Checkliste für die Einrichtung von Google Cloud

Hinweis

• Zum Schutz Ihres Google Cloud-Kontos müssen Sie die Best Practices für Super Admin-Konten lesen und anwenden.
• Erfassen Sie Administrator-Anmeldedaten für die Domain (z. B. example.com), die Sie mit Google Cloud verknüpfen möchten. Sie benötigen diese Anmeldedaten, um während der Einrichtung die DNS-Einstellungen anzupassen.
• Geben Sie ein primäres E-Mail-Konto an (z. B. maria@example.com), das als Wiederherstellungsadresse für Ihre Google Cloud-Organisation verwendet werden soll. Wenn Sie mit der Registrierung beginnen, werden Sie von Cloud Identity zuerst nach dieser Adresse gefragt.
• Identifizieren Sie eine andere sekundäre Kennzeichnung, die mit Ihrem ersten Google Cloud-Super Admin-Konto verknüpft werden soll (z. B. admin@example.com). Diese Kennung muss sich von der primären Kennung unterscheiden, die für die Kontowiederherstellung verwendet wird. Cloud Identity fragt nach dieser Adresse, nachdem Sie die oben beschriebene Adresse zur Kontowiederherstellung bereits angegeben haben.
• Sichern Sie Ihre Google Cloud-Konten mithilfe der Best Practices. Vermeiden Sie insbesondere, Ihre Wiederherstellungs- und Super Admin-Konten mit einer bestimmten Nutzeridentität zu verknüpfen, und greifen Sie nur dann darauf zu, wenn das erforderlich ist, um Ihr Google Cloud-Konto zu verwalten oder wiederherzustellen.

Was Sie in dieser Aufgabe tun

• Geben Sie eine anfängliche E-Mail-Adresse zur Kontowiederherstellung an.
• Erstellen Sie ein verwaltetes Nutzerkonto für Ihren ersten Super Admin-Nutzer für Google Cloud.
• Bestätigen Sie die Domain Ihres Unternehmens (z. B. example.com) mit Google Cloud.

Nach Abschluss dieser Aktionen erstellt Google Cloud den Stammknoten Ihrer Ressourcenhierarchie. Diese wird als Organisationsressource bezeichnet.

Für diese Aufgabe verwenden Sie Cloud Identity in der Admin-Konsole von Google Workspace. Cloud Identity bietet eine einheitliche Identitäts-, Zugriffs-, Anwendungs- und Endpunktverwaltung für alle Google-Dienste. Sie bietet 50 kostenlose Nutzerlizenzen und Sie können bei Bedarf weitere kostenlose Lizenzen anfordern. Cloud Identity-Nutzer können auch auf die Dienste Google Drive, Google Notizen und Google Groups Ihrer Organisation zugreifen.

Google Cloud bietet Cloud Identity als eigenständiges Produkt oder als gebündeltes Google Workspace-Konto. Google Workspace bietet Cloud Identity mit vertrauten Produktivitäts- und Zusammenarbeitstools wie Gmail, Kalender, Meet und Chat. Es gibt mehrere kostenlose Testversionen. Einige Unternehmen sparen ihre Kosten, indem sie für einige Nutzer eine Kombination aus eigenständigen Cloud Identity-Lizenzen verwenden. Google Workspace-Lizenzen werden dabei nur an Nutzer vergeben, die die zusätzlichen Tools für die Zusammenarbeit benötigen.

Erforderliche Berechtigungen

In dieser Aufgabe erstellen Sie den ersten Super Admin für Ihre Google Cloud-Organisation. Der Super Admin kann unwiderrufliche Root-Administratorberechtigungen für Ihre Organisation haben und anderen Nutzern dieselbe Rolle zuweisen.

Best Practices für Sicherheit

Die Sicherung Ihrer Super Admin-Konten ist für die Sicherheit Ihrer Google Cloud-Organisation von entscheidender Bedeutung. Lesen und befolgen Sie beim Erstellen Ihrer Super Admin-Konten die Best Practices für Super Admin-Konten von Google Cloud.

Vorgehensweise

Wählen Sie zum Ausführen dieser Aufgabe aus, ob Sie ein Neuer Kunde oder ein aktueller Google Workspace-Kunde sind.

Fehlerbehebung

Ich kann meine Domain nicht für einen Google-Dienst registrieren

Weitere Informationen zu häufig auftretenden Problemen und deren Lösungen finden Sie unter Ich kann meine Domain nicht für einen Google-Dienst registrieren.

Das Google-Konto ist bereits vorhanden

Unter dem Fehler „Google-Konto existiert bereits“ erfahren Sie, wie Sie das Problem umgehen können.

Mein Konto ist nicht berechtigt, die Google Cloud-Organisation meines Unternehmens zu verwalten oder zu verwenden

Dieser Fehler impliziert, dass die Domain Ihres Unternehmens bereits bestätigt wurde und die Super Admins aktiviert sind. Wenn Sie dennoch Zugriff auf die Verwaltung Ihrer Google Cloud-Organisation benötigen, suchen Sie nach einem Administrator in Ihrem Unternehmen, der Ihnen Zugriff gewährt.

Meine Firewall zeigt Fehler an und ich kann die Domain nicht bestätigen

Wenn Ihr Unternehmen einen Proxyserver verwendet, der bestimmte URLs ablehnt, treten Fehler auf, wenn Sie versuchen, Ihre Domain zu registrieren. Dieses Szenario ist häufig bei Kunden mit erweiterten Sicherheitseinstellungen, z. B. Finanzinstituten. Wenn dieser Fehler angezeigt wird, prüfen Sie, ob Ihr Proxyserver die folgenden URLs explizit zulässt:

