Elenco di controllo per la configurazione di Google Cloud

Una risorsa organizzazione in Google Cloud rappresenta la tua attività e funge da nodo di primo livello della gerarchia. Per creare la tua organizzazione, devi configurare un servizio di identità Google e associarlo al tuo dominio. Al termine di questa procedura, viene creata automaticamente una risorsa dell'organizzazione.

Per una panoramica della risorsa organizzazione, consulta quanto segue:

• Gestisci le risorse dell'organizzazione.
• Best practice per la pianificazione di account e organizzazioni.

Chi esegue questa attività

I due amministratori seguenti eseguono questa operazione:

• Un amministratore delle identità responsabile dell'assegnazione dell'accesso basato sul ruolo. Devi assegnare questa persona come super amministratore di Cloud Identity. Per ulteriori informazioni sull'utente super amministratore, consulta Ruoli amministrativi predefiniti.

• Un amministratore di dominio con accesso all'host del dominio dell'azienda. Questa persona modifica le impostazioni del dominio, ad esempio le configurazioni DNS, nell'ambito della procedura di verifica del dominio.

Cosa fai in questa attività

• Se non lo hai ancora fatto, configura Cloud Identity, dove crei un account utente gestito per l'utente super amministratore.
• Collega Cloud Identity al tuo dominio (ad esempio example.com).
• Verifica il dominio. Questa procedura crea il nodo radice della gerarchia delle risorse, noto come risorsa dell'organizzazione.

Perché consigliamo questa attività

Nell'ambito della tua piattaforma Google Cloud, devi configurare quanto segue:

• Un servizio di identità Google per gestire centralmente le identità.
• Una risorsa dell'organizzazione per stabilire la radice della gerarchia e del controllo dell'accesso.

Opzioni del servizio di identità Google

Per amministrare, utilizzi uno o entrambi i seguenti servizi di identità Google credenziali per utenti Google Cloud:

• Cloud Identity: gestisce a livello centralizzato utenti e gruppi. Puoi federare le identità tra Google e altri provider di identità. Per ulteriori informazioni, consulta la Panoramica di Cloud Identity.
• Google Workspace: gestisce utenti e gruppi e fornisce accesso a prodotti per la produttività e la collaborazione come Gmail e Google Drive. Per saperne di più, vedi Google Workspace.

Per informazioni dettagliate sulla pianificazione delle identità, consulta Pianificare la procedura di onboarding per le identità aziendali.

Prima di iniziare

Per scoprire come gestire un account super amministratore, consulta le best practice per gli account super amministratore.

Configura un provider di identità e verifica il dominio

I passaggi da completare in questa attività dipendono dal fatto che tu sia un cliente nuovo o esistente. Identifica l'opzione più adatta alle tue esigenze:

• Nuovo cliente: configura Cloud Identity, verifica il tuo dominio e crea la tua organizzazione.

• Cliente Google Workspace esistente: utilizza Google Workspace come fornitore di identity per gli utenti che accedono a Google Workspace e Google Cloud. Se prevedi di creare utenti che accedono solo a Google Cloud, attiva Cloud Identity.

• Cliente Cloud Identity esistente: verifica il dominio, assicurati che è stata creata e verifica che Cloud Identity sia abilitato.

Passaggi successivi

Crea gruppi e aggiungi membri.

In questa attività crei gruppi di utenti e account utente gestito per gli amministratori della tua organizzazione Google Cloud.

Per ulteriori informazioni sulla gestione dell'accesso su Google Cloud, consulta quanto segue:

• Panoramica di Identity and Access Management (IAM).
• Per le best practice, vedi Gestire l'identità e l'accesso.

Prima di iniziare

Trova ed esegui la migrazione degli utenti che hanno già un Account Google. Per informazioni dettagliate, vedi Aggiungere utenti con account non gestiti.

Chi esegue questa attività

Un amministratore delle identità responsabile della gestione dell'accesso a privati o gruppi della tua organizzazione. Hai assegnato a questa persona come super amministratore nell'attività Organizzazione.

Cosa fai in questa attività

In questa attività, esegui le seguenti procedure di gestione degli utenti:

• Crea un gruppo per ogni funzione amministrativa consigliata, tra cui organizzazione, fatturazione e amministrazione di rete.
• Crea account utente per gli amministratori.
• Assegna gli utenti ai gruppi amministrativi corrispondenti alle loro responsabilità.

Puoi personalizzare le autorizzazioni per ogni gruppo in un'attività successiva.

Perché consigliamo questa attività

Questa operazione ti aiuta a implementare le seguenti best practice per la sicurezza:

• Principio del privilegio minimo: fornisci agli utenti le autorizzazioni minime richieste per eseguire il proprio ruolo e rimuovere l'accesso non appena non è più necessario.

• Controllo controllo dell'accesso basato sui ruoli (RBAC): assegna autorizzazioni a gruppi di utenti in base al proprio ruolo professionale. Non aggiungere autorizzazioni ai singoli account utente.

Puoi utilizzare i gruppi per applicare in modo efficiente i ruoli IAM a una raccolta di utenti. Questa pratica ti aiuta a semplificare la gestione degli accessi.

Crea gruppi amministrativi

Un gruppo è una raccolta denominata di Account Google e account di servizio. Ogni gruppo ha un indirizzo email univoco, ad esempio gcp-billing-admins@example.com. Crei gruppi per gestire gli utenti e applicare i ruoli IAM su larga scala.

I gruppi seguenti sono consigliati per aiutarti ad amministrare l'infrastruttura funzioni principali e completare la procedura di configurazione di Google Cloud.

Per creare gruppi amministrativi, segui questi passaggi:

1. Accedi alla console Google Cloud con l'account super amministratore che hai creato nell'attività Organizzazione.

2. Vai a Configurazione di Google Cloud: utenti e gruppi.

   Vai a Utenti e gruppi

3. Rivedi i dettagli dell'attività e fai clic su Continua con gli utenti e gruppi di lavoro.

4. Esamina l'elenco dei gruppi amministrativi consigliati, quindi esegui una delle seguenti:

   • Per creare tutti i gruppi consigliati, fai clic su Crea tutti i gruppi.
   • Se vuoi creare un sottoinsieme dei gruppi consigliati, fai clic su Crea nelle righe scelte.

5. Fai clic su Continua.

Creare utenti amministrativi

Ti consigliamo di aggiungere inizialmente gli utenti che completano le procedure di configurazione per l'organizzazione, la rete, la fatturazione e altro ancora. Puoi aggiungere altri utenti dopo aver completato la procedura di configurazione di Google Cloud.

Per aggiungere utenti amministrativi che eseguono attività di configurazione di Google Cloud, esegui la seguenti:

1. Esegui la migrazione degli account consumer ad account utente gestiti controllati da Cloud Identity. Per i passaggi dettagliati, consulta quanto segue:

   • Eseguire la migrazione degli account consumer.
   • Aggiungere utenti con account non gestiti.

