan bawaan IAM.

2. Klik Lanjutkan.

3. Tinjau perubahan Anda, lalu klik Konfirmasi konfigurasi draf.

Langkah selanjutnya

Konfigurasi jaringan awal Anda.

Dalam tugas ini, Anda akan menyiapkan konfigurasi jaringan awal, yang dapat diskalakan sesuai kebutuhan Anda.

Arsitektur Virtual Private Cloud

Jaringan Virtual Private Cloud (VPC) adalah versi virtual dari jaringan fisik yang diimplementasikan di dalam jaringan produksi Google. Jaringan VPC adalah resource global yang terdiri dari subnetwork (subnet) regional.

Jaringan VPC menyediakan kemampuan jaringan ke resource Google Cloud Anda, seperti instance virtual machine Compute Engine, container GKE, dan instance lingkungan fleksibel App Engine.

VPC Bersama menghubungkan resource dari beberapa project ke jaringan VPC umum, sehingga resource tersebut dapat saling berkomunikasi menggunakan alamat IP internal jaringan. Diagram berikut menunjukkan arsitektur dasar jaringan VPC Bersama dengan project layanan yang terpasang.

Saat menggunakan VPC Bersama, Anda menetapkan project host dan melampirkan satu atau beberapa project layanan ke project tersebut. Jaringan Virtual Private Cloud di project host disebut Jaringan VPC bersama.

Diagram contoh memiliki project host produksi dan non-produksi, yang masing-masing berisi jaringan VPC Bersama. Anda dapat menggunakan project host untuk mengelola hal-hal berikut secara terpusat:

• Rute
• Firewall
• Koneksi VPN
• Subnet

Project layanan adalah project apa pun yang terpasang pada project host. Anda dapat membagikan subnet, termasuk rentang sekunder, antara project host dan layanan.

Dalam arsitektur ini, setiap jaringan VPC Bersama berisi subnet publik dan pribadi:

• Subnet publik dapat digunakan oleh instance yang terhubung ke internet untuk konektivitas eksternal.
• Subnet pribadi dapat digunakan oleh instance yang terhubung secara internal yang tidak mengalokasikan alamat IP publik.

Dalam tugas ini, Anda akan membuat konfigurasi jaringan awal berdasarkan contoh diagram.

Yang melakukan tugas ini

Anda memerlukan salah satu hal berikut untuk melakukan tugas ini:

• Peran roles/compute.networkAdmin.
• Penyertaan dalam grup gcp-network-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Buat konfigurasi jaringan awal, termasuk yang berikut ini:

• Buat beberapa project host untuk mencerminkan lingkungan pengembangan Anda.
• Buat jaringan VPC Bersama di setiap project host agar resource yang berbeda dapat berbagi ke jaringan yang sama.
• Buat subnet yang berbeda di setiap jaringan VPC Bersama untuk memberikan akses jaringan ke project layanan.

Alasan kami merekomendasikan tugas ini

Tim berbeda dapat menggunakan VPC Bersama untuk terhubung ke jaringan VPC umum yang dikelola secara terpusat.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Menambahkan pengguna dan membuat grup di tugas Users and groups.
• Tetapkan peran IAM ke grup di tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Billing.
• Siapkan hierarki Anda dan tetapkan akses di tugas Hierarki dan akses.

Mengonfigurasi arsitektur jaringan Anda

Buat konfigurasi jaringan awal Anda dengan dua project host untuk menyegmentasi beban kerja non-produksi dan produksi. Setiap project host berisi jaringan VPC Bersama, yang dapat digunakan oleh beberapa project layanan. Anda mengonfigurasi detail jaringan, lalu men-deploy file konfigurasi pada tugas berikutnya.

Untuk mengonfigurasi jaringan awal Anda, lakukan hal berikut.

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat di tugas Users and groups.

2. Pilih organisasi dari menu drop-down Pilih organisasi di bagian atas halaman.

3. Buka Google Cloud setup: Networking.

   Buka Jaringan

4. Tinjau arsitektur jaringan default.

5. Untuk mengedit nama jaringan, lakukan hal berikut:

   1. Klik more_vert Tindakan
   2. Pilih Edit nama jaringan.
   3. Di kolom Nama jaringan, masukkan huruf kecil, angka, atau tanda hubung. Nama jaringan tidak boleh lebih dari 25 karakter.
   4. Klik Save.

Ubah detail firewall

Aturan firewall default pada project host didasarkan pada praktik terbaik yang direkomendasikan. Untuk mengetahui informasi umum mengenai aturan firewall, lihat Aturan firewall VPC.

