Checklist penyiapan Google Cloud

Resource organisasi di Google Cloud mewakili bisnis Anda, dan berfungsi sebagai node tingkat teratas hierarki Anda. Untuk membuat organisasi, Anda menyiapkan layanan identitas Google dan mengaitkannya dengan domain. Saat Anda menyelesaikan proses ini, resource organisasi akan otomatis dibuat.

Untuk ringkasan resource organisasi, lihat hal berikut:

• Mengelola resource organisasi.
• Praktik terbaik untuk merencanakan akun dan organisasi.

Yang melakukan tugas ini

Dua administrator berikut melakukan tugas ini:

• Administrator identitas yang bertanggung jawab untuk menetapkan akses berbasis peran. Anda akan menetapkan orang ini sebagai administrator super Cloud Identity. Untuk mengetahui informasi selengkapnya tentang pengguna administrator super, lihat Peran administrator standar.

• Administrator domain yang memiliki akses ke host domain perusahaan. Orang ini mengedit setelan domain Anda, seperti konfigurasi DNS, sebagai bagian dari proses verifikasi domain.

Yang Anda lakukan dalam tugas ini

• Jika belum melakukannya, siapkan Cloud Identity, tempat Anda membuat akun pengguna terkelola untuk pengguna admin super.
• Tautkan Cloud Identity ke domain Anda (seperti example.com).
• Verifikasi domain Anda. Proses ini membuat node root hierarki resource Anda, yang dikenal sebagai resource organisasi.

Alasan kami merekomendasikan tugas ini

Anda harus mengonfigurasi hal berikut sebagai bagian dari fondasi Google Cloud:

• Layanan identitas Google untuk mengelola identitas secara terpusat.
• Resource organisasi untuk menetapkan root hierarki dan kontrol akses Anda.

Opsi layanan identitas Google

Anda menggunakan salah satu atau kedua layanan identitas Google berikut untuk mengelola kredensial bagi pengguna Google Cloud:

• Cloud Identity: Mengelola pengguna dan grup secara terpusat. Anda dapat menggabungkan identitas antara Google dan penyedia identitas lainnya. Untuk informasi selengkapnya, lihat Ringkasan Cloud Identity.
• Google Workspace: Mengelola pengguna dan grup, serta memberikan akses ke produk produktivitas dan kolaborasi seperti Gmail dan Google Drive. Untuk mengetahui informasi selengkapnya, lihat Google Workspace.

Untuk informasi mendetail tentang perencanaan identitas, lihat Merencanakan proses orientasi untuk identitas perusahaan Anda.

Sebelum memulai

Untuk memahami cara mengelola akun administrator super, lihat Praktik terbaik akun administrator super.

Mengonfigurasi penyedia identitas dan memverifikasi domain Anda

Langkah-langkah yang Anda selesaikan dalam tugas ini bergantung pada apakah Anda adalah pelanggan baru atau yang sudah ada. Identifikasi opsi yang sesuai dengan kebutuhan Anda:

• Pelanggan baru: Siapkan Cloud Identity, verifikasi domain, dan buat organisasi.

• Pelanggan Google Workspace lama: Gunakan Google Workspace sebagai penyedia identitas untuk pengguna yang mengakses Google Workspace dan Google Cloud. Jika Anda berencana membuat pengguna yang hanya mengakses Google Cloud, aktifkan Cloud Identity.

• Pelanggan Cloud Identity yang sudah ada: Verifikasi domain Anda, pastikan organisasi Anda dibuat, dan konfirmasi bahwa Cloud Identity diaktifkan.

Langkah selanjutnya

Membuat grup dan menambahkan anggota.

Dalam tugas ini, Anda akan menyiapkan identitas, pengguna, dan grup untuk mengelola akses ke resource Google Cloud.

Untuk informasi selengkapnya tentang pengelolaan akses di Google Cloud, lihat hal berikut:

• Ringkasan Identity and Access Management (IAM).
• Untuk praktik terbaik, lihat Mengelola identitas dan akses.

Yang melakukan tugas ini

Anda dapat melakukan tugas ini jika memiliki salah satu hal berikut:

• Administrator super Google Workspace atau Cloud Identity yang Anda buat dalam tugas Organisasi.
• Salah satu peran IAM berikut:
  • Administrator Organisasi (roles/resourcemanager.organizationAdmin).
  • Workforce Identity Pool Admin (roles/iam.workforcePoolAdmin).

Yang Anda lakukan dalam tugas ini

• Menghubungkan ke Cloud Identity atau penyedia identitas eksternal (IdP) Anda.

• Buat grup dan pengguna administratif yang akan melakukan langkah-langkah penyiapan Google Cloud lainnya. Anda akan memberikan akses ke grup ini di tugas selanjutnya.

Alasan kami merekomendasikan tugas ini

Tugas ini membantu Anda menerapkan praktik terbaik keamanan berikut:

• Prinsip hak istimewa terendah: Beri pengguna izin minimum yang diperlukan untuk menjalankan peran mereka, dan hapus akses segera setelah tidak diperlukan lagi.

• Kontrol akses berbasis peran (RBAC): Tetapkan izin ke grup pengguna sesuai dengan peran tugas mereka. Jangan tambahkan izin ke akun pengguna individu.

Anda dapat menggunakan grup untuk menerapkan peran IAM secara efisien ke kumpulan pengguna. Praktik ini membantu Anda menyederhanakan pengelolaan akses.

Memilih penyedia identitas

Anda dapat menggunakan salah satu opsi berikut untuk mengelola pengguna dan grup, serta menghubungkannya ke Google Cloud:

• Google Workspace atau Cloud Identity: Anda membuat dan mengelola pengguna dan grup di Google Workspace atau Cloud Identity. Anda dapat memilih untuk menyinkronkan dengan penyedia identitas eksternal nanti.
• Penyedia identitas eksternal, seperti Microsoft Entra ID atau Okta: Anda membuat dan mengelola pengguna dan grup di penyedia identitas eksternal. Kemudian, Anda akan menghubungkan penyedia ke Google Cloud untuk mengaktifkan login sekali klik.

Untuk memilih penyedia identitas, lakukan hal berikut:

1. Login ke konsol Google Cloud sebagai salah satu pengguna yang Anda identifikasi di Siapa yang melakukan tugas ini.

2. Buka Penyiapan Google Cloud: Pengguna & grup.

   Buka Pengguna & grup

3. Tinjau detail tugas, lalu klik Lanjutkan penyiapan identitas.

4. Di halaman Select your identity provider, pilih salah satu opsi berikut untuk memulai penyiapan terpandu:

   • Menggunakan Google untuk mengelola pengguna Google Cloud secara terpusat: Gunakan Google Workspace atau Cloud Identity untuk menyediakan dan mengelola pengguna dan grup sebagai administrator super domain terverifikasi Anda. Anda nantinya dapat menyinkronkan dengan penyedia identitas eksternal.
   • Microsoft Entra ID (Azure AD): Gunakan OpenID Connect untuk mengonfigurasi koneksi ke Microsoft Entra ID.
   • Okta: Gunakan OpenID Connect untuk mengonfigurasi koneksi ke Okta.
   • OpenID Connect: Gunakan protokol OpenID untuk terhubung ke penyedia identitas yang kompatibel.
   • SAML: Gunakan protokol SAML untuk terhubung ke penyedia identitas yang kompatibel.
   • Lewati penyiapan IdP eksternal untuk saat ini: Jika Anda memiliki penyedia identitas eksternal dan belum siap menghubungkannya ke Google Cloud, Anda dapat membuat pengguna dan grup di Google Workspace atau Cloud Identity.

5. Klik Lanjutkan.

6. Lihat salah satu opsi berikut untuk mengetahui langkah berikutnya:

   • Membuat pengguna dan grup di Cloud Identity
   • Menghubungkan penyedia identitas eksternal ke Google Cloud

Membuat pengguna dan grup di Cloud Identity

Jika belum memiliki penyedia identitas, atau jika belum siap menghubungkan penyedia identitas ke Google Cloud, Anda dapat membuat dan mengelola pengguna dan grup di Cloud Identity atau Google Workspace. Untuk membuat pengguna dan grup, Anda harus melakukan hal berikut:

• Buat grup untuk setiap fungsi administratif yang direkomendasikan, termasuk administrasi organisasi, penagihan, dan jaringan.
• Buat akun pengguna terkelola untuk administrator.
• Tetapkan pengguna ke grup administratif yang sesuai dengan tanggung jawab mereka.