2. Accedi alla Console di amministrazione Google utilizzando un un account super amministratore.

3. Utilizza una delle seguenti opzioni per aggiungere utenti:

   • Per aggiungere collettivamente gli utenti, vedi Aggiungere o aggiornare più utenti da un file CSV.
   • Per aggiungere gli utenti singolarmente, vedi Aggiungere un account per un nuovo utente.

4. Dopo aver aggiunto gli utenti, torna a Configurazione di Google Cloud: utenti e gruppi (Creazione di utenti).

5. Fai clic su Continua.

Aggiungi utenti amministrativi ai gruppi

Aggiungi i membri che hai creato ai gruppi amministrativi corrispondenti alle loro mansioni.

1. In Configurazione di Google Cloud: utenti e gruppi (Aggiungi utenti ai gruppi), esamina i dettagli del passaggio.

2. In ogni riga Gruppo:

   1. Fai clic su Aggiungi membri.
   2. Inserisci l'indirizzo email dell'utente.

   3. Nell'elenco a discesa Ruolo gruppo, seleziona le impostazioni di autorizzazione del gruppo dell'utente. Per ulteriori informazioni, vedi Impostare chi può visualizzare, pubblicare e moderare i post.

      Ogni membro eredita tutti i ruoli IAM concessi a un gruppo, indipendentemente dal ruolo del gruppo selezionato.

   4. Per aggiungere un altro utente a questo gruppo, fai clic su Aggiungi un altro membro e ripeti questi passaggi.

   5. Quando hai finito di aggiungere utenti a questo gruppo, fai clic su Salva.

3. Quando hai finito di aggiungere membri ai gruppi, fai clic su Conferma utenti e gruppi.

Passaggi successivi

Assegna le autorizzazioni ai gruppi di amministratori.

In questa attività utilizzi Identity and Access Management (IAM) per assegnare raccolte di autorizzazioni a gruppi di amministratori a livello di organizzazione. Questo processo offre agli amministratori visibilità e controllo centralizzati su ogni risorsa cloud che appartiene alla tua organizzazione.

Per una panoramica di Identity and Access Management in Google Cloud, vedi Panoramica IAM.

Chi esegue questa attività

Per eseguire questa attività, devi essere una delle seguenti persone:

• Un utente super amministratore.
• Un utente con il ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin).

Cosa fai in questa attività

• Esaminare un elenco dei ruoli predefiniti assegnati a ciascun gruppo di amministratori creato nell'attività Utenti e gruppi.

• Se vuoi personalizzare un gruppo, puoi procedere nel seguente modo:

  • Aggiungere o rimuovere ruoli.
  • Se non prevedi di utilizzare un gruppo, puoi eliminarlo.

Perché consigliamo questa attività

Devi concedere esplicitamente tutti i ruoli amministrativi per la tua organizzazione. Questa attività ti aiuta a implementare le seguenti best practice per la sicurezza:

• Principio del privilegio minimo: concedi agli utenti le autorizzazioni minime necessarie per svolgere il loro lavoro e rimuovi l'accesso non appena non è più necessario.

• Controllo degli accessi basato sui ruoli (RBAC): assegna le autorizzazioni ai gruppi di utenti in base alle loro mansioni. Non concedere ruoli a singoli account utente.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.

Concedere l'accesso ai gruppi di amministratori

Per concedere l'accesso appropriato a ciascun gruppo di amministratori creato nel Utenti e gruppi, esamina i ruoli predefiniti assegnati a ciascun gruppo. Puoi aggiungere o rimuovere ruoli per personalizzare l'accesso.

1. Assicurati di aver eseguito l'accesso alla console Google Cloud come utente super amministratore.

   In alternativa, puoi accedere come utente con il ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin).

2. Vai a Configurazione di Google Cloud: accesso amministrativo.

   Vai ad Accesso amministrativo

3. Seleziona il nome della tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.

4. Rivedi la panoramica dell'attività e fai clic su Continua l'accesso amministrativo.

5. Esamina i gruppi che hai creato nella colonna Gruppo (entità) in la sezione Utenti e l'attività Raggruppa.

6. Per ogni gruppo, esamina i ruoli IAM predefiniti. Puoi aggiungere o rimuovere ruoli assegnati a ciascun gruppo per soddisfare le esigenze specifiche della tua organizzazione.

   Ogni ruolo contiene più autorizzazioni che consentono agli utenti di eseguire attività di machine learning. Per ulteriori informazioni sulle autorizzazioni in ciascun ruolo, vedi Riferimento per i ruoli IAM di base e predefiniti.

7. Quando è tutto pronto per assegnare ruoli a ciascun gruppo, fai clic su Salva e concedi l'accesso alle app.

Passaggi successivi

Imposta la fatturazione.

In questa attività dovrai configurare un account di fatturazione per pagare le risorse Google Cloud. A questo scopo, associa alla tua organizzazione uno dei seguenti elementi.

• Un account di fatturazione Cloud esistente. Se non disponi dell'accesso all'account, puoi richiederlo all'amministratore dell'account pagamenti.

• Un nuovo account di fatturazione Cloud.

Per ulteriori informazioni sulla fatturazione, consulta la documentazione di Cloud Billing.

Chi esegue questa attività

Una persona nel gruppo gcp-billing-admins@YOUR_DOMAIN creato nell'attività Utenti e gruppi.

Cosa fai in questa attività

• Crea o utilizza un account di fatturazione Cloud self-service esistente.
• Decidere se passare da un account self-service a un account con fatturazione .
• Configura un account Cloud Billing e un metodo di pagamento.

Perché consigliamo questa attività

Gli account Cloud Billing sono collegati a uno o più progetti Google Cloud e vengono usati per pagare le risorse utilizzate, ad esempio macchine virtuali, networking e spazio di archiviazione.

Determinare il tipo di account di fatturazione

L'account di fatturazione che associ alla tua organizzazione è uno dei tipi seguenti.

• Self-service (o online): registrati online con una carta di credito o di debito. Ti consigliamo questa opzione se sei una piccola impresa o un privato. Quando registrati online per un account di fatturazione, l'account viene configurato automaticamente come account self-service.

• Con fatturazione mensile non automatica (o offline). Se hai già un account con fatturazione self-service, potresti avere l'idoneità a richiedere la fatturazione mensile non automatica se la tua attività soddisfa requisiti di idoneità.

Non puoi creare un account con fatturazione mensile non automatica online, ma puoi richiedere la conversione di un self-service a un account con fatturazione mensile non automatica.

Per ulteriori informazioni, consulta Tipi di account di fatturazione Cloud.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
• Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.

Configura l'account di fatturazione

Ora che hai scelto un tipo di account di fatturazione, associalo alla tua organizzazione. Una volta completata la procedura, puoi usano il tuo account di fatturazione per pagare le risorse Google Cloud.