Erforderliche URL	Bedeutung
accounts.google.com	Erforderlich für die SAML-SSO-Föderation in Google Cloud und für die SSO-Anmeldung bei der Cloud Console. Hinweis: Dies funktioniert erst, wenn die Kundendomain im Google-Back-End auf die weiße Liste gesetzt wurde.
www.googleapis.com	Erforderlich bei der Anmeldung für die Synchronisierung von ADs, wenn die SSO-Föderation verwendet wird
https://console.cloud.google.com/	Für den Zugriff auf die Cloud Console erforderlich. Hauptdomain für die Cloud Console und für die Anzeige in der Cloud Console verwendete Schriftarten.
fonts.googleapis.com	Schriftarten für die Cloud Console Hinweis: Die Cloud Console funktioniert auch ohne dieses Vorgehen, kann aber seltsam aussehen.
*.clients6.google.com	Erforderlich für Cloud Console. Service API-gRPC-Endpunkte, die von der Cloud Console verwendet werden, um Informationen in der Console anzuzeigen.
ssl.gstatic.com www.gstatic.com lh3.googleusercontent.com lh4.googleusercontent.com lh5.googleusercontent.com lh6.googleusercontent.com	Erforderlich für Cloud Console. Statische Inhalte in der Cloud Console und einigen APIs speichern beispielsweise öffentliche Schlüssel für benutzerdefinierte Zertifikate.
cloud.google.com	Erforderlich für den Zugriff auf die Google Cloud-Dokumentation und die Hilfeseiten.
ssh.cloud.google.com	Erforderlich für Cloud Shell (falls gewünscht)
apis.google.com *.googleapis.com	Erforderlich für den Remote-API-Zugriff für Google Cloud. (Optional für die Cloud Console, wenn das SDK oder die Befehlszeile verwendet werden soll, sollte der private oder eingeschränkte API-Zugriff vorgezogen werden)
admin.google.com	Optional bei Verwendung der Google Workspace-Admin-Konsole (Cloud Identity)
payments.google.com	Optional beim Senden von Zahlungsinformationen, Google Admin-Abos und Rechnungskonten

Weitere Informationen

Im Folgenden finden Sie weitere Themen, in denen Sie mehr über die Identität und andere relevante Themen erfahren können.

• Organisationen erstellen und verwalten
• Best Practices für die Planung von Konten und Organisationen
• Identitätseinrichtung bewerten und planen
• Cloud Identity Gratisversion
• Domainbestätigung
  • Dokumentation
  • Videoanleitung
• Google Workspace-Administratorrollen
• Cloud Identity-Administratorrollen

In dieser Aufgabe fügen Sie Ihre ersten Nutzer hinzu, erstellen Gruppen, um den Nutzerzugriff zu verwalten, und weisen diesen Gruppen Nutzer zu. Sie weisen diesen Nutzergruppen die Berechtigungen in Aufgabe 3 zu. Sie benötigen die Google Workspace-Admin-Konsole und die Google Cloud Console, um Folgendes zu tun:

• Fügen Sie Ihrer Google Cloud-Organisation verwaltete Nutzer hinzu.
• Erstellen Sie eine Google-Gruppe für jeden Typ von Administrator (z. B. Organisationsadministratoren, Abrechnungsadministratoren).
• Weisen Sie Nutzer den Gruppen zu, die ihren Rollen entsprechen.

Hinweis

• Prüfen Sie, ob Sie mit einem der in Aufgabe 1 erstellten Super-Admin-Konten in der Google Workspace-Admin-Konsole und in der Cloud Console angemeldet sind.
• Wenn Ihr Unternehmen bereits einen Identitätsanbieter wie Active Directory, Azure AD, Okta oder Ping Identity verwendet, können Sie ihn in Google Cloud föderieren. Weitere Informationen finden Sie in den Referenzarchitekturen des Identitätsanbieters für die Identitätsföderation.
• Cloud Identity mit Active Directory verknüpfen, um Nutzer automatisch bereitzustellen und die Einmalanmeldung zu aktivieren
• Erstellen Sie mithilfe des Google Workspace Admin SDK eine benutzerdefinierte Lösung.

Best Practices für Sicherheit

Prinzip der geringsten Berechtigung: Erteilen Sie Nutzern die Berechtigungen, die mindestens für ihre Rolle erforderlich sind, und entfernen Sie den Zugriff, sobald er nicht mehr benötigt wird.

Rollenbasierte Zugriffssteuerung (RBAC): Weisen Sie Nutzergruppen Berechtigungen gemäß ihrer Jobrolle zu, wobei Sie Ihre Nutzer mit Google Groups organisieren. Wir empfehlen, bestimmte Berechtigungen nicht für einzelne Nutzerkonten hinzuzufügen.

Vorgehensweise

Nutzer in der Google Workspace-Admin-Konsole hinzufügen

Für diese Onboarding-Checkliste empfehlen wir, Nutzer hinzuzufügen, die an den Aufgaben der Checkliste beteiligt sind, beispielsweise Administratoren und Entscheidungsträger, die mit der Cloud-Einrichtung zu tun haben.

1. Melden Sie sich mit einem Super-Admin-Konto in der Google Workspace-Admin-Konsole an.
2. Fügen Sie Nutzer mit einer der folgenden Optionen hinzu:
   • Mehrere Nutzer gleichzeitig hinzufügen
   • Nutzer einzeln hinzufügen

Google Groups-Gruppen erstellen und Gruppenmitglieder hinzufügen

Als Nächstes erstellen Sie mithilfe des Features Gruppen in der Cloud Console Google Groups-Gruppen, die den verschiedenen Nutzertypen in Ihrer Organisation entsprechen. Eine Google Groups-Gruppe ist eine benannte Sammlung von Google-Konten und Dienstkonten. Jede Google Groups-Gruppe hat eine eindeutige E-Mail-Adresse, die der Gruppe zugeordnet ist (z. B. gcp-organization-admins@beispiel.de).

Die folgenden Gruppen sind üblich in Unternehmen, die mehrere Abteilungen haben, die die Cloud-Infrastruktur verwalten. Wenn Ihre Einrichtung eine andere Gruppenstruktur erfordert, können Sie unsere Empfehlungen an Ihre Bedürfnisse anpassen.