Sebelum memulai

• Temukan dan migrasikan pengguna yang sudah memiliki Akun Google. Untuk informasi mendetail, lihat Menambahkan pengguna dengan akun yang tidak dikelola.

• Anda harus menjadi administrator super.

Membuat grup administratif

Grup adalah kumpulan Akun Google dan akun layanan yang memiliki nama. Setiap grup memiliki alamat email unik, seperti gcp-billing-admins@example.com. Anda membuat grup untuk mengelola pengguna dan menerapkan peran IAM dalam skala besar.

Grup berikut direkomendasikan untuk membantu Anda mengelola fungsi inti organisasi dan menyelesaikan proses penyiapan Google Cloud.

Untuk membuat grup administratif, lakukan hal berikut:

1. Pilih Google sebagai penyedia Anda.

2. Di halaman Create Groups, tinjau daftar grup administratif yang direkomendasikan, lalu lakukan salah satu hal berikut:

   • Untuk membuat semua grup yang direkomendasikan, klik Buat semua grup.
   • Jika Anda ingin membuat subkumpulan grup yang direkomendasikan, klik Buat di baris yang dipilih.

3. Klik Lanjutkan.

Membuat pengguna administratif

Sebaiknya Anda menambahkan pengguna yang menyelesaikan prosedur penyiapan organisasi, jaringan, penagihan, dan lainnya terlebih dahulu. Anda dapat menambahkan pengguna lain setelah menyelesaikan proses penyiapan Google Cloud.

Untuk menambahkan pengguna administratif yang melakukan tugas penyiapan Google Cloud, lakukan hal berikut:

1. Memigrasikan akun konsumen ke akun pengguna terkelola yang dikontrol oleh Cloud Identity. Untuk mengetahui langkah-langkah mendetail, lihat hal berikut:

   • Memigrasikan akun konsumen.
   • Menambahkan pengguna dengan akun yang tidak dikelola.

2. Login ke konsol Google Admin menggunakan akun administrator super.

3. Gunakan salah satu opsi berikut untuk menambahkan pengguna:

   • Untuk menambahkan pengguna secara massal, lihat Menambahkan atau memperbarui beberapa pengguna dari file CSV.
   • Untuk menambahkan pengguna satu per satu, lihat Menambahkan akun untuk pengguna baru.

4. Setelah selesai menambahkan pengguna, kembali ke Penyiapan Google Cloud: Pengguna & grup (Buat pengguna).

5. Klik Lanjutkan.

Menambahkan pengguna administratif ke grup

Tambahkan pengguna yang Anda buat ke grup administratif yang sesuai dengan tugas mereka.

1. Pastikan Anda membuat pengguna administratif.

2. Di Penyiapan Google Cloud: Pengguna & grup (Menambahkan pengguna ke grup), tinjau detail langkah.

3. Di setiap baris Group, lakukan hal berikut:

   1. Klik Tambahkan anggota.
   2. Masukkan alamat email pengguna.

   3. Dari menu drop-down Group role, pilih setelan izin grup pengguna. Untuk mengetahui informasi selengkapnya, lihat Menetapkan siapa saja yang dapat melihat, memposting, dan memoderasi.

      Setiap anggota mewarisi semua peran IAM yang Anda berikan ke grup, terlepas dari peran grup yang Anda pilih.

   4. Untuk menambahkan pengguna lain ke grup ini, klik Tambahkan anggota lain dan ulangi langkah-langkah ini. Sebaiknya tambahkan lebih dari satu anggota ke setiap grup.

   5. Setelah selesai menambahkan pengguna ke grup ini, klik Simpan.

4. Setelah selesai dengan semua grup, klik Konfirmasi pengguna & grup.

5. Jika Anda ingin menggabungkan penyedia identitas ke Google Cloud, lihat hal berikut:

   • Arsitektur referensi: menggunakan IdP eksternal.
   • Untuk menyediakan pengguna secara otomatis dan mengaktifkan single sign-on, lihat hal berikut:
     • Gabungkan Cloud Identity dengan Active Directory.
     • Gabungkan Cloud Identity dengan Microsoft Entra ID.
   • Untuk menyinkronkan pengguna dan grup Active Directory ke Google Cloud, gunakan Directory Sync atau Google Cloud Directory Sync.
     • Untuk perbandingan, lihat Membandingkan Directory Sync dengan GCDS.

Menghubungkan penyedia identitas eksternal ke Google Cloud

Anda dapat menggunakan penyedia identitas yang ada untuk membuat dan mengelola grup dan pengguna. Anda mengonfigurasi single sign-on ke Google Cloud dengan menyiapkan workforce identity federation dengan penyedia identitas eksternal Anda. Untuk konsep utama proses ini, lihat Workforce Identity Federation.

Untuk menghubungkan penyedia identitas eksternal, Anda harus menyelesaikan penyiapan terpandu yang menyertakan langkah-langkah berikut:

1. Membuat kumpulan tenaga kerja: Kumpulan identitas tenaga kerja membantu Anda mengelola identitas dan aksesnya ke resource. Anda memasukkan detail berikut dalam format yang dapat dibaca manusia.
   • ID kumpulan tenaga kerja: ID unik secara global yang digunakan di IAM.
   • ID Penyedia: Nama untuk penyedia Anda, yang akan ditentukan pengguna saat mereka login ke Google Cloud.
2. Mengonfigurasi Google Cloud di penyedia Anda: Penyiapan terpandu menyertakan langkah-langkah tertentu untuk penyedia Anda.
3. Masukkan detail kumpulan tenaga kerja penyedia Anda: Untuk menambahkan penyedia sebagai otoritas tepercaya guna menyatakan identitas, ambil detail dari penyedia Anda dan tambahkan ke Google Cloud:
4. Mengonfigurasi kumpulan awal grup administratif: Penyiapan terpandu mencakup langkah-langkah tertentu untuk penyedia Anda. Anda menetapkan grup di penyedia dan membangun koneksi ke Google Cloud. Untuk deskripsi mendetail tentang setiap grup, lihat Membuat grup administratif.
5. Menetapkan pengguna ke setiap grup: Sebaiknya Anda menetapkan lebih dari satu pengguna ke setiap grup.

Untuk informasi latar belakang tentang proses koneksi untuk setiap penyedia, lihat hal berikut:

• Mengonfigurasi Workforce Identity Federation dengan Azure AD dan pengguna yang login.
• Mengonfigurasi Workforce Identity Federation dengan Okta dan pengguna yang login
• Untuk penyedia lain yang mendukung OIDC atau SAML, lihat Mengonfigurasi Workforce Identity Federation

Langkah selanjutnya

Tetapkan izin ke grup administrator Anda.

Dalam tugas ini, Anda akan menggunakan Identity and Access Management (IAM) untuk menetapkan kumpulan izin ke grup administrator di tingkat organisasi. Proses ini memberi administrator visibilitas dan kontrol terpusat atas setiap resource cloud yang menjadi milik organisasi Anda.

Untuk mengetahui ringkasan Identity and Access Management di Google Cloud, lihat ringkasan IAM.

Yang melakukan tugas ini

Untuk melakukan tugas ini, Anda harus menjadi salah satu dari berikut:

• Pengguna administrator super.
• Pengguna dengan peran Organization Administrator (roles/resourcemanager.organizationAdmin).

Yang Anda lakukan dalam tugas ini

• Tinjau daftar peran default yang ditetapkan ke setiap grup administrator yang Anda buat dalam tugas Pengguna dan grup.

• Jika ingin menyesuaikan grup, Anda dapat melakukan hal berikut:

  • Menambahkan atau menghapus peran.
  • Jika tidak berencana menggunakan grup, Anda dapat menghapusnya.

