Prima di eseguire carichi di lavoro di produzione su Google Cloud, ti consigliamo configuri una base iniziale a supporto del tuo lavoro. Configurazione di Google Cloud aiuta gli amministratori a configurare Google Cloud per carichi di lavoro scalabili. Configurazione che ti guida attraverso una procedura interattiva che ti consente di creare di base tenendo presenti le best practice.
Per allinearti alle esigenze della tua azienda, puoi eseguire rapidamente il deployment di una configurazione o apportare modifiche durante l'intero processo di configurazione. In base a il flusso di lavoro di deployment che preferisci, puoi eseguire il deployment della configurazione direttamente dalla console o scaricare ed eseguire il deployment di Terraform si integrano con il tuo processo Infrastructure as Code (IaC).
Questo documento include passaggi e informazioni di base per aiutarti a completare di configurazione di Google, disponibile anche come guida interattiva in la console Google Cloud:
Vai alla configurazione di Google Cloud
La procedura di configurazione include le seguenti fasi:
Definisci la tua organizzazione, gli amministratori e la fatturazione: configura nodo di primo livello della gerarchia, creare utenti amministratori iniziali, e collega il tuo metodo di pagamento.
Crea un'architettura iniziale: seleziona una cartella e un progetto iniziali. strutturare, assegnare l'accesso, configurare il logging, applicare impostazioni di sicurezza e configurare la rete.
Esegui il deployment delle impostazioni: le scelte iniziali per l'architettura vengono compilate in di configurazione di Terraform. Puoi eseguire rapidamente il deployment la console Google Cloud o scarica i file per personalizzare e ripetere utilizzando il tuo flusso di lavoro.
Applica le impostazioni di monitoraggio e assistenza: applica il monitoraggio e il supporto consigliati e supportare le impostazioni per rafforzare l'architettura.
Specifica organizzazione, amministratori e fatturazione
Organizzazione
Una risorsa organizzazione in Google Cloud rappresenta la tua attività e come nodo di primo livello della gerarchia. Per creare la tua organizzazione, devi configurare un servizio di identità Google e associarlo al tuo dominio. Al termine durante il processo, viene creata automaticamente una risorsa dell'organizzazione.
Per una panoramica della risorsa organizzazione, vedi quanto segue:
- Gestisci le risorse dell'organizzazione.
- Best practice per la pianificazione di account e organizzazioni.
Chi esegue questa attività
I due amministratori seguenti eseguono questa operazione:
Un amministratore delle identità responsabile dell'assegnazione dell'accesso basato sui ruoli. Tu e assegnale il ruolo di super amministratore di Cloud Identity. Per maggiori informazioni informazioni sull'utente super amministratore, consulta Ruoli amministrativi predefiniti.
Un amministratore di dominio con accesso all'host del dominio dell'azienda. Questa persona Modifica le impostazioni del dominio, ad esempio le configurazioni DNS, come parte del dominio procedura di verifica.
Cosa fai in questa attività
- Se non l'hai ancora fatto, configura Cloud Identity, per creare un account utente gestito per il tuo come utente amministratore.
- Collega Cloud Identity al tuo dominio, ad esempio example.com.
- Verifica il dominio. Questo processo crea il nodo radice della risorsa nota come risorsa dell'organizzazione.
Perché consigliamo questa attività
Nell'ambito della tua piattaforma Google Cloud, devi configurare quanto segue:
- Un servizio di identità Google per la gestione centralizzata delle identità.
- Una risorsa organizzazione per stabilire la radice della gerarchia e dell'accesso controllo.
Opzioni del servizio di identità Google
Per amministrare, utilizzi uno o entrambi i seguenti servizi di identità Google credenziali per utenti Google Cloud:
- Cloud Identity: gestisce a livello centralizzato utenti e gruppi. Puoi eseguire la federazione le identità tra Google e altri provider di identità. Per ulteriori informazioni, consulta la Panoramica di Cloud Identity.
- Google Workspace: gestisce utenti e gruppi e dà accesso a prodotti di produttività e collaborazione come Gmail e Google Drive. Per saperne di più, vedi Google Workspace.
Per informazioni dettagliate sulla pianificazione delle identità, consulta Pianificare il processo di onboarding per le identità aziendali.
Prima di iniziare
Per comprendere come gestire un account super amministratore, vedi Best practice per gli account super amministratore.
Configura un provider di identità e verifica il dominio
I passaggi da completare in questa attività dipendono dal tipo di attività: nuovo o esistente al cliente. Identifica l'opzione più adatta alle tue esigenze:
Nuovo cliente: configura Cloud Identity, verifica il dominio e crea dell'organizzazione.
Cliente Google Workspace esistente: utilizza Google Workspace come tuo per gli utenti che accedono a Google Workspace e Google Cloud. Se prevedi di creare utenti che accedono solo a Google Cloud, attiva Cloud Identity.
Cliente Cloud Identity esistente: verifica il dominio, assicurati che è stata creata e verifica che Cloud Identity sia abilitato.
Nuovo cliente
Nuovo cliente: configura Cloud Identity e crea la tua organizzazione
Per creare la risorsa dell'organizzazione, devi prima configurare Cloud Identity, consente di gestire utenti e gruppi che accedono alle risorse Google Cloud.
In questa attività devi configurare la versione gratuita di Cloud Identity.Puoi abilitare Cloud Identity Premium Edition dopo per completare la configurazione iniziale. Per ulteriori informazioni, vedi Confronto tra funzionalità e versioni di Cloud Identity.
Identifica la persona che ricopre il ruolo di amministratore di Cloud Identity (anche questo noto come super amministratore) nella tua organizzazione
Registra il nome utente dell'amministratore nel seguente formato: nomeamministratore@example.com. Ad esempio, admin-maria@example.com. Specifica questo nome utente quando crei il primo utente amministratore.
Per completare la procedura di configurazione e creare l'account super amministratore, Vai alla pagina di registrazione di Cloud Identity.
Se ricevi un messaggio di errore quando configuri l'account amministratore, leggi la sezione "L'account Google esiste già" .
Verifica il dominio e crea la risorsa dell'organizzazione
Cloud Identity richiede la verifica della proprietà del dominio. Una volta La verifica viene completata, viene creata automaticamente la tua risorsa dell'organizzazione Google Cloud.
Assicurati di aver creato un account super amministratore quando hai configurato il tuo provider di identità.
Verifica il dominio in Cloud Identity. Quando completi la verifica tieni presente quanto segue:
- Quando richiesto, non fare clic su Crea nuovi utenti. Creerai nuovi utenti in un'attività successiva.
- Se non riesci a registrare il tuo dominio, vedi Non riesco a registrarmi a un servizio Google con il mio dominio.
- L'elaborazione della verifica potrebbe richiedere diverse ore.
Per i passaggi per verificare il dominio, vedi Verificare il dominio.
Al termine della procedura di verifica del dominio, fai clic su Configura subito la console Google Cloud.
Accedi alla console Google Cloud come utente super amministratore utilizzando l'indirizzo email specificato. Ad esempio, admin-maria@example.com.
Vai a Configurazione di Google Cloud: Organizzazione. La tua organizzazione è stata creata automaticamente.
Seleziona la tua organizzazione dall'elenco a discesa Seleziona da in alto della pagina.
Richiedere licenze utente di Cloud Identity aggiuntive
La versione gratuita di Cloud Identity include un'allocazione di licenze. Per la procedura per visualizzare e richiedere le licenze, vedi Tetto massimo di utenti per la versione gratuita di Cloud Identity.
Cliente di Workspace
Cliente di Google Workspace esistente: verifica il dominio e attiva Cloud Identity
Se sei già cliente di Google Workspace, verifica il tuo dominio. assicurarsi che la risorsa dell'organizzazione venga creata automaticamente e abilitare Cloud Identity.
Per verificare il dominio in Google Workspace, vedi Verificare il dominio. Durante la procedura di verifica, tieni presente quanto segue:
- Quando richiesto, non fare clic su Crea nuovi utenti. Creerai nuovi utenti in un'attività successiva.