Gruppe	Funktion
gcp-organization-admins (erforderlich für Checkliste)	Ressourcen verwalten, die zur Organisation gehören. Weisen Sie diese Rolle sparsam zu. Organisationsadministratoren haben Zugriff auf alle Ihre Google Cloud-Ressourcen.
gcp-network-admins (erforderlich für Checkliste)	Netzwerke, Subnetze, Firewallregeln und Netzwerkgeräte wie Cloud Router, Cloud VPN und Cloud-Load-Balancer erstellen.
gcp-billing-admins (erforderlich für Checkliste)	Rechnungskonten einrichten und deren Nutzung überwachen.
gcp-developers (erforderlich für Checkliste)	Anwendungen entwerfen, codieren und testen.
gcp-security-admins (optional)	Sicherheitsrichtlinien für die gesamte Organisation, einschließlich Zugriffsverwaltung und Organisationseinschränkungsrichtlinien, festlegen und verwalten. Weitere Informationen zur Planung Ihrer Google Cloud-Sicherheitsinfrastruktur finden Sie im Leitfaden zu den Sicherheitsgrundlagen von Google Cloud.
gcp-devops (optional)	End-to-End-Pipelines erstellen oder verwalten, die Continuous Integration und Continuous Delivery, Monitoring und Systembereitstellung unterstützen.

Für spätere Schritte in der Checkliste benötigen Sie die folgenden Gruppen mit mindestens einem Mitglied pro Gruppe.

• gcp-organization-admins
• gcp-network-admins
• gcp-billing-admins
• gcp-devops

So erstellen Sie Gruppen und fügen Nutzer mit der Cloud Console hinzu:

1. Melden Sie sich in der Cloud Console mit einem Super-Admin-Konto an, das in Aufgabe 1 erstellt wurde.

2. Rufen Sie in der Cloud Console die Seite Gruppen auf.

   Zur Seite "Gruppen"

3. Klicken Sie auf Erstellen.

4. Geben Sie die Details für eine Gruppe ein, einschließlich Gruppenname, E-Mail-Adresse und optionaler Beschreibung.

5. Fügen Sie der Gruppe Mitglieder hinzu:

   1. Klicken Sie auf Mitglied hinzufügen.
   2. Geben Sie die E-Mail-Adresse des Mitglieds ein.

   3. Wählen Sie die Google Groups-Rolle aus.

6. Klicken Sie auf Senden, um die Gruppe mit den angegebenen Nutzern zu erstellen.

Weitere Informationen

• In Konflikt stehende Konten verwalten:
  • Übertragungstool für nicht verwaltete Nutzer verwenden
    • CSV-Upload verwenden
    • User Invitation API verwenden
• Übersicht über Identitäts- und Zugriffsverwaltung und Google Groups
  • Best Practices für Identity and Access Management
• Gruppe erstellen
• Nutzer in eine Gruppe einladen oder hinzufügen
• Identitätsföderation:
  • Referenzarchitektur für die Föderation mit externen Identitätsanbietern ansehen
  • Active Directory oder andere LDAP-basierte Identitätsspeicher mit Google Cloud Directory Sync (GCDS) Google Cloud zuordnen
  • Identitätsverwaltung mit dem Google Workspace Admin SDK automatisieren

In dieser Aufgabe richten Sie den Administratorzugriff für Ihre Organisation ein. Dies bietet Administratoren eine zentrale Übersicht und Kontrolle über alle Cloud-Ressourcen, die zu Ihrer Organisation gehören.

Wer führt diese Aufgabe aus?

Wenn Ihr Unternehmen bereits einen kostenpflichtigen Google Workspace-Dienst verwendet, muss dieser Schritt von einem Nutzer mit Super Admin-Rechten für Google Workspace ausgeführt werden. Wenn nicht, verwenden Sie das Cloud Identity-Konto, das in Aufgabe 2 erstellt wurde.

Was tun Sie in dieser Aufgabe?

• Prüfen Sie, ob Ihre Organisation erstellt wurde.
• Weisen Sie der in Aufgabe 2 erstellten Gruppe gcp-organization-admins@<your-domain>.com Administratorrollen zu.
• Fügen Sie sich selbst und anderen Administratoren in Ihrer Organisation Administratorberechtigungen hinzu, damit Sie später Aufgaben in der Checkliste ausführen können.

Warum wir diese Aufgabe empfehlen

Aus Sicherheitsgründen müssen Sie alle Administratorrollen für Ihre Organisation explizit definieren. Die Trennung von Super-Admin- und Organisationsadministratorrollen ist eine Best Practice für die Sicherheit von Google Cloud. Die Super-Admin-Rolle verwaltet alle anderen Identitäten in Cloud Identity und Google Workspace und ist zum Erstellen der Google Cloud-Stammorganisation erforderlich. Weitere Informationen finden Sie unter Best Practices für Super Admins.

Stellen Sie sicher, dass Ihre Organisation erstellt wurde

1. Melden Sie sich entweder mit Ihrem Super Admin-Konto von Google Workspace oder Cloud Identity, das Sie in Aufgabe 1 eingerichtet haben, in der Cloud Console an.

2. Wechseln Sie zur Seite Identität und Organisation, um die Erstellung der Organisation abzuschließen. Nachdem Sie den Link aufgerufen haben, kann es einige Minuten dauern, bis der Vorgang abgeschlossen ist.

3. Prüfen Sie, ob Ihr Organisationsname in der Liste Organisation auswählen aufgeführt wird. Es kann einige Minuten dauern, bis Ihre Organisation aus den Schritten in Aufgabe 1 erstellt wird. Wenn Sie den Organisationsnamen nicht sehen, warten Sie einige Minuten, bevor Sie die Seite aktualisieren.

Administratorzugriff einrichten

Als Nächstes weisen Sie der in Aufgabe 2 erstellten Gruppe gcp-organization-admins@<your-domain>.com Administratorrollen zu.

1. Führen Sie die Schritte unter Zugriffsrechte erteilen aus, beachten Sie dabei aber folgende Abweichungen:

   • Wenn Sie die IAM-Seite in der Cloud Console geöffnet haben, prüfen Sie, ob Ihr Organisationsname in der Liste der Organisationen oben auf der Seite ausgewählt ist.

   • Wenn Sie zur Eingabe einer E-Mail-Adresse aufgefordert werden, verwenden Sie gcp-organization-admins@<your-domain>.com.

   • Wenn Sie zur Auswahl einer Rolle aufgefordert werden, wählen Sie Ressourcenmanager > Administrator der Organisation aus.

