Lista de tareas para la configuración de Google Cloud

Debes usar Cloud Identity o Google Workspace a fin de administrar Google Cloud de forma centralizada y crear el recurso de organización necesario para realizar muchas de las acciones de la lista de tareas. Para permitir que los empleados usen su identidad existente con Google Cloud, debes federar Cloud Identity o Google Workspace con tu proveedor de identidad externo.

En esta tarea, crearás una identidad que puedes usar para trabajar en Google Cloud mediante Google Workspace, Cloud Identity o una combinación de ambos:

• Si eres cliente de Google Workspace (es decir, si tu empresa tiene acceso corporativo a Gmail y otros servicios de Google), la licencia de usuario de Google Workspace te permite administrar los recursos de Google Cloud.
• Si no eres cliente de Google Workspace, puedes usar Cloud Identity, que es una solución de identidad como servicio (IDaaS) para crear y administrar de forma centralizada los usuarios y los grupos que pueden acceder a los recursos de nube (en una tarea posterior, configurarás los recursos a los que tendrán acceso esos usuarios y grupos).
• Cloud Identity se puede usar con Google Workspace para proporcionar licencias a los usuarios que no requieren las funciones más sólidas y costosas de Google Workspace.

También puedes permitir que los empleados usen su identidad y las credenciales existentes para acceder a los servicios de Google si se federa una cuenta de Cloud Identity o de Google Workspace con un proveedor de identidad (IdP) externo.

Obtén más información sobre Google Workspace y Cloud Identity.

Cada cuenta de Google Workspace o de Cloud Identity se asocia con una sola organización. Una organización se asocia con un solo dominio, que se establece cuando se crea el recurso de la organización. Debes usar un recurso de organización en Cloud Console para realizar algunas tareas más adelante en esta lista.

En la siguiente sección se proporcionan instrucciones para configurar ambos servicios de identidad.

Quiénes deben realizar esta tarea

Para esta tarea se necesitan los siguientes integrantes:

1. Una persona que actúe como administrador de identidades de Google Cloud para tu empresa. Puedes otorgar este acceso a un grupo de personas más tarde. Si tu empresa ya usa un servicio pago de Google Workspace, una persona con acceso de administrador avanzado de Google Workspace debe realizar este paso.
2. Una persona con acceso al host del dominio de la empresa para ver y editar la configuración del dominio, como la configuración de DNS

Qué debes hacer

• Si eres un cliente nuevo, regístrate para obtener una cuenta de Cloud Identity y verifica el dominio de tu empresa.
• Si eres cliente de Google Workspace, puedes habilitar Cloud Identity de forma opcional y, además, inhabilitar las licencias automáticas de Google Workspace.

Por qué recomendamos esta tarea

Necesitas una cuenta de Cloud Identity o una cuenta de Google Workspace para hacer lo siguiente:

• Administrar usuarios y grupos para controlar el acceso a tus recursos en la nube
• Establecer una organización de Google Cloud
• Crear controles y estructuras organizativas

Si usas Google Workspace, pero algunos de los usuarios no necesitan características sólidas, puedes proporcionarles licencias a través de Cloud Identity para ahorrar costos.

Configura o confirma una cuenta de identidad

Soluciona problemas

No puedo registrarme en un servicio de Google con mi dominio

Para obtener más información sobre problemas y soluciones comunes, consulta No puedo registrarme en un servicio de Google con mi dominio.

La Cuenta de Google ya existe

Consulta la solución alternativa para el error “La Cuenta de Google ya existe”.

En esta tarea crearás cuentas administradas de Google para tus usuarios con acceso de administrador.

Quiénes deben realizar esta tarea

Una persona que actúe como administrador de identidades de Google Cloud para tu empresa.

Qué debes hacer

• Agrega usuarios a tu cuenta de Cloud Identity que participarán en las tareas de la lista.
• Crea un conjunto de Grupos de Google.
• Agrega usuarios a Grupos de Google que participarán en las tareas de la lista.

Por qué recomendamos esta tarea

Crear estas cuentas de usuario y Grupos de Google es un requisito para asignar funciones de administración de identidades y accesos (IAM) a fin de controlar el acceso más adelante.

Agrega usuarios iniciales

En esta lista de tareas para la integración, recomendamos que agregues primero a los usuarios que participarán en las tareas de la lista, como los administradores y los encargados de tomar decisiones sobre las prácticas de configuración de la nube. Puedes continuar con el resto de la lista de tareas sin agregar a todos los usuarios. Más adelante en esta tarea, crearás grupos de usuarios. Cuando termines esta lista de tareas, puedes escalar a una mayor cantidad de usuarios mediante una de las herramientas que describiremos más adelante.

1. Accede a la Consola del administrador de Google mediante la cuenta de administrador avanzado que se creó durante la configuración de una cuenta de Cloud Identity en la tarea 1.