1. Accedi alla console Google Cloud come utente del gruppo gcp-billing-admins@YOUR_DOMAIN.

2. Vai a Configurazione di Google Cloud: Fatturazione.

   Vai a Fatturazione

3. Esamina la panoramica dell'attività e fai clic su Continua fatturazione.

4. Seleziona una delle seguenti opzioni per l'account di fatturazione:

   Crea un nuovo account

   Se la tua organizzazione non ha un account, creane uno nuovo.

   1. Seleziona Voglio creare un nuovo account di fatturazione.
   2. Fai clic su Continua.

   3. Seleziona il tipo di account di fatturazione che vuoi creare. Per la procedura dettagliata, consulta le seguenti risorse:

      • Per creare un nuovo account self-service, consulta Crea un nuovo account di fatturazione Cloud self-service.
      • Per eseguire la transizione di un account self-service esistente alla fatturazione mensile non automatica, consulta: Richiedi la fatturazione mensile.

   4. Verifica che l'account di fatturazione sia stato creato:

      1. Se hai creato un account con fatturazione mensile non automatica, attendi fino a 5 giorni lavorativi per ricevere la conferma via email.

      2. Vai alla pagina Fatturazione.

      3. Seleziona la tua organizzazione dall'elenco Seleziona da in alto della pagina. Se l'account è stato creato correttamente, viene visualizzato nell'elenco degli account di fatturazione.

   Usa il mio account esistente

   Se hai già un account di fatturazione, puoi associarlo alla tua organizzazione.

   1. Seleziona Ho identificato un account di fatturazione da questo elenco che vorrei utilizzare per completare la procedura di configurazione.
   2. Nell'elenco a discesa Fatturazione, seleziona l'account da associare alla tua organizzazione.
   3. Fai clic su Continua.
   4. Rivedi i dettagli e fai clic su Conferma account di fatturazione.

   Utilizzare l'account di un altro utente

   Se un altro utente ha accesso a un account di fatturazione esistente, puoi chiedere per associare l'account di fatturazione alla tua organizzazione oppure L'utente può concederti l'accesso necessario per completare l'associazione.

   1. Seleziona Voglio utilizzare un account di fatturazione gestito da un altro account utente Google.
   2. Fai clic su Continua.
   3. Inserisci l'indirizzo email dell'amministratore dell'account di fatturazione.
   4. Fai clic su Contatta l'amministratore.
   5. Attendi che l'amministratore dell'account di fatturazione ti contatti per fornirti ulteriori istruzioni.

Passaggi successivi

Crea una gerarchia delle risorse e assegna l'accesso.

In questa attività, configuri la gerarchia delle risorse creando e assegnando accesso alle seguenti risorse:

Cartelle

Fornire un meccanismo di raggruppamento e limiti di isolamento tra i progetti. Per Ad esempio, le cartelle possono rappresentare i reparti principali dell'organizzazione, finanza o retail oppure ambienti come quelli di produzione non in produzione.

Progetti

Contengono le risorse Google Cloud come macchine virtuali, database e di archiviazione dei bucket.

Per considerazioni sulla progettazione e best practice per organizzare le risorse in progetti, vedi Decidi una gerarchia delle risorse per la tua zona di destinazione di Google Cloud.

Chi esegue questa attività

Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN che hai creato nell'attività Utenti e gruppi può eseguire questa attività.

Cosa fai in questa attività

• Crea una struttura gerarchica iniziale che includa cartelle e progetti.
• Imposta i criteri IAM per controllare l'accesso alle cartelle e ai progetti.

Perché consigliamo questa attività

La creazione di una struttura per cartelle e progetti ti aiuta a gestire le risorse Google Cloud e ad assegnare l'accesso in base al modo in cui opera la tua organizzazione. Ad esempio, puoi organizzare e fornire l'accesso alle risorse in base alla raccolta unica di regioni geografiche, strutture sussidiarie o framework di responsabilità della tua organizzazione.

Pianifica la gerarchia delle risorse

La gerarchia delle risorse ti consente di creare confini e condividere risorse all'interno della tua organizzazione per attività comuni. Puoi creare la gerarchia utilizzando uno dei seguenti le seguenti configurazioni iniziali, in base alla struttura organizzativa:

• Semplici orientati all'ambiente:

  • Isola gli ambienti come Non-production e Production.
  • Implementa criteri, requisiti normativi e controlli di accesso distinti in ogni cartella dell'ambiente.
  • Ideale per piccole aziende con ambienti centralizzati.

• Semplice e orientato al team:

  • Isola i team come Development e QA.
  • Isola l'accesso alle risorse utilizzando le cartelle dell'ambiente figlio in ogni team .
  • Ideale per piccole aziende con team autonomi.

• Orientati all'ambiente:

  • Dare priorità all'isolamento di ambienti come Non-production e Production.
  • In ogni cartella dell'ambiente, isola le unità aziendali.
  • Isola i team in ogni unità aziendale.
  • Ideale per le grandi aziende con ambienti centralizzati.

• Orientate alle unità aziendali:

  • Dare priorità all'isolamento di unità aziendali come Human Resources e Engineering per garantire che gli utenti possano accedere solo alle risorse e di cui hanno bisogno.
  • In ogni unità aziendale, isola i team.
  • Isola gli ambienti in base a ciascun team.
  • Ideale per le grandi aziende con team autonomi.

Ogni configurazione ha una cartella Common per i progetti che contengono file Google Cloud. Potrebbero essere inclusi progetti di registrazione e monitoraggio.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.
• Crea o collega un account di fatturazione nell'attività Fatturazione.

Configura cartelle e progetti iniziali

Seleziona la gerarchia di risorse che rappresenta la struttura organizzativa.

Per configurare cartelle e progetti iniziali:

1. Accedi alla console Google Cloud come utente dalla gcp-organization-admins@YOUR_DOMAIN gruppo che hai creato nell'attività Utenti e gruppi.

2. Seleziona la tua organizzazione dall'elenco a discesa Seleziona da in alto della pagina.

3. Vai a Configurazione di Google Cloud: gerarchia e accesso.

   Vai a Gerarchia e accesso

4. Esamina la panoramica dell'attività, poi fai clic su Inizia accanto a Gerarchia delle risorse.

5. Seleziona una configurazione iniziale.

6. Fai clic su Continua e configura.

7. Personalizza la gerarchia delle risorse in modo che rifletta la struttura organizzativa. Ad esempio, puoi personalizzare quanto segue:

   • Nomi delle cartelle.

   • Progetti di servizi per ogni team. Per concedere l'accesso ai progetti di servizi, puoi creare quanto segue:

     • Un gruppo per ogni progetto di servizio.
     • Utenti in ogni gruppo.

     Per una panoramica dei progetti di servizio, consulta VPC condiviso.

   • Progetti necessari per il monitoraggio, il logging e il networking.

   • Progetti personalizzati.

8. Fai clic su Continua.

9. Concedi l'accesso alle tue cartelle e ai tuoi progetti.

Concedi l'accesso alle tue cartelle e ai tuoi progetti

Nell'attività Accesso amministrativo, hai concesso accesso amministrativo ai gruppi a livello di organizzazione. In questa attività, configurerai l'accesso ai gruppi che interagiscono con le cartelle e i progetti appena configurati.