2. Nachdem Sie die erste Rolle hinzugefügt haben, klicken Sie auf Weitere Rolle hinzufügen und fügen dann die folgenden zusätzlichen Rollen für das Mitglied gcp-organization-admins@<your-domain>.com hinzu:

   • Ressourcenmanager > Ordneradministrator
   • Ressourcenmanager > Projektersteller
   • Abrechnung > Rechnungskontonutzer
   • Rollen > Administrator für Organisationsrollen
   • Organisationsrichtlinie Administrator für Unternehmensrichtlinien
   • Sicherheitscenter > Sicherheitscenter-Administrator
   • Support > Supportkontoadministrator

3. Wenn Sie alle Rollen hinzugefügt haben, klicken Sie auf Speichern.

Bei dieser Aufgabe richten Sie ein Rechnungskonto für die Bezahlung von Google Cloud-Ressourcen ein und legen Administratorzugriff für Ihre Rechnungskonten fest.

Bei der Vorbereitung auf diese Aufgabe müssen Sie festlegen, welche Art von Rechnungskonto für Ihre Einrichtung verwendet werden soll:

• Selfservice-Konten: Sie registrieren sich online per Kredit- oder Debitkarte oder ACH-Lastschrift. Gebühren werden automatisch abgebucht.
• Konten mit Rechnungsstellung: Wenn Sie die Self-Service-Abrechnung bereits eingerichtet haben, können Sie Ihren Kontotyp möglicherweise auf monatliche Rechnungsstellung umstellen, wenn Ihr Unternehmen bestimmte Anforderungen erfüllt. Rechnungen werden per Post oder elektronisch versendet und können per Scheck oder Überweisung bezahlt werden.

Weitere Informationen finden Sie unter Rechnungskontotypen.

Wer führt diese Aufgabe aus?

Für diese Aufgabe sind mehrere Personen erforderlich:

1. Eine Person in der Gruppe gcp-organization-admins@<your-domain>.com, die in Aufgabe 2 erstellt wurde.

2. Eine Person in der Gruppe gcp-billing-admins@<your-domain>.com, die in Aufgabe 2 erstellt wurde.

Was tun Sie in dieser Aufgabe?

• Weisen Sie der in Aufgabe 2 erstellten Gruppe gcp-billing-admins@<your-domain>.com Administratorzugriff zu.
• Legen Sie fest, ob Sie ein Selfservice-Rechnungskonto oder ein Rechnungskonto mit monatlicher Abrechnung verwenden möchten.
• Richten Sie ein Rechnungskonto und eine Zahlungsmethode ein.

Warum wir diese Aufgabe empfehlen

Zur Verwendung von Google Cloud-Produkten ist ein Cloud Billing-Konto erforderlich. Cloud Billing-Konten sind mit einem oder mehreren Google Cloud-Projekten verknüpft und werden für die Abrechnung der von Ihnen genutzten Ressourcen verwendet, wie virtuellen Maschinen, Netzwerken und Speicher. IAM-Rollen steuern den Zugriff auf Cloud-Rechnungskonten

Administratorzugriff einrichten

Teammitglieder mit der IAM-Rolle "Rechnungskontoadministrator" können Aufgaben wie das Verwalten von Zahlungen und Rechnungen, Festlegen von Budgets und Verknüpfen von Rechnungskonten mit Projekten ausführen. Die Rolle gibt Teammitgliedern nicht die Berechtigung, die Inhalte der Projekte aufzurufen.

1. Achten Sie darauf, dass Sie in der Cloud Console als Nutzer in der Google Groups-Gruppe gcp-organization-admins angemeldet sind, die in Aufgabe 2 erstellt wurde.

2. Führen Sie die Schritte unter Zugriffsrechte erteilen aus, beachten Sie dabei aber folgende Abweichungen:

   • Wenn Sie zur Eingabe einer E-Mail-Adresse aufgefordert werden, verwenden Sie gcp-billing-admins@<your-domain>.com.

   • Wenn Sie zur Auswahl einer Rolle aufgefordert werden, wählen Sie Abrechnung > Rechnungskontoadministrator aus.

   • Nachdem Sie die erste Rolle hinzugefügt haben, klicken Sie auf Weitere Rolle hinzufügen und fügen dann die folgenden zusätzlichen Rollen für das Mitglied von gcp-billing-admins@<your-domain>.com hinzu:

     • Abrechnung > Rechnungskontoersteller
     • Ressourcenverwaltung > Organisationsbetrachter

Rechnungskonto einrichten

Als Nächstes richten Sie ein Cloud-Rechnungskonto ein. Es gibt zwei Rechnungskontotypen:

• Selfservice-Konten: Sie registrieren sich online per Kredit- oder Debitkarte oder ACH-Lastschrift. Gebühren werden automatisch abgebucht.

• Konten mit Rechnungsstellung: Sie zahlen per Scheck oder Überweisung. Rechnungen werden per Post oder elektronisch gesendet.

Wenn Sie sich online für ein Rechnungskonto anmelden, wird Ihr Konto automatisch als Selfservice-Kontotyp eingerichtet. Sie können sich online nicht für ein Rechnungskonto anmelden. Die Rechnungsstellung müssen Sie beantragen. Weitere Informationen finden Sie unter Rechnungskontotypen.

Nach der Einrichtung des Rechnungskontos

Sobald Sie Ihr Cloud-Rechnungskonto eingerichtet haben, sollten Sie die folgenden Best Practices für die Abrechnung einrichten, um Ihre Kosten zu überwachen und Überraschungen auf Ihrer Rechnung zu vermeiden:

• Cloud Billing-Datenexporte in ein BigQuery-Dataset konfigurieren
• Definieren Sie Budgets, um Benachrichtigungen zu generieren, wenn die Ausgaben bestimmte Schwellenwerte erreichen.

Ausführliche Informationen zu Best Practices für die Abrechnung finden Sie im Abschnitt Abrechnung und Verwaltung in Best Practices für Unternehmen.

In dieser Aufgabe legen Sie eine Grundstruktur für Ordner und Projekte in der Ressourcenhierarchie an:

• Ordner bieten einen Gruppierungsmechanismus und grenzen Projekte voneinander ab. Beispielsweise stehen sie für die Hauptabteilungen Ihrer Organisation wie Finanzen und Einzelhandel oder für Umgebungen wie Produktion oder Nicht-Produktion.