2. Agrega usuarios con una de las siguientes opciones:

   • Agrega varios usuarios a la vez.
   • Agrega usuarios de forma individual.

Crea Grupos de Google

A continuación, crea un conjunto de Grupos de Google. Los Grupos de Google te permiten otorgar permisos de forma rápida a un grupo de usuarios de Cloud Identity o de Google Workspace. Configurarás los permisos para los grupos más adelante en esta lista de tareas.

Te recomendamos que primero crees los siguientes Grupos de Google:

• gcp-organization-admins
• gcp-network-admins
• gcp-security-admins
• gcp-billing-admins
• gcp-devops
• gcp-developers

Estos grupos serán esenciales en el proceso futuro de configuración cuando comiences a agregar permisos de acceso a Google Cloud. Si deseas obtener más información sobre los motivos por los que recomendamos estos grupos, consulta la guía Prácticas recomendadas para organizaciones empresariales.

1. Abre el tema Formas de crear grupos, selecciona En la Consola del administrador y sigue las instrucciones para crear cada uno de los Grupos de Google recomendados.

2. Agrega usuarios a cada Grupo de Google. Para poder completar esta lista de tareas, debes agregar al menos un usuario a cada uno de los siguientes grupos:

   • gcp-organization-admins
   • gcp-network-admins
   • gcp-billing-admins
   • gcp-devops

Evalúa las cuentas personales existentes

Evalúa si algunos de los empleados de la organización están usando cuentas personales para acceder a los servicios de Google y decide si deseas migrarlos a Cloud Identity o a Google Workspace.

Automatiza el aprovisionamiento de los usuarios y habilita el inicio de sesión único

Si la organización ya usa un proveedor de identidad, como Active Directory, Azure AD, Okta o Ping Identity, puedes integrar Google Cloud en este IdP externo mediante la federación:

• Federa Cloud Identity con Active Directory para aprovisionar a los usuarios de forma automática y habilitar el inicio de sesión único.
• Integración de Azure Active Directory.
• Crea una solución personalizada mediante el SDK de Admin de Google Workspace.

En esta tarea configurarás el acceso de administrador a tu organización, lo que otorgará visibilidad central a los administradores y te permitirá controlar todos los recursos de la nube que pertenezcan a tu organización.

Quiénes deben realizar esta tarea

Si tu empresa ya usa un servicio pago de Google Workspace, una persona con acceso de administrador avanzado de Google Workspace debe realizar este paso. De lo contrario, usa la cuenta de Cloud Identity que se creó en la tarea 2.

Qué debes hacer

• Verifica que se haya creado la organización.
• Asigna funciones administrativas al grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.
• Agrega permisos administrativos para ti y otros administradores de tu organización a fin de que puedas realizar tareas posteriores en la lista de tareas.

Por qué recomendamos esta tarea

Por motivos de seguridad, debes definir de forma explícita todas las funciones administrativas de tu organización.

Verifica que se haya creado la organización

1. Accede a Cloud Console mediante la cuenta de administrador avanzado de Google Workspace o con la cuenta de administrador avanzado de Cloud Identity que configuraste en la tarea 1.

2. Ve a la página Identidad y organización para terminar de crear la organización. Después de acceder al vínculo, es posible que debas esperar unos minutos hasta que se complete el proceso.

3. Asegúrate de que el nombre de tu organización aparezca en la lista Selecciona una organización. Es posible que tu organización tarde unos minutos en crearse con los pasos de la tarea 1. Si no ves el nombre, espera unos minutos y, luego, actualiza la página.

Configura el acceso de administrador

Luego, asignarás funciones administrativas al grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.

1. Completa los pasos indicados en Otorga acceso y ten en cuenta los siguientes cambios:

   • Después de abrir la página de IAM en Cloud Console, asegúrate de que el nombre de tu organización esté seleccionado en la lista de organizaciones en la parte superior de la página.

   • Cuando se te solicite ingresar una dirección de correo electrónico, usa gcp-organization-admins@<your-domain>.com.

   • Cuando se te solicite que elijas una función, selecciona Administrador de recursos > Administrador de la organización.

2. Después de agregar la primera función, haz clic en Agregar otra función y, luego, agrega las siguientes funciones adicionales para el miembro gcp-organization-admins@<your-domain>.com:

   • Administrador de recursos > Administrador de carpetas
   • Administrador de recursos > Creador del proyecto
   • Facturación > Usuario de la cuenta de facturación
   • Funciones > Administrador de funciones de la organización
   • Política de la organización > Administrador de políticas de la organización
   • Centro de seguridad > Administrador del centro de seguridad
   • Asistencia > Administrador de la cuenta de asistencia

3. Cuando termines de agregar funciones, haz clic en Guardar.

En esta tarea configurarás una cuenta de facturación a fin de pagar los recursos de Google Cloud y establecerás el acceso de administrador para tus cuentas de facturación.