Alasan kami merekomendasikan tugas ini

Anda harus secara eksplisit memberikan semua peran administratif untuk organisasi Anda. Tugas ini membantu Anda menerapkan praktik terbaik keamanan berikut:

• Prinsip hak istimewa terendah: Beri pengguna izin minimum yang diperlukan untuk melakukan tugas mereka, dan hapus akses segera setelah tidak diperlukan lagi.

• Kontrol akses berbasis peran (RBAC): Tetapkan izin ke grup pengguna sesuai dengan tugas mereka. Jangan berikan peran ke akun pengguna perorangan.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Tambahkan pengguna dan buat grup dalam tugas Pengguna dan grup.

Memberikan akses ke grup administrator

Untuk memberikan akses yang sesuai ke setiap grup administrator yang Anda buat dalam tugas Pengguna dan grup, tinjau peran default yang ditetapkan ke setiap grup. Anda dapat menambahkan atau menghapus peran untuk menyesuaikan akses setiap grup.

1. Pastikan Anda login ke konsol Google Cloud sebagai pengguna administrator super.

   Atau, Anda dapat login sebagai pengguna dengan peran Administrator Organisasi (roles/resourcemanager.organizationAdmin).

2. Buka Penyiapan Google Cloud: Akses administratif.

   Buka Akses administratif

3. Pilih nama organisasi Anda dari menu drop-down Select from di bagian atas halaman.

4. Tinjau ringkasan tugas, lalu klik Lanjutkan akses administratif.

5. Tinjau grup di kolom Group (Principal) yang Anda buat di tugas Pengguna & grup.

6. Untuk setiap grup, tinjau peran IAM default. Anda dapat menambahkan atau menghapus peran yang ditetapkan ke setiap grup agar sesuai dengan kebutuhan unik organisasi Anda.

   Setiap peran berisi beberapa izin yang memungkinkan pengguna melakukan tugas yang relevan. Untuk mengetahui informasi selengkapnya tentang izin di setiap peran, lihat Referensi peran dasar dan bawaan IAM.

7. Jika Anda siap menetapkan peran ke setiap grup, klik Simpan dan berikan akses.

Langkah selanjutnya

Siapkan penagihan.

Dalam tugas ini, Anda menyiapkan akun penagihan untuk membayar resource Google Cloud. Untuk melakukannya, Anda mengaitkan salah satu hal berikut dengan organisasi Anda.

• Akun Penagihan Cloud yang ada. Jika tidak memiliki akses ke akun, Anda dapat meminta akses dari administrator akun penagihan.

• Akun Penagihan Cloud baru.

Untuk mengetahui informasi selengkapnya tentang penagihan, lihat dokumentasi Penagihan Cloud.

Yang melakukan tugas ini

Seseorang di grup gcp-billing-admins@YOUR_DOMAIN yang Anda buat dalam tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

• Buat atau gunakan akun Penagihan Cloud layanan mandiri yang ada.
• Menentukan apakah akan bertransisi dari akun layanan mandiri ke akun penagihan dengan invoice.
• Menyiapkan akun Penagihan Cloud dan metode pembayaran.

Alasan kami merekomendasikan tugas ini

Akun Penagihan Cloud ditautkan ke satu atau beberapa project Google Cloud dan digunakan untuk membayar resource yang Anda gunakan, seperti virtual machine, jaringan, dan penyimpanan.

Menentukan jenis akun penagihan

Akun penagihan yang Anda kaitkan dengan organisasi adalah salah satu jenis berikut.

• Layanan mandiri (atau online): Daftar online menggunakan kartu kredit atau debit. Sebaiknya pilih opsi ini jika Anda adalah bisnis kecil atau perorangan. Saat mendaftar akun penagihan secara online, akun Anda akan otomatis disiapkan sebagai akun layanan mandiri.

• Telah ditagih (atau offline). Jika sudah memiliki akun penagihan layanan mandiri, Anda mungkin memenuhi syarat untuk mengajukan permohonan penagihan dengan invoice jika bisnis Anda memenuhi persyaratan kelayakan.

Anda tidak dapat membuat akun dengan invoice secara online, tetapi Anda dapat mengajukan permohonan untuk mengonversi akun layanan mandiri menjadi akun dengan invoice.

Untuk informasi selengkapnya, lihat Jenis akun Penagihan Cloud.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Tambahkan pengguna dan buat grup dalam tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.

Menyiapkan akun penagihan

Setelah Anda memilih jenis akun penagihan, kaitkan akun penagihan dengan organisasi Anda. Setelah menyelesaikan proses ini, Anda dapat menggunakan akun penagihan untuk membayar resource Google Cloud.

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-billing-admins@YOUR_DOMAIN.

2. Buka Penyiapan Google Cloud: Penagihan.

   Buka Penagihan

3. Tinjau ringkasan tugas, lalu klik Lanjutkan penagihan.

4. Pilih salah satu opsi akun penagihan berikut:

   Buat akun baru

   Jika organisasi Anda belum memiliki akun, buat akun baru.

   1. Pilih Saya ingin membuat akun penagihan baru.
   2. Klik Lanjutkan.

   3. Pilih jenis akun penagihan yang ingin Anda buat. Untuk mengetahui langkah-langkah mendetail, lihat hal berikut:

      • Untuk membuat akun layanan mandiri baru, lihat Membuat akun Penagihan Cloud layanan mandiri baru.
      • Untuk melakukan transisi akun layanan mandiri yang ada ke penagihan dengan invoice, lihat Mengajukan permohonan penagihan dengan invoice bulanan.

   4. Pastikan akun penagihan Anda telah dibuat:

      1. Jika Anda membuat akun yang ditagih, tunggu hingga 5 hari kerja untuk menerima konfirmasi email.

      2. Buka halaman Penagihan.

      3. Pilih organisasi Anda dari daftar Select from di bagian atas halaman. Jika berhasil dibuat, akun akan ditampilkan dalam daftar akun penagihan.

   Gunakan akun saya yang ada

   Jika sudah memiliki akun penagihan, Anda dapat mengaitkannya dengan organisasi.

   1. Pilih Saya telah mengidentifikasi akun penagihan dari daftar ini yang ingin saya gunakan untuk menyelesaikan langkah-langkah penyiapan.
   2. Dari menu drop-down Penagihan, pilih akun yang ingin Anda kaitkan dengan organisasi.
   3. Klik Lanjutkan.
   4. Tinjau detailnya, lalu klik Konfirmasi akun penagihan.

   Menggunakan akun pengguna lain

   Jika pengguna lain memiliki akses ke akun penagihan yang ada, Anda dapat meminta pengguna tersebut untuk mengaitkan akun penagihan dengan organisasi Anda, atau pengguna tersebut dapat memberi Anda akses untuk menyelesaikan pengaitan.

   1. Pilih Saya ingin menggunakan akun penagihan yang dikelola oleh akun pengguna Google lain.
   2. Klik Lanjutkan.
   3. Masukkan alamat email administrator akun penagihan.
   4. Klik Hubungi administrator.
   5. Tunggu hingga administrator akun penagihan menghubungi Anda untuk memberikan petunjuk lebih lanjut.

Langkah selanjutnya

Buat hierarki resource dan tetapkan akses.

Dalam tugas ini, Anda akan menyiapkan hierarki resource dengan membuat dan menetapkan akses ke resource berikut:

Folder

Memberikan mekanisme pengelompokan dan batas isolasi antar-project. Misalnya, folder dapat mewakili departemen utama di organisasi Anda seperti keuangan atau retail, atau lingkungan seperti produksi atau non-produksi.

Project

Berisi resource Google Cloud Anda, seperti virtual machine, database, dan bucket penyimpanan.

Untuk pertimbangan desain dan praktik terbaik dalam mengatur resource dalam project, lihat Menentukan hierarki resource untuk zona landing Google Cloud.

Yang melakukan tugas ini

Seseorang di grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat dalam tugas Pengguna dan grup dapat melakukan tugas ini.

Yang Anda lakukan dalam tugas ini

• Buat struktur hierarki awal yang mencakup folder dan project.
• Tetapkan kebijakan IAM untuk mengontrol akses ke folder dan project Anda.