• Projekte enthalten Cloudressourcen wie virtuelle Maschinen, Datenbanken und Storage-Buckets. Best Practices für Projekte finden Sie unter Projektstruktur festlegen.

Sie können IAM-Richtlinien festlegen, um den Zugriff auf verschiedenen Ebenen der Ressourcenhierarchie zu steuern. Diese Richtlinien legen Sie später in einer anderen Aufgabe dieser Checkliste fest.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-organization-admins@<your-domain>.com, die in Aufgabe 2 erstellt wurde.

Was tun Sie in dieser Aufgabe?

Erstellen Sie die erste Hierarchiestruktur mit Ordnern und Projekten.

Warum wir diese Aufgabe empfehlen

Das Erstellen der Struktur ist eine Voraussetzung für eine spätere Aufgabe, in der Sie IAM-Richtlinien festlegen, um den Zugriff auf verschiedenen Ebenen der Ressourcenhierarchie zu steuern.

Diagramm der Ressourcenhierarchie

Die Ressourcenhierarchie kann auf viele verschiedene Arten erstellt werden. Das folgende Diagramm zeigt ein typisches Beispiel.

In diesem Beispiel umfasst die Ressourcenhierarchie der Organisation drei Ordnerebenen:

• Umgebung: Hier sind die einzelnen Umgebungen enthalten (Nicht-Produktion und Produktion). Wenn Sie die Umgebungen voneinander isolieren, können Sie den Zugriff auf Produktionsumgebungen besser kontrollieren und vermeiden, dass sich Änderungen, die nicht die Produktion betreffen, versehentlich auf die Produktion auswirken.

• Geschäftsbereiche: Im Diagramm werden diese als Dept X und Dept Y dargestellt, bei denen es sich um Geschäftsbereiche wie Entwicklung und Marketing handeln kann, sowie als Shared-Ordner mit Projekten, die über die Hierarchie verteilte Ressourcen enthalten, z. B. Netzwerke, Logging und Monitoring.

• Teams: Im Diagramm werden diese als Team A, Team B und Team C dargestellt. Dies können Teams wie Entwicklung, Data Science, QA usw. sein.

Anfängliche Ressourcenhierarchie erstellen

In diesen Schritten der Checkliste erstellen Sie im Rahmen Ihrer Ersteinrichtung grundlegende Ordner und Projekte, wie im folgenden Diagramm dargestellt. Diese Ordner und Projekte werden in den restlichen Aufgaben der Checkliste verwendet. Später können Sie auf dieser Hierarchie aufbauen, um sie an Ihre Organisationsstruktur und an die Anforderungen Ihres Unternehmens anzupassen, wenn Sie mehr Arbeitslasten in Google Cloud ausführen.

Nach dem Erstellen der ersten Hierarchie legen Sie Projekte an. Nach dem Prinzip der Trennung von Produktions- und Nicht-Produktionsumgebungen müssen Sie für diese Checkliste die folgenden Projekte erstellen:

• example-vpc-host-nonprod: Dieses Projekt wird zum Verbinden von Nicht-Produktionsressourcen aus mehreren Projekten mit einem gemeinsamen VPC-Netzwerk verwendet.

• example-vpc-host-prod-draft: Dieses Projekt ist ein Platzhalter, um letztendlich Produktionsressourcen aus mehreren Projekten mit einem gemeinsamen VPC-Netzwerk zu verbinden.

• example-monitoring-nonprod: Dieses Projekt wird zum Hosten von Monitoring-Ressourcen in der Nicht-Produktionsumgebung verwendet.

• example-monitoring-prod-draft: Dieses Projekt ist ein Platzhalter, wo Ressourcen für die Produktionsüberwachung gehostet werden.

• example-logging-nonprod: Dieses Projekt wird zum Hosten exportierter Logdaten aus der Nicht-Produktionsumgebung verwendet.

• example-logging-prod-draft: Dieses Projekt ist ein Platzhalter, der letztendlich zum Hosten exportierter Logdaten aus der Produktionsumgebung verwendet wird.

Projektnamen dürfen nicht länger als 30 Zeichen sein. Normalerweise verwenden Sie den Namen Ihres Unternehmens anstelle von example, solange dieser nicht länger ist als 30 Zeichen. Wenn Sie in Zukunft Projekte in der Ressourcenhierarchie erstellen, empfehlen wir einer Benennungskonvention wie <business unit name>-<team name>-<application name>-<environment> zu folgen, je nach Ressourcenhierarchie Ihrer Organisation.

So erstellen Sie Projekte:

1. Wechseln Sie in der Cloud Console zur Seite Ressourcen verwalten.

2. Klicken Sie auf Projekt erstellen.

3. Geben Sie im Fenster Neues Projekt einen der oben aufgelisteten Projektnamen ein.

4. Wenn Sie zur Auswahl eines Rechnungskontos aufgefordert werden, wählen Sie das Rechnungskonto aus, das Sie für diese Checkliste verwenden möchten.

5. Klicken Sie bei Speicherort auf Durchsuchen und legen Sie den Speicherort so fest:

   • Endet der Name des zu erstellenden Projekts auf prod, wählen Sie Produktion > Freigegeben aus.
   • Endet der Name des zu erstellenden Projekts auf nonprod, wählen Sie Nicht-Produktion > Freigegeben aus.

6. Klicken Sie auf Erstellen.

7. Wiederholen Sie die Schritte 2 bis 6 für jedes der empfohlenen Projekte.

In dieser Aufgabe richten Sie die Zugriffssteuerung für Ihre IAM-Ressourcenhierarchie ein. Dazu fügen Sie den Ressourcen IAM-Richtlinien hinzu. Eine IAM-Richtlinie ist eine Sammlung von Anweisungen, die definieren, wer welche Art von Zugriff hat. Richtlinien werden an eine Ressource angehängt und erzwingen eine Zugriffssteuerung, wenn auf diese Ressource zugegriffen wird.