- Se non riesci a registrare il tuo dominio, vedi Non riesco a registrarmi a un servizio Google con il mio dominio.
- L'elaborazione della verifica potrebbe richiedere diverse ore.
Accedi alla console Google Cloud come utente super amministratore.
Vai a Configurazione di Google Cloud: Organizzazione.
Seleziona Sono già cliente di Google Workspace.
Assicurati che il nome della tua organizzazione sia visualizzato nella sezione Organizzazione. dall'elenco di lettura.
Se vuoi creare utenti che accedono a Google Cloud, ma non ricevono Licenze Google Workspace:
In Google Workspace, attiva Cloud Identity.
Quando configuri Cloud Identity, disattiva l'assegnazione automatica delle licenze di Google Workspace.
Cliente di Cloud Identity
Cliente Cloud Identity esistente: verifica del dominio
Se sei già cliente Cloud Identity, assicurati di aver verificato il tuo dominio e che la risorsa dell'organizzazione sia stata creata automaticamente.
Per assicurarti di aver verificato il dominio, consulta Verifica il tuo dominio. Durante la procedura di verifica, tieni presente quanto segue:
- Quando richiesto, non fare clic su Crea nuovi utenti. Creerai nuovi utenti in un'attività successiva.
- Se non riesci a registrare il tuo dominio, consulta Non riesco a registrare il mio dominio a un servizio Google.
- L'elaborazione della verifica potrebbe richiedere diverse ore.
Accedi alla console Google Cloud come utente super amministratore.
Vai a Configurazione di Google Cloud: Organizzazione.
Seleziona Sono già cliente di Cloud Identity.
Assicurati che il nome della tua organizzazione sia visualizzato nella sezione Organizzazione. dall'elenco di lettura.
Assicurati che Cloud Identity sia abilitato in Console di amministrazione Google: abbonamenti. Accedi come utente super amministratore.
Passaggi successivi
Utenti e gruppi
In questa attività, creerai gruppi di utenti e account utente gestiti per il della tua organizzazione Google Cloud.
Per saperne di più sulla gestione degli accessi su Google Cloud, consulta il seguenti:
- Panoramica di Identity and Access Management (IAM).
- Per le best practice, vedi Gestire l'identità e l'accesso.
Prima di iniziare
Trova ed esegui la migrazione degli utenti che hanno già un Account Google. Per dettagli Per ulteriori informazioni, consulta Aggiungere utenti con account non gestiti.
Chi esegue questa attività
Un amministratore delle identità responsabile della gestione dell'accesso a privati o gruppi della tua organizzazione. Hai assegnato a questa persona come super amministratore nell'attività Organizzazione.
Cosa fai in questa attività
In questa attività, eseguirai le seguenti procedure di gestione utenti:
- Crea un gruppo per ogni funzione amministrativa consigliata, ad esempio: organizzazione, fatturazione e amministrazione di rete.
- Creare account utente per gli amministratori.
- Assegnare gli utenti a gruppi amministrativi che corrispondono ai loro e le responsabilità aziendali.
Puoi personalizzare le autorizzazioni per ciascun gruppo in un'attività successiva.
Perché consigliamo questa attività
Questa attività ti aiuta a implementare le seguenti best practice per la sicurezza:
Principio del privilegio minimo: fornisci agli utenti le autorizzazioni minime richieste per eseguire il proprio ruolo e rimuovere l'accesso non appena non è più necessario.
Controllo controllo dell'accesso basato sui ruoli (RBAC): assegna autorizzazioni a gruppi di utenti in base al proprio ruolo professionale. Non aggiungere autorizzazioni a singoli account utente.
Puoi utilizzare i gruppi per applicare in modo efficiente i ruoli IAM a una raccolta di utenti. Questa pratica ti aiuta a semplificare la gestione degli accessi.
Crea gruppi amministrativi
Un gruppo è una raccolta denominata di Account Google e account di servizio. Ogni gruppo ha un indirizzo email univoco, ad esempio gcp-billing-admins@example.com. Puoi creare gruppi per gestire gli utenti e applicare ruoli IAM su larga scala.
I gruppi seguenti sono consigliati per aiutarti ad amministrare l'infrastruttura funzioni principali e completare la procedura di configurazione di Google Cloud.
Gruppo | Descrizione |
gcp-organization-admins
|
Amministra tutte le risorse dell'organizzazione. Assegna questo ruolo solo agli utenti più affidabili. |
gcp-billing-admins
|
Configura gli account di fatturazione e monitora l'utilizzo. |
gcp-network-admins
|
Creare reti, subnet e regole firewall nel virtual private cloud. |
gcp-hybrid-connectivity-admins
|
Creare dispositivi di rete come istanze Cloud VPN e router Cloud. |
gcp-logging-admins
|
Utilizza tutte le funzionalità di Cloud Logging. |
gcp-logging-viewers
|
Accesso in sola lettura a un sottoinsieme di log. |
gcp-monitoring-admins
|
Gli amministratori di Monitoring hanno accesso a tutte le funzionalità di Cloud Monitoring. |
gcp-security-admins |
Stabilire e gestire criteri di sicurezza per l'intera organizzazione, tra cui gestione degli accessi e criteri relativi ai vincoli dell'organizzazione. Consulta il progetto delle basi aziendali di Google Cloud per ulteriori informazioni sulla pianificazione della sicurezza di Google Cloud dell'infrastruttura. |
gcp-developers
|
Progettare, programmare e testare le applicazioni. |
gcp-devops
|
Crea o gestisci pipeline end-to-end a supporto della integrazione e distribuzione, monitoraggio e provisioning del sistema. |
Per creare gruppi amministrativi, segui questi passaggi:
Accedi alla console Google Cloud come account super amministratore creato nell'attività Organizzazione.
Vai a Configurazione di Google Cloud: Utenti e gruppi di lavoro.
Rivedi i dettagli dell'attività e fai clic su Continua con gli utenti e gruppi di lavoro.
Esamina l'elenco dei gruppi amministrativi consigliati, quindi esegui una delle seguenti:
- Per creare tutti i gruppi consigliati, fai clic su Crea tutti i gruppi.
- Se vuoi creare un sottoinsieme dei gruppi consigliati, fai clic su Crea nelle righe scelte.
Fai clic su Continua.
Crea utenti amministrativi
Consigliamo di aggiungere inizialmente utenti che completano l'organizzazione, di networking, fatturazione e altre procedure di configurazione. Puoi aggiungere altri utenti dopo per completare la procedura di configurazione di Google Cloud.
Per aggiungere utenti amministrativi che eseguono attività di configurazione di Google Cloud, esegui le seguenti:
Eseguire la migrazione di account consumer in account utente gestiti controllati da e Cloud Identity. Per i passaggi dettagliati, consulta quanto segue:
Accedi alla Console di amministrazione Google utilizzando un un account super amministratore.
Utilizza una delle seguenti opzioni per aggiungere utenti:
- Per aggiungere collettivamente gli utenti, vedi Aggiungere o aggiornare più utenti da un file CSV.
- Per aggiungere gli utenti singolarmente, vedi Aggiungere un account per un nuovo utente.
Dopo aver aggiunto gli utenti, torna a Configurazione di Google Cloud: utenti e gruppi (Creazione di utenti).
Fai clic su Continua.
Aggiungi utenti amministrativi ai gruppi
Aggiungi i membri che hai creato ai gruppi amministrativi che corrispondono ai loro doveri.
In Configurazione di Google Cloud: Utenti e gruppi (Aggiungi utenti ai gruppi), esamina le i dettagli del passaggio.
In ogni riga Group:
- Fai clic su Aggiungi membri.
- Inserisci l'indirizzo email dell'utente.
Dall'elenco a discesa Ruolo gruppo, seleziona il gruppo dell'utente impostazioni di autorizzazione. Per ulteriori informazioni, vedi Impostare le autorizzazioni di visualizzazione, pubblicazione e moderazione.