Untuk mengubah setelan firewall, lakukan hal berikut:

1. Klik more_vert Tindakan.

2. Pilih Edit firewall rules.

3. Untuk mengetahui informasi mendetail tentang setiap aturan firewall default, lihat Aturan yang telah diisi otomatis di jaringan default.

4. Untuk menonaktifkan aturan firewall, hapus centang pada kotak yang sesuai.

5. Untuk menonaktifkan Firewall Rules Logging, klik Off.

   Secara default, traffic ke dan dari instance Compute Engine dicatat ke dalam log untuk tujuan audit. Proses ini menimbulkan biaya. Untuk mengetahui informasi selengkapnya, lihat Logging Aturan Firewall.

6. Klik Save.

Ubah detail subnet

Setiap jaringan VPC berisi minimal satu subnet, yang merupakan resource regional dengan rentang alamat IP yang terkait. Dalam konfigurasi multi-regional ini, Anda harus memiliki setidaknya dua subnet dengan rentang IP yang tidak tumpang-tindih.

Untuk mengetahui informasi selengkapnya, lihat Subnet.

Setiap subnet dikonfigurasi menggunakan praktik terbaik yang direkomendasikan. Jika Anda ingin menyesuaikan setiap subnet, lakukan hal berikut:

1. Klik more_vert Tindakan
2. Pilih Edit subnet.
3. Di kolom Nama, masukkan huruf kecil, angka, atau tanda hubung. Nama subnet tidak boleh lebih dari 25 karakter.

4. Dari drop-down Region, pilih region yang dekat dengan tempat layanan Anda.

   Kami merekomendasikan region yang berbeda untuk setiap subnet. Anda tidak dapat mengubah region setelah men-deploy konfigurasi. Untuk mengetahui informasi tentang cara memilih region, lihat Resource regional.

5. Di kolom IP address range, masukkan rentang dalam notasi CIDR— misalnya, 10.0.0.0/24.

   Rentang yang Anda masukkan tidak boleh tumpang tindih dengan subnet lain di jaringan ini. Untuk mengetahui informasi tentang rentang yang valid, lihat Rentang subnet IPv4.

6. Ulangi langkah-langkah ini untuk Subnet 2.

7. Untuk mengonfigurasi subnet tambahan di jaringan ini, klik Tambahkan subnet dan ulangi langkah-langkah ini.

8. Klik Save.

Subnet Anda dikonfigurasi secara otomatis sesuai dengan praktik terbaik. Jika Anda ingin mengubah konfigurasi, di halaman Penyiapan Google Cloud: Jaringan VPC, lakukan langkah berikut:

1. Untuk menonaktifkan VPC Flow Logs, dari kolom Flow logs, pilih Off.

   Jika log aliran aktif, setiap subnet akan mencatat alur jaringan yang dapat Anda analisis untuk keamanan, pengoptimalan biaya, dan tujuan lainnya. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Log Aliran VPC.

   Log Aliran VPC dikenai biaya. Untuk mengetahui informasi selengkapnya, lihat Harga Virtual Private Cloud.

2. Untuk menonaktifkan Akses Google Pribadi, dari kolom Akses pribadi, pilih Nonaktif.

   Saat Akses Google Pribadi aktif, instance VM yang tidak memiliki alamat IP eksternal dapat menjangkau Google API dan layanan Google. Untuk mengetahui informasi selengkapnya, lihat Akses Google Pribadi.

3. Untuk mengaktifkan Cloud NAT, dari kolom Cloud NAT, pilih On.

   Saat Cloud NAT diaktifkan, resource tertentu dapat membuat koneksi keluar ke internet. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud NAT.

   Cloud NAT menimbulkan biaya. Untuk mengetahui informasi selengkapnya, lihat Harga Virtual Private Cloud.

4. Klik Lanjutkan untuk menautkan project layanan.

Menautkan project layanan ke project host

Project layanan adalah project apa pun yang telah dilampirkan ke project host. Lampiran ini memungkinkan project layanan berpartisipasi dalam VPC Bersama. Setiap project layanan dapat dioperasikan dan dikelola oleh departemen atau tim yang berbeda untuk memisahkan tanggung jawab.

Untuk informasi lebih lanjut tentang menghubungkan beberapa project ke jaringan VPC umum, lihat Ringkasan VPC Bersama.

Untuk menautkan project layanan ke project host dan menyelesaikan konfigurasi, lakukan langkah berikut:

1. Untuk setiap subnet dalam tabel Shared VPC networks, pilih project layanan yang akan dihubungkan. Untuk melakukannya, pilih dari menu drop-down Select a project di kolom Service project.

