Google Cloud 设置核对清单

您必须使用 Cloud Identity 或 Google Workspace 来集中管理 Google Cloud 以及创建执行核对清单中许多操作所需的组织资源。为了使员工能够将其现有身份与 Google Cloud 搭配使用，您必须将 Cloud Identity 或 Google Workspace 与您的外部身份提供商联合。

在此任务中，您将创建一个身份，可用于在 Google Cloud 中使用 Google Workspace 和/或 Cloud Identity 工作：

• 如果您是 Google Workspace 客户（即您的公司使用企业 Gmail 及其他 Google 服务），则您的 Google Workspace 用户许可允许您管理自己的 Google Cloud 资源。
• 如果您不是 Google Workspace 客户，则可以使用 Cloud Identity，这是身份即服务 (IDaaS) 解决方案，用于集中创建和管理可以访问您的云资源的用户和群组。（在后续任务中，您将配置这些用户和群组可以访问的资源。）
• Cloud Identity 可以与 Google Workspace 搭配使用，以便为不需要 Google Workspace 更强大、更昂贵的功能的用户提供许可。

您还可以通过将 Cloud Identity 或 Google Workspace 帐号与外部身份提供商 (IdP) 联合，让员工使用其现有身份和凭据登录 Google 服务。

您可以了解 Google Workspace 和 Cloud Identity。

每个 Google Workspace 或 Cloud Identity 帐号只能与一个组织关联。一个组织只能与一个网域关联，该网域在创建组织资源时设置。您必须使用 Cloud Console 中的组织资源来执行此核对清单后面的任务。

以下部分介绍如何设置这两种身份服务。

谁执行此任务

此任务需要多人参与：

1. 将在贵公司担任 Google Cloud 身份管理员的人员。 您可以稍后向一组人员授予此访问权限。如果您的公司已使用付费 Google Workspace 服务，则拥有 Google Workspace 超级用户访问权限的人员必须执行此步骤。
2. 能够访问公司的域名托管服务商以及查看和修改 DNS 配置等网域设置的人员。

您需要执行的操作

• 如果您是新客户，请注册 Cloud Identity 帐号，并验证您公司的网域。
• 如果您是 Google Workspace 客户，则可以选择启用 Cloud Identity，并停用自动 Google Workspace 许可。

我们为何建议执行此任务

您需要有 Cloud Identity 帐号或 Google Workspace 帐号才能执行以下操作：

• 管理用户和群组以控制对云资源的访问权限。
• 建立 Google Cloud 组织。
• 创建组织控制机制和结构。

如果您使用 Google Workspace，但您的某些用户不需要其强大的功能，则您可以通过 Cloud Identity 为这些用户提供许可来节省费用。

设置或确认身份帐号

问题排查

无法使用自己的网域注册 Google 服务

如需详细了解常见原因及解决方案，请参阅无法使用自己的网域注册 Google 服务。

Google 帐号已存在

请参阅“Google 帐号已存在”错误，获取解决方法。

对于此任务，您可以为管理员用户创建代管式 Google 帐号。

谁执行此任务

将在贵公司担任 Google Cloud 身份管理员的人员。

您需要执行的操作

• 把将要参与核对清单任务的用户添加到您的 Cloud Identity 帐号。
• 创建一组 Google 网上论坛群组。
• 把将要参与核对清单任务的用户添加到 Google 网上论坛群组。

我们为何建议执行此任务

为了分配 Identity and Access Management (IAM) 角色以便日后控制访问权限，您必须创建相关用户帐号和 Google 群组。

添加初始用户

为了使用本新手入门核对清单，我们建议您首先添加将会参与核对清单任务的用户，如云端设置实践涉及的管理员和决策者。您可以继续执行核对清单的其余部分，无需添加所有用户。您稍后将在此任务中创建用户群组。完成本核对清单后，您可以使用我们稍后将介绍的工具之一扩容到更多的用户。