Quiénes deben realizar esta tarea

Para esta tarea se necesitan los siguientes integrantes:

1. Una persona en el grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.

2. Una persona en el grupo gcp-billing-admins@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer

• Asigna acceso de administrador al grupo gcp-billing-admins@<your-domain>.com que se creó en la tarea 2.
• Elige y configura un tipo de cuenta de facturación y una forma de pago.

Por qué recomendamos esta tarea

Las cuentas de Facturación de Cloud se pueden vincular a uno o más proyectos de Google Cloud y se usan para pagar los recursos que uses, como máquinas virtuales, herramientas de redes y almacenamiento. Las funciones de IAM controlan el acceso a las cuentas de Facturación de Cloud.

Configura el acceso de administrador

Los miembros del equipo a los que se les asigna la función de IAM de administrador de la cuenta de facturación pueden completar tareas, como administrar pagos y facturas, establecer presupuestos y asociar proyectos con cuentas de facturación. La función no les otorga permiso para ver el contenido de los proyectos.

1. Asegúrate de haber accedido a Cloud Console como un usuario en el Grupo de Google gcp-organization-admins que se creó en la tarea 2.

2. Completa los pasos indicados en Otorga acceso y ten en cuenta los siguientes cambios:

   • Cuando se te solicite ingresar una dirección de correo electrónico, usa gcp-billing-admins@<your-domain>.com.

   • Cuando se te solicite que elijas una función, selecciona Facturación > Administrador de la cuenta de facturación.

   • Después de agregar la primera función, haz clic en Agregar otra función y, luego, agrega las siguientes funciones adicionales para el miembro gcp-billing-admins@<your-domain>.com:

     • Facturación > Creador de cuentas de facturación
     • Administrador de recursos > Visualizador de organizaciones.

Configura la cuenta de facturación

Luego, selecciona y configura un tipo de cuenta de facturación. Hay dos tipos de cuentas de facturación:

• Con pago automático: Puedes registrarte en línea con una tarjeta de débito o crédito, o débito directo de ACH. Los costos se cobran automáticamente.

• Con facturación: Se puede pagar mediante cheque o transferencia bancaria. Las facturas se envían a la dirección postal o al correo electrónico.

Si deseas obtener más información, incluidos los requisitos de elegibilidad para las cuentas de facturación, consulta Tipos de cuentas de facturación.

En esta tarea crearás una estructura básica para las carpetas y los proyectos en la jerarquía de recursos:

• Las carpetas proporcionan un mecanismo de agrupación y límites de aislamiento entre proyectos. Por ejemplo, pueden representar los departamentos principales en tu organización, como finanzas o venta minorista, o entornos, como producción frente a no producción.

• Los proyectos contienen los recursos de la nube como, por ejemplo, máquinas virtuales, bases de datos y depósitos de almacenamiento. Para obtener prácticas recomendadas relacionadas con los proyectos, consulta Especifica la estructura de tu proyecto.

Puedes establecer políticas de IAM para controlar el acceso en diferentes niveles de la jerarquía de recursos. Establecerás estas políticas como una tarea posterior en esta lista de tareas.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer

Crea la estructura de jerarquía inicial con carpetas y proyectos.

Por qué recomendamos esta tarea

Crear la estructura es un requisito para una tarea posterior en la que estableces políticas de IAM a fin de controlar el acceso en diferentes niveles de la jerarquía de recursos.

Diagrama de la jerarquía de recursos

Hay muchas formas de crear la jerarquía de recursos. En el siguiente diagrama, se muestra un ejemplo típico:

En el ejemplo, la jerarquía de recursos de organización contiene tres niveles de carpetas:

• Entorno (producción y no producción) Cuando se aíslan los entornos entre sí, se puede controlar mejor el acceso a los entornos de producción y evitar que los cambios que no sean de producción puedan afectarla de forma accidental.

• Unidades de negocios. En el diagrama, se representan como Dept Xy Dept Y, que podrían ser unidades de negocios como, por ejemplo, Ingeniería y Marketing, y una carpeta Shared con proyectos que contienen recursos compartidos en la jerarquía, como herramientas de redes, registro y supervisión.

• Equipos. En el diagrama se representan como Team A, Team B y Team C, que pueden ser equipos como Desarrollo, Ciencia de datos o Control de calidad, entre otros.

Crea la jerarquía de recursos inicial

En estos pasos de la lista de tareas, creas carpetas y proyectos básicos para la configuración inicial, tal como se muestra en el siguiente diagrama. Estos se usarán en las tareas restantes de la lista. Más adelante, podrás crear esta jerarquía para duplicar tu organización y personalizarla según las necesidades de tu empresa a medida que incrementas las cargas de trabajo en Google Cloud.