I progetti, le cartelle e le organizzazioni hanno ciascuno i propri criteri IAM, che vengono ereditati tramite la gerarchia delle risorse:

• Organizzazione: i criteri si applicano a tutte le cartelle e a tutti i progetti nell'organizzazione.
• Cartella: i criteri si applicano ai progetti e ad altre cartelle all'interno della cartella.
• Progetto: i criteri si applicano solo al progetto e alle relative risorse.

Aggiorna i criteri IAM per le cartelle e i progetti:

1. Nella sezione Configura il controllo dell'accesso di Gerarchia e accesso, concedi ai gruppi l'accesso alle cartelle e ai progetti:

   1. Nella tabella, esamina l'elenco dei ruoli IAM consigliati a ciascun gruppo per ogni risorsa.

   2. Se vuoi modificare i ruoli assegnati a ciascun gruppo, fai clic su Modifica nella riga che ti interessa.

      Per ulteriori informazioni su ciascun ruolo, consulta Ruoli IAM di base e predefiniti.

2. Fai clic su Continua.

3. Rivedi le modifiche e fai clic su Conferma configurazione di bozza.

Passaggi successivi

Configura una posizione centrale per archiviare e analizzare i dati dei log.

In questa attività configurerai il logging per l'intera organizzazione, incluso il ai progetti creati in un'attività precedente.

Chi esegue questa attività

Devi avere uno dei seguenti requisiti:

• Il ruolo Amministratore Logging (roles/logging.admin).
• L'appartenenza al gruppo gcp-logging-admins@YOUR_DOMAIN che hai creato nell'attività Utenti e gruppi.

Cosa fai in questa attività

Organizza in modo centralizzato i log creati nei progetti dell'organizzazione per contribuire a migliorare la sicurezza, il controllo e la conformità.

Perché consigliamo questa attività

L'archiviazione e la conservazione dei log semplificano l'analisi e preservano l'audit trail.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.
• Crea o collega un account di fatturazione nell'attività Fatturazione.
• Configura la gerarchia e assegna l'accesso nel Attività Gerarchia e accesso.

Organizza il logging in modo centralizzato

Cloud Logging ti aiuta ad archiviare, cercare, analizzare, monitorare e creare avvisi sui log e gli eventi da Google Cloud. Puoi anche raccogliere ed elaborare i log dalle tue applicazioni, dalle risorse on-premise e da altri cloud. Ti consigliamo di utilizzare Cloud Logging per consolidare i log in un unico bucket.

Per ulteriori informazioni, consulta le seguenti risorse:

• Per una panoramica, consulta la Panoramica su routing e archiviazione.
• Per informazioni sul logging delle risorse on-premise, consulta Logging di risorse on-premise con BindPlane.
• Per la procedura per modificare il filtro dei log dopo il deployment della configurazione, consulta Filtri di inclusione.

Per archiviare i dati di log in un bucket di log centrale:

1. Accedi alla console Google Cloud con le credenziali dell'utente che hai identificato in Chi esegue questa attività.

2. Seleziona la tua organizzazione dall'elenco a discesa Seleziona da in alto della pagina.

3. Vai a Configurazione di Google Cloud: centralizzare i log.

   Vai a Centralizza logging

4. Rivedi la panoramica dell'attività e fai clic su Avvia configurazione del logging.

5. Rivedi i dettagli dell'attività.

6. Per eseguire il routing dei log a un bucket di log centrale, assicurati che Archiviare gli audit log delle attività di amministrazione a livello di organizzazione in un bucket di log è selezionato.

7. Espandi Esegui il routing dei log in un bucket di log di Logging ed esegui le seguenti operazioni:

   1. Nel campo Nome bucket di log, inserisci un nome per il bucket di log centrale.

   2. Dall'elenco Regione del bucket di log, seleziona la regione in cui si trova il log vengono archiviati tutti i dati.

      Per ulteriori informazioni, consulta Località dei bucket di log.

   3. Ti consigliamo di archiviare i log per 365 giorni. Per personalizzare la conservazione inserisci il numero di giorni nel campo Periodo di conservazione.

      Per i log archiviati per più di 30 giorni viene applicata una costi di conservazione. Per saperne di più, consulta il riepilogo dei prezzi di Cloud Logging.

Esporta i log all'esterno di Google Cloud

Se vuoi esportare i log in una destinazione esterna a Google Cloud, puoi eseguire l'esportazione utilizzando Pub/Sub. Ad esempio, se utilizzi più provider cloud, potresti decidere di esportare i dati dei log da ciascun provider cloud in uno strumento di terze parti.

Puoi filtrare i log esportati in base alle tue esigenze e ai tuoi requisiti specifici. Ad esempio, puoi scegliere di limitare i tipi di log da esportare per controllare i costi o ridurre il rumore nei dati.

Per ulteriori informazioni sull'esportazione dei log, consulta le seguenti risorse:

• Per una panoramica, consulta la sezione Che cos'è Pub/Sub?
• Per informazioni sui prezzi, consulta quanto segue:
  • Prezzi di Pub/Sub.
  • Best practice per Cloud Audit Logs: prezzi.
• Per informazioni sullo streaming su Splunk, vedi Eseguire il deployment dello streaming dei log da Google Cloud a Splunk.

Per esportare i log:

1. Fai clic su Trasmetti i log ad altre applicazioni, altri repository o terze parti.

2. Nel campo ID argomento Pub/Sub, inserisci un identificatore per l'argomento che contiene i log esportati. Per informazioni su come iscriverti a un argomento, consulta la sezione Abbonamenti pull.

3. Per impedire l'esportazione di uno dei seguenti log consigliati, cancella relativa casella di controllo:

   • Cloud Audit Logs: attività di amministrazione: chiamate API o azioni che modificano la configurazione o i metadati delle risorse.
   • Cloud Audit Logs: evento di sistema: azioni Google Cloud che modificano la configurazione delle risorse.
   • Access Transparency: azioni intraprese dal personale di Google quando accede ai contenuti dei clienti.

   Seleziona i seguenti log aggiuntivi per esportarli:

   • Cloud Audit Logs: accesso ai dati: chiamate API che leggono la configurazione delle risorse o metadati e chiamate API basate sugli utenti che creano, modificano o leggono forniti dall'utente.
   • Audit log Cloud: criterio negato: rifiuti dell'accesso ai servizi Google Cloud per account utente o di servizio, in base alle violazioni dei criteri di sicurezza.

   Per informazioni su ciascun tipo di log, vedi Informazioni sui log di controllo di Cloud.

Completa la configurazione del logging

Per completare l'attività di logging:

1. Fai clic su Continua.

2. Rivedi i dettagli della configurazione del logging e fai clic su Conferma configurazione di bozza.

   La configurazione del logging non viene eseguita finché non esegui il deployment delle impostazioni in un'attività successiva.