   Anda dapat menghubungkan project layanan ke beberapa subnet.

2. Klik Continue to Review.

3. Tinjau konfigurasi Anda, dan buat perubahan.

   Anda dapat mengeditnya hingga Anda men-deploy file konfigurasi.

4. Klik Konfirmasi konfigurasi draf. Konfigurasi jaringan Anda akan ditambahkan ke file konfigurasi.

   Jaringan Anda tidak di-deploy hingga Anda men-deploy file konfigurasi di tugas berikutnya.

Langkah selanjutnya

Konfigurasikan lokasi pusat untuk menyimpan dan menganalisis data log.

Dalam tugas ini, Anda menyiapkan Cloud Logging untuk merutekan log dari project organisasi Anda ke bucket log pusat.

Yang melakukan tugas ini

Anda harus memiliki salah satu hal berikut:

• Peran Admin Logging (roles/logging.admin).
• Keanggotaan dalam grup gcp-logging-admins@YOUR_DOMAIN yang Anda buat di tugas Users and groups.

Yang Anda lakukan dalam tugas ini

Kelola log secara terpusat yang dibuat dalam project di seluruh organisasi Anda untuk membantu menjaga keamanan, pengauditan, dan kepatuhan.

Alasan kami merekomendasikan tugas ini

Mengonfigurasi penyimpanan dan retensi logging menyederhanakan analisis dan mempertahankan jejak audit Anda.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Menambahkan pengguna dan membuat grup di tugas Users and groups.
• Tetapkan peran IAM ke grup di tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Billing.
• Siapkan hierarki Anda dan tetapkan akses di tugas Hierarki dan akses.

Mengatur logging secara terpusat

Cloud Logging membantu Anda menyimpan, menelusuri, menganalisis, memantau, serta membuat pemberitahuan terkait data log dan peristiwa dari Google Cloud. Anda juga dapat mengumpulkan dan memproses log dari aplikasi, resource lokal, dan cloud lainnya. Untuk ringkasan tentang cara Logging untuk merutekan dan menyimpan log, lihat Ringkasan pemilihan rute dan penyimpanan.

Untuk menyimpan data log Anda di bucket log pusat, lakukan tindakan berikut:

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-logging-admins@YOUR_DOMAIN yang telah Anda buat di tugas Users and groups.

2. Pilih organisasi Anda dari menu drop-down Pilih dari di bagian atas halaman.

3. Buka Google Cloud setup: Centralize logging.

   Buka Centralize logging

4. Tinjau ringkasan tugas, lalu klik Start logging configuration.

5. Tinjau detail tugas.

6. Untuk merutekan log ke bucket log pusat, pastikan Simpan log audit aktivitas admin tingkat organisasi di bucket log dipilih.

7. Di kolom Log bucket name, masukkan nama untuk bucket log pusat.

8. Dari daftar Log bucket region, pilih region tempat data log Anda disimpan.

   Untuk mengetahui informasi selengkapnya, lihat Lokasi bucket log.

9. Sebaiknya simpan log selama 365 hari. Untuk menyesuaikan periode retensi, masukkan jumlah hari di kolom Retention period.

   Log yang disimpan lebih dari 30 hari akan dikenai biaya retensi. Untuk mengetahui informasi selengkapnya, lihat ringkasan harga Cloud Logging.

10. Klik Lanjutkan.

11. Tinjau detail konfigurasi Router Log Anda, lalu klik Confirm draft configuration.

    Konfigurasi logging Anda tidak di-deploy hingga Anda men-deploy konfigurasi pada tugas berikutnya.

Langkah selanjutnya

Deploy konfigurasi Anda, yang mencakup setelan untuk hierarki serta akses, jaringan, dan logging.

Setelah menyelesaikan proses penyiapan Google Cloud, setelan Anda dari tugas berikut akan dikompilasi ke dalam file konfigurasi Terraform:

• Hierarki dan akses
• Jaringan
• Pusatkan logging

Untuk menerapkan setelan, Anda meninjau pilihan Anda dan memilih metode deployment.

Yang melakukan tugas ini

Seseorang di grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Deploy file konfigurasi untuk menerapkan setelan penyiapan Anda.

Alasan kami merekomendasikan tugas ini

Anda harus men-deploy file konfigurasi untuk menerapkan setelan yang dipilih.

Sebelum memulai

Anda harus menyelesaikan tugas-tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Menambahkan pengguna dan membuat grup di tugas Users and groups.
• Tetapkan peran IAM ke grup di tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Billing.
• Siapkan hierarki Anda dan tetapkan akses di tugas Hierarki dan akses.