Alasan kami merekomendasikan tugas ini

Membuat struktur untuk folder dan project membantu Anda mengelola resource Google Cloud dan menetapkan akses berdasarkan cara organisasi Anda beroperasi. Misalnya, Anda dapat mengatur dan memberikan akses ke resource berdasarkan kumpulan unik wilayah geografis, struktur anak perusahaan, atau framework akuntabilitas organisasi Anda.

Merencanakan hierarki resource

Hierarki resource membantu Anda membuat batasan, dan membagikan resource di seluruh organisasi untuk tugas umum. Anda membuat hierarki menggunakan salah satu konfigurasi awal berikut, berdasarkan struktur organisasi Anda:

• Berorientasi lingkungan yang sederhana:

  • Isolasi lingkungan seperti Non-production dan Production.
  • Terapkan kebijakan, persyaratan peraturan, dan kontrol akses yang berbeda di setiap folder lingkungan.
  • Cocok untuk perusahaan kecil dengan lingkungan terpusat.

• Berorientasi tim yang sederhana:

  • Isolasi tim seperti Development dan QA.
  • Isolasi akses ke resource menggunakan folder lingkungan turunan di setiap folder tim.
  • Cocok untuk perusahaan kecil dengan tim otonom.

• Berorientasi pada lingkungan:

  • Prioritaskan isolasi lingkungan seperti Non-production dan Production.
  • Di bawah setiap folder lingkungan, isolasi unit bisnis.
  • Di setiap unit bisnis, isolasi tim.
  • Cocok untuk perusahaan besar dengan lingkungan terpusat.

• Berorientasi pada unit bisnis:

  • Prioritaskan isolasi unit bisnis seperti Human Resources dan Engineering untuk membantu memastikan bahwa pengguna hanya dapat mengakses resource dan data yang mereka butuhkan.
  • Di setiap unit bisnis, isolasi tim.
  • Di setiap tim, isolasi lingkungan.
  • Cocok untuk perusahaan besar dengan tim otonom.

Setiap konfigurasi memiliki folder Common untuk project yang berisi resource bersama. Hal ini dapat mencakup project logging dan pemantauan.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Tambahkan pengguna dan buat grup dalam tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Penagihan.

Mengonfigurasi folder dan project awal

Pilih hierarki resource yang mewakili struktur organisasi Anda.

Untuk mengonfigurasi folder dan project awal, lakukan hal berikut:

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

2. Pilih organisasi Anda dari menu drop-down Select from di bagian atas halaman.

3. Buka Penyiapan Google Cloud: Hierarki & akses.

   Buka Hierarki & akses

4. Tinjau ringkasan tugas, lalu klik Mulai di samping Hierarki resource.

5. Pilih konfigurasi awal.

6. Klik Lanjutkan dan konfigurasi.

7. Sesuaikan hierarki resource untuk mencerminkan struktur organisasi Anda. Misalnya, Anda dapat menyesuaikan hal berikut:

   • Nama folder.

   • Project layanan untuk setiap tim. Untuk memberikan akses ke project layanan, Anda dapat membuat hal berikut:

     • Grup untuk setiap project layanan.
     • Pengguna di setiap grup.

     Untuk ringkasan project layanan, lihat VPC Bersama.

   • Project yang diperlukan untuk pemantauan, logging, dan jaringan.

   • Project kustom.

8. Klik Lanjutkan.

9. Berikan akses ke folder dan project Anda.

Memberikan akses ke folder dan project Anda

Dalam tugas Akses administratif, Anda telah memberikan akses administratif ke grup di tingkat organisasi. Dalam tugas ini, Anda akan mengonfigurasi akses ke grup yang berinteraksi dengan folder dan project yang baru dikonfigurasi.

Project, folder, dan organisasi masing-masing memiliki kebijakan IAM sendiri, yang diwariskan melalui hierarki resource:

• Organisasi: Kebijakan berlaku untuk semua folder dan project dalam organisasi.
• Folder: Kebijakan berlaku untuk project dan folder lain dalam folder tersebut.
• Project: Kebijakan hanya berlaku untuk project tersebut dan resource-nya.

Perbarui kebijakan IAM untuk folder dan project Anda:

1. Di bagian Konfigurasikan kontrol akses pada Hierarki & akses, berikan akses ke folder dan project kepada grup Anda:

   1. Dalam tabel, tinjau daftar peran IAM yang direkomendasikan yang diberikan kepada setiap grup untuk setiap resource.

   2. Jika Anda ingin mengubah peran yang ditetapkan ke setiap grup, klik Edit di baris yang diinginkan.

      Untuk mengetahui informasi selengkapnya tentang setiap peran, lihat Peran dasar dan bawaan IAM.

2. Klik Lanjutkan.

3. Tinjau perubahan Anda, lalu klik Konfirmasi konfigurasi draf.

Langkah selanjutnya

Konfigurasikan lokasi pusat untuk menyimpan dan menganalisis data log.

Dalam tugas ini, Anda akan mengonfigurasi logging untuk seluruh organisasi, termasuk project yang Anda buat dalam tugas sebelumnya.

Yang melakukan tugas ini

Anda harus memiliki salah satu hal berikut:

• Peran Logging Admin (roles/logging.admin).
• Keanggotaan dalam grup gcp-logging-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Atur log yang dibuat di project di seluruh organisasi Anda secara terpusat untuk membantu keamanan, audit, dan kepatuhan.

Alasan kami merekomendasikan tugas ini

Penyimpanan dan retensi log menyederhanakan analisis dan mempertahankan pelacakan audit Anda.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Tambahkan pengguna dan buat grup dalam tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Penagihan.
• Siapkan hierarki dan tetapkan akses dalam tugas Hierarki dan akses.

Mengatur logging secara terpusat

Cloud Logging membantu Anda menyimpan, menelusuri, menganalisis, memantau, serta membuat pemberitahuan terkait data log dan peristiwa dari Google Cloud. Anda juga dapat mengumpulkan dan memproses log dari aplikasi, resource lokal, dan cloud lainnya. Sebaiknya gunakan Cloud Logging untuk menggabungkan log ke dalam satu bucket log.

Untuk informasi selengkapnya, lihat referensi berikut:

• Untuk ringkasannya, lihat Ringkasan pemilihan rute dan penyimpanan.
• Untuk informasi tentang logging resource lokal, lihat Logging resource lokal dengan BindPlane.
• Untuk mengetahui langkah-langkah mengubah filter log setelah Anda men-deploy konfigurasi, lihat Filter penyertaan.

Untuk menyimpan data log di bucket log pusat, lakukan hal berikut:

1. Login ke konsol Google Cloud sebagai pengguna yang Anda identifikasi di Siapa yang melakukan tugas ini.

2. Pilih organisasi Anda dari menu drop-down Select from di bagian atas halaman.

3. Buka Penyiapan Google Cloud: Memusatkan logging.

   Buka Memusatkan logging

4. Tinjau ringkasan tugas, lalu klik Mulai konfigurasi logging.

5. Tinjau detail tugas.

6. Untuk merutekan log ke bucket log pusat, pastikan Simpan log audit aktivitas admin tingkat organisasi di bucket log dipilih.

7. Luaskan Merutekan log ke bucket log Logging, lalu lakukan hal berikut:

   1. Di kolom Log bucket name, masukkan nama untuk bucket log pusat.

   2. Dari daftar Log bucket region, pilih region tempat data log Anda disimpan.

      Untuk mengetahui informasi selengkapnya, lihat Lokasi bucket log.

   3. Sebaiknya simpan log selama 365 hari. Untuk menyesuaikan periode retensi data, masukkan jumlah hari di kolom Retention period.

      Log yang disimpan lebih dari 30 hari akan dikenai biaya retensi. Untuk mengetahui informasi selengkapnya, lihat ringkasan harga Cloud Logging.

Mengekspor log ke luar Google Cloud

Jika ingin mengekspor log ke tujuan di luar Google Cloud, Anda dapat mengekspor menggunakan Pub/Sub. Misalnya, jika menggunakan beberapa penyedia cloud, Anda dapat memutuskan untuk mengekspor data log dari setiap penyedia cloud ke alat pihak ketiga.