1. 使用您在任务 1 中设置 Cloud Identity 帐号时创建的超级用户帐号登录 Google 管理控制台。

2. 使用以下选项之一添加用户：

   • 一次添加多名用户。
   • 逐个添加用户。

创建 Google 网上论坛群组

接下来，您需要创建一组 Google 群组。您可以通过 Google 群组向一组 Cloud Identity 或 Google Workspace 用户快速分配权限。您可以稍后在核对清单中为群组设置权限。

我们建议您在刚开始时创建以下 Google 群组：

• gcp-organization-admins
• gcp-network-admins
• gcp-security-admins
• gcp-billing-admins
• gcp-devops
• gcp-developers

在稍后的设置过程中，当您开始添加 Google Cloud 访问权限时，这些群组至关重要。如需详细了解我们推荐这些群组的原因，请参阅企业组织的最佳做法指南。

1. 打开创建群组的方法主题，选择在管理控制台中，然后按照说明创建每个建议的 Google 网上论坛群组。

2. 向每个 Google 网上论坛群组添加用户。为了能够完成此核对清单，您必须至少为以下每个群组添加一个用户：

   • gcp-organization-admins
   • gcp-network-admins
   • gcp-billing-admins
   • gcp-devops

评估现有的消费者帐号

评估您的组织的某些员工当前是否正在使用消费者帐号访问 Google 服务，并决定是否要将他们迁移到 Cloud Identity 或 Google Workspace。

自动预配用户并启用单点登录

如果您的组织已在使用身份提供商（如 Active Directory、Azure AD、Okta 或 Ping Identity），则您可以使用联合将 Google Cloud 与此外部 IdP 集成：

• 将 Cloud Identity 与 Active Directory 联合以自动预配用户并启用单点登录。
• 与 Azure Active Directory 集成。
• 使用 Google Workspace Admin SDK 创建自定义解决方案。

在本任务中，您将为组织设置管理员访问权限，允许管理员集中查看和控制属于您组织的每个云端资源。

谁执行此任务

如果您的公司已使用付费 Google Workspace 服务，则拥有 Google Workspace 超级用户访问权限的人员必须执行此步骤。否则，请使用您在任务 2 中创建的 Cloud Identity 帐号。

您需要执行的操作

• 验证您的组织已经创建。
• 将管理角色分配给您在任务 2 中创建的 gcp-organization-admins@<your-domain>.com 群组。
• 为您自己以及您组织中的其他管理员添加管理权限，以便您可以执行核对清单中的后续任务。

我们为何建议执行此任务

出于安全原因考虑，您必须为组织明确定义所有管理角色。

验证您的组织是否已创建

1. 使用您的 Google Workspace 超级用户帐号或者在任务 1 中设置的 Cloud Identity 超级用户帐号登录 Cloud Console。

2. 请转到身份和组织页面完成组织的创建过程。转到该页面后，您可能需要等待几分钟时间，让系统完成创建过程。

3. 确保您的组织名称显示在选择组织列表中。通过任务 1 中的步骤创建您的组织可能需要几分钟时间。如果您没有看到组织名称，请等待几分钟，然后刷新页面。

设置管理员访问权限

接下来，将管理角色分配给您在任务 2 中创建的 gcp-organization-admins@<your-domain>.com 群组。

1. 完成授予访问权限的步骤，并进行以下更改：

   • 在 Cloud Console 中打开 IAM 页面后，请务必在页面顶部的组织列表中选择您的组织名称。

   • 当系统要求您输入电子邮件地址时，请使用 gcp-organization-admins@<your-domain>.com。

   • 当系统要求您选择角色时，请选择 Resource Manager > Organization Administrator。

2. 添加第一个角色后，请点击添加其他角色，然后为 gcp-organization-admins@<your-domain>.com 成员额外添加以下角色：

   • Resource Manager > Folder Admin
   • Resource Manager > Project Creator
   • 结算 > Billing Account User
   • 角色 > Organization Role Administrator
   • 组织政策 > Organization Policy Administrator
   • 安全中心 > Security Center Admin
   • 支持 > Support Account Administrator