Ogni membro eredita tutti i ruoli IAM che concedi a un gruppo, indipendentemente dal ruolo del gruppo selezionato.
Per aggiungere un altro utente a questo gruppo, fai clic su Aggiungi un altro membro e ripeti questi passaggi.
Quando hai finito di aggiungere gli utenti al gruppo, fai clic su Salva.
Quando hai finito di aggiungere membri ai gruppi, fai clic su Conferma utenti e gruppi di lavoro.
Passaggi successivi
Accesso amministrativo
In questa attività utilizzerai Identity and Access Management (IAM) per assegnare raccolte di autorizzazioni a gruppi di amministratori a livello di organizzazione. Questo processo offre agli amministratori visibilità e controllo centralizzati su ogni risorsa cloud che appartiene alla tua organizzazione.
Per una panoramica di Identity and Access Management in Google Cloud, vedi Panoramica IAM.
Chi esegue questa attività
Per eseguire questa attività, devi essere una delle seguenti persone:
- Un utente super amministratore.
- Un utente con il ruolo Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
).
Cosa fai in questa attività
Esaminare un elenco dei ruoli predefiniti assegnati a ciascun gruppo di amministratori creato nell'attività Utenti e gruppi.
Se vuoi personalizzare un gruppo, puoi:
- Aggiungere o rimuovere ruoli.
- Se non prevedi di utilizzare un gruppo, puoi eliminarlo.
Perché consigliamo questa attività
Devi concedere esplicitamente tutti i ruoli amministrativi per la tua organizzazione. Questo ti aiuta a implementare le seguenti best practice per la sicurezza:
Principio del privilegio minimo: fornisci agli utenti le autorizzazioni minime richieste per svolgere le proprie mansioni e rimuovere l'accesso non appena non è più necessario.
Controllo controllo dell'accesso basato sui ruoli (RBAC): assegna autorizzazioni a gruppi di utenti in base al loro lavoro. Non concedere ruoli a singoli account utente.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
- Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
Concedere l'accesso ai gruppi di amministratori
Per concedere l'accesso appropriato a ciascun gruppo di amministratori creato nel Utenti e gruppi, esamina i ruoli predefiniti assegnati a ciascun gruppo. Puoi aggiungere o rimuovere ruoli per personalizzare l'accesso.
Assicurati di aver eseguito l'accesso alla console Google Cloud come come utente super amministratore.
In alternativa, puoi accedere come utente con l'Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
).Vai a Configurazione di Google Cloud: accesso amministrativo.
Seleziona il nome dell'organizzazione dall'elenco a discesa Seleziona da nella nella parte superiore della pagina.
Esamina la panoramica dell'attività e fai clic su Continua accesso amministrativo.
Esamina i gruppi che hai creato nella colonna Gruppo (entità) in la sezione Utenti e l'attività Raggruppa.
Per ogni gruppo, esamina i ruoli IAM predefiniti. Puoi aggiungere o rimuovere ruoli assegnati a ciascun gruppo per soddisfare le esigenze specifiche della tua organizzazione.
Ogni ruolo contiene più autorizzazioni che consentono agli utenti di eseguire attività di machine learning. Per ulteriori informazioni sulle autorizzazioni in ciascun ruolo, consulta Riferimento per i ruoli IAM di base e predefiniti.
Quando è tutto pronto per assegnare ruoli a ciascun gruppo, fai clic su Salva e concedi l'accesso alle app.
Passaggi successivi
Imposta la fatturazione.
Fatturazione
In questa attività configurerai un account di fatturazione per pagare i costi di Google Cloud Google Cloud. Per farlo, devi associare una delle seguenti opzioni alla tua organizzazione.
Un account di fatturazione Cloud esistente. Se non hai accesso all'account, puoi richiedere l'accesso all'amministratore del tuo account di fatturazione.
Un nuovo account di fatturazione Cloud.
Per ulteriori informazioni sulla fatturazione, consulta la documentazione sulla fatturazione Cloud.
Chi esegue questa attività
Una persona nel gruppo gcp-billing-admins@YOUR_DOMAIN
creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
- Crea o utilizza un account di fatturazione Cloud self-service esistente.
- Decidere se passare da un account self-service a un account con fatturazione .
- Configurare un account di fatturazione Cloud e un metodo di pagamento.
Perché consigliamo questa attività
Gli account di fatturazione Cloud sono collegati a uno o più progetti Google Cloud e vengono usati per pagare le risorse che usi, ad esempio macchine virtuali, networking e spazio di archiviazione.
Determinare il tipo di account di fatturazione
L'account di fatturazione che associ alla tua organizzazione è uno dei tipi seguenti.
Self-service (o online): registrati online con una carta di credito o di debito. Me consiglia questa opzione se la tua è una piccola impresa o un privato. Quando registrati online per un account di fatturazione, l'account viene configurato automaticamente come account self-service.
Fatturato (oppure offline). Se hai già un account con fatturazione self-service, potresti avere l'idoneità a richiedere la fatturazione mensile non automatica se la tua attività soddisfa requisiti di idoneità.
Non puoi creare un account con fatturazione mensile non automatica online, ma puoi richiedere la conversione di un self-service a un account con fatturazione mensile non automatica.
Per ulteriori informazioni, vedi Tipi di account di fatturazione Cloud.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
- Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
- Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.
Configura l'account di fatturazione
Ora che hai scelto un tipo di account di fatturazione, associa la account di fatturazione con la tua organizzazione. Una volta completata la procedura, puoi usano il tuo account di fatturazione per pagare le risorse Google Cloud.
Accedi alla console Google Cloud come utente dalla Gruppo
gcp-billing-admins@YOUR_DOMAIN
.Vai a Configurazione di Google Cloud: Fatturazione.
Esamina la panoramica dell'attività e fai clic su Continua fatturazione.
Seleziona una delle seguenti opzioni per l'account di fatturazione:
Crea un nuovo account
Se la tua organizzazione non dispone di un account esistente, creane uno nuovo .
- Seleziona Voglio creare un nuovo account di fatturazione.
- Fai clic su Continua.
Seleziona il tipo di account di fatturazione che vuoi creare. Per la procedura dettagliata, consulta le seguenti risorse:
- Per creare un nuovo account self-service, consulta Crea un nuovo account di fatturazione Cloud self-service.
- Per eseguire la transizione di un account self-service esistente alla fatturazione mensile non automatica, consulta: Richiedi la fatturazione mensile.
Verifica che il tuo account di fatturazione sia stato creato:
Se hai creato un account con fatturazione mensile non automatica, attendi fino a 5 giorni lavorativi per ricevi un'email di conferma.
Vai alla sezione Pagina Fatturazione.
Seleziona la tua organizzazione dall'elenco Seleziona da in alto della pagina. Se l'account è stato creato correttamente, visualizzato nell'elenco degli account di fatturazione.
Usa il mio account esistente
Se hai già un account di fatturazione, puoi associarlo al tuo dell'organizzazione.
- Seleziona Ho identificato un account di fatturazione da questo elenco che vorrei utilizzare per completare la procedura di configurazione.
- Nell'elenco a discesa Fatturazione, seleziona l'account da associare alla tua organizzazione.
- Fai clic su Continua.
- Rivedi i dettagli e fai clic su Conferma account di fatturazione.
Utilizza l'account di un altro utente
Se un altro utente ha accesso a un account di fatturazione esistente, puoi chiedere per associare l'account di fatturazione alla tua organizzazione oppure L'utente può concederti l'accesso necessario per completare l'associazione.
- Seleziona Voglio utilizzare un account di fatturazione gestito da un altro account utente Google.
- Fai clic su Continua.
- Inserisci l'indirizzo email dell'amministratore dell'account di fatturazione.
- Fai clic su Contatta l'amministratore.
- Attendi che l'amministratore dell'account di fatturazione ti contatti per ulteriori informazioni istruzioni.