Passaggi successivi

Configura le impostazioni di sicurezza iniziali.

In questa attività configurerai le impostazioni di sicurezza e i prodotti per proteggere i tuoi dell'organizzazione.

Chi esegue questa attività

Per completare questa attività, devi disporre di uno dei seguenti elementi:

• Il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin).
• Appartenenza a uno dei seguenti gruppi creati nel Attività Utenti e gruppi:
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

Cosa fai in questa attività

Applica i criteri dell'organizzazione consigliati in base alle seguenti categorie:

• Gestione degli accessi.
• Comportamento dell'account di servizio.
• Configurazione della rete VPC.

Puoi inoltre abilitare Security Command Center per centralizzare la segnalazione di vulnerabilità e minacce.

Perché consigliamo questa attività

L'applicazione dei criteri dell'organizzazione consigliati ti consente di limitare le azioni degli utenti che non sono in linea con il tuo livello di sicurezza.

L'attivazione di Security Command Center ti consente di creare un punto di riferimento centrale per analizzare vulnerabilità e minacce.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna ruoli IAM ai gruppi in Accesso amministrativo dell'attività.

Avvia l'attività di sicurezza

1. Accedi alla console Google Cloud con un utente identificato in Chi esegue questa attività.

2. Seleziona la tua organizzazione dal menu a discesa Seleziona da nella parte superiore della pagina.

3. Vai a Configurazione di Google Cloud: sicurezza.

   Vai a Sicurezza

4. Esamina la panoramica dell'attività e poi fai clic su Avvia sicurezza.

Centralizzare la generazione di report sulle vulnerabilità e sulle minacce

Per centralizzare i servizi di segnalazione di vulnerabilità e minacce, abilita Security Command Center. In questo modo puoi rafforzare la tua security posture e mitigare i rischi. Per maggiori informazioni consulta la panoramica di Security Command Center.

1. Nella pagina Configurazione di Google Cloud: sicurezza, assicurati che la casella di controllo Abilita Security Command Center: Standard sia attivata.

   Questa attività attiva il livello Standard gratuito. Puoi eseguire l'upgrade alla versione Premium in un secondo momento. Per ulteriori informazioni, consulta i livelli di servizio di Security Command Center.

2. Fai clic su Applica le configurazioni di Security Command Center.

Applica i criteri dell'organizzazione consigliati

I criteri dell'organizzazione si applicano a livello di organizzazione e vengono ereditati cartelle e progetti. In questa attività, esamina e applica l'elenco delle norme consigliate. Puoi modificare i criteri dell'organizzazione in qualsiasi momento. Per maggiori informazioni consulta Introduzione al servizio Criteri dell'organizzazione.

1. Esamina l'elenco dei criteri dell'organizzazione consigliati. Se non vuoi applicare una norma consigliata, fai clic sulla relativa casella di controllo per rimuoverla.

   Per una spiegazione dettagliata di ciascun criterio dell'organizzazione, vedi Vincoli dei criteri dell'organizzazione.

2. Fai clic su Conferma configurazione dei criteri dell'organizzazione.

I criteri dell'organizzazione selezionati vengono applicati quando esegui il deployment della configurazione in un'attività successiva.

Passaggi successivi

Configurare il networking.

In questa attività configuri la tua configurazione di networking iniziale, che puoi scalare in base alle tue esigenze.

Architettura Virtual Private Cloud

Una rete Virtual Private Cloud (VPC) è una versione virtuale di una rete fisica implementata all'interno della rete di produzione di Google. Una rete VPC è una risorsa globale composta da subnet regionali.

Le reti VPC forniscono funzionalità di networking le tue risorse Google Cloud, come la macchina virtuale istanze, container GKE e l'ambiente flessibile di App Engine di Compute Engine.

Un VPC condiviso collega le risorse da più a una rete VPC comune in modo che possano comunicare utilizzando gli indirizzi IP interni della rete. Il seguente diagramma mostra l'architettura base di una rete VPC condiviso con dei progetti di servizio.

Quando utilizzi una VPC condivisa, designi un progetto host e colleghi uno o più progetti di servizio. Le reti Virtual Private Cloud nel progetto host sono denominate reti VPC condiviso.

Il diagramma di esempio contiene progetti host di produzione e non di produzione, ciascuno con una rete VPC condivisa. Puoi utilizzare un progetto host per gestire centralmente quanto segue:

• Route
• Firewall
• Connessioni VPN
• Subnet

Un progetto di servizio è qualsiasi progetto collegato a un progetto host. Puoi e condividere subnet, inclusi intervalli secondari, tra progetti host e di servizio.

In questa architettura, ogni rete VPC condivisa contiene subnet pubbliche e private:

• La subnet pubblica può essere utilizzata da istanze rivolte a internet per e la connettività privata.
• La subnet privata può essere utilizzata da istanze rivolte verso l'interno a cui non sono stati allocati indirizzi IP pubblici.

In questa attività creerai una configurazione di rete iniziale basata sull'esempio in questo diagramma.

Chi esegue questa attività

Per eseguire questa operazione, è necessario uno dei seguenti requisiti:

• Il ruolo roles/compute.networkAdmin.
• Inclusione in gcp-network-admins@YOUR_DOMAIN creato nell'attività Utenti e gruppi.

Cosa fai in questa attività

Crea una configurazione di rete iniziale, inclusi i seguenti elementi:

• Crea più progetti host per riflettere i tuoi ambienti di sviluppo.
• Creare una rete VPC condiviso in ogni progetto host per consentire per condividere la stessa rete.
• Crea subnet distinte in ogni rete VPC condiviso per fornire ai progetti di servizio.

Perché consigliamo questa attività

Team distinti possono utilizzare il VPC condiviso per connettersi una rete VPC gestita centralmente.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.
• Crea o collega un account di fatturazione nell'attività Fatturazione.
• Configura la gerarchia e assegna l'accesso nel Attività Gerarchia e accesso.

Configura l'architettura di rete

Crea la tua configurazione di rete iniziale con due progetti host da segmentare carichi di lavoro di produzione e non di produzione. Ogni progetto host contiene Rete VPC condiviso, che può essere utilizzata da più progetti di servizio. Configura i dettagli della rete e poi esegui il deployment di un file di configurazione in un'attività successiva.

Per configurare la rete iniziale, segui questi passaggi.

1. Accedi alla console Google Cloud come utente dalla gcp-organization-admins@YOUR_DOMAIN gruppo creato nell'attività Utenti e gruppi.

2. Seleziona la tua organizzazione dall'elenco a discesa Seleziona un'organizzazione nella parte superiore della pagina.

3. Vai a Configurazione di Google Cloud: Networking.

   Vai a Networking

4. Esamina l'architettura di rete predefinita.

5. Per modificare il nome della rete:

   1. Fai clic su more_vert Azioni
   2. Seleziona Modifica nome rete.
   3. Nel campo Nome della rete, inserisci lettere minuscole, numeri o trattini. Il nome della rete non può superare i 25 caratteri.
   4. Fai clic su Salva.