Tugas-tugas berikut direkomendasikan:

• Konfigurasi jaringan awal Anda dalam tugas Networking.
• Konsolidasikan data log di satu lokasi dalam tugas Centralize logging.

Tinjau detail konfigurasi Anda

Lakukan hal berikut untuk memastikan bahwa setelan konfigurasi sudah lengkap:

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat di tugas Users and groups.

2. Pilih organisasi Anda dari menu drop-down Pilih dari di bagian atas halaman.

3. Buka Google Cloud setup: Deploy or download.

   Buka Deploy atau Download

4. Tinjau setelan konfigurasi yang Anda pilih. Klik setiap tab berikut dan tinjau setelan Anda:

   • Hierarki & akses resource
   • Jaringan
   • Logging

Men-deploy konfigurasi

Setelah meninjau detail konfigurasi, gunakan salah satu opsi berikut:

• Deploy langsung dari konsol: Gunakan opsi ini jika Anda belum memiliki alur kerja deployment Terraform, dan menginginkan metode deployment yang sederhana. Anda hanya dapat men-deploy menggunakan metode ini satu kali.

• Download dan deploy file Terraform: Gunakan opsi ini jika Anda ingin mengotomatiskan pengelolaan resource menggunakan alur kerja deployment Terraform. Anda dapat mendownload dan men-deploy menggunakan metode ini beberapa kali.

Deploy menggunakan salah satu opsi berikut:

Langkah selanjutnya

Tinjau praktik terbaik pemantauan.

Cloud Monitoring dikonfigurasi secara otomatis untuk project Google Cloud Anda. Dalam tugas ini, Anda akan mempelajari praktik terbaik pemantauan opsional.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Menambahkan pengguna dan membuat grup di tugas Users and groups.
• Tetapkan peran IAM ke grup di tugas Akses administratif.

Yang melakukan tugas ini

Seseorang di grup gcp-monitoring-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Tinjau dan terapkan praktik terbaik pemantauan opsional.

Alasan kami merekomendasikan tugas ini

Anda dapat menerapkan praktik terbaik pemantauan untuk melakukan hal berikut:

• Fasilitasi kolaborasi di antara pengguna yang memantau organisasi Anda.
• Pantau infrastruktur Google Cloud Anda di satu tempat.
• Kumpulkan metrik dan log aplikasi yang penting.

Meninjau dan menerapkan praktik terbaik pemantauan

Cloud Monitoring mengumpulkan metrik, peristiwa, dan metadata dari layanan Google Cloud, monitor sintetis, instrumentasi aplikasi, dan komponen aplikasi umum lainnya. Cloud Monitoring dikonfigurasi secara otomatis untuk project Google Cloud Anda.

Dalam tugas ini, Anda dapat menerapkan praktik terbaik berikut untuk membuat konfigurasi Cloud Monitoring default.

• Untuk membantu kolaborasi, buat kebijakan organisasi yang memberikan peran Monitoring Viewer kepada setiap akun utama di organisasi Anda untuk setiap project.

• Untuk memantau infrastruktur Google Cloud Anda di satu tempat, konfigurasikan project untuk membaca metrik dari beberapa project Google Cloud menggunakan Cakupan Metrik.

• Untuk mengumpulkan metrik dan log aplikasi untuk virtual machine, lakukan langkah berikut:

  • Untuk Compute Engine, instal Agen Operasional.
  • Untuk Google Kubernetes Engine (GKE), siapkan Google Cloud Managed Service untuk Prometheus.

Langkah selanjutnya

Mengonfigurasi setelan keamanan awal.

Dalam tugas ini, Anda akan mengonfigurasi setelan keamanan dan produk untuk membantu melindungi organisasi Anda.

Yang melakukan tugas ini

Anda harus memiliki salah satu dari hal berikut untuk menyelesaikan tugas ini:

• Peran Organization Policy Administrator (roles/orgpolicy.policyAdmin) dan Security Center Admin (roles/securitycenter.admin).
• Keanggotaan dalam grup gcp-organization-admins@<your-domain>.com yang Anda buat di tugas Users and groups.

Yang Anda lakukan dalam tugas ini

Terapkan kebijakan organisasi yang direkomendasikan berdasarkan kategori berikut:

• Pengelolaan akses.
• Perilaku akun layanan.
• Konfigurasi jaringan VPC.

Anda juga akan mengaktifkan Security Command Center untuk memusatkan pelaporan kerentanan dan ancaman.