Passaggi successivi
Creare un'architettura iniziale
Gerarchia e accesso
In questa attività, configurerai la gerarchia delle risorse creando e assegnando alle seguenti risorse:
- Cartelle
- Fornire un meccanismo di raggruppamento e limiti di isolamento tra i progetti. Per Ad esempio, le cartelle possono rappresentare i reparti principali dell'organizzazione, ad esempio finanza o retail oppure ambienti come quelli di produzione non in produzione.
- Progetti
- Contengono le risorse Google Cloud come macchine virtuali, database e di archiviazione dei bucket.
Per considerazioni sulla progettazione e best practice per organizzare le risorse in progetti, vedi Decidi una gerarchia delle risorse per la tua zona di destinazione di Google Cloud.
Chi esegue questa attività
Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN
creato nell'attività Utenti e gruppi può
eseguire questa attività.
Cosa fai in questa attività
- Crea una struttura gerarchica iniziale che includa cartelle e progetti.
- Imposta i criteri IAM per controllare l'accesso alle tue cartelle in modo programmatico a gestire i progetti.
Perché consigliamo questa attività
La creazione di una struttura per cartelle e progetti è utile per gestire alle risorse Google Cloud e ad assegnare l'accesso in base al modo operativa. Ad esempio, puoi organizzare e fornire l'accesso a in base all'unica raccolta di regioni geografiche della tua organizzazione, società controllate, o quadri di responsabilità.
Pianifica la gerarchia delle risorse
La gerarchia delle risorse ti aiuta a creare confini e a condividere le risorse tra della tua organizzazione per svolgere attività comuni. Puoi creare la gerarchia utilizzando uno dei seguenti le seguenti configurazioni iniziali, in base alla struttura organizzativa:
Semplici orientati all'ambiente:
- Isola gli ambienti come
Non-production
eProduction
. - Implementa criteri, requisiti normativi e controlli di accesso distinti in di ogni cartella di ambiente.
- Ideale per le piccole aziende con ambienti centralizzati.
- Isola gli ambienti come
Semplicità orientata ai team:
- Isola i team come
Development
eQA
. - Isola l'accesso alle risorse utilizzando le cartelle dell'ambiente figlio in ogni team .
- Ideale per piccole aziende con team autonomi.
- Isola i team come
Orientamento all'ambiente:
- Dare priorità all'isolamento di ambienti come
Non-production
eProduction
. - In ogni cartella di ambiente, isola le unità aziendali.
- In ogni unità aziendale, isola i team.
- Ideale per le grandi aziende con ambienti centralizzati.
- Dare priorità all'isolamento di ambienti come
Orientate alle unità aziendali:
- Dare priorità all'isolamento di unità aziendali come
Human Resources
eEngineering
per garantire che gli utenti possano accedere solo alle risorse e di cui hanno bisogno. - In ogni unità aziendale, isola i team.
- In ogni team, isola gli ambienti.
- Ideale per le grandi aziende con team autonomi.
- Dare priorità all'isolamento di unità aziendali come
Ogni configurazione ha una cartella Common
per i progetti che contengono file
Google Cloud. Potrebbero essere inclusi il logging e il monitoraggio dei progetti.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
- Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
- Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.
- Crea o collega un account di fatturazione nell'attività Fatturazione.
Configura cartelle e progetti iniziali
Seleziona la gerarchia di risorse che rappresenta la struttura organizzativa.
Per configurare cartelle e progetti iniziali:
Accedi alla console Google Cloud come utente dalla
gcp-organization-admins@YOUR_DOMAIN
gruppo che hai creato nell'attività Utenti e gruppi.Seleziona la tua organizzazione dall'elenco a discesa Seleziona da in alto della pagina.
Vai a Configurazione di Google Cloud: gerarchia e l'accesso alle app.
Esamina la panoramica dell'attività, poi fai clic su Inizia accanto a Gerarchia delle risorse.
Seleziona una configurazione iniziale.
Fai clic su Continua e configura.
Personalizza la gerarchia delle risorse in base alla struttura organizzativa. Ad esempio, puoi personalizzare quanto segue:
- Nomi delle cartelle.
Progetti di servizio per ogni team. Per concedere l'accesso ai progetti di servizio, puoi creare quanto segue:
- Un gruppo per ogni progetto di servizio.
- Utenti in ogni gruppo.
Per una panoramica dei progetti di servizio, vedi VPC condiviso.
Progetti richiesti per il monitoraggio, il logging e il networking.
Progetti personalizzati.
Fai clic su Continua.
Concedi l'accesso alle tue cartelle e ai tuoi progetti
Nell'attività Accesso amministrativo, hai concesso accesso amministrativo ai gruppi a livello di organizzazione. In questa attività, configurare l'accesso ai gruppi che interagiscono con le cartelle appena configurate e in modo programmatico a gestire i progetti.
Progetti, cartelle e organizzazioni hanno ciascuno il proprio IAM che vengono ereditati tramite la gerarchia delle risorse:
- Organizzazione: i criteri si applicano a tutte le cartelle e a tutti i progetti nell'organizzazione.
- Cartella: i criteri si applicano ai progetti e ad altre cartelle all'interno della cartella.
- Progetto: i criteri si applicano solo al progetto e alle relative risorse.
Aggiorna i criteri IAM per le cartelle e i progetti:
Nella sezione Configura il controllo dell'accesso di Gerarchia e l'accesso, concedi ai tuoi gruppi l'accesso alle tue cartelle e ai tuoi progetti:
Nella tabella, esamina l'elenco dei ruoli IAM consigliati a ciascun gruppo per ogni risorsa.
Se vuoi modificare i ruoli assegnati a ciascun gruppo, fai clic su Modifica la riga desiderata.
Per ulteriori informazioni su ciascun ruolo, consulta Ruoli IAM di base e predefiniti.
Fai clic su Continua.
Rivedi le modifiche e fai clic su Conferma configurazione di bozza.
Passaggi successivi
Configura una posizione centrale per archiviare e analizzare i dati di log.
Centralizza logging
In questa attività configurerai il logging per l'intera organizzazione, incluso il ai progetti creati in un'attività precedente.
Chi esegue questa attività
Devi disporre di uno dei seguenti requisiti:
- Il ruolo Amministratore Logging (
roles/logging.admin
). - Iscrizione al
gcp-logging-admins@YOUR_DOMAIN
creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Organizza a livello centrale i log creati nei progetti dell'organizzazione per e offre assistenza in merito a sicurezza, controllo e conformità.
Perché consigliamo questa attività
L'archiviazione e la conservazione dei log semplificano l'analisi e preserva l'audit trail.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
- Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
- Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.
- Crea o collega un account di fatturazione nell'attività Fatturazione.
- Configura la gerarchia e assegna l'accesso nel Attività Gerarchia e accesso.
Organizzare centralmente il logging
Cloud Logging ti aiuta ad archiviare, cercare, analizzare, monitorare e creare avvisi sui log e gli eventi da Google Cloud. Inoltre, puoi raccogliere ed elaborare i log dalle tue applicazioni, dalle risorse on-premise e da altri cloud. I nostri suggerimenti di utilizzare Cloud Logging per consolidare i log in un unico bucket di log.
Per ulteriori informazioni, consulta le seguenti risorse:
- Per una panoramica, vedi Panoramica del routing e dell'archiviazione.
- Per informazioni sul logging delle risorse on-premise, consulta Logging di risorse on-premise con BindPlane.
- Per conoscere la procedura per modificare il filtro di log dopo il deployment della configurazione, consulta Filtri di inclusione.
Per archiviare i dati di log in un bucket di log centrale:
Accedi alla console Google Cloud con le credenziali dell'utente che hai identificato in Chi esegue questa attività.
Seleziona la tua organizzazione dall'elenco a discesa Seleziona da in alto della pagina.
Vai a Configurazione di Google Cloud: Centralizza il logging.
Rivedi la panoramica dell'attività e fai clic su Avvia configurazione del logging.
Rivedi i dettagli dell'attività.