Zum Festlegen von Berechtigungen folgen Sie derselben grundlegenden Anleitung, jedoch für Ressourcen auf unterschiedlichen Hierarchieebenen wie Organisation, Ordner und Projekte. Wir empfehlen, dass Sie nach dem Prinzip der geringsten Berechtigung vorgehen und nur so viel Zugriff auf Ressourcen gewähren, wie auf den einzelnen Ebenen absolut notwendig ist. Mit den Rollen, die wir in den folgenden Anleitungen empfehlen, können Sie das Prinzip der geringsten Berechtigung erzwingen.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-organization-admins@<your-domain>.com, die in Aufgabe 2 erstellt wurde.

Was tun Sie in dieser Aufgabe?

Legen Sie IAM-Richtlinien auf Organisations-, Ordner- und Projektebene fest.

Warum wir diese Aufgabe empfehlen

Wenn Sie IAM-Richtlinien in Ihrer Ressourcenhierarchie festlegen, können Sie den Zugriff auf Ihre Cloud-Ressourcen zuverlässig steuern.

Informationen zu IAM-Richtlinien

IAM-Richtlinien gelten auf drei Ebenen Ihrer Ressourcenhierarchie:

1. Organisation. Auf der Organisationsebene festgelegte Richtlinien gelten für alle Ordner und Projekte in der Organisation.
2. Ordner. Für einen Ordner festgelegte Richtlinien gelten für alle Projekte in einem Ordner.
3. Projekt. Auf Projektebene festgelegte Richtlinien gelten nur für dieses Projekt.

In der folgenden Tabelle werden die Hauptkonten aufgelistet und daneben die Rollen, die Sie ihnen auf Organisationsebene zuweisen.

Hauptkonto	Zu gewährende Rollen
gcp-network-admins@<your-domain>.com	Compute Engine > Compute-Netzwerkadministrator: Hierdurch werden Berechtigungen zum Erstellen, Ändern und Löschen aller Netzwerkressourcen außer Firewallregeln und SSL-Zertifikaten gewährt. Compute Engine > Administrator für freigegebene Compute-VPC: Hierdurch werden Berechtigungen zum Verwalten von Hostprojekten in einer freigegebenen VPC gewährt. Compute Engine > Compute-Sicherheitsadministrator: Hierdurch werden Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten gewährt. Ressourcenmanager > Ordnerbetrachter: Hierdurch werden Berechtigungen zum Aufrufen von Ordnern gewährt.
gcp-security-admins@<your-domain>.com	Unternehmensrichtlinien > Administrator für Unternehmensrichtlinien: Hierdurch werden Berechtigungen zum Festlegen von IAM-Richtlinien auf Organisationsebene gewährt. Unternehmensrichtlinien > Organisationsrichtlinien-Betrachter: Hierdurch werden Berechtigungen zum Aufrufen von IAM-Richtlinien gewährt, die für die Organisation gelten. IAM > Sicherheitsprüfer: Hierdurch werden Berechtigungen zum Aufrufen aller Ressourcen der Organisation und zum Aufrufen der IAM-Richtlinien gewährt, die für diese gelten. Rollen > Organisationsrollen-Betrachter. Hierdurch werden Berechtigungen zum Aufrufen aller benutzerdefinierten IAM-Rollen in der Organisation und zum Aufrufen der Projekte gewährt, für die sie gelten. Sicherheitscenter > Sicherheitscenter-Administrator.: Hierdurch wird Administratorzugriff auf die Sicherheitsbefehlszentrale gewährt. Ressourcenmanager > Ordner-IAM-Administrator: Hierdurch werden Berechtigungen zum Festlegen von IAM-Richtlinien auf Ordnerebene gewährt. Logging > Betrachter privater Logs: Hierdurch wird Lesezugriff auf Cloud Logging-Features gewährt, darunter auf private Logs. Logging > Autor von Logkonfigurationen: Hierdurch werden Berechtigungen zum Erstellen von logbasierten Messwerten und Exportsenken gewährt. Kubernetes Engine > Kubernetes Engine-Betrachter. Hierdurch wird Lesezugriff auf Google Kubernetes Engine-Ressourcen gewährt. Compute Engine > Compute-Betrachter: Hierdurch wird Lesezugriff auf Compute Engine-Ressourcen gewährt. BigQuery > BigQuery-Datenbetrachter. Hierdurch werden Berechtigungen für BigQuery-Datasets gewährt.
gcp-devops@<your-domain>.com	Ressourcenmanager > Ordnerbetrachter: Hierdurch werden Berechtigungen zum Aufrufen von Ordnern gewährt.

IAM-Rollen verwalten

1. Achten Sie darauf, dass Sie in der Cloud Console als Nutzer in der Google Groups-Gruppe gcp-organization-admins angemeldet sind, die in Aufgabe 2 erstellt wurde.

2. Öffnen Sie in der Cloud Console die Seite Ressourcen verwalten:

   Zur Seite „Ressourcen verwalten“

3. Wählen Sie Ihre Organisation aus der Organisationsstruktur aus.

4. Wenn das Infofeld auf der rechten Seite ausgeblendet ist, klicken Sie oben rechts auf Infofeld ansehen.

5. Klicken Sie auf das Kästchen für die Organisation.

6. Klicken Sie im Infofeld auf dem Tab Berechtigungen auf Mitglied hinzufügen.

7. Geben Sie im Feld Neue Mitglieder den Namen eines Mitglieds aus der Tabelle ein. Geben Sie beispielsweise zuerst gcp-network-admins@<your-domain>.com ein, wie in der vorherigen Tabelle aufgeführt.

8. Wählen Sie in der Liste Rolle auswählen die erste Rolle für dieses Mitglied aus, wie in der Tabelle aufgeführt. Beispiel: Für das erste Mitglied wählen Sie zuerst die Rolle Compute Engine > Compute-Netzwerkadministrator aus.

9. Klicken Sie auf Weitere Rolle hinzufügen und fügen Sie die nächste Rolle für dieses Mitglied hinzu.

10. Fügen Sie die nächste Rolle für dieses Mitglied hinzu.

11. Wenn Sie alle Rollen für ein Mitglied hinzugefügt haben, klicken Sie auf Speichern.

12. Wiederholen Sie die Schritte 2 bis 7 für die anderen Mitglieder in der Tabelle.

IAM-Richtlinien auf Ordnerebene festlegen

Richtlinien auf Ordnerebene gelten auch für Projekte in diesen Ordnern. Die Anleitung entspricht der Anleitung für Ihre Organisation, mit der Ausnahme, dass Sie eine andere Ebene in der Hierarchie auswählen.