Modifica dettagli firewall

Le regole firewall predefinite nel progetto host si basano sulle best practice consigliate. Puoi scegliere di disattivare una o più regole firewall predefinite. Per informazioni generali sulle regole firewall, vedi Regole firewall VPC.

Per modificare le impostazioni del firewall:

1. Fai clic su more_vert Azioni.

2. Seleziona Modifica regole firewall.

3. Per informazioni dettagliate su ogni regola firewall predefinita, consulta Regole precompilate nella rete predefinita.

4. Per disattivare una regola firewall, deseleziona la relativa casella di controllo.

5. Per disabilitare il logging delle regole firewall, fai clic su Off.

   Per impostazione predefinita, il traffico da e verso le istanze Compute Engine viene registrato per motivi di controllo. Questo processo prevede dei costi. Per ulteriori informazioni, consulta Logging delle regole firewall.

6. Fai clic su Salva.

Modifica i dettagli della subnet

Ogni rete VPC contiene almeno una subnet, di risorsa di regione con un intervallo di indirizzi IP associato. In questa area multiregionale devi avere almeno due subnet con intervalli IP che non si sovrappongono.

Per ulteriori informazioni, consulta Subnet.

Ogni subnet viene configurata utilizzando le best practice consigliate. Se vuoi personalizzare ogni sottorete:

1. Fai clic su more_vert Azioni.
2. Seleziona Modifica subnet.
3. Nel campo Nome, inserisci lettere minuscole, numeri o trattini. Il nome della sottorete non può contenere più di 25 caratteri.

4. Dal menu a discesa Regione, seleziona una regione vicina al tuo punto di accesso del servizio.

   Consigliamo una regione diversa per ogni subnet. Non puoi cambiare la regione dopo il deployment della configurazione. Per informazioni sulla scelta di una regione, consulta Risorse regionali.

5. Nel campo Intervallo di indirizzi IP, inserisci un intervallo in notazione CIDR: ad esempio 10.0.0.0/24.

   L'intervallo inserito non deve sovrapporsi ad altre subnet in questa rete. Per informazioni sugli intervalli validi, consulta Intervalli di subnet IPv4.

6. Ripeti questi passaggi per la subnet 2.

7. Per configurare altre subnet in questa rete, fai clic su Aggiungi subnet e ripeti questi passaggi.

8. Fai clic su Salva.

Le subnet vengono configurate automaticamente in base alle best practice. Se vuoi modificare la configurazione, Configurazione di Google Cloud: reti VPC, segui questi passaggi:

1. Per disattivare Log di flusso VPC, dalla colonna Log di flusso seleziona Disattivata.

   Quando i log di flusso sono attivi, ogni sottorete registra i flussi di rete che puoi analizzare per motivi di sicurezza, ottimizzazione delle spese e altri scopi. Per ulteriori informazioni, consulta Utilizzare i log di flusso VPC.

   I log di flusso VPC comportano costi. Per ulteriori informazioni, consulta la pagina Prezzi di Virtual Private Cloud.

2. Per disattivare l'accesso privato Google, dalla colonna Accesso privato: Seleziona Spento.

   Quando l'accesso privato Google è attivo, le istanze VM che non hanno indirizzi IP esterni possono raggiungere le API e i servizi Google. Per ulteriori informazioni, consulta Accesso privato Google.

3. Per attivare Cloud NAT, seleziona On nella colonna Cloud NAT.

   Quando Cloud NAT è attivo, determinate risorse possono creare connessioni in uscita verso internet. Per ulteriori informazioni, consulta la panoramica di Cloud NAT.

   Cloud NAT prevede costi. Per ulteriori informazioni, consulta i prezzi di Virtual Private Cloud.

4. Fai clic su Continua a collegare i progetti di servizio.

Collegare i progetti di servizio ai progetti host

Un progetto di servizio è qualsiasi progetto collegato a un progetto host. Questo collegamento consente al progetto di servizio di partecipare al VPC condiviso. Ogni progetto di servizio può essere gestito e amministrato da reparti o team diversi per creare una separazione delle responsabilità.

Per saperne di più su come collegare più progetti a una rete VPC comune, consulta la panoramica del VPC condiviso.

Per collegare i progetti di servizio ai progetti host e completare la configurazione, segui questi passaggi:

1. Per ogni subnet nella tabella Reti VPC condivise, seleziona un'opzione un progetto di servizio per la connessione. Per farlo, scegli un'opzione dalla sezione Seleziona un progetto nella colonna Progetto di servizio.

   Puoi connettere un progetto di servizio a più subnet.

2. Fai clic su Vai alla revisione.

3. Rivedi la configurazione e apporta le modifiche.

   Puoi apportare modifiche fino al deployment del file di configurazione.

4. Fai clic su Conferma configurazione di bozza. La configurazione di rete viene aggiunta al file di configurazione.

   La rete non viene dispiattata finché non esegui il deployment del file di configurazione in un'attività successiva.

Passaggi successivi

Configura la connettività ibrida, che ti consente di collegare i server on-premise o altri provider cloud a Google Cloud.

In questa attività, stabilirai le connessioni tra il tuo peer (on-premise o altro cloud) e le reti Google Cloud, come nel diagramma seguente.

Questo processo crea una VPN ad alta disponibilità, soluzione ad alta disponibilità che puoi creare rapidamente per trasmettere i dati al pubblico internet.

Dopo aver eseguito il deployment della configurazione di Google Cloud, ti consigliamo di creare una connessione più solida utilizzando Cloud Interconnect.

Per ulteriori informazioni sulle connessioni tra le reti peer e Google Cloud, consulta le seguenti:

• Panoramica di Cloud VPN
• Scegliere un prodotto Network Connectivity

Chi esegue questa attività

Devi disporre del ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin).

Cosa fai in questa attività

Crea connessioni a bassa latenza e ad alta disponibilità tra le tue reti VPC e le tue reti on-premise o di altri cloud. Configuri i seguenti componenti:

• Gateway VPN ad alta disponibilità di Google Cloud: una risorsa di regione con due interfacce, ciascuna con il proprio indirizzo IP. Devi specificare il tipo di stack IP, determina se il traffico IPv6 è supportato nella connessione. Per informazioni di base, consulta VPN ad alta disponibilità.
• Gateway VPN peer: il gateway sulla tua rete peer a cui Google Cloud un gateway VPN ad alta disponibilità si connette. Inserisci gli indirizzi IP esterni utilizzati dal gateway peer per connettersi a Google Cloud. Per informazioni di base, consulta Configurare il gateway VPN peer.
• Router Cloud: utilizza il protocollo BGP (Border Gateway Protocol) per scambiare dinamicamente le route tra la tua rete VPC e le reti peer. Assegna un numero di sistema autonomo (ASN) come identificatore per il router Cloud e specifica l'ASN utilizzato dal router peer. Per informazioni di base, consulta Creare un router Cloud per connettere una rete VPC a una rete peer.
• Tunnel VPN: collega il gateway Google Cloud al gateway peer. Specifica il protocollo IKE (Internet Key Exchange) da utilizzare per stabilire il tunnel. Puoi inserire la tua chiave IKE generata in precedenza oppure generarne e copiarne una nuova chiave. Per informazioni di base, consulta l'articolo Configurare IKE.