1. Asegúrate de haber accedido a Cloud Console como un usuario en el Grupo de Google gcp-organization-admins que se creó en la tarea 2.
2. Crea carpetas. Sigue el procedimiento cuatro veces para crear las siguientes carpetas:
   1. Production
   2. Non-Production
   3. Shared, con Production como carpeta superior
   4. Shared, con Non-Production como carpeta superior

Luego, crearás proyectos. De acuerdo con el principio de separación de los entornos de producción y de no producción, para esta lista de tareas debes crear los siguientes proyectos:

• example-vpc-host-nonprod. Este proyecto se usa para conectar recursos de varios proyectos del entorno de no producción a la red de VPC común.

• example-vpc-host-prod. Este proyecto se usa para conectar recursos del entorno de producción de varios proyectos a una red de VPC común.

• example-monitoring-nonprod. Este proyecto se usa para alojar recursos de supervisión de tu entorno de no producción.

• example-monitoring-prod. Este proyecto se utiliza para alojar recursos de supervisión del entorno de producción.

• example-logging-nonprod. Este proyecto se usa para alojar los datos de registro exportados de tu entorno de no producción.

• example-logging-prod. Este proyecto se usa para alojar datos de registro exportados del entorno de producción.

Los nombres de proyecto tienen un límite de 30 caracteres. Por lo general, puedes usar el nombre de tu empresa en lugar de example, siempre y cuando no sobrepases el límite de 30 caracteres. Cuando crees proyectos en la jerarquía de recursos en el futuro, recomendamos utilizar una convención de nombres, como <business unit name>-<team name>-<application name>-<environment>, según la jerarquía de recursos de tu organización.

Sigue estos pasos para crear los proyectos:

1. En Cloud Console, ve a la página Administra recursos:

   Ir a la página Administra recursos

2. Haz clic en Crear proyecto.

3. En la ventana Nuevo proyecto, ingresa el nombre de uno de los proyectos de la lista anterior.

4. Si se te solicita que selecciones una cuenta de facturación, selecciona la que desees usar para esta lista de tareas.

5. En Ubicación, haz clic en Navegar y, luego, configura la ubicación como se indica a continuación:

   • Si el nombre del proyecto que estás creando termina en prod, selecciona Producción > Compartido.
   • Si el nombre del proyecto que estás creando termina en nonprod, selecciona No producción > Compartido.

6. Haz clic en Crear.

7. Repite los pasos 2 a 6 con cada uno de los proyectos recomendados.

En esta tarea, agregarás políticas de IAM a los recursos a fin de configurar el control de acceso para la jerarquía de recursos. Una política de IAM es un conjunto de declaraciones que definen quién tiene qué tipo de acceso. Una política se vincula a un recurso y se usa para aplicar el control de acceso cada vez que se accede a ese recurso.

A fin de configurar los permisos, realizas el mismo procedimiento básico, pero lo haces para los recursos en distintos niveles de la jerarquía (organizaciones, carpetas y proyectos). Recomendamos que utilices el principio de menor privilegio y otorgues el menor acceso posible necesario para los recursos en cada nivel. Las funciones que recomendamos en los siguientes procedimientos te ayudan a aplicar el principio de privilegio mínimo.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer

Establece políticas de IAM a nivel de organización, carpeta y proyecto.

Por qué recomendamos esta tarea

Establecer políticas de IAM en toda la jerarquía de recursos te permite controlar de manera escalable el acceso a tus recursos en la nube.

Establece políticas de IAM a nivel de organización

Las políticas que establezcas a nivel de organización se aplicarán a todas las carpetas y los proyectos de la organización. En la siguiente tabla, se enumeran los miembros y las funciones que les asignas a nivel de organización. Los pasos para realizar este procedimiento se indican después de la tabla.