Per eseguire il routing dei log a un bucket di log centrale, assicurati che Archiviare gli audit log delle attività di amministrazione a livello di organizzazione in un bucket di log è selezionato.
Espandi Esegui il routing dei log in un bucket di log di Logging ed esegui queste operazioni:
Nel campo Nome bucket di log, inserisci un nome per il bucket di log centrale.
Dall'elenco Regione del bucket di log, seleziona la regione in cui si trovano vengono archiviati i dati.
Per saperne di più, consulta Località dei bucket di log.
Consigliamo di archiviare i log per 365 giorni. Per personalizzare la conservazione inserisci il numero di giorni nel campo Periodo di conservazione.
Per i log archiviati per più di 30 giorni viene applicata una costi di conservazione. Per saperne di più, consulta il riepilogo dei prezzi di Cloud Logging.
Esporta i log all'esterno di Google Cloud
Se vuoi esportare i log in una destinazione esterna a Google Cloud, puoi esportarla utilizzando Pub/Sub. Ad esempio, se utilizzi più cloud provider, potresti decidere di esportare i dati di log da ciascun cloud provider a un provider lo strumento a riga di comando gcloud.
Puoi filtrare i log esportati in base alle tue esigenze e ai tuoi requisiti specifici. Ad esempio, potresti scegliere di limitare i tipi di log esportati per controllare costi aggiuntivi o ridurre il rumore nei dati.
Per ulteriori informazioni sull'esportazione dei log, consulta quanto segue:
- Per una panoramica, consulta la sezione Che cos'è Pub/Sub?
- Per informazioni sui prezzi, consulta quanto segue:
- Per informazioni sui flussi di dati verso Splunk, consulta Eseguire il deployment dei flussi di log da Google Cloud a Splunk.
Per esportare i log:
Fai clic su Trasmetti i log ad altre applicazioni, altri repository o terze parti.
Nel campo ID argomento Pub/Sub, inserisci un identificatore per l'argomento. contenente i log esportati. Per informazioni su come iscriverti a un argomento, consulta Sottoscrizioni pull.
Per impedire l'esportazione di uno dei seguenti log consigliati, cancella relativa casella di controllo:
- Cloud Audit Logs: attività di amministrazione: chiamate API o azioni che modificano configurazione o metadati delle risorse.
- Cloud Audit Logs: evento di sistema: azioni di Google Cloud che modificano la risorsa configurazione.
- Access Transparency: azioni che il personale di Google esegue quando che accedono ai contenuti dei clienti.
Seleziona i seguenti log aggiuntivi per esportarli:
- Cloud Audit Logs: accesso ai dati: chiamate API che leggono la configurazione delle risorse o metadati e chiamate API basate sugli utenti che creano, modificano o leggono forniti dall'utente.
- Audit log Cloud: criterio negato: rifiuti dell'accesso ai servizi Google Cloud per account utente o di servizio, in base alle violazioni dei criteri di sicurezza.
Per informazioni su ciascun tipo di log, consulta Informazioni su Cloud Audit Logs.
Completa la configurazione del logging
Per completare l'attività di logging:
Fai clic su Continua.
Rivedi i dettagli di configurazione del logging e fai clic su Conferma configurazione di bozza.
Il deployment della configurazione del logging viene eseguito solo dopo che hai eseguito il deployment delle impostazioni in una per un'attività successiva.
Passaggi successivi
Sicurezza
In questa attività configurerai le impostazioni di sicurezza e i prodotti per proteggere i tuoi dell'organizzazione.
Chi esegue questa attività
Per completare questa attività devi disporre di uno dei seguenti requisiti:
- Il ruolo Amministratore organizzazione (
roles/resourcemanager.organizationAdmin
). - Appartenenza a uno dei seguenti gruppi creati nel
Attività Utenti e gruppi:
- .
gcp-organization-admins@<your-domain>.com
gcp-security-admins@<your-domain>.com
Cosa fai in questa attività
Applica i criteri dell'organizzazione consigliati in base alle seguenti categorie:
- Gestione degli accessi.
- Comportamento dell'account di servizio.
- Configurazione della rete VPC.
Puoi inoltre abilitare Security Command Center per centralizzare la segnalazione di vulnerabilità e minacce.
Perché consigliamo questa attività
L'applicazione dei criteri dell'organizzazione consigliati ti aiuta a limitare le azioni degli utenti che non sono in linea con la tua strategia di sicurezza.
L'abilitazione di Security Command Center consente di creare una posizione centralizzata da analizzare vulnerabilità e minacce.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
- Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
- Assegna ruoli IAM ai gruppi in Accesso amministrativo dell'attività.
Avvia l'attività di sicurezza
Accedi alla console Google Cloud con un utente identificato in Chi esegue questa attività.
Seleziona la tua organizzazione dal menu a discesa Seleziona da nella parte superiore della .
Vai a Configurazione di Google Cloud: Sicurezza.
Esamina la panoramica delle attività e fai clic su Avvia sicurezza.
Centralizza la segnalazione di vulnerabilità e minacce
Per centralizzare i servizi di segnalazione di vulnerabilità e minacce, abilita Security Command Center. Questo ti aiuta a rafforzare la tua postura di sicurezza e a mitigare i rischi. Per maggiori informazioni consulta la panoramica di Security Command Center.
Nella pagina Configurazione di Google Cloud: Sicurezza, assicurati che il parametro La casella di controllo Abilita Security Command Center: Standard è abilitata.
Questa attività abilita il livello Standard gratuito. Puoi eseguire l'upgrade a Premium in un secondo momento. Per ulteriori informazioni, consulta Livelli di servizio di Security Command Center.
Fai clic su Applica le configurazioni di Security Command Center.
Applica i criteri dell'organizzazione consigliati
I criteri dell'organizzazione si applicano a livello di organizzazione e vengono ereditati cartelle e progetti. In questa attività, esamina e applica l'elenco delle criteri. Puoi modificare i criteri dell'organizzazione in qualsiasi momento. Per maggiori informazioni consulta Introduzione al servizio Criteri dell'organizzazione.
Esamina l'elenco dei criteri dell'organizzazione consigliati. Se non vuoi applicare una norma consigliata, fai clic sulla relativa casella di controllo per rimuoverla.
Per una spiegazione dettagliata di ciascun criterio dell'organizzazione, vedi Vincoli dei criteri dell'organizzazione.
Fai clic su Conferma le configurazioni dei criteri dell'organizzazione.
I criteri dell'organizzazione che selezioni vengono applicati quando esegui il deployment configurazione in un'attività successiva.
Passaggi successivi
Reti VPC
In questa attività imposterai la configurazione di networking iniziale, che puoi e scalare in base alle tue esigenze.
Architettura del virtual private cloud
Una rete Virtual Private Cloud (VPC) è una versione virtuale di una rete fisica implementata all'interno della rete di produzione di Google. Una rete VPC è una risorsa globale composta da due istanze subnet (subnet).
Le reti VPC forniscono funzionalità di networking le tue risorse Google Cloud, come la macchina virtuale istanze, container GKE e l'ambiente flessibile di App Engine di Compute Engine.
Un VPC condiviso collega le risorse da più di progetti a una rete VPC comune in modo che possano comunicare utilizzando gli indirizzi IP interni della rete. Il seguente diagramma mostra l'architettura base di una rete VPC condiviso con dei progetti di servizio.
Quando utilizzi un VPC condiviso, designi un progetto host e colleghi uno o e altri progetti di servizio. Le reti Virtual Private Cloud nel progetto host sono denominate reti VPC condiviso.
Il diagramma di esempio include progetti host di produzione e non di produzione, ciascuno una rete VPC condiviso. Puoi utilizzare un progetto host per gestisci quanto segue:
- Route
- Firewall
- Connessioni VPN
- Subnet
Un progetto di servizio è qualsiasi progetto collegato a un progetto host. Puoi e condividere subnet, inclusi intervalli secondari, tra progetti host e di servizio.
In questa architettura, ogni rete VPC condiviso contiene subnet private:
- La subnet pubblica può essere utilizzata da istanze rivolte a internet per e la connettività privata.