Anda dapat memfilter log yang diekspor untuk memenuhi kebutuhan dan persyaratan unik Anda. Misalnya, Anda dapat memilih untuk membatasi jenis log yang diekspor untuk mengontrol biaya atau mengurangi derau dalam data Anda.

Untuk mengetahui informasi selengkapnya tentang cara mengekspor log, lihat artikel berikut:

• Untuk ringkasan, lihat Apa yang dimaksud dengan Pub/Sub?
• Untuk mengetahui informasi harga, lihat referensi berikut:
  • Harga Pub/Sub.
  • Praktik terbaik untuk Cloud Audit Logs: Harga.
• Untuk informasi tentang streaming ke Splunk, lihat Men-deploy streaming log dari Google Cloud ke Splunk.

Untuk mengekspor log, lakukan hal berikut:

1. Klik Streaming log ke aplikasi lain, repositori lain, atau pihak ketiga.

2. Di kolom ID topik Pub/Sub, masukkan ID untuk topik yang berisi log yang diekspor. Untuk informasi tentang cara berlangganan topik, lihat Langganan pull.

3. Untuk mencegah salah satu log yang direkomendasikan berikut diekspor, hapus centang pada kotaknya:

   • Cloud Audit Log: Aktivitas Admin: Panggilan atau tindakan API yang mengubah konfigurasi atau metadata resource.
   • Cloud Audit Logs: Peristiwa Sistem: Tindakan Google Cloud yang mengubah konfigurasi resource.
   • Transparansi Akses: Tindakan yang dilakukan personel Google saat mengakses konten pelanggan.

   Pilih log tambahan berikut untuk mengekspornya:

   • Cloud Audit Log: Akses Data: Panggilan API yang membaca konfigurasi atau metadata resource, dan panggilan API berbasis pengguna yang membuat, mengubah, atau membaca data resource yang disediakan pengguna.
   • Log Audit Cloud: Kebijakan Ditolak: Penolakan akses layanan Google Cloud ke akun pengguna atau layanan, berdasarkan pelanggaran kebijakan keamanan.

   Untuk informasi tentang setiap jenis log, lihat Memahami Cloud Audit Logs.

Menyelesaikan konfigurasi logging

Untuk menyelesaikan tugas logging, lakukan tindakan berikut:

1. Klik Lanjutkan.

2. Tinjau detail konfigurasi logging Anda, lalu klik Konfirmasi konfigurasi draf.

   Konfigurasi logging tidak di-deploy hingga Anda men-deploy setelan dalam tugas berikutnya.

Langkah selanjutnya

Mengonfigurasi setelan keamanan awal.

Dalam tugas ini, Anda akan mengonfigurasi setelan dan produk keamanan untuk membantu melindungi organisasi Anda.

Yang melakukan tugas ini

Anda harus memiliki salah satu hal berikut untuk menyelesaikan tugas ini:

• Peran Organization Administrator (roles/resourcemanager.organizationAdmin).
• Keanggotaan di salah satu grup berikut yang Anda buat dalam tugas Pengguna dan grup:
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

Yang Anda lakukan dalam tugas ini

Terapkan kebijakan organisasi yang direkomendasikan berdasarkan kategori berikut:

• Pengelolaan akses.
• Perilaku akun layanan.
• Konfigurasi jaringan VPC.

Anda juga dapat mengaktifkan Security Command Center untuk memusatkan pelaporan kerentanan dan ancaman.

Alasan kami merekomendasikan tugas ini

Menerapkan kebijakan organisasi yang direkomendasikan membantu Anda membatasi tindakan pengguna yang tidak selaras dengan postur keamanan Anda.

Mengaktifkan Security Command Center membantu Anda membuat lokasi pusat untuk menganalisis kerentanan dan ancaman.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Tambahkan pengguna dan buat grup dalam tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.

Memulai tugas keamanan

1. Login ke konsol Google Cloud dengan pengguna yang Anda identifikasi di Siapa yang melakukan tugas ini.

2. Pilih organisasi Anda dari menu drop-down Select from di bagian atas halaman.

3. Buka Penyiapan Google Cloud: Keamanan.

   Buka Keamanan

4. Tinjau ringkasan tugas, lalu klik Mulai Keamanan.

Memusatkan pelaporan kerentanan dan ancaman

Untuk memusatkan layanan pelaporan ancaman dan kerentanan, aktifkan Security Command Center. Hal ini membantu Anda memperkuat postur keamanan dan memitigasi risiko. Untuk informasi selengkapnya, lihat Ringkasan Security Command Center.

1. Di halaman Penyiapan Google Cloud: Keamanan, pastikan kotak centang Enable Security Command Center: Standard diaktifkan.

   Tugas ini akan mengaktifkan paket Standar gratis. Anda dapat mengupgrade ke versi Premium nanti. Untuk informasi selengkapnya, lihat Tingkat layanan Security Command Center.

2. Klik Terapkan konfigurasi Security Command Center.

Menerapkan kebijakan organisasi yang direkomendasikan

Kebijakan organisasi berlaku di tingkat organisasi, dan diwarisi oleh folder dan project. Dalam tugas ini, tinjau dan terapkan daftar kebijakan yang direkomendasikan. Anda dapat mengubah kebijakan organisasi kapan saja. Untuk informasi selengkapnya, lihat Pengantar Layanan Kebijakan Organisasi.

1. Tinjau daftar kebijakan organisasi yang direkomendasikan. Jika Anda tidak ingin menerapkan kebijakan yang direkomendasikan, klik kotak centangnya untuk menghapusnya.

   Untuk penjelasan mendetail tentang setiap kebijakan organisasi, lihat Batasan kebijakan organisasi.

2. Klik Konfirmasi konfigurasi kebijakan organisasi.

Kebijakan organisasi yang Anda pilih akan diterapkan saat Anda men-deploy konfigurasi dalam tugas selanjutnya.

Langkah selanjutnya

Konfigurasi jaringan.

Dalam tugas ini, Anda menyiapkan konfigurasi jaringan awal, yang dapat Anda skalakan seiring kebutuhan berubah.

Arsitektur Virtual Private Cloud

Jaringan Virtual Private Cloud (VPC) adalah versi virtual dari jaringan fisik yang diterapkan di dalam jaringan produksi Google. Jaringan VPC adalah resource global yang terdiri dari subnetwork (subnet) regional.

Jaringan VPC menyediakan kemampuan jaringan ke resource Google Cloud Anda seperti instance virtual machine Compute Engine, container GKE, dan instance lingkungan fleksibel App Engine.

VPC Bersama menghubungkan resource dari beberapa project ke jaringan VPC umum sehingga resource tersebut dapat berkomunikasi satu sama lain menggunakan alamat IP internal jaringan. Diagram berikut menunjukkan arsitektur dasar jaringan VPC Bersama dengan project layanan yang terpasang.

Saat menggunakan VPC Bersama, Anda menetapkan project host dan menautkan satu atau beberapa project layanan ke project tersebut. Jaringan Virtual Private Cloud dalam project host disebut jaringan VPC Bersama.

Contoh diagram memiliki project host produksi dan non-produksi, yang masing-masing berisi jaringan VPC Bersama. Anda dapat menggunakan project host untuk mengelola hal berikut secara terpusat:

• Rute
• Firewall
• Koneksi VPN
• Subnet

Project layanan adalah project yang dilampirkan ke project host. Anda dapat membagikan subnet, termasuk rentang sekunder, antara project host dan layanan.

Dalam arsitektur ini, setiap jaringan VPC Bersama berisi subnet publik dan pribadi:

• Subnet publik dapat digunakan oleh instance yang terhubung ke internet untuk konektivitas eksternal.
• Subnet pribadi dapat digunakan oleh instance yang terhubung ke internal yang tidak dialokasikan alamat IP publik.

Dalam tugas ini, Anda akan membuat konfigurasi jaringan awal berdasarkan contoh diagram.