Miembro	Funciones para otorgar
gcp-network-admins@<your-domain>.com	Compute Engine > Administrador de red de Compute. Esto otorga permisos con el objetivo de crear, modificar y borrar recursos de red, excepto para reglas de firewall y certificados SSL. Compute Engine > Administrador de la VPC compartida de Compute. Esto otorga permiso para administrar los proyectos host de la VPC compartida. Compute Engine > Administrador de seguridad de Compute. Esto otorga permisos para crear, modificar y borrar las reglas de firewall y los certificados SSL. Administrador de recursos > Visualizador de carpetas. Esto otorga permisos para ver las carpetas.
gcp-security-admins@<your-domain>.com	Políticas de la organización > Administrador de políticas de la organización. Esto otorga permisos para establecer las políticas de IAM a nivel de organización. Política de la organización > Visualizador de la política de organización. Esto otorga permisos para ver las políticas de IAM que se aplican a la organización. IAM > Revisor de seguridad. Esto otorga permisos para ver todos los recursos de la organización y las políticas de IAM que se aplican a ellos. Funciones > Visualizador de funciones de la organización. Esto otorga permisos para ver todas las funciones personalizadas de IAM en la organización y los proyectos a los que se aplican. Centro de seguridad > Administrador del centro de seguridad. Esto le otorga al administrador acceso a Security Command Center. Administrador de recursos > Administrador de IAM de carpetas. Esto otorga permisos para establecer las políticas de IAM a nivel de carpetas. Logging > Visualizador de registros privados. Esto otorga acceso de solo lectura a las funciones de Cloud Logging, incluida la capacidad de leer registros privados. Logging > Escritor de configuración de registros. Esto otorga permisos para crear métricas basadas en registros y receptores de exportación. Kubernetes Engine > Visualizador de Kubernetes Engine. Esto otorga acceso de solo lectura a los recursos de Google Kubernetes Engine. Compute Engine > Visualizador de Compute. Esto otorga acceso de solo lectura a los recursos de Compute Engine. BigQuery > Visualizador de datos de BigQuery. Esto otorga permisos para los conjuntos de datos de BigQuery.
gcp-devops@<your-domain>.com	Administrador de recursos > Visualizador de carpetas. Esto otorga permisos para ver las carpetas.

1. Asegúrate de haber accedido a Cloud Console como un usuario en el Grupo de Google gcp-organization-admins que se creó en la tarea 2.

2. Ve a la página Administrar recursos en Cloud Console:

   Ir a la página Administra recursos

3. Selecciona tu organización desde la cuadrícula del organigrama.

4. Si el Panel de información a la derecha está oculto, haz clic en Mostrar panel de información en la esquina superior derecha.

5. Selecciona la casilla de verificación de la organización.

6. En el Panel de información, en la pestaña Permisos, haz clic en Agregar miembro.

7. En el campo Miembros nuevos, ingresa el nombre de un miembro de la tabla. Por ejemplo, primero ingresa gcp-network-admins@<your-domain>.com, según se muestra en la tabla anterior.

8. En la lista Seleccionar una función, elige la primera función para ese miembro como se indica en la tabla. Por ejemplo, para el primer miembro, la primera función que eliges es Compute Engine > Administrador de red de Compute.

9. Haz clic en Agregar otra función y, luego, agrega la siguiente función para ese miembro.

10. Agrega la próxima función a ese miembro.

11. Después de agregar todas las funciones al miembro, haz clic en Guardar.

12. Repite los pasos 2 a 7 para los otros miembros de la tabla.

Establece políticas de IAM al nivel de carpeta

Las políticas establecidas a nivel de carpetas también se aplican a los proyectos en ellas. El procedimiento es similar al que usaste para tu organización, aunque seleccionas un nivel diferente en la jerarquía.

1. Desmarca la casilla de verificación de la organización y cualquier otro recurso seleccionado.

2. Selecciona la casilla de verificación de la carpeta de Production.

3. En el Panel de información, en la pestaña Permisos, haz clic en Agregar miembro.

4. En el campo Miembros nuevos, ingresa gcp-devops@<your-domain>.com.

5. Con los mismos pasos que usaste para agregar funciones a miembros de la organización, agrega las siguientes funciones al miembro gcp-devops@<your-domain>.com:

   • Logging > Administrador de Logging. Esto otorga permisos completos a Cloud Logging.
   • Error Reporting > Administrador de Error Reporting. Esto otorga permisos completos a los datos de Error Reporting.
   • Administración de servicios > Administrador de cuotas. Esto proporciona acceso para administrar cuotas de servicio.
   • Monitoring > Administrador de Monitoring Esto otorga permisos completos sobre la supervisión de datos.
   • Compute Engine > Administrador de Compute. Esto otorga permisos completos sobre los recursos de Compute Engine.
   • Kubernetes Engine > Administrador de Kubernetes Engine. Esto otorga permisos completos a los clústeres de contenedor de Google Kubernetes Engine.

6. Cuando agregues todas las funciones, haz clic en Guardar.

7. Desmarca la casilla de verificación de la carpeta Production.

8. Selecciona la casilla de verificación de la carpeta de Non-Production.

9. Agrega a gcp-developers@<your-domain>.com como miembro nuevo.

10. Asigna las siguientes funciones de IAM al miembro gcp-developers@<your-domain>.com:

    • Compute Engine > Administrador de Compute. Esto otorga permisos completos sobre los recursos de Compute Engine.
    • Kubernetes Engine > Administrador de Kubernetes Engine. Esto otorga permisos completos a los clústeres de contenedor de Google Kubernetes Engine.

Establece políticas de IAM a nivel de proyecto

Las políticas que establezcas a nivel de proyecto solo se aplicarán a los proyectos que se especifiquen. Esto te permite establecer permisos detallados para proyectos individuales.