1. Entfernen Sie das Häkchen für die Organisation und für jede andere ausgewählte Ressource.

2. Klicken Sie auf das Kästchen für den Ordner Production.

3. Klicken Sie im Infofeld auf dem Tab Berechtigungen auf Mitglied hinzufügen.

4. Geben Sie im Feld Neue Mitglieder den Wert gcp-devops@<your-domain>.com ein.

5. Fügen Sie dem Mitglied gcp-devops@<your-domain>.com die folgenden Rollen mithilfe derselben Schritte hinzu, die Sie beim Hinzufügen von Rollen zu Organisationsmitgliedern ausgeführt haben:

   • Logging > Logging-Administrator: Dadurch werden uneingeschränkte Berechtigungen für Cloud Logging gewährt.
   • Error Reporting > Error Reporting-Administrator: Hierdurch werden uneingeschränkte Berechtigungen für Error Reporting-Daten gewährt.
   • Dienstverwaltung > Kontingentadministrator. Hierdurch wird Zugriff auf die Verwaltung von Dienstkontingenten gewährt.
   • Monitoring > Monitoring-Administrator: Hierdurch werden uneingeschränkte Berechtigungen für Monitoring-Daten gewährt.
   • Compute Engine > Compute-Administrator: Hierdurch werden uneingeschränkte Berechtigungen für Compute Engine-Ressourcen gewährt.
   • Kubernetes Engine > Kubernetes Engine-Administrator Hierdurch werden uneingeschränkte Berechtigungen für Google Kubernetes Engine-Containercluster gewährt.

6. Wenn Sie alle Rollen hinzugefügt haben, klicken Sie auf Speichern.

7. Entfernen Sie das Häkchen aus dem Kästchen für den Ordner Production.

8. Klicken Sie auf das Kästchen für den Ordner Non-Production.

9. Fügen Sie gcp-developers@<your-domain>.com als neues Mitglied hinzu.

10. Weisen Sie dem gcp-developers@<your-domain>.com-Mitglied die folgenden IAM-Rollen zu:

    • Compute Engine > Compute-Administrator: Hierdurch werden uneingeschränkte Berechtigungen für Compute Engine-Ressourcen gewährt.
    • Kubernetes Engine > Kubernetes Engine-Administrator Hierdurch werden uneingeschränkte Berechtigungen für Google Kubernetes Engine-Containercluster gewährt.

IAM-Richtlinien auf Projektebene festlegen

Auf Projektebene festgelegte Richtlinien gelten nur für die Projekte, denen sie zugewiesen sind. Dadurch können Sie detaillierte Berechtigungen für individuelle Projekte festlegen.

1. Entfernen Sie das Häkchen aus den Kästchen für alle Ordner und alle anderen ausgewählten Ressourcen.

2. Wählen Sie die Kästchen für die folgenden Projekte aus:

   • example-vpc-host-nonprod
   • example-vpc-host-prod

3. Fügen Sie gcp-network-admins@<your-domain>.com als Mitglied hinzu.

4. Weisen Sie dem Mitglied gcp-network-admins@<your-domain>.com die folgende Rolle zu:

   • Projekt > Inhaber: Hierdurch werden uneingeschränkte Berechtigungen für alle Ressourcen in den ausgewählten Projekten gewährt.

5. Klicken Sie auf Speichern.

6. Entfernen Sie die Häkchen aus den Kästchen für die ausgewählten Projekte.

7. Wählen Sie die Kästchen für die folgenden Projekte aus:

   • example-monitoring-nonprod
   • example-monitoring-prod
   • example-logging-nonprod
   • example-logging-prod

8. Fügen Sie gcp-devops@<your-domain>.com als neues Mitglied hinzu.

9. Weisen Sie dem Mitglied gcp-devops@<your-domain>.com die folgende Rolle zu:

   • Projekt > Inhaber: Hierdurch werden uneingeschränkte Berechtigungen für alle Ressourcen in den ausgewählten Projekten gewährt.

10. Klicken Sie auf Speichern.

In dieser Aufgabe können Sie eine Supportoption auswählen.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-organization-admins@<your-domain>.com, die in Aufgabe 2 erstellt wurde.

Was tun Sie in dieser Aufgabe?

Wählen Sie einen Supportplan aus, der auf die Anforderungen Ihres Unternehmens zugeschnitten ist.

Warum wir diese Aufgabe empfehlen

Ein Premiumsupportplan bietet Ihnen geschäftskritischen Support, um Probleme mit der Hilfe von Experten von Google schnell zu beheben.

Support-Option auswählen

Jeder Google Cloud-Kunde erhält automatisch kostenlosen Support. Dieser umfasst die Produktdokumentation unseres Supports, Community-Support und Support bei Abrechnungsproblemen. Geschäftskunden wird jedoch empfohlen, sich für einen Premium-Supportplan zu registrieren, der persönlichen technischen Support mit Entwicklern des Google-Supportteams bietet. Wenn Sie weitere Informationen benötigen, können Sie auch die Supportpläne vergleichen.

Unterstützung aktivieren

1. Lesen Sie die Informationen zu den Supportplänen, um sich für einen der Pläne zu entscheiden. Sie richten den Supportplan in einem späteren Schritt ein. Wenn Sie bei den kostenlosen Supportoptionen bleiben möchten, können Sie mit der nächsten Aufgabe fortfahren.

2. Achten Sie darauf, dass Sie in der Cloud Console als Nutzer in der Google Groups-Gruppe gcp-organization-admins angemeldet sind, die in Aufgabe 2 erstellt wurde.

3. Richten Sie den Supportplan ein.

   • Wenn Sie Premium-Support anfordern möchten, wenden Sie sich an Ihren Google-Vertriebsmitarbeiter. Wenn Ihnen kein Vertriebsmitarbeiter zugeordnet ist, wenden Sie sich an den Vertrieb.