3. 添加完角色后，点击保存。

在此任务中，您将设置结算帐号以用于支付 Google Cloud 资源的费用，还将为您的结算帐号设置管理员访问权限。

谁执行此任务

此任务需要多人参与：

1. 您在任务 2 中创建的 gcp-organization-admins@<your-domain>.com 群组中的人员。

2. 您在任务 2 中创建的 gcp-billing-admins@<your-domain>.com 群组中的人员。

您需要执行的操作

• 将管理角色分配给您在任务 2 中创建的 gcp-billing-admins@<your-domain>.com 群组。
• 选择并设置结算帐号类型和付款方式。

我们为何建议执行此任务

Cloud Billing 帐号与一个或多个 Google Cloud 项目相关联，且用于支付您使用的资源（如虚拟机、网络和存储空间）的费用。IAM 角色会控制对 Cloud Billing 帐号的访问权限。

设置管理员访问权限

分配了 Billing Account Administrator IAM 角色的团队成员可完成管理付款和帐单、设置预算、将项目与结算帐号关联等任务。此角色不会为团队成员授予查看项目内容的权限。

1. 确保您以任务 2 中创建的 gcp-organization-admins Google 网上论坛群组中的用户身份登录 Cloud Console。

2. 完成授予访问权限的步骤，并进行以下更改：

   • 当系统要求您输入电子邮件地址时，请使用 gcp-billing-admins@<your-domain>.com。

   • 当系统要求您选择角色时，请选择结算 > Billing Account Administrator。

   • 添加第一个角色后，请点击添加其他角色，然后为 gcp-billing-admins@<your-domain>.com 成员额外添加以下角色：

     • 结算 > Billing Account Creator
     • Resource Manager > Organization Viewer

设置结算帐号

接下来，您选择并设置结算帐号类型。结算帐号有两种类型：

• 自助。您使用信用卡、借记卡或 ACH 直接付款在线注册。系统自动收取费用。

• 帐单。您可以通过支票或电汇支付。我们会通过邮寄或电子方式发送帐单。

如需了解详情（包括帐单结算帐号的资格要求），请参阅结算帐号类型。

在此任务中，您将为资源层次结构中的文件夹和项目创建基本结构：

• 文件夹在项目之间提供了分组机制和隔离边界。例如，文件夹可表示您的组织中的主要部门（例如财务或零售），也可表示环境（例如生产与非生产）。

• 项目包含虚拟机、数据库、存储分区等云端资源。如需了解与项目有关的最佳做法，请参阅指定项目结构。

您可以设置 IAM 政策来控制资源层次结构不同级层的访问权限。在此核对清单的后续任务中，您将设置这些政策。

谁执行此任务

您在任务 2 中创建的 gcp-organization-admins@<your-domain>.com 群组中的人员。

您需要执行的操作

使用文件夹和项目创建初始层次结构。

我们为何建议执行此任务

在后续任务中，您将设置 IAM 政策来控制资源层次结构不同级层的访问权限，因此必须创建此结构。

资源层次结构图

您可以通过很多方法创建资源层次结构。下图展示了一个典型示例。

在此示例中，组织资源层次结构包含三个级别的文件夹：

• 环境（非生产与生产）。 通过将环境彼此隔离，您可以更好地控制对生产环境的访问权限，并避免非生产更改意外影响生产。

• 业务部门。在该图中，这些项表示为 Dept X 和 Dept Y，它们可能是工程、营销等业务部门，还有一个 Shared 文件夹，其中包含资源（例如网络、日志记录和监控）跨层次结构共享的项目。

• 团队。在该图中，这些项表示为 Team A、Team B 和 Team C，它们可能是开发、数据科学、质量检查等团队。

创建初始资源层次结构

在这些核对清单步骤中，您将按下图所示，为初始设置创建基本文件夹和项目。这些文件夹和项目用于该核对清单的剩余任务。之后，您可以基于此层次结构进行构建，以镜像您的组织，并且随着 Google Cloud 上的工作负载不断增加，根据公司需要对层次结构进行自定义。