- La subnet privata può essere utilizzata da istanze interne che non sono gli indirizzi IP pubblici allocati.
In questa attività creerai una configurazione di rete iniziale basata sull'esempio in questo diagramma.
Chi esegue questa attività
Per eseguire questa operazione, è necessario uno dei seguenti requisiti:
- Il ruolo
roles/compute.networkAdmin
. - Inclusione in
gcp-network-admins@YOUR_DOMAIN
creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Crea una configurazione di rete iniziale che includa quanto segue:
- Crea più progetti host per riflettere i tuoi ambienti di sviluppo.
- Creare una rete VPC condiviso in ogni progetto host per consentire per condividere la stessa rete.
- Crea subnet distinte in ogni rete VPC condiviso per fornire ai progetti di servizio.
Perché consigliamo questa attività
Team distinti possono utilizzare il VPC condiviso per connettersi una rete VPC gestita centralmente.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
- Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
- Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.
- Crea o collega un account di fatturazione nell'attività Fatturazione.
- Configura la gerarchia e assegna l'accesso nel Attività Gerarchia e accesso.
Configurare l'architettura di rete
Crea la tua configurazione di rete iniziale con due progetti host da segmentare carichi di lavoro di produzione e non di produzione. Ogni progetto host contiene Rete VPC condiviso, che può essere utilizzata da più progetti di servizio. Tu configurare i dettagli della rete ed eseguire il deployment di un file di configurazione in un'attività successiva.
Per configurare la rete iniziale, segui questi passaggi.
Accedi alla console Google Cloud come utente dalla
gcp-organization-admins@YOUR_DOMAIN
gruppo creato nell'attività Utenti e gruppi.Seleziona la tua organizzazione dall'elenco a discesa Seleziona un'organizzazione nella parte superiore della pagina.
Vai a Configurazione di Google Cloud: Networking.
Esamina l'architettura di rete predefinita.
Per modificare il nome della rete:
- Fai clic su more_vert Azioni
- Seleziona Modifica nome rete.
- Nel campo Nome rete, inserisci lettere minuscole, numeri o e trattini. Il nome della rete non può superare i 25 caratteri.
- Fai clic su Salva.
Modifica dettagli firewall
Le regole firewall predefinite nel progetto host si basano sulle migliori pratiche. Puoi scegliere di disattivare una o più regole firewall predefinite. Per informazioni generali sulle regole firewall, vedi Regole firewall VPC.
Per modificare le impostazioni del firewall:
Fai clic su more_vert Azioni.
Seleziona Modifica regole firewall.
Per informazioni dettagliate su ogni regola firewall predefinita, consulta Regole precompilate nella rete predefinita.
Per disabilitare una regola firewall, deseleziona la casella di controllo corrispondente.
Per disabilitare il logging delle regole firewall, fai clic su Off.
Per impostazione predefinita, il traffico da e verso le istanze Compute Engine viene registrato per motivi di controllo. Questo processo prevede dei costi. Per ulteriori informazioni, consulta Logging delle regole firewall.
Fai clic su Salva.
Modifica i dettagli della subnet
Ogni rete VPC contiene almeno una subnet, di risorsa di regione con un intervallo di indirizzi IP associato. In questa area multiregionale devi avere almeno due subnet con intervalli IP che non si sovrappongono.
Per ulteriori informazioni, vedi Subnet.
Ogni subnet viene configurata utilizzando le best practice consigliate. Se vuoi personalizzare ciascuna subnet, segui questi passaggi:
- Fai clic su more_vert Azioni
- Seleziona Modifica subnet.
- Nel campo Nome, inserisci lettere minuscole, numeri o trattini. Il nome della subnet non può superare i 25 caratteri.
Dal menu a discesa Regione, seleziona una regione vicina al tuo punto di accesso del servizio.
Consigliamo una regione diversa per ogni subnet. Non puoi cambiare la regione dopo il deployment della configurazione. Per informazioni sulla scelta di un regione, consulta Risorse regionali.
Nel campo Intervallo di indirizzi IP, inserisci un intervallo in notazione CIDR: ad esempio 10.0.0.0/24.
L'intervallo inserito non deve sovrapporsi ad altre subnet in questa rete. Per per informazioni sugli intervalli validi, consulta Intervalli di subnet IPv4.
Ripeti questi passaggi per la subnet 2.
Per configurare altre subnet in questa rete, fai clic su Aggiungi subnet e ripeti questi passaggi.
Fai clic su Salva.
Le subnet vengono configurate automaticamente in base alle best practice. Se vuoi modificare la configurazione, Configurazione di Google Cloud: reti VPC, segui questi passaggi:
Per disattivare Log di flusso VPC, dalla colonna Log di flusso seleziona Disattivata.
Quando i log di flusso sono attivi, ogni subnet registra i flussi di rete che puoi analizzare per sicurezza, ottimizzazione delle spese e altri scopi. Per maggiori informazioni informazioni, consulta Utilizzare i log di flusso VPC.
I log di flusso VPC sono soggetti a costi. Per ulteriori informazioni, vedi Prezzi di Virtual Private Cloud.
Per disattivare l'accesso privato Google, dalla colonna Accesso privato: Seleziona Spento.
Quando l'accesso privato Google è attivo, le istanze VM che non hanno un IP esterno possono raggiungere le API e i servizi Google. Per ulteriori informazioni, consulta Accesso privato Google.
Per attivare Cloud NAT, seleziona On dalla colonna Cloud NAT.
Quando Cloud NAT è attivo, alcune risorse possono creare connessioni in uscita a internet. Per ulteriori informazioni, consulta la panoramica di Cloud NAT.
Cloud NAT comporta costi. Per ulteriori informazioni, consulta i prezzi di Virtual Private Cloud.
Fai clic su Continua a collegare i progetti di servizio.
Collega i progetti di servizio ai progetti host
Un progetto di servizio è qualsiasi progetto collegato a un progetto host. Questo collegamento consente al progetto di servizio di partecipare al VPC condiviso. Ciascuna che un progetto di servizio può essere gestito e amministrato da diversi reparti dei team in modo da creare una separazione delle responsabilità.
Per ulteriori informazioni sulla connessione di più progetti a un progetto Rete VPC, vedi Panoramica del VPC condiviso.
Per collegare i progetti di servizio ai progetti host e completare la configurazione, segui questi passaggi:
Per ogni subnet nella tabella Reti VPC condivise, seleziona un'opzione un progetto di servizio per la connessione. Per farlo, seleziona un'opzione dalla sezione Seleziona un progetto nella colonna Progetto di servizio.
Puoi connettere un progetto di servizio a più subnet.
Fai clic su Vai alla revisione.
Rivedi la configurazione e apporta le modifiche.
Puoi apportare modifiche fino a quando non esegui il deployment del file di configurazione.
Fai clic su Conferma configurazione di bozza. La configurazione di rete viene aggiunta a del file di configurazione.
Il deployment della rete non viene eseguito finché non esegui il deployment del file di configurazione in un'attività successiva.
Passaggi successivi
Configura la connettività ibrida, che ti aiuta a connetterti. server on-premise o altri cloud provider a Google Cloud.
Connettività ibrida
In questa attività, stabilirai le connessioni tra il tuo peer (on-premise o altro cloud) e le reti Google Cloud, come nel diagramma seguente.
Questo processo crea una VPN ad alta disponibilità, soluzione ad alta disponibilità che puoi creare rapidamente per trasmettere i dati al pubblico internet.
Dopo aver eseguito il deployment della configurazione di Google Cloud, ti consigliamo di creare una connessione più solida utilizzando Cloud Interconnect.
Per ulteriori informazioni sulle connessioni tra le reti peer e Google Cloud, consulta le seguenti:
Chi esegue questa attività
Devi disporre del ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin
).