Yang melakukan tugas ini

Anda memerlukan salah satu hal berikut untuk melakukan tugas ini:

• Peran roles/compute.networkAdmin.
• Dimasukkan ke dalam grup gcp-network-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Buat konfigurasi jaringan awal, termasuk hal berikut:

• Buat beberapa project host untuk mencerminkan lingkungan pengembangan Anda.
• Buat jaringan VPC Bersama di setiap project host untuk memungkinkan resource yang berbeda berbagi jaringan yang sama.
• Buat subnet yang berbeda di setiap jaringan VPC Bersama untuk memberikan akses jaringan ke project layanan.

Alasan kami merekomendasikan tugas ini

Tim yang berbeda dapat menggunakan VPC Bersama untuk terhubung ke jaringan VPC yang sama dan dikelola secara terpusat.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Tambahkan pengguna dan buat grup dalam tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Penagihan.
• Siapkan hierarki dan tetapkan akses dalam tugas Hierarki dan akses.

Mengonfigurasi arsitektur jaringan

Buat konfigurasi jaringan awal dengan dua project host untuk menyegmentasikan workload non-produksi dan produksi. Setiap project host berisi jaringan VPC Bersama, yang dapat digunakan oleh beberapa project layanan. Anda mengonfigurasi detail jaringan, lalu men-deploy file konfigurasi dalam tugas berikutnya.

Untuk mengonfigurasi jaringan awal, lakukan hal berikut.

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

2. Pilih organisasi Anda dari menu drop-down Select an organization di bagian atas halaman.

3. Buka Penyiapan Google Cloud: Jaringan.

   Buka Jaringan

4. Tinjau arsitektur jaringan default.

5. Untuk mengedit nama jaringan, lakukan hal berikut:

   1. Klik more_vert Tindakan
   2. Pilih Edit nama jaringan.
   3. Di kolom Nama jaringan, masukkan huruf kecil, angka, atau tanda hubung. Nama jaringan tidak boleh melebihi 25 karakter.
   4. Klik Simpan.

Mengubah detail firewall

Aturan firewall default di project host didasarkan pada praktik terbaik yang direkomendasikan. Anda dapat memilih untuk menonaktifkan satu atau beberapa aturan firewall default. Untuk informasi umum tentang aturan firewall, lihat Aturan firewall VPC.

Untuk mengubah setelan firewall, lakukan tindakan berikut:

1. Klik more_vert Tindakan.

2. Pilih Edit firewall rules.

3. Untuk informasi mendetail tentang setiap aturan firewall default, lihat Aturan yang telah diisi otomatis di jaringan default.

4. Untuk menonaktifkan aturan firewall, hapus centang pada kotak yang sesuai.

5. Untuk menonaktifkan Firewall Rules Logging, klik Nonaktif.

   Secara default, traffic ke dan dari instance Compute Engine dicatat ke dalam log untuk tujuan audit. Proses ini dikenai biaya. Untuk mengetahui informasi selengkapnya, lihat Logging Aturan Firewall.

6. Klik Simpan.

Mengubah detail subnet

Setiap jaringan VPC berisi minimal satu subnet, yang merupakan resource regional dengan rentang alamat IP terkait. Dalam konfigurasi multi-regional ini, Anda harus memiliki minimal dua subnet dengan rentang IP yang tidak tumpang tindih.

Untuk mengetahui informasi selengkapnya, lihat Subnet.

Setiap subnet dikonfigurasi menggunakan praktik terbaik yang direkomendasikan. Jika Anda ingin menyesuaikan setiap subnet, lakukan hal berikut:

1. Klik more_vert Tindakan
2. Pilih Edit subnet.
3. Di kolom Name, masukkan huruf kecil, angka, atau tanda hubung. Nama subnet tidak boleh melebihi 25 karakter.

4. Dari drop-down Region, pilih region yang dekat dengan titik layanan Anda.

   Sebaiknya gunakan region yang berbeda untuk setiap subnet. Anda tidak dapat mengubah region setelah men-deploy konfigurasi. Untuk informasi tentang cara memilih region, lihat Resource regional.

5. Di kolom Rentang alamat IP, masukkan rentang dalam notasi CIDR— misalnya, 10.0.0.0/24.

   Rentang yang Anda masukkan tidak boleh tumpang-tindih dengan subnet lain di jaringan ini. Untuk mengetahui informasi tentang rentang yang valid, lihat Rentang subnet IPv4.

6. Ulangi langkah-langkah ini untuk Subnet 2.

7. Untuk mengonfigurasi subnet tambahan di jaringan ini, klik Add subnet dan ulangi langkah-langkah ini.

8. Klik Simpan.

Subnet Anda akan otomatis dikonfigurasi sesuai dengan praktik terbaik. Jika Anda ingin mengubah konfigurasi, di halaman Penyiapan Google Cloud: Jaringan VPC, lakukan hal berikut:

1. Untuk menonaktifkan VPC Flow Logs, dari kolom Flow logs, pilih Nonaktif.

   Jika log alur diaktifkan, setiap subnet akan mencatat alur jaringan yang dapat Anda analisis untuk keamanan, pengoptimalan biaya, dan tujuan lainnya. Untuk informasi selengkapnya, lihat Menggunakan Log Aliran VPC.

   Log Aliran VPC menimbulkan biaya. Untuk mengetahui informasi selengkapnya, lihat harga Virtual Private Cloud.

2. Untuk menonaktifkan Akses Google Pribadi, dari kolom Akses pribadi, pilih Nonaktif.

   Jika Akses Google Pribadi aktif, instance VM yang tidak memiliki alamat IP eksternal dapat menjangkau API dan layanan Google. Untuk informasi selengkapnya, lihat Akses Google Pribadi.

3. Untuk mengaktifkan Cloud NAT, dari kolom Cloud NAT, pilih Aktif.

   Jika Cloud NAT aktif, resource tertentu dapat membuat koneksi keluar ke internet. Untuk informasi selengkapnya, lihat Ringkasan Cloud NAT.

   Cloud NAT dikenai biaya. Untuk mengetahui informasi selengkapnya, lihat harga Virtual Private Cloud.

4. Klik Lanjutkan untuk menautkan project layanan.

Menautkan project layanan ke project host

Project layanan adalah project yang telah dilampirkan ke project host. Lampiran ini memungkinkan project layanan berpartisipasi dalam VPC Bersama. Setiap project layanan dapat dioperasikan dan dikelola oleh departemen atau tim yang berbeda untuk menciptakan pemisahan tanggung jawab.

Untuk mengetahui informasi selengkapnya tentang cara menghubungkan beberapa project ke jaringan VPC umum, lihat Ringkasan VPC Bersama.

Untuk menautkan project layanan ke project host dan menyelesaikan konfigurasi, lakukan hal berikut:

1. Untuk setiap subnet dalam tabel Jaringan VPC bersama, pilih project layanan yang akan dihubungkan. Untuk melakukannya, pilih dari menu drop-down Select a project di kolom Service project.

   Anda dapat menghubungkan project layanan ke beberapa subnet.

2. Klik Lanjutkan untuk Meninjau.

3. Tinjau konfigurasi Anda, lalu buat perubahan.

   Anda dapat melakukan pengeditan hingga men-deploy file konfigurasi.

4. Klik Konfirmasi konfigurasi draf. Konfigurasi jaringan Anda ditambahkan ke file konfigurasi.

   Jaringan Anda tidak akan di-deploy hingga Anda men-deploy file konfigurasi dalam tugas berikutnya.

Langkah selanjutnya

Menyiapkan konektivitas hybrid, yang membantu Anda menghubungkan server lokal atau penyedia cloud lainnya ke Google Cloud.

Dalam tugas ini, Anda akan membuat koneksi antara jaringan peer (lokal atau cloud lainnya) dan jaringan Google Cloud, seperti pada diagram berikut.

Proses ini akan membuat VPN dengan ketersediaan tinggi (HA), yaitu solusi ketersediaan tinggi (HA) yang dapat Anda buat dengan cepat untuk mengirimkan data melalui internet publik.

Setelah Anda men-deploy penyiapan Google Cloud, sebaiknya buat koneksi yang lebih andal menggunakan Cloud Interconnect.

Untuk mengetahui informasi selengkapnya tentang koneksi antara jaringan peer dan Google Cloud, lihat hal berikut:

• Ringkasan Cloud VPN
• Memilih produk Network Connectivity

Yang melakukan tugas ini

Anda harus memiliki peran Organization Administrator (roles/resourcemanager.organizationAdmin).