1. Desmarca las casillas de verificación de las carpetas y los recursos que se hayan seleccionado.

2. Selecciona las casillas de verificación de los siguientes proyectos:

   • example-vpc-host-nonprod
   • example-vpc-host-prod

3. Agrega a gcp-network-admins@<your-domain>.com como miembro.

4. Asigna la siguiente función al miembro gcp-network-admins@<your-domain>.com:

   • Proyecto > Propietario. Esto otorga permisos completos sobre todos los recursos de los proyectos seleccionados.

5. Haz clic en Guardar.

6. Desmarca las casillas de verificación para los proyectos seleccionados.

7. Selecciona las casillas de verificación de los siguientes proyectos:

   • example-monitoring-nonprod
   • example-monitoring-prod
   • example-logging-nonprod
   • example-logging-prod

8. Agrega a gcp-devops@<your-domain>.com como miembro nuevo.

9. Asigna la siguiente función al miembro gcp-devops@<your-domain>.com:

   • Proyecto > Propietario. Esto otorga permisos completos sobre todos los recursos de los proyectos seleccionados.

10. Haz clic en Guardar.

En esta tarea, puedes elegir una opción de asistencia.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer

Elige un plan de asistencia según las necesidades de tu empresa.

Por qué recomendamos esta tarea

Un plan de asistencia premium te brinda asistencia para las operaciones fundamentales de tu empresa a fin de solucionar problemas con rapidez con la ayuda de expertos de Google.

Elige una opción de asistencia

Cada cliente de Google Cloud recibe asistencia gratuita de forma automática que incluye documentación de asistencia para productos, asistencia de la comunidad y asistencia para problemas de facturación. Sin embargo, recomendamos que los clientes empresariales se registren en un plan de asistencia premium, ya que ofrece asistencia técnica con ingenieros de Atención al cliente de Google. Si deseas obtener más información, puedes comparar planes de asistencia.

1. Consulta los planes de asistencia y decide cuál deseas. Podrás configurarlo en un paso posterior. Si te decides por las opciones de asistencia gratuita, puedes dirigirte a la siguiente tarea.

2. Asegúrate de haber accedido a Cloud Console como un usuario en el Grupo de Google gcp-organization-admins que se creó en la tarea 2.

3. Configura el plan de asistencia.

   • Para solicitar la asistencia Premium, comunícate con tu representante de ventas de Google. Si no tienes un representante, comunícate con Ventas.

   • A fin de habilitar la asistencia por función, ve a la página Habilitar la Asistencia por función en Google Cloud Console y sigue las instrucciones en pantalla para completar los pasos necesarios.

     Ir a la página Habilitar la Asistencia por función

4. Sigue las instrucciones en Funciones de los usuarios de asistencia para asignar las funciones de Usuario de asistencia y Visualizador de la organización a cada usuario que necesite interactuar con el servicio de asistencia de Google Cloud.

En esta tarea, configurarás tu red inicial. Por lo general, debes seguir estos pasos:

• Diseña, crea y configura una arquitectura de nube privada virtual.
• Si tienes herramientas de redes locales o en otro proveedor de servicios en la nube, debes configurar la conectividad entre ese proveedor y Google Cloud.
• Configura una ruta para el tráfico externo de salida.
• Implementa controles de seguridad de red, como reglas de firewall.
• Selecciona una opción de tráfico de entrada preferida para los servicios alojados en la nube.

En esta tarea se muestra un ejemplo del elemento 1 como base para tu propia arquitectura de nube privada virtual.

Los elementos restantes (conectividad externa, configuración del tráfico de salida, implementación de las reglas de firewall y selección de la opción de entrada) dependen de las necesidades de tu negocio. Por lo tanto, no los incluimos en esta lista de tareas. Sin embargo, proporcionamos vínculos a la información adicional sobre estos parámetros.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-network-admins@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer

Establece una configuración inicial de las herramientas de redes.

• Crea las redes de VPC compartida
• Configura la conectividad entre el proveedor externo y Google Cloud
• Configura una ruta para el tráfico externo de salida
• Implementa controles de seguridad de red
• Elige una opción de tráfico de entrada

Por qué recomendamos esta tarea

• La VPC compartida permite que distintos equipos se conecten a una red de VPC común administrada de forma central desde varios productos diferentes.

• La configuración de la conectividad híbrida permite la migración sin interrupciones de las aplicaciones a Google Cloud y, al mismo tiempo, se mantiene la conexión con las dependencias del servicio.

• El diseño de rutas de entrada y salida seguras desde el comienzo permite a tus equipos trabajar de forma productiva en Google Cloud sin comprometer la seguridad.