1. 确保您以任务 2 中创建的 gcp-organization-admins Google 网上论坛群组中的用户身份登录 Cloud Console。
2. 创建文件夹。 按照该流程操作四次，创建以下文件夹：
   1. Production
   2. Non-Production
   3. Shared，使用 Production 作为父文件夹
   4. Shared，使用 Non-Production 作为父文件夹

接下来，您将创建项目。根据分离生产和非生产环境的原则，对于本核对清单，您需要创建以下项目：

• example-vpc-host-nonprod。此项目用于将多个项目中的非生产资源连接到一个公用 VPC 网络。

• example-vpc-host-prod。此项目用于将多个项目中的生产资源连接到一个公用 VPC 网络。

• example-monitoring-nonprod。此项目用于托管非生产监控资源。

• example-monitoring-prod。此项目用于托管生产监控资源。

• example-logging-nonprod。此项目用于托管从非生产环境中导出的日志数据。

• example-logging-prod。此项目用于托管从生产环境中导出的日志数据。

项目名称长度不得超过 30 个字符。通常，您可以使用您的公司名称来代替 example，只是需要将公司名称长度限制在 30 个字符以内。将来在资源层次结构中创建项目时，我们建议您根据自己组织的资源层次结构使用命名惯例，例如 <business unit name>-<team name>-<application name>-<environment>。

如需创建项目，请执行以下操作：

1. 在 Cloud Console 中，转到管理资源页面：

   转到“管理资源”页面

2. 点击创建项目。

3. 在新建项目窗口中，输入一个之前列出的项目名称。

4. 如果系统提示您选择结算帐号，请选择您要用于此核对清单的结算帐号。

5. 对于位置，请点击浏览，然后按以下方式设置位置：

   • 如果您创建的项目名称以 prod 结尾，请选择生产 > 共享。
   • 如果您创建的项目的名称以 nonprod 结尾，请选择非生产 > 共享。

6. 点击创建。

7. 对每个推荐的项目重复第 2 步到第 6 步。

在此任务中，您将通过向您的资源添加 IAM 政策来为资源层次结构设置访问权限控制。IAM 政策由一组语句组成，这些语句定义了谁拥有哪种类型的访问权限。政策与资源关联，用于在每次资源访问时强制执行访问权限控制。

如需设置权限，您需执行相同的基本流程，但对象应为层次结构中不同层级的资源（组织、文件夹和项目）。我们建议您遵循最小权限原则，授予每个层级的资源所需的最小访问权限。我们在以下流程中建议的角色有助于您遵循最小权限原则。