Yang Anda lakukan dalam tugas ini

Buat koneksi berlatensi rendah dan ketersediaan tinggi antara jaringan VPC dan jaringan cloud lokal atau jaringan cloud lainnya. Anda mengonfigurasi komponen berikut:

• Gateway VPN dengan ketersediaan tinggi (HA) Google Cloud: Resource regional yang memiliki dua antarmuka, masing-masing dengan alamat IP-nya sendiri. Anda menentukan jenis stack IP, yang menentukan apakah traffic IPv6 didukung di koneksi Anda. Untuk mengetahui informasi latar belakang, lihat VPN dengan ketersediaan tinggi (HA).
• Gateway VPN peer: Gateway di jaringan peer Anda, yang terhubung dengan gateway VPN dengan ketersediaan tinggi (HA) Google Cloud. Anda memasukkan alamat IP eksternal yang digunakan gateway peer untuk terhubung ke Google Cloud. Untuk informasi latar belakang, lihat Mengonfigurasi gateway VPN peer.
• Cloud Router: Menggunakan Border Gateway Protocol (BGP) untuk menukar rute secara dinamis antara VPC dan jaringan peer Anda. Anda menetapkan Autonomous System Number (ASN) sebagai ID untuk Cloud Router, dan menentukan ASN yang digunakan router peer. Untuk informasi latar belakang, lihat Membuat Cloud Router untuk menghubungkan jaringan VPC ke jaringan peer.
• Tunnel VPN: Menghubungkan gateway Google Cloud ke gateway peer. Anda menentukan protokol Internet Key Exchange (IKE) yang akan digunakan untuk membuat tunnel. Anda dapat memasukkan kunci IKE yang Anda buat sebelumnya atau membuat dan menyalin kunci baru. Untuk informasi latar belakang, lihat Mengonfigurasi IKE.

Alasan kami merekomendasikan tugas ini

VPN HA menyediakan koneksi yang aman dan tersedia dengan baik antara infrastruktur yang ada dan Google Cloud.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Tambahkan pengguna dan buat grup dalam tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Penagihan.
• Siapkan hierarki dan tetapkan akses dalam tugas Hierarki dan akses.
• Konfigurasikan jaringan Anda dalam tugas Jaringan VPC.

Kumpulkan informasi berikut dari administrator jaringan peer Anda:

• Nama gateway VPN peer Anda: Gateway tempat Cloud VPN Anda terhubung.
• Alamat IP antarmuka peer 0: Alamat IP eksternal di gateway jaringan peer Anda.
• Alamat IP antarmuka peer 1: Alamat eksternal kedua, atau Anda dapat menggunakan kembali alamat IP 0 jika jaringan peer hanya memiliki satu alamat IP eksternal.
• Peer Autonomous System Number (ASN): ID unik yang ditetapkan ke router jaringan peer Anda.
• ASN Cloud Router: ID unik yang akan Anda tetapkan ke Cloud Router.
• Kunci Internet Key Exchange (IKE): Kunci yang Anda gunakan untuk membuat dua tunnel VPN dengan gateway VPN peer. Jika tidak memiliki kunci, Anda dapat membuatnya selama penyiapan ini, lalu menerapkannya ke gateway peer.

Mengonfigurasi koneksi

Lakukan hal berikut untuk menghubungkan jaringan VPC ke jaringan peer:

1. Login sebagai pengguna dengan peran Organization Administrator.

2. Pilih organisasi Anda dari menu drop-down Select from di bagian atas halaman.

3. Buka Penyiapan Google Cloud: Konektivitas hybrid.

   Buka Konektivitas hybrid

4. Tinjau detail tugas dengan melakukan hal berikut:

   1. Tinjau ringkasan tugas, lalu klik Mulai konektivitas hybrid.

   2. Klik setiap tab untuk mempelajari konektivitas campuran, lalu klik Lanjutkan.

   3. Lihat hal yang akan terjadi di setiap langkah tugas, lalu klik Lanjutkan.

   4. Tinjau informasi konfigurasi gateway peer yang perlu Anda kumpulkan, lalu klik Lanjutkan.

5. Di area Koneksi hybrid, identifikasi jaringan VPC yang ingin Anda hubungkan, berdasarkan kebutuhan bisnis Anda.

6. Di baris untuk jaringan pertama yang Anda pilih, klik Konfigurasi.

7. Di area Configuration overview, baca deskripsi dan klik Next.

8. Di area gateway VPN dengan ketersediaan tinggi (HA) Google Cloud, lakukan hal berikut:

   1. Di kolom Cloud VPN gateway name, masukkan hingga 60 karakter menggunakan huruf kecil, angka, dan tanda hubung.

   2. Di area VPN tunnel inner IP stack type, pilih salah satu jenis stack berikut:

      • IPv4 dan IPv6 (direkomendasikan): Dapat mendukung traffic IPv4 dan IPv6. Sebaiknya gunakan setelan ini jika Anda berencana mengizinkan traffic IPv6 di tunnel.
      • IPv4: Hanya dapat mendukung traffic IPv4.

      Jenis stack menentukan jenis traffic yang diizinkan di tunnel antara jaringan VPC dan jaringan peer Anda. Anda tidak dapat mengubah jenis stack setelah membuat gateway. Untuk informasi latar belakang, lihat referensi berikut:

      • Dukungan IPv6
      • Jenis stack dan sesi BGP

   3. Klik Berikutnya.

9. Di area Peer VPN gateway, lakukan hal berikut:

   1. Di kolom Nama gateway VPN peer, masukkan nama yang diberikan oleh administrator jaringan peer Anda. Anda dapat memasukkan hingga 60 karakter menggunakan huruf kecil, angka, dan tanda hubung.

   2. Di kolom Peer interface IP address 0, masukkan alamat IP eksternal antarmuka gateway peer yang disediakan oleh administrator jaringan peer Anda.

   3. Di kolom Peer interface IP address 1, lakukan salah satu hal berikut:

      • Jika gateway peer Anda memiliki antarmuka kedua, masukkan alamat IP-nya.
      • Jika gateway peer Anda hanya memiliki satu antarmuka, masukkan alamat yang sama dengan yang Anda masukkan di Alamat IP antarmuka peer 0.

      Untuk informasi latar belakang, lihat Mengonfigurasi gateway VPN peer.

   4. Klik Berikutnya.

10. Di area Cloud Router, lakukan hal berikut:

    1. Di kolom Cloud router ASN, masukkan Autonomous System Number yang ingin Anda tetapkan ke Cloud Router, seperti yang diberikan oleh administrator jaringan peer Anda. Untuk informasi latar belakang, lihat Membuat Cloud Router.

    2. Di kolom Peer router ASN, masukkan Autonomous System Number router jaringan peer Anda, seperti yang disediakan oleh administrator jaringan peer Anda.

11. Di area VPN tunnel 0, lakukan hal berikut:

    1. Di kolom Nama tunnel 0, masukkan maksimal 60 karakter menggunakan huruf kecil, angka, dan tanda hubung.

    2. Di area IKE version, pilih salah satu opsi berikut:

       • IKEv2 - direkomendasikan: Mendukung traffic IPv6.
       • IKEv1: Gunakan setelan ini jika Anda tidak berencana mengizinkan traffic IPv6 di tunnel.

       Untuk informasi latar belakang, lihat Mengonfigurasi tunnel VPN.

    3. Di kolom IKE pre-shared key, masukkan kunci yang Anda gunakan dalam konfigurasi gateway peer, seperti yang diberikan oleh administrator jaringan peer Anda. Jika tidak memiliki kunci yang ada, Anda dapat mengklik Buat dan salin, lalu memberikan kunci tersebut kepada administrator jaringan peer.

12. Di area VPN tunnel 1, ulangi langkah sebelumnya untuk menerapkan setelan untuk tunnel kedua. Anda mengonfigurasi tunnel ini untuk redundansi dan throughput tambahan.