Cosa fai in questa attività
Crea connessioni a bassa latenza e ad alta disponibilità tra il tuo VPC on-premise o su altre reti cloud. Configuri i seguenti componenti:
- Gateway VPN ad alta disponibilità di Google Cloud: una risorsa di regione con due interfacce, ciascuna con il proprio indirizzo IP. Devi specificare il tipo di stack IP, determina se il traffico IPv6 è supportato nella connessione. Per informazioni di base, consulta la VPN ad alta disponibilità.
- Gateway VPN peer: il gateway sulla tua rete peer a cui Google Cloud un gateway VPN ad alta disponibilità si connette. Inserisci indirizzi IP esterni che il gateway peer utilizza per connettersi a Google Cloud. Per informazioni di base, consulta Configurare il gateway VPN peer.
- Router Cloud: utilizza il protocollo BGP (Border Gateway Protocol) per lo scambio dinamico tra le tue route VPC e le reti peer. Assegni un ASN (Autonomous System Number) come identificatore per il tuo router Cloud e specificare l'ASN utilizzato dal router peer. Per informazioni di base, consulta Creare un router Cloud per connettere una rete VPC a una rete peer.
- Tunnel VPN: collega il gateway Google Cloud al gateway peer. Tu specifichi IKE (Internet Key Exchange) da utilizzare per stabilire il tunnel. Puoi inserire la tua chiave IKE generata in precedenza oppure generarne e copiarne una nuova chiave. Per informazioni di base, consulta l'articolo Configurare IKE.
Perché consigliamo questa attività
Una VPN ad alta disponibilità offre un ambiente sicuro e ad alta disponibilità connessione tra la tua infrastruttura esistente e Google Cloud.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
- Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
- Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.
- Crea o collega un account di fatturazione nell'attività Fatturazione.
- Configura la gerarchia e assegna l'accesso nel Attività Gerarchia e accesso.
- Configura la rete nel Attività Reti VPC.
Raccogli le seguenti informazioni dall'amministratore di rete peer:
- Nome gateway VPN peer: il gateway a cui Cloud VPN si connette.
- Indirizzo IP dell'interfaccia peer 0: un indirizzo IP esterno sulla tua rete peer. gateway VPN ad alta disponibilità.
- Indirizzo IP dell'interfaccia peer 1: un secondo indirizzo esterno oppure riutilizza l'IP 0 se la rete peer ha un solo indirizzo IP esterno.
- ASN (Peer Autonomous System Number): un identificatore univoco assegnato al tuo router di rete peer.
- ASN router Cloud: un identificatore univoco che assegnerai al tuo router Cloud.
- Chiavi IKE (Internet Key Exchange): chiavi che utilizzi per stabilire due tunnel VPN con il gateway VPN peer. Se non hai chiavi esistenti, puoi generarle durante la configurazione e poi applicarle al gateway peer.
Configura le tue connessioni
Segui questi passaggi per connettere le tue reti VPC al peer reti:
Accedi come utente con il ruolo Amministratore organizzazione.
Seleziona la tua organizzazione dall'elenco a discesa Seleziona da in alto della pagina.
Vai a Configurazione di Google Cloud: connettività ibrida.
Per esaminare i dettagli dell'attività:
Esamina la panoramica dell'attività e fai clic su Avvia connettività ibrida.
Fai clic su ciascuna scheda per scoprire di più sulla connettività ibrida e fai clic su Continua.
Scopri cosa aspettarti in ogni passaggio dell'attività e fai clic su Continua.
Rivedi le informazioni di configurazione del gateway peer che devi raccogliere e fai clic su Continua.
Nell'area Connessioni ibride, identifica le reti VPC da mettere in contatto, in base alle esigenze della tua attività.
Nella riga relativa alla prima rete scelta, fai clic su Configura.
Nell'area Panoramica della configurazione, leggi la descrizione e fai clic su Avanti.
Nell'area Gateway VPN ad alta disponibilità di Google Cloud, esegui la seguenti:
Nel campo Nome gateway Cloud VPN, inserisci fino a 60 caratteri utilizzando lettere minuscole, numeri e trattini.
Nell'area Tipo di stack IP interno del tunnel VPN, seleziona una delle i seguenti tipi di stack:
- IPv4 e IPv6 (opzione consigliata): può supportare il traffico IPv4 e IPv6. Consigliamo questa impostazione se prevedi di consentire il traffico IPv6 nel tunnel.
- IPv4: può supportare solo il traffico IPv4.
Il tipo di stack determina il tipo di traffico consentito nella tunnel tra la tua rete VPC e la tua rete peer. Tu non possono modificare il tipo di stack dopo aver creato il gateway. Per informazioni di base, consulta quanto segue:
Fai clic su Avanti.
Nell'area Gateway VPN peer:
Nel campo Nome gateway VPN peer, inserisci il nome fornito dal tuo amministratore di rete peer. Puoi inserire fino a 60 caratteri utilizzando lettere minuscole, numeri e trattini.
Nel campo Indirizzo IP dell'interfaccia peer 0, inserisci il gateway peer all'indirizzo IP esterno dell'interfaccia fornito dall'amministratore di rete peer.
Nel campo Indirizzo IP dell'interfaccia peer 1, esegui una delle seguenti operazioni:
- Se il gateway peer ha una seconda interfaccia, inserisci il relativo indirizzo IP.
- Se il gateway peer ha una sola interfaccia, inserisci lo stesso indirizzo inserito in Indirizzo IP dell'interfaccia peer 0.
Per informazioni di base, consulta Configurare il gateway VPN peer.
Fai clic su Avanti.
Nell'area Router Cloud, segui questi passaggi:
Nel campo ASN router Cloud, inserisci il numero di sistema autonomo (Autonomous System Number) assegnare al router Cloud, come fornito dalla rete peer amministratore. Per informazioni di base, consulta Creare un router Cloud.
Nel campo ASN router peer, inserisci il nome del router di rete peer Numero di sistema autonomo (Autonomous System Number), fornito dall'amministratore di rete peer.
Nell'area Tunnel VPN 0:
Nel campo Nome tunnel 0, inserisci fino a 60 caratteri utilizzando lettere minuscole, numeri e trattini.
Nell'area Versione IKE, seleziona una delle seguenti opzioni:
- IKEv2 (opzione consigliata): supporta il traffico IPv6.
- IKEv1: utilizza questa impostazione se non prevedi di consentire il traffico IPv6 in nel tunnel.
Per informazioni di base, consulta Configurare i tunnel VPN.
Nel campo Chiave precondivisa IKE, inserisci la chiave che utilizzi nel gateway peer come fornita dall'amministratore di rete peer. In caso contrario una chiave esistente, puoi fare clic su Genera e copia e assegnare all'amministratore di rete peer.
Nell'area Tunnel VPN 1, ripeti il passaggio precedente per applicare le impostazioni per nel secondo tunnel. Configuri questo tunnel per la ridondanza e e la velocità effettiva effettiva.
Fai clic su Salva.
Ripeti questi passaggi per tutte le altre reti VPC che vuoi per connetterti alla rete peer.
Dopo il deployment
Dopo aver eseguito il deployment della configurazione di configurazione di Google Cloud, completa i seguenti passaggi per assicurarti che la connessione di rete sia completa:
Collabora con l'amministratore di rete peer per allineare la tua rete peer le impostazioni di connettività ibrida. Dopo il deployment, istruzioni specifiche per la rete peer, tra cui:
- Impostazioni tunnel.
- Impostazioni del firewall.
- Impostazioni IKE.
Convalida le connessioni di rete che hai creato. Ad esempio, puoi utilizzare Network Intelligence Center per controllare la connettività tra le reti. Per ulteriori informazioni, vedi Panoramica di Connectivity Tests.
Se le esigenze della tua attività richiedono una connessione più solida, utilizza e Cloud Interconnect. Per ulteriori informazioni, vedi Scelta di un prodotto per la connettività di rete.
Passaggi successivi
Implementare la configurazione, che include le impostazioni per la gerarchia e l'accesso, il logging, la rete e la connettività ibrida.