Perché consigliamo questa attività

Una VPN ad alta disponibilità offre un ambiente sicuro e ad alta disponibilità connessione tra la tua infrastruttura esistente e Google Cloud.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.
• Crea o collega un account di fatturazione nell'attività Fatturazione.
• Configura la gerarchia e assegna l'accesso nel Attività Gerarchia e accesso.
• Configura la rete nel Attività Reti VPC.

Raccogli le seguenti informazioni dall'amministratore di rete peer:

• Nome del gateway VPN peer: il gateway a cui si connette Cloud VPN.
• Indirizzo IP dell'interfaccia peer 0: un indirizzo IP esterno sulla tua rete peer. gateway VPN ad alta disponibilità.
• Indirizzo IP dell'interfaccia peer 1: un secondo indirizzo esterno oppure puoi riutilizzare l'indirizzo IP 0 se la rete peer ha un solo indirizzo IP esterno.
• ASN (Autonomous System Number) peer: un identificatore univoco assegnato al router della rete peer.
• ASN router Cloud: un identificatore univoco da assegnare al tuo router Cloud.
• Chiavi IKE (Internet Key Exchange): le chiavi che utilizzi per stabilire due tunnel VPN con il tuo gateway VPN peer. Se non hai chiavi esistenti, puoi generarle durante la configurazione e poi applicarle al gateway peer.

Configura le connessioni

Per connettere le reti VPC alle reti peer:

1. Accedi come utente con il ruolo Amministratore organizzazione.

2. Seleziona la tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.

3. Vai a Configurazione di Google Cloud: connettività ibrida.

   Vai a Connettività ibrida

4. Per esaminare i dettagli dell'attività:

   1. Esamina la panoramica dell'attività e fai clic su Avvia la connettività ibrida.

   2. Fai clic su ciascuna scheda per saperne di più sulla connettività ibrida e poi su Continua.

   3. Scopri cosa aspettarti in ogni passaggio dell'attività e fai clic su Continua.

   4. Esamina le informazioni di configurazione del gateway peer che devi raccogliere e fai clic su Continua.

5. Nell'area Connessioni ibride, identifica le reti VPC da mettere in contatto, in base alle esigenze della tua attività.

6. Nella riga relativa alla prima rete scelta, fai clic su Configura.

7. Nell'area Panoramica della configurazione, leggi la descrizione e fai clic su Avanti.

8. Nell'area Gateway VPN ad alta disponibilità Google Cloud, svolgi quanto segue:

   1. Nel campo Nome gateway Cloud VPN, inserisci fino a 60 caratteri utilizzando lettere minuscole, numeri e trattini.

   2. Nell'area Tipo di stack IP interno del tunnel VPN, seleziona una delle i seguenti tipi di stack:

      • IPv4 e IPv6 (opzione consigliata): può supportare sia il traffico IPv4 sia quello IPv6. Ti consigliamo questa impostazione se prevedi di consentire il traffico IPv6 nel tunnel.
      • IPv4: può supportare solo il traffico IPv4.

      Il tipo di stack determina il tipo di traffico consentito nel tunnel tra la rete VPC e la rete peer. Non puoi modificare il tipo di stack dopo aver creato il gateway. Per informazioni di base, consulta quanto segue:

      • Supporto IPv6
      • Tipi di stack e sessioni BGP

   3. Fai clic su Avanti.

9. Nell'area Gateway VPN peer:

   1. Nel campo Nome gateway VPN peer, inserisci il nome fornito dal tuo amministratore di rete peer. Puoi inserire fino a 60 caratteri utilizzando lettere minuscole, numeri e trattini.

   2. Nel campo Indirizzo IP dell'interfaccia peer 0, inserisci il gateway peer all'indirizzo IP esterno dell'interfaccia fornito dall'amministratore di rete peer.

   3. Nel campo Indirizzo IP dell'interfaccia peer 1, esegui una delle seguenti operazioni:

      • Se il gateway peer ha una seconda interfaccia, inserisci il relativo indirizzo IP.
      • Se il gateway peer ha una sola interfaccia, inserisci lo stesso indirizzo inserito in Indirizzo IP dell'interfaccia peer 0.

      Per informazioni di base, consulta Configurare il gateway VPN peer.

   4. Fai clic su Avanti.

10. Nell'area Cloud Router, segui questi passaggi:

    1. Nel campo ASN router Cloud, inserisci l'Autonomous System Number che vuoi assegnare al router Cloud, come fornito dall'amministratore della rete peer. Per informazioni di contesto, vedi Creare un router Cloud.

    2. Nel campo ASN router peer, inserisci il nome del router di rete peer Numero di sistema autonomo (Autonomous System Number), fornito dall'amministratore di rete peer.

11. Nell'area Tunnel VPN 0, svolgi i seguenti passaggi:

    1. Nel campo Nome tunnel 0, inserisci fino a 60 caratteri utilizzando lettere minuscole, numeri e trattini.

    2. Nell'area Versione IKE, seleziona una delle seguenti opzioni:

       • IKEv2 - consigliato: supporta il traffico IPv6.
       • IKEv1: utilizza questa impostazione se non prevedi di consentire il traffico IPv6 nel tunnel.

       Per informazioni di base, consulta Configurare i tunnel VPN.

    3. Nel campo Chiave IKE precondivisa, inserisci la chiave che utilizzi nella configurazione del gateway peer, come fornita dall'amministratore della rete peer. Se non hai una chiave esistente, puoi fare clic su Genera e copia e poi consegnarla all'amministratore della rete peer.

12. Nell'area Tunnel VPN 1, ripeti il passaggio precedente per applicare le impostazioni per nel secondo tunnel. Configura questo tunnel per la ridondanza e un throughput aggiuntivo.

13. Fai clic su Salva.

14. Ripeti questi passaggi per tutte le altre reti VPC che vuoi per connetterti alla rete peer.

Dopo il deployment

Dopo aver implementato la configurazione di configurazione di Google Cloud, compila i seguenti passaggi per assicurarti che la connessione di rete sia completa:

1. Collabora con l'amministratore di rete peer per allineare la tua rete peer le impostazioni di connettività ibrida. Dopo il deployment, vengono fornite istruzioni specifiche per la tua rete di peer, tra cui:

   • Impostazioni del tunnel.
   • Impostazioni del firewall.
   • Impostazioni IKE.

2. Convalida le connessioni di rete che hai creato. Ad esempio, puoi utilizzare Network Intelligence Center per controllare la connettività tra le reti. Per ulteriori informazioni, consulta la panoramica dei test di connettività.