13. Klik Simpan.

14. Ulangi langkah-langkah ini untuk jaringan VPC lain yang ingin Anda hubungkan ke jaringan peer.

Setelah Anda men-deploy

Setelah Anda men-deploy konfigurasi penyiapan Google Cloud, selesaikan langkah-langkah berikut untuk memastikan koneksi jaringan Anda sudah selesai:

1. Bekerja samalah dengan administrator jaringan peer Anda untuk menyelaraskan jaringan peer dengan setelan konektivitas hybrid Anda. Setelah Anda men-deploy, petunjuk khusus akan diberikan untuk jaringan peer Anda, termasuk hal berikut:

   • Setelan tunnel.
   • Setelan firewall.
   • Setelan IKE.

2. Validasi koneksi jaringan yang Anda buat. Misalnya, Anda dapat menggunakan Network Intelligence Center untuk memeriksa konektivitas antar-jaringan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Uji Konektivitas.

3. Jika kebutuhan bisnis Anda memerlukan koneksi yang lebih andal, gunakan Cloud Interconnect. Untuk mengetahui informasi selengkapnya, lihat Memilih produk Network Connectivity.

Langkah selanjutnya

Deploy konfigurasi, yang mencakup setelan untuk hierarki dan akses, logging, jaringan, dan konektivitas hybrid.

Saat Anda menyelesaikan proses penyiapan Google Cloud, setelan Anda dari tugas berikut akan dikompilasi ke dalam file konfigurasi Terraform:

• Hierarki dan akses
• Memusatkan logging
• Keamanan
• Jaringan VPC
• Konektivitas hybrid

Untuk menerapkan setelan, Anda meninjau pilihan dan memilih metode deployment.

Yang melakukan tugas ini

Seseorang di grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat dalam tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Deploy file konfigurasi untuk menerapkan setelan penyiapan Anda.

Alasan kami merekomendasikan tugas ini

Anda harus men-deploy file konfigurasi untuk menerapkan setelan yang dipilih.

Sebelum memulai

Anda harus menyelesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Tambahkan pengguna dan buat grup dalam tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Penagihan.
• Siapkan hierarki dan tetapkan akses dalam tugas Hierarki dan akses.

Tugas berikut direkomendasikan:

• Gabungkan data log di satu lokasi dalam tugas Menyentraikan logging.
• Perkuat postur keamanan Anda dengan menyiapkan layanan tanpa biaya di tugas Keamanan.
• Konfigurasikan jaringan awal Anda dalam tugas Jaringan VPC.
• Hubungkan jaringan peer ke Google Cloud dalam tugas Konektivitas hybrid.

Meninjau detail konfigurasi

Lakukan hal berikut untuk memastikan setelan konfigurasi Anda sudah selesai:

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

2. Pilih organisasi Anda dari menu drop-down Select from di bagian atas halaman.

3. Buka Penyiapan Google Cloud: Men-deploy atau mendownload.

   Buka Deploy atau Download

4. Tinjau setelan konfigurasi yang Anda pilih. Klik setiap tab berikut dan tinjau setelan Anda:

   • Hierarki & akses resource
   • Logging
   • Keamanan
   • Jaringan VPC
   • Konektivitas hybrid

Men-deploy konfigurasi

Setelah meninjau detail konfigurasi, gunakan salah satu opsi berikut:

• Men-deploy langsung dari konsol: Gunakan opsi ini jika Anda tidak memiliki alur kerja deployment Terraform, dan menginginkan metode deployment yang sederhana. Anda dapat men-deploy menggunakan metode ini hanya sekali.

• Mendownload dan men-deploy file Terraform: Gunakan opsi ini jika Anda ingin mengotomatiskan pengelolaan resource menggunakan alur kerja deployment Terraform. Anda dapat mendownload dan men-deploy menggunakan metode ini beberapa kali.

Deploy menggunakan salah satu opsi berikut:

Langkah selanjutnya

Tinjau praktik terbaik pemantauan.

Cloud Monitoring otomatis dikonfigurasi untuk project Google Cloud Anda. Dalam tugas ini, Anda akan mempelajari praktik terbaik pemantauan opsional.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Tambahkan pengguna dan buat grup dalam tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.

Yang melakukan tugas ini

Seseorang di grup gcp-monitoring-admins@YOUR_DOMAIN yang Anda buat dalam tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Tinjau dan terapkan praktik terbaik pemantauan opsional.

Alasan kami merekomendasikan tugas ini

Anda dapat menerapkan praktik terbaik pemantauan untuk melakukan hal berikut:

• Fasilitasi kolaborasi antar-pengguna yang memantau organisasi Anda.
• Pantau infrastruktur Google Cloud Anda di satu tempat.
• Mengumpulkan metrik dan log aplikasi yang penting.

Meninjau dan menerapkan praktik terbaik pemantauan

Cloud Monitoring mengumpulkan metrik, peristiwa, dan metadata dari layanan Google Cloud, monitor sintetis, instrumentasi aplikasi, dan komponen aplikasi umum lainnya. Cloud Monitoring otomatis dikonfigurasi untuk project Google Cloud Anda.

Dalam tugas ini, Anda dapat menerapkan praktik terbaik berikut untuk membuat konfigurasi Cloud Monitoring default.

• Untuk membantu kolaborasi, buat kebijakan organisasi yang memberikan peran Monitoring Viewer kepada setiap akun utama di organisasi Anda untuk setiap project.

• Untuk memantau infrastruktur Google Cloud di satu tempat, konfigurasikan project untuk membaca metrik dari beberapa project Google Cloud menggunakan Cakupan Metrik.

• Untuk mengumpulkan metrik dan log aplikasi untuk virtual machine, lakukan hal berikut:

  • Untuk Compute Engine, instal Agen Operasional.
  • Untuk Google Kubernetes Engine (GKE), siapkan Google Cloud Managed Service for Prometheus.

Langkah selanjutnya

Pilih paket dukungan.

Dalam tugas ini, Anda akan memilih paket dukungan yang sesuai dengan kebutuhan bisnis Anda.

Yang melakukan tugas ini

Seseorang di grup gcp-organization-admins@YOUR_DOMAIN yang dibuat dalam tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Memilih paket dukungan berdasarkan kebutuhan perusahaan Anda.

Alasan kami merekomendasikan tugas ini

Paket dukungan premium memberikan dukungan yang sangat penting bagi bisnis untuk menyelesaikan masalah secara cepat dengan bantuan dari pakar di Google Cloud.

Memilih opsi dukungan

Anda otomatis mendapatkan Dukungan Dasar gratis, yang mencakup akses ke resource berikut:

• Dokumentasi
• Dukungan dan diskusi komunitas
• Dukungan untuk masalah penagihan

Sebaiknya pelanggan perusahaan mendaftar untuk Dukungan Premium, yang menawarkan dukungan teknis secara personal dengan engineer dukungan Google. Untuk membandingkan paket dukungan, lihat Layanan pelanggan Google Cloud.

Sebelum memulai

Selesaikan tugas berikut:

• Buat pengguna administrator super dan organisasi Anda dalam tugas Organisasi.
• Tambahkan pengguna dan buat grup dalam tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.

Mengaktifkan dukungan

Identifikasi dan pilih opsi dukungan.

1. Tinjau dan pilih paket dukungan. Untuk informasi selengkapnya, lihat Cloud Customer Care Google.

2. Login ke konsol Google Cloud dengan pengguna dari grup gcp-organization-admins@<your-domain>.com yang Anda buat di tugas Pengguna dan grup.

3. Buka Penyiapan Google Cloud: Dukungan.

   Buka Dukungan

4. Tinjau detail tugas dan klik Lihat penawaran dukungan untuk memilih opsi dukungan.

5. Setelah menyiapkan opsi dukungan, kembali ke halaman Penyiapan Google Cloud: Dukungan, lalu klik Tandai tugas sebagai selesai.

Langkah selanjutnya

Setelah menyelesaikan penyiapan Google Cloud, Anda siap untuk memperluas penyiapan awal, men-deploy solusi bawaan, dan memigrasikan alur kerja yang ada. Untuk mengetahui informasi selengkapnya, lihat Memperluas penyiapan awal dan mulai mem-build.