谁执行此任务

您在任务 2 中创建的 gcp-organization-admins@<your-domain>.com 群组中的人员。

您需要执行的操作

您可以在组织、文件夹和项目级层设置 IAM 政策。

我们为何建议执行此任务

通过在资源层次结构中设置 IAM 政策，您能以可扩缩的方式控制对云资源的访问权限。

在组织级层设置 IAM 政策

在组织级层设置的政策应用于组织中的所有文件夹和项目。下表列出了成员以及在组织级别为成员分配的角色。表后列出了有关如何执行此流程的步骤。

成员	要授予的角色
gcp-network-admins@<your-domain>.com	Compute Engine > Compute Network Admin。此角色会授予创建、修改和删除网络资源（但防火墙规则和 SSL 证书除外）的权限。 Compute Engine > Compute Shared VPC Admin。此角色会授予管理共享 VPC 宿主项目的权限。 Compute Engine > Compute Security Admin。此角色会授予创建、修改和删除防火墙规则和 SSL 证书的权限。 Resource Manager > Folder Viewer。此角色会授予查看文件夹的权限。
gcp-security-admins@<your-domain>.com	组织政策 > Organization Policy Admin。 此角色会授予设置组织级层 IAM 政策的权限。 组织政策 > Organization Policy Viewer。此角色会授予查看应用于组织的 IAM 政策的权限。 IAM > Security Reviewer。此角色会授予查看组织的所有资源及应用于这些资源的 IAM 政策的权限。 角色 > Organization Role Viewer。此角色会授予查看组织中的所有自定义 IAM 角色及其应用项目的权限。 安全中心 > Security Center Admin。此角色会授予对安全命令中心的管理员访问权限。 Resource Manager > Folder IAM Admin。此角色会授予设置文件夹级层 IAM 政策的权限。 Logging > Private Logs Viewer。此角色会授予对 Cloud Logging 功能的只读权限，包括读取私密日志的权限。 Logging > Logs Configuration Writer。此角色会授予创建基于日志的指标以及导出接收器的权限。 Kubernetes Engine > Kubernetes Engine Viewer。此角色会授予对 Google Kubernetes Engine 资源的只读权限。 Compute Engine > Compute Viewer。此角色会授予对 Compute Engine 资源的只读权限。 BigQuery > BigQuery Data Viewer。此角色会授予对 BigQuery 数据集的权限。
gcp-devops@<your-domain>.com	Resource Manager > Folder Viewer。此角色会授予查看文件夹的权限。

1. 确保您以任务 2 中创建的 gcp-organization-admins Google 网上论坛群组中的用户身份登录 Cloud Console。

2. 转到 Cloud Console 中的管理资源页面：

   转到“管理资源”页面

3. 从组织树网格中选择您的组织。

4. 如果右侧的信息面板窗格处于隐藏状态，请点击右上角的显示信息面板。

5. 选中组织对应的复选框。

6. 在信息面板窗格的权限标签页中，点击添加成员。

7. 在新成员字段中，输入表中某个成员的名称。 例如，首先输入上表中列出的 gcp-network-admins@<your-domain>.com。

8. 在选择角色列表中，为该成员选择第一个角色（如表中所列）。例如，您为第一个成员选择的第一个角色为 Compute Engine > Compute Network Admin。

9. 点击添加其他角色，然后为该成员添加下一个角色。

10. 为该成员添加下一个角色。

11. 为成员添加所有角色后，请点击保存。

12. 对表中列出的其他成员重复第 2 步到第 7 步。

在文件夹级层设置 IAM 政策

在文件夹级层设置的政策也会应用于相应文件夹中的项目。具体过程与在组织中类似，只不过您选择的是层次结构中的其他级别。

1. 取消选中组织资源以及所选择的任何其他资源对应的复选框。

2. 选中 Production 文件夹对应的复选框。

3. 在信息面板窗格的权限标签页中，点击添加成员。

4. 在新成员字段中，输入 gcp-devops@<your-domain>.com。

5. 按照向组织成员添加角色时所需的步骤，将以下角色添加到 gcp-devops@<your-domain>.com 成员：

   • Logging > Logging Admin。此角色会授予对 Cloud Logging 的完整权限。
   • Error Reporting > Error Reporting Admin。此角色会授予对错误报告数据的完整权限。
   • Service Management > Quota Administrator。此角色会授予管理服务配额的权限。
   • Monitoring > Monitoring Admin。此角色会授予对监控数据的完整权限。
   • Compute Engine > Compute Admin。此角色会授予对 Compute Engine 资源的完整权限。
   • Kubernetes Engine > Kubernetes Engine Admin。此角色会授予对 Google Kubernetes Engine 容器集群的完整权限。

6. 添加完角色后，点击保存。

7. 取消选中 Production 文件夹对应的复选框。

8. 选中 Non-Production 文件夹对应的复选框。

9. 将 gcp-developers@<your-domain>.com 添加为新成员。

10. 将以下 IAM 角色分配给 gcp-developers@<your-domain>.com 成员：

    • Compute Engine > Compute Admin。此角色会授予对 Compute Engine 资源的完整权限。
    • Kubernetes Engine > Kubernetes Engine Admin。此角色会授予对 Google Kubernetes Engine 容器集群的完整权限。