Esegui il deployment delle impostazioni
Esegui il deployment o scarica
Quando completi la procedura di configurazione di Google Cloud, le impostazioni del nei file di configurazione di Terraform vengono compilate le seguenti attività:
Per applicare le impostazioni, rivedi le selezioni e scegli un deployment .
Chi esegue questa attività
Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN
creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Esegui il deployment dei file di configurazione per applicare le impostazioni di configurazione.
Perché consigliamo questa attività
Per applicare le impostazioni selezionate, devi eseguire il deployment dei file di configurazione.
Prima di iniziare
Devi completare le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
- Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
- Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.
- Crea o collega un account di fatturazione nell'attività Fatturazione.
- Configura la gerarchia e assegna l'accesso nel Attività Gerarchia e accesso.
Si consiglia di svolgere le seguenti attività:
- Consolida i dati dei log in un'unica posizione all'interno Attività Centralizza il logging.
- Rafforza la tua strategia di sicurezza configurando servizi a costo zero nel Attività Sicurezza.
- Configura la rete iniziale nelle reti VPC dell'attività.
- Connetti reti peer a Google Cloud nella Connettività ibrida dell'attività.
Rivedi i dettagli di configurazione
Per assicurarti che le impostazioni di configurazione siano complete, procedi nel seguente modo:
Accedi alla console Google Cloud come utente dalla
gcp-organization-admins@YOUR_DOMAIN
gruppo creato nell'attività Utenti e gruppi.Seleziona la tua organizzazione dall'elenco a discesa Seleziona da in alto della pagina.
Vai a Configurazione di Google Cloud: deployment o download.
Rivedi le impostazioni di configurazione selezionate. Fai clic su ciascuna delle seguenti opzioni schede e rivedi le impostazioni:
- Gerarchia delle risorse e accesso
- Logging
- Sicurezza
- Reti VPC
- Connettività ibrida
Esegui il deployment della configurazione
Ora che hai esaminato i dettagli della configurazione, utilizza uno dei le seguenti opzioni:
Esegui il deployment direttamente dalla console: Utilizza questa opzione se non hai un flusso di lavoro di deployment Terraform esistente, e vogliono un metodo di deployment semplice. Puoi eseguire il deployment solo con questo metodo una volta sola.
Scarica ed esegui il deployment del file Terraform: utilizza questa opzione se vuoi automatizzare la gestione delle risorse usando un flusso di lavoro di deployment Terraform. Puoi eseguire il download e il deployment utilizzando questo metodo più volte.
Esegui il deployment utilizzando una delle seguenti opzioni:
Esegui il deployment direttamente
Se non hai un flusso di lavoro Terraform esistente e vuoi eseguire una semplice operazione puoi eseguire il deployment direttamente dalla console.
Fai clic su Esegui il deployment direttamente.
Attendi alcuni minuti per il completamento del deployment.
Se il deployment non riesce, segui questi passaggi:
- Per ritentare il deployment, fai clic su Riprova processo.
- Se il deployment non riesce dopo più tentativi, puoi contattare un per ricevere assistenza. Per farlo, fai clic su Contatta l'amministratore dell'organizzazione.
Download e deployment
Se vuoi eseguire l'iterazione del deployment utilizzando il deployment Terraform un flusso di lavoro, scaricare ed eseguire il deployment dei file di configurazione.
Per scaricare il file di configurazione, fai clic su Scarica come Terraform.
Il pacchetto scaricato contiene file di configurazione Terraform basati alle impostazioni selezionate nelle seguenti attività:
- Gerarchia e accesso
- Centralizza il logging
- Sicurezza
- Reti VPC
- Connettività ibrida
Se vuoi eseguire il deployment solo di file di configurazione pertinenti responsabilità, puoi evitare di scaricare file non pertinenti. Per farlo, deseleziona le caselle di controllo relative ai file di configurazione non necessari.
Fai clic su Scarica. Un pacchetto
terraform.tar.gz
che include i file selezionati vengono scaricati nel file system locale.Per la procedura dettagliata di deployment, vedi Eseguire il deployment degli elementi di base utilizzando Terraform scaricato dalla console.
Passaggi successivi
Applica le impostazioni di monitoraggio e assistenza
Monitoraggio
Cloud Monitoring viene configurato automaticamente per i progetti Google Cloud. In questa attività imparerai le best practice facoltative per il monitoraggio.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
- Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
- Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.
Chi esegue questa attività
Una persona nel gruppo gcp-monitoring-admins@YOUR_DOMAIN
creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Esaminare e implementare le best practice facoltative per il monitoraggio.
Perché consigliamo questa attività
Puoi implementare le best practice di monitoraggio per:
- Agevola la collaborazione tra gli utenti che monitorano la tua organizzazione.
- Monitora la tua infrastruttura Google Cloud in un unico posto.
- Raccogliere importanti metriche e log delle applicazioni.
Esaminare e implementare le best practice per il monitoraggio
Cloud Monitoring raccoglie metriche, eventi e metadati dai servizi Google Cloud, monitor sintetici, strumentazione delle applicazioni e altre applicazioni comuni componenti. Cloud Monitoring viene configurato automaticamente progetti Google Cloud.
In questa attività, puoi implementare le best practice riportate di seguito per creare configurazione predefinita di Cloud Monitoring.
Per favorire la collaborazione, crea un criteri dell'organizzazione che concede il ruolo Visualizzatore Monitoring a ogni dell'organizzazione per ogni progetto.
Configura un progetto per monitorare l'infrastruttura Google Cloud in un'unica posizione per leggere le metriche di più progetti Google Cloud utilizzando gli ambiti delle metriche.
Per raccogliere le metriche e i log delle applicazioni per le macchine virtuali, segui questi passaggi:
- Per Compute Engine, installa Ops Agent.
- Per Google Kubernetes Engine (GKE), configura Google Cloud Managed Service per Prometheus.
Passaggi successivi
Assistenza
In questa attività sceglierai un piano di assistenza adatto alle tue esigenze aziendali.
Chi esegue questa attività
Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN
gruppo creato nell'attività Utenti e gruppi.
Cosa fai in questa attività
Scegli un piano di assistenza in base alle esigenze della tua azienda.
Perché consigliamo questa attività
Un piano di assistenza premium offre un supporto business-critical per risolvere rapidamente con l'aiuto degli esperti di Google Cloud.
Scegli un'opzione di assistenza
Riceverai automaticamente l'Assistenza di base gratuita, che include l'accesso ai seguenti di risorse:
Consigliamo ai clienti aziendali di registrarsi L'Assistenza Premium, che offre assistenza tecnica individuale contattare i tecnici dell'Assistenza Google. Per confrontare i piani di assistenza, vedi Assistenza clienti Google Cloud.
Prima di iniziare
Completa le seguenti attività:
- Crea un utente super amministratore e la tua organizzazione nell' Attività Organizzazione.
- Aggiungi utenti e crea gruppi nella sezione Utenti e gruppi dell'attività.
- Assegna ruoli IAM ai gruppi nella Attività di accesso amministrativo.
Attiva l'assistenza
Identifica e seleziona un'opzione di assistenza.
Esamina e seleziona un piano di assistenza. Per ulteriori informazioni, vedi Assistenza clienti Google Cloud.
Accedi alla console Google Cloud con un utente del gruppo
gcp-organization-admins@<your-domain>.com
che hai creato nell'attività Utenti e gruppi.Vai a Configurazione di Google Cloud: Assistenza.
Esamina i dettagli dell'attività e fai clic su Visualizza le offerte di assistenza per selezionare una un'opzione di supporto.
Dopo aver impostato l'opzione di assistenza, torna a Configurazione di Google Cloud: Assistenza e fai clic su Contrassegna l'attività come completata.
Passaggi successivi
Ora che hai completato la configurazione di Google Cloud, puoi estendi la configurazione iniziale, esegui il deployment di soluzioni predefinite ed esegui la migrazione delle tue risorse esistenti per i flussi di lavoro. Per ulteriori informazioni, vedi Estendi la configurazione iniziale e inizia a creare.