Arquitectura de nube privada virtual

Google ofrece la nube privada virtual (VPC) para proporcionar funcionalidad de red a tus recursos de Google Cloud, como las instancias de máquina virtual de Compute Engine, los contenedores de GKE y el entorno flexible de App Engine. En el siguiente diagrama, se muestra la arquitectura multirregional básica:

Esta arquitectura tiene dos proyectos host de VPC compartida. Uno es para tu entorno de producción y el otro para el de no producción. Con la VPC compartida, las organizaciones pueden conectar recursos de varios proyectos a una red de VPC común, de modo que los recursos se comuniquen entre sí de manera más segura y eficiente mediante las direcciones IP internas de esa red.

Un proyecto host de VPC compartida incluye una o más redes de VPC compartida. En esta arquitectura cada red de VPC compartida (en entorno de producción y de no producción) incluye subredes públicas y privadas en dos regiones (en este caso, us-east1 y us-west1):

• La subred pública se puede usar para instancias que están conectadas a Internet a fin de proporcionar conectividad externa.
• La subred privada se puede usar en instancias que son solo para uso interno y no se le deben asignar direcciones IP públicas.

La arquitectura que se muestra en el diagrama anterior usa nombres de ejemplo para varios recursos. En tu configuración, puedes cambiar elementos del nombre, como tu empresa (example en los nombres de ejemplo) y la región que usas (us-east1 y us-west1 en los ejemplos).

Crea las redes de VPC compartida

1. En la página de selección de proyecto, selecciona example-vpc-host-nonprod:

   Ir a la página de selección de proyecto

2. Sigue las instrucciones que se brindan en Borra una red para borrar la red de VPC llamada default.

3. Sigue las instrucciones para crear una red de modo personalizado con los siguientes valores:

   1. En Nombre, ingresa example-shared-vpc-nonprod-1.
   2. En los parámetros de la sección Subred nueva, ingresa la siguiente información:
      • En Nombre, ingresa example-nonprod-us-east1-subnet-public.
      • Para el rango de direcciones IP, ingresa 10.1.0.0/24 (siempre que esa dirección IP no entre en conflicto con el rango de IP existente de la red y sea suficiente para satisfacer tus requisitos de hosting).
      • En Acceso privado a Google, selecciona Activado para permitir que las VM se comuniquen con las API de Google sin una dirección IP externa.
   3. Selecciona Agregar subred y sigue las instrucciones para agregar los siguientes nombres de subredes:
      • example-nonprod-us-east1-subnet-private
IP address range: 10.2.0.0/24
      • example-nonprod-us-west1-subnet-public
IP address range: 10.3.0.0/24
      • example-nonprod-us-west1-subnet-private
IP address range: 10.4.0.0/24

4. Habilita el proyecto host de la red de VPC compartida con los siguientes valores:

   1. Para el proyecto, selecciona example-vpc-host-nonprod.
   2. En Seleccionar subredes, haz clic en Subredes individuales (permisos de nivel de subred) y selecciona todas las subredes que creaste antes.
   3. En Vincular proyectos de servicio, vincula todos los proyectos de supervisión y registro restantes de los entornos de no producción.

5. En la página de selección de proyecto, selecciona example-vpc-host-prod:

   Ir a la página de selección de proyecto

6. Repite los pasos 2 a 4 para el entorno de producción. Asegúrate de seleccionar todas las subredes de producción que se crearon antes.

Configura la conectividad entre el proveedor externo y Google Cloud

Si tienes herramientas de redes locales o en otro proveedor de servicios en la nube, puedes configurar Cloud VPN, un servicio que te ayuda a conectar de manera segura tu red de intercambio de tráfico con tu red de VPC de Google Cloud mediante una conexión de VPN IPSec. El servicio de Cloud VPN es adecuado para velocidades de hasta 3.0 Gbps. Si necesitas más ancho de banda para conectar tu sistema local a Google Cloud, consulta Interconexión de socio e Interconexión dedicada.

A fin de crear una conexión de VPN, sigue las instrucciones en Crea una puerta de enlace y un túnel para las redes de VPC compartidas de producción y no producción que se crearon en el procedimiento anterior.

Configura una ruta para el tráfico externo de salida

Cloud NAT se usa para permitir que tus VM se conecten a Internet sin usar una dirección IP externa. Cloud NAT Es un recurso regional. Puedes configurarlo para permitir tráfico de todos los rangos de IP principales y secundarios de las subredes de una región. También puedes configurarlo para que se aplique solo a algunos de esos rangos.

Sigue las instrucciones en Crea NAT para todas las regiones de las redes de VPC compartidas que se crearon en el procedimiento anterior en redes de producción y no producción.

Implementa controles de seguridad de red

Las reglas de firewall permiten o rechazan el tráfico desde y hacia las instancias de máquina virtual (VM) según la configuración que especifiques. Sigue las instrucciones en Usa reglas de firewall a fin de configurar estos controles para las redes de VPC compartida de producción y no producción que se crearon en el procedimiento anterior.