在项目级层设置 IAM 政策

在项目级层设置的政策仅会应用于相应的项目。这让您可以为每个项目设置精细控制的权限。

1. 取消选中之前选择的所有文件夹以及任何其他资源对应的复选框。

2. 选中以下项目对应的复选框：

   • example-vpc-host-nonprod
   • example-vpc-host-prod

3. 将 gcp-network-admins@<your-domain>.com 添加为成员。

4. 向 gcp-network-admins@<your-domain>.com 成员分配以下角色：

   • Project > Owner。此角色会授予对所选项目中所有资源的完整权限。

5. 点击保存。

6. 取消选中所选项目对应的复选框。

7. 选中以下项目对应的复选框：

   • example-monitoring-nonprod
   • example-monitoring-prod
   • example-logging-nonprod
   • example-logging-prod

8. 将 gcp-devops@<your-domain>.com 添加为新成员。

9. 向 gcp-devops@<your-domain>.com 成员分配以下角色：

   • Project > Owner。此角色会授予对所选项目中所有资源的完整权限。

10. 点击保存。

在此任务中，您可以选择支持选项。

谁执行此任务

您在任务 2 中创建的 gcp-organization-admins@<your-domain>.com 群组中的人员。

您需要执行的操作

根据您公司的需求选择支持服务方案。

我们为何建议执行此任务

高级支持服务方案可为您提供关键业务支持，让 Google 专家帮助您快速解决问题。

选择支持服务方案

每位 Google Cloud 客户都会自动获享免费支持服务，其中包括支持产品文档、社区支持和结算问题支持。但是，我们建议企业客户注册高级支持服务方案，获享 Google 支持工程师提供的一对一技术支持。如需了解详情，您可以比较支持方案。

1. 了解支持服务方案并确定要使用的方案。您可以在稍后的步骤中设置支持服务方案。如果您决定继续使用免费支持选项，可以继续执行下一项任务。

2. 确保您以任务 2 中创建的 gcp-organization-admins Google 网上论坛群组中的用户身份登录 Cloud Console。

3. 设置支持服务方案。

   • 要请求优质支持服务，请与您的 Google 销售代表联系。如果您没有代表，请与销售人员联系。

   • 要启用基于角色的支持服务，请转到 Google Cloud Console 中启用基于角色的支持页面，并按照屏幕上的提示完成所需的步骤。

     转到“启用基于角色的支持服务”页面

4. 按照支持用户角色中的说明操作，为需要与 Google Cloud 支持团队沟通的每个用户分配 Support User 和 Org Viewer 角色。

在此任务中，您将设置初始网络配置。通常，您需要执行以下操作：

• 设计、创建和配置虚拟私有云架构。
• 如果您有本地网络或其他云服务商中的网络，请在该服务商与 Google Cloud 之间配置连接。
• 设置外部出站流量的路径。
• 实施防火墙规则等网络安全控制措施。
• 为在云端托管的服务选择首选入站流量选项。

此任务展示了一个第 1 项的示例，作为您自己的虚拟私有云架构基础。

剩余内容（外部连接、出站流量配置、实施防火墙规则以及选择入站选项）取决于您的业务需求。因此，我们未在此核对清单中进行介绍。不过，我们提供了相关链接供您详细了解这些内容。

谁执行此任务

您在任务 2 中创建的 gcp-network-admins@<your-domain>.com 群组中的人员。

您需要执行的操作

设置初始网络配置。

• 创建共享 VPC 网络
• 配置外部提供商与 Google Cloud 之间的连接
• 设置外部出站流量的路径
• 实施网络安全控制
• 选择入站流量选项

我们为何建议执行此任务

• 通过共享 VPC，不同的团队可以从多个不同产品连接到一个集中管理的公用 VPC 网络。

• 配置混合连接后，您可以将应用无缝迁移到 Google Cloud，同时仍连接到服务依赖项。

• 从一开始就设计安全的入站和出站流量路径，可让您的团队能够在 Google Cloud 中高效地工作，而且不会影响安全性。

虚拟私有云架构

Google 提供 Virtual Private Cloud (VPC)，它可为 Compute Engine 虚拟机实例、GKE 容器和 App Engine 柔性环境等 Google Cloud 资源提供网络功能。下图展示了一个基本的多地区架构：