Alasan kami merekomendasikan tugas ini

Menerapkan kebijakan organisasi yang direkomendasikan membantu Anda membatasi tindakan pengguna yang tidak sesuai dengan postur keamanan Anda.

Mengaktifkan Security Command Center membantu Anda membuat lokasi terpusat untuk menganalisis kerentanan dan ancaman.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Menambahkan pengguna dan membuat grup di tugas Users and groups.
• Tetapkan peran IAM ke grup di tugas Akses administratif.

Menerapkan kebijakan organisasi yang direkomendasikan

Kebijakan organisasi berlaku di tingkat organisasi, dan diwarisi oleh folder dan project. Dalam tugas ini, tinjau dan terapkan daftar kebijakan yang direkomendasikan. Anda dapat mengubah kebijakan organisasi kapan saja. Untuk informasi selengkapnya, lihat Pengantar Layanan Kebijakan Organisasi.

1. Login ke konsol Google Cloud dengan pengguna dari grup gcp-organization-admins@<your-domain>.com yang Anda buat di tugas Users & groups.

2. Pilih organisasi Anda dari drop-down Pilih dari di bagian atas halaman.

3. Buka Penyiapan Google Cloud: Keamanan.

   Buka Security

4. Tinjau ringkasan tugas, lalu klik Continue Security.

5. Tinjau daftar kebijakan organisasi yang direkomendasikan. Jika Anda tidak ingin menerapkan kebijakan yang direkomendasikan, klik kotak centangnya untuk menghapusnya.

   Untuk penjelasan mendetail tentang setiap kebijakan organisasi, lihat Batasan kebijakan organisasi.

Memusatkan pelaporan kerentanan dan ancaman

Untuk memusatkan layanan pelaporan kerentanan dan ancaman, aktifkan Security Command Center. Hal ini membantu Anda memperkuat postur keamanan dan memitigasi risiko. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Security Command Center.

1. Di halaman Google Cloud setup: Security, pada bagian Security Command Center, pastikan kotak centang Enable Security Command Center: Standard diaktifkan.

   Tugas ini mengaktifkan paket Standar gratis. Anda dapat meningkatkan ke versi Premium di lain waktu. Untuk mengetahui informasi selengkapnya, lihat Tingkat layanan Security Command Center.

2. Klik Terapkan kebijakan organisasi dan Security Command Center.

Langkah selanjutnya

Pilih paket dukungan.

Dalam tugas ini, Anda memilih rencana dukungan yang sesuai dengan kebutuhan bisnis Anda.

Yang melakukan tugas ini

Seseorang di grup gcp-organization-admins@YOUR_DOMAIN yang dibuat di tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Memilih paket dukungan berdasarkan kebutuhan perusahaan Anda.

Alasan kami merekomendasikan tugas ini

Paket dukungan premium memberikan dukungan yang penting bagi bisnis untuk menyelesaikan masalah dengan cepat menggunakan bantuan dari pakar di Google Cloud.

Memilih opsi dukungan

Anda akan otomatis mendapatkan Dukungan Dasar gratis, yang mencakup akses ke resource berikut:

• Dokumentasi
• Dukungan komunitas dan diskusi
• Dukungan untuk masalah penagihan

Sebaiknya pelanggan perusahaan mendaftar ke Dukungan Premium, yang menawarkan dukungan teknis melalui konsultasi pribadi dengan engineer dukungan Google. Untuk membandingkan paket dukungan, lihat layanan pelanggan Google Cloud.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Menambahkan pengguna dan membuat grup di tugas Users and groups.
• Tetapkan peran IAM ke grup di tugas Akses administratif.

Mengaktifkan dukungan

Identifikasi dan pilih opsi dukungan.

1. Tinjau dan pilih paket dukungan. Untuk mengetahui informasi selengkapnya, lihat Google Cloud Customer Care.

2. Login ke konsol Google Cloud dengan pengguna dari grup gcp-organization-admins@<your-domain>.com yang Anda buat di tugas Pengguna dan grup.

3. Buka Penyiapan Google Cloud: Dukungan.

   Buka Dukungan

4. Tinjau detail tugas, lalu klik Lihat penawaran dukungan untuk memilih opsi dukungan.

5. Setelah menyiapkan opsi dukungan, kembali ke halaman Google Cloud setup: Support, lalu klik Mark task as completed.

Langkah selanjutnya

Setelah menyelesaikan penyiapan Google Cloud, Anda siap memperluas penyiapan awal, men-deploy solusi bawaan, dan memigrasikan alur kerja yang ada. Untuk mengetahui informasi selengkapnya, lihat Memperluas penyiapan awal dan mulai membuat aplikasi.