Elige una opción de tráfico de entrada

Cloud Load Balancing te permite distribuir recursos de procesamiento en una o varias regiones. Esto te permite cumplir con los requisitos de alta disponibilidad para el tráfico externo entrante y el tráfico dentro de tu red de VPC. Cuando planifiques el diseño de la arquitectura de tu aplicación en Google Cloud, consulta Elige un balanceador de cargas para decidir qué tipos de balanceadores necesitas.

En esta tarea, configurarás las funciones básicas de registro y supervisión mediante Cloud Logging y Cloud Monitoring.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-devops@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer

Configura funciones básicas de registro y supervisión con Cloud Logging y Cloud Monitoring.

Por qué recomendamos esta tarea

El registro y la supervisión integrales son clave para mantener la observabilidad en tu entorno de nube. Configurar la retención de registros adecuada desde el principio te permite compilar y tener la confianza de que un registro de auditoría se conservará, mientras que configurar la supervisión centralizada le dará a tu equipo un panel central para ver tus entornos.

Configura la supervisión

Cloud Monitoring recopila métricas, eventos y metadatos de los servicios de Google Cloud, sondeos de tiempo de actividad alojados, instrumentación de la aplicación y otros componentes comunes de la aplicación.

1. Asegúrate de haber accedido a Cloud Console como un usuario en el grupo gcp-devops que se creó en la tarea 2.

2. Crea un lugar de trabajo para Monitoring mediante un proyecto host. El primer proyecto de Google Cloud supervisado en un lugar de trabajo es el proyecto host, y debes asegurarte de elegir el proyecto adecuado para que actúe como tal. Cuando se te solicite que elijas un proyecto, selecciona el proyecto de supervisión del entorno de no producción (example-monitoring-nonprod) que se creó en la tarea 5.

3. Agrega otros proyectos que desees supervisar desde este lugar de trabajo. Por ejemplo, agrega todos los demás proyectos del entorno de no producción.

4. Repite este procedimiento con tus proyectos en producción. Usa example-monitoring-prod como el proyecto del lugar de trabajo y agrega los proyectos de producción que supervisarás.

Configura el registro

Cloud Logging te permite almacenar, buscar, analizar, supervisar y recibir alertas sobre datos de registro y eventos de Google Cloud y Amazon Web Services (AWS). Cloud Logging también te permite transferir datos de registro personalizados desde cualquier fuente y exportar registros a receptores de datos externos.

1. Asegúrate de haber accedido a Cloud Console como un usuario en el grupo gcp-devops que se creó en la tarea 2.

2. Usa los siguientes valores para habilitar la exportación de registros a BigQuery:

   • Selecciona el proyecto example-logging-nonprod.
   • Crea un conjunto de datos de BigQuery. En ID de conjunto de datos, usa un nombre como example_logging_export_nonprod.
   • Después de asignar un nombre al conjunto de datos, haz clic en Crear conjunto de datos.

3. Repite el paso anterior para el proyecto example-logging-prod, pero usa example_logging_export_prod como ID del conjunto de datos.

4. Revisa los períodos de retención de registros para determinar si satisfacen los requisitos de cumplimiento. Si no es así, configura la exportación de registros a Cloud Storage, que puede ser útil para la retención a largo plazo.

En esta tarea debes configurar los productos de Google Cloud que ayudarán a proteger tu organización. Google Cloud proporciona muchas ofertas de seguridad.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer

• Habilita el panel de Security Command Center.
• Configura la política de la organización.

Por qué recomendamos esta tarea

Recomendamos configurar los siguientes dos productos:

• Security Command Center. Esta plataforma completa de administración de seguridad y riesgos de datos te permite supervisar tus recursos de nube, analizar los sistemas de almacenamiento en busca de datos sensibles, detectar vulnerabilidades web comunes y revisar los derechos de acceso a tus recursos esenciales.

• Servicio de políticas de la organización. Este servicio te brinda control programático centralizado sobre los recursos en la nube de tu organización.

Configura los productos

1. Asegúrate de haber accedido a Cloud Console como un usuario en el grupo gcp-organization-admins que se creó en la tarea 2.

2. Habilita el panel de Security Command Center.

3. Sigue los pasos en Personaliza políticas para restricciones booleanas a fin de configurar la política de la organización con los siguientes detalles:

   1. Configura la limitación Omitir creación de red predeterminada con los siguientes cambios:
      • Cuando se te solicite que elijas un proyecto, una carpeta o una organización, elige tu organización.
      • Cuando se te solicite que elijas una restricción de la lista de la página Políticas de la organización, selecciona Omitir creación de red predeterminada.
      • Cuando se te solicite que selecciones una función de aplicación, selecciona Activado.
   2. Configura la limitación de uso compartido restringido al dominio.
   3. Inhabilita el acceso a las instancias de VM desde direcciones IP externas.