此架构包含两个共享 VPC 宿主项目。一个宿主项目用于生产环境，另一个用于非生产环境。借助共享 VPC，组织可以将多个项目中的资源连接到一个公用 VPC 网络，以便资源可以通过该网络使用内部 IP 地址更加安全高效地相互通信。

共享 VPC 宿主项目包含一个或多个共享 VPC 网络。在此架构中，每个共享 VPC 网络（生产和非生产）均包含跨两个地区（在此示例中为 us-east1 和 us-west1）的公共和专用子网：

• 公共子网可用于面向互联网以提供外部连接的实例。
• 专用子网可用于仅面向内部且不应分配有公共 IP 地址的实例。

上图中显示的架构为各项资源使用的是示例名称。对于自定义设置，您可以更改名称的元素，例如您的公司（在示例名称中为 example）以及您使用的地区（在示例中为 us-east1 和 us-west1。

创建共享 VPC 网络

1. 在项目选择器页面选择 example-vpc-host-nonprod：

   转到项目选择器页面

2. 按照删除网络的说明删除名为 default 的 VPC 网络。

3. 按照相关说明使用以下值创建自定义模式网络：

   1. 对于名称，请输入 example-shared-vpc-nonprod-1。
   2. 对于新子网部分的参数：
      • 对于名称，请输入 example-nonprod-us-east1-subnet-public。
      • 对于 IP 地址范围，请输入 10.1.0.0/24（只要该 IP 地址与现有的网络 IP 地址范围不冲突，并足以满足您的托管需求）。
      • 对于专用 Google 访问通道，请选择开启，以便让虚拟机能够在没有外部 IP 地址的情况下与 Google API 通信。
   3. 选择添加子网，然后按照说明添加以下子网名称：
      • example-nonprod-us-east1-subnet-private
IP address range: 10.2.0.0/24
      • example-nonprod-us-west1-subnet-public
IP address range: 10.3.0.0/24
      • example-nonprod-us-west1-subnet-private
IP address range: 10.4.0.0/24

4. 使用以下值启用共享 VPC 宿主项目：

   1. 对于项目，请选择 example-vpc-host-nonprod。
   2. 在选择子网下，点击个别子网（子网级权限），然后选择您之前创建的所有非生产子网。
   3. 在关联服务项目中，关联所有剩余监控和日志记录非生产项目。

5. 在项目选择器页面选择 example-vpc-host-prod：

   转到项目选择器页面

6. 对生产环境重复第 2 步到第 4 步。请务必选择之前创建的所有生产子网。

配置外部提供商与 Google Cloud 之间的连接

如果您有本地网络或其他云服务商中的网络，则可以设置 Cloud VPN，借助该服务，您可以通过 IPSec VPN 连接将对等互连网络安全地连接到 Google Cloud VPC 网络。Cloud VPN 适合速度最高为 3.0 Gbps 的带宽。如果您需要使用更高的带宽将本地系统连接到 Google Cloud，请参阅合作伙伴互连和专用互连。

如需为您在上一过程中创建的生产和非生产共享 VPC 网络创建 VPN 连接，请按照创建网关和隧道的说明执行操作。

设置外部出站流量的路径

借助 Cloud NAT，您可以将自己的虚拟机连接到互联网，而无需使用外部 IP 地址。Cloud NAT 是一种地区性资源。您可以将其配置为允许来自一个区域中子网的所有主要和次要 IP 范围的流量，也可以将其配置为仅应用于这些范围中的一部分。

按照创建 NAT 的说明，为您在上一过程中创建的生产和非生产共享 VPC 网络中的所有区域执行此操作。

实施网络安全控制

通过防火墙规则，您可以根据自己指定的配置允许或拒绝流量传入和传出虚拟机实例。按照使用防火墙规则的说明，为您在上一过程中创建的生产和非生产共享 VPC 网络配置这些控制措施。

选择入站流量选项

借助 Cloud Load Balancing，您能够将计算资源分布到单个或多个区域。这样您就可以同时满足针对传入的外部流量和 VPC 网络中流量的高可用性要求。在 Google Cloud 上规划应用架构时，请查看选择负载平衡器以决定您需要的负载平衡器的类型。