3. Se le esigenze della tua attività richiedono una connessione più solida, utilizza Cloud Interconnect. Per ulteriori informazioni, vedi Scelta di un prodotto per la connettività di rete.

Passaggi successivi

Esegui il deployment della configurazione, che include le impostazioni per la gerarchia e l'accesso, il logging, la rete e la connettività ibrida.

Quando completi la procedura di configurazione di Google Cloud, le impostazioni del nei file di configurazione di Terraform vengono compilate le seguenti attività:

• Gerarchia e accesso
• Centralizzare il logging
• Sicurezza
• Reti VPC
• Connettività ibrida

Per applicare le impostazioni, rivedi le selezioni e scegli un deployment .

Chi esegue questa attività

Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN che hai creato nell'attività Utenti e gruppi.

Cosa fai in questa attività

Esegui il deployment dei file di configurazione per applicare le impostazioni di configurazione.

Perché consigliamo questa attività

Per applicare le impostazioni selezionate, devi eseguire il deployment dei file di configurazione.

Prima di iniziare

Devi completare le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.
• Crea o collega un account di fatturazione nell'attività Fatturazione.
• Configura la gerarchia e assegna l'accesso nel Attività Gerarchia e accesso.

Si consiglia di svolgere le seguenti attività:

• Consolida i dati dei log in un'unica posizione all'interno Attività Centralizza il logging.
• Rafforza la tua strategia di sicurezza configurando servizi senza costi nell'attività Sicurezza.
• Configura la rete iniziale nelle reti VPC dell'attività.
• Connetti reti peer a Google Cloud nella Connettività ibrida dell'attività.

Rivedi i dettagli di configurazione

Per assicurarti che le impostazioni di configurazione siano complete, procedi nel seguente modo:

1. Accedi alla console Google Cloud come utente del gruppo gcp-organization-admins@YOUR_DOMAIN creato nell'attività Utenti e gruppi.

2. Seleziona la tua organizzazione dall'elenco a discesa Seleziona da in alto della pagina.

3. Vai a Configurazione di Google Cloud: esegui il deployment o scarica.

   Vai a Esegui il deployment o Scarica

4. Rivedi le impostazioni di configurazione selezionate. Fai clic su ciascuna delle seguenti schede e controlla le impostazioni:

   • Gerarchia e accesso alle risorse
   • Logging
   • Sicurezza
   • Reti VPC
   • Connettività ibrida

Esegui il deployment della configurazione

Ora che hai esaminato i dettagli della configurazione, utilizza uno dei le seguenti opzioni:

• Esegui il deployment direttamente dalla console: utilizza questa opzione se non hai un flusso di lavoro di deployment di Terraform esistente e vuoi un metodo di deployment semplice. Puoi eseguire il deployment solo con questo metodo una volta sola.

• Scarica ed esegui il deployment del file Terraform: utilizza questa opzione se vuoi automatizzare la gestione delle risorse usando un flusso di lavoro di deployment Terraform. Puoi scaricare e eseguire il deployment utilizzando questo metodo più volte.

Esegui il deployment utilizzando una delle seguenti opzioni:

Passaggi successivi

Esamina le best practice sul monitoraggio.

Cloud Monitoring viene configurato automaticamente per i tuoi progetti Google Cloud. In questa attività imparerai le best practice facoltative per il monitoraggio.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.

Chi esegue questa attività

Una persona nel gruppo gcp-monitoring-admins@YOUR_DOMAIN creato nell'attività Utenti e gruppi.

Cosa fai in questa attività

Esamina e implementa le best practice di monitoraggio facoltative.

Perché consigliamo questa attività

Puoi implementare le best practice di monitoraggio per:

• Agevola la collaborazione tra gli utenti che monitorano la tua organizzazione.
• Monitora la tua infrastruttura Google Cloud in un unico posto.
• Raccogli metriche e log importanti delle applicazioni.

Esamina e implementa le best practice per il monitoraggio

Cloud Monitoring raccoglie metriche, eventi e metadati dai servizi Google Cloud, monitor sintetici, strumentazione delle applicazioni e altre applicazioni comuni componenti. Cloud Monitoring viene configurato automaticamente per i tuoi progetti Google Cloud.

In questa attività, puoi implementare le seguenti best practice per migliorare la configurazione predefinita di Cloud Monitoring.

• Per facilitare la collaborazione, crea un criterio dell'organizzazione che conceda il ruolo Visualizzatore monitoraggio a ogni principale della tua organizzazione per ogni progetto.

• Per monitorare l'infrastruttura Google Cloud in un unico posto, configura un progetto per leggere le metriche di più progetti Google Cloud utilizzando gli ambiti delle metriche.

• Per raccogliere metriche e log delle applicazioni per le macchine virtuali:

  • Per Compute Engine, installa Ops Agent.
  • Per Google Kubernetes Engine (GKE), configura il servizio gestito di Google Cloud per Prometheus.

Passaggi successivi

Scegli un piano di assistenza.

In questa attività, scegli un piano di assistenza adatto alle esigenze della tua attività.

Chi esegue questa attività

Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN creato nell'attività Utenti e gruppi.

Cosa fai in questa attività

Scegli un piano di assistenza in base alle esigenze della tua azienda.

Perché consigliamo questa attività

Un piano di assistenza premium fornisce un'assistenza business-critical per risolvere rapidamente i problemi con l'aiuto degli esperti di Google Cloud.

Scegli un'opzione di assistenza

Riceverai automaticamente l'Assistenza di base gratuita, che include l'accesso ai seguenti di risorse:

• Documentazione
• Discussioni e assistenza dalla community
• Assistenza per problemi di fatturazione

Consigliamo ai clienti aziendali di registrarsi per l'assistenza Premium, che offre assistenza tecnica individuale da parte dei tecnici dell'Assistenza Google. Per confrontare i piani di assistenza, consulta Assistenza clienti Google Cloud.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.

Attivare l'assistenza

Identifica e seleziona un'opzione di assistenza.

1. Esamina e seleziona un piano di assistenza. Per ulteriori informazioni, vedi Assistenza clienti Google Cloud.

2. Accedi alla console Google Cloud con un utente del gruppo gcp-organization-admins@<your-domain>.com che hai creato nell'attività Utenti e gruppi.

3. Vai a Configurazione di Google Cloud: assistenza.

   Vai all'assistenza

4. Esamina i dettagli dell'attività e fai clic su Visualizza offerte di assistenza per selezionare un'opzione di assistenza.

5. Dopo aver impostato l'opzione di assistenza, torna a Configurazione di Google Cloud: Assistenza e fai clic su Contrassegna l'attività come completata.

Passaggi successivi

Ora che hai completato la configurazione di Google Cloud, puoi estendi la configurazione iniziale, esegui il deployment di soluzioni predefinite ed esegui la migrazione delle tue risorse esistenti per i flussi di lavoro. Per ulteriori informazioni, vedi Estendi la configurazione iniziale e inizia a creare.