在此任务中，您将使用 Google Cloud 和 Cloud Monitoring 设置基本的日志记录和监控功能。

谁执行此任务

您在任务 2 中创建的 gcp-devops@<your-domain>.com 群组中的人员。

您需要执行的操作

使用 Cloud Logging 和 Cloud Monitoring 设置基本日志记录和监控功能。

我们为何建议执行此任务

全面日志记录和监控是在云端环境中保持可监测性的关键。从一开始就配置适当的日志记录保留功能可让您构建审核跟踪记录并确保其得到保留，而设置集中式监控功能将使您的团队可通过一个集中化的信息中心查看您的环境。

设置监控

Cloud Monitoring 会从以下来源收集指标、事件和元数据：Google Cloud 服务、托管的正常运行时间探测工具、应用插桩 (instrumentation) 工具，以及其他常见应用组件。

1. 确保您以任务 2 中创建的 gcp-devops 群组中的用户身份登录 Cloud Console。

2. 使用宿主项目为 Monitoring 创建工作区。工作区中第一个受监控的 Google Cloud 项目为宿主项目，您应确保选择正确的项目来作为宿主项目。相关步骤提示您选择项目时，请选择您在任务 5 中创建的非生产监控项目 (example-monitoring-nonprod)。

3. 添加您要在此工作区中监控的其他项目。例如，添加所有其他非生产项目。

4. 对生产项目重复此过程。将 example-monitoring-prod 用作工作区项目，并添加要监控的生产项目。

设置日志记录

借助 Cloud Logging，您可以存储、搜索、分析和监控来自 Google Cloud 和 Amazon Web Services (AWS) 的日志数据和事件，并根据这些数据和事件发出提醒。此外，您还可以从任何来源提取自定义日志数据，以及将日志导出到外部数据接收器。

1. 确保您以任务 2 中创建的 gcp-devops 群组中的用户身份登录 Cloud Console。

2. 使用以下值为 BigQuery 启用日志记录导出：

   • 选择 example-logging-nonprod 项目。
   • 创建 BigQuery 数据集。对于数据集 ID，可使用类似 example_logging_export_nonprod 的名称。
   • 在对数据集命名后，请点击创建数据集。

3. 针对 example-logging-prod 项目重复上一步骤，但数据集 ID 使用 example_logging_export_prod。

4. 查看日志保留期限以确定是否满足合规性要求。如果不满足，请设置将日志导出到 Cloud Storage，这对于长期保留很有帮助。

在此任务中，您将配置 Google Cloud 产品以帮助保护自己的组织。Google Cloud 提供了多种安全产品。

谁执行此任务

您在任务 2 中创建的 gcp-organization-admins@<your-domain>.com 群组中的人员。

您需要执行的操作

• 启用 Security Command Center 信息中心
• 设置组织政策

我们为何建议执行此任务

我们建议您设置以下两种产品：

• Security Command Center。此综合性安全管理与数据风险平台可让您监控自己的云资产、扫描存储系统中的敏感数据、检测常见 Web 漏洞，并审核对您的关键资源的访问权限。

• 组织政策服务。 借助此服务，您可以对组织的云资源进行集中式编程控制。

设置产品

1. 确保您以任务 2 中创建的 gcp-organization-admins 群组中的用户身份登录 Cloud Console。

2. 启用 Security Command Center 信息中心。

3. 按照为布尔值限制条件自定义政策中的步骤操作，设置组织政策，详细信息如下：

   1. 设置跳过默认网络创建限制条件，并进行以下更新：
      • 当系统要求您选择项目、文件夹或组织时，请选择您的组织。
      • 当系统要求您从组织政策页面上的列表中选择限制条件时，请选择跳过默认网络创建。
      • 当系统要求您选择强制执行选项时，请选择启用。
   2. 设置网域限定共享限制条件。
   3. 停用虚拟机实例的外部 IP 地址访问权限。