   • Rufen Sie zum Aktivieren des rollenbasierten Supports die Seite Rollenbasierten Support aktivieren in der Google Cloud Console auf und folgen Sie den Anleitungen auf dem Bildschirm.

4. Folgen Sie der Anleitung unter Supportnutzerrollen, um die Rollen Supportnutzer und Organisationsbetrachter jedem Nutzer zuzuweisen, der mit dem Google Cloud-Support interagieren muss.

In dieser Aufgabe erstellen Sie Ihre anfängliche Netzwerkkonfiguration. Normalerweise gehen Sie so vor:

• Entwerfen, erstellen und konfigurieren Sie eine Virtual Private Cloud-Architektur.
• Wenn Sie ein lokales Netzwerk oder Netzwerke bei einem anderen Cloud-Anbieter haben, konfigurieren Sie die Konnektivität zwischen diesem Anbieter und Google Cloud.
• Richten Sie einen Pfad für externen ausgehenden Traffic ein.
• Implementieren Sie Netzwerksicherheitsfunktionen wie Firewallregeln.
• Wählen Sie eine bevorzugte Option für eingehenden Traffic für Dienste aus, die in der Cloud gehostet werden.

Diese Aufgabe zeigt Ihnen ein Beispiel für Punkt 1 als Basis für Ihre eigene Virtual Private Cloud-Architektur.

Die übrigen Punkte — externe Konnektivität, Konfigurieren des ausgehenden Traffics, Implementieren von Firewallregeln und Auswählen einer Option für eingehenden Traffic — hängen von den Anforderungen Ihres Unternehmens ab. Daher werden sie in dieser Checkliste nicht von uns abgedeckt. Jedoch bieten wir Ihnen Links, über die Sie zu weiteren Informationen zu diesen Punkten gelangen.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-network-admins@<your-domain>.com, die in Aufgabe 2 erstellt wurde.

Was Sie in dieser Aufgabe tun

Richten Sie eine erste Netzwerkkonfiguration ein.

• Erstellen Sie freigegebene VPC-Netzwerke.
• Konnektivität zwischen dem externen Anbieter und Google Cloud konfigurieren
• Pfad für externen ausgehenden Traffic einrichten
• Netzwerksicherheitsfunktionen implementieren
• Option für eingehenden Traffic auswählen

Warum wir diese Aufgabe empfehlen

• Eine freigegebene VPC ermöglicht es verschiedenen Teams, von mehreren unterschiedlichen Produkten aus ein gemeinsames, zentral verwaltetes VPC-Netzwerk aufzubauen.

• Durch die Konfiguration von Hybridkonnektivität lassen sich Anwendungen nahtlos zu Google Cloud migrieren, während gleichzeitig eine Verbindung zu Dienstabhängigkeiten hergestellt wird.

• Wenn Sie von Anfang an sichere Wege für eingehenden und ausgehenden Traffic festlegen, können Ihre Teams produktiv und ohne Sicherheitseinschränkungen in Google Cloud arbeiten.

Virtual-Private-Cloud-Architektur

Google bietet eine Virtual Private Cloud (VPC), die Netzwerkfunktionen für Google Cloud-Ressourcen wie Instanzen virtueller Maschinen von Compute Engine, GKE-Container und die flexible App Engine-Umgebung bereitstellt. Im folgenden Diagramm ist eine grundlegende Architektur mit mehreren Regionen dargestellt:

Die Architektur verfügt über zwei Shared VPC-Hostprojekte. Ein Hostprojekt wird für Ihre Nicht-Produktionsumgebung und das andere für Ihre letztendliche Produktionsumgebung (derzeit als "production-draft" bezeichnet) bereitgestellt. Eine freigegebene Virtual Private Cloud ermöglicht Organisationen, Ressourcen aus mehreren Projekten zu einem gemeinsamen Netzwerk zu verbinden. Ressourcen können so über interne IP-Adressen dieses Netzwerks sicherer und effizienter miteinander kommunizieren.

Ein Shared VPC-Hostprojekt enthält ein oder mehrere Shared VPC-Netzwerke. In dieser Architektur enthält jedes freigegebene VPC-Netzwerk (sowohl für die Produktions- als auch die Nicht-Produktionsumgebung) öffentliche und private Subnetze in zwei Regionen (in diesem Fall us-east1 und us-west1):

• Das öffentliche Subnetz kann für Instanzen verwendet werden, die aus dem Internet zugänglich sind, um externe Konnektivität bereitzustellen.
• Das private Subnetz kann für Instanzen verwendet werden, die nur intern verwendet werden und denen keine öffentlichen IP-Adressen zugewiesen werden sollten.

Die Architektur im obigen Diagramm verwendet Beispielnamen für diverse Ressourcen. Für die eigene Einrichtung können Sie Elemente der Namen ändern und Ihren Unternehmensnamen (example in den Beispielnamen) und die verwendete Region (us-east1 und us-west1 in den Beispielen) verwenden.

Netzwerk konfigurieren

Obwohl die Netzwerkeinrichtung je nach Arbeitslast variiert, sind in der Regel die folgenden Aktivitäten erforderlich:

1. Freigegebene Virtual Private Cloud-Netzwerke (VPC) erstellen Eine freigegebene VPC ermöglicht einer Organisation, Ressourcen aus mehreren Projekten zu einem gemeinsamen VPC-Netzwerk zu verbinden. Zum Erstellen eines freigegebenen VPC-Netzwerks verwenden Sie die Einrichtungscheckliste von Google Cloud in der Cloud Console. Mithilfe der Console sparen Sie Zeit durch die Automatisierung bestimmter Aufgaben. Bei Bedarf können Sie jederzeit auf diese Seite zurückgreifen.

2. Konnektivität zwischen dem externen Anbieter und Google Cloud konfigurieren. Wenn Sie ein lokales Netzwerk oder Netzwerke bei einem anderen Cloud-Anbieter haben, können Sie Cloud VPN einrichten. Dieser Dienst ermöglicht eine sichere Verbindung zwischen dem Peer-Netzwerk und dem Google Cloud VPC-Netzwerk über eine IPsec-VPN-Verbindung. Cloud VPN eignet sich für Geschwindigkeiten bis zu 3,0 Gbit/s. Wenn Sie eine höhere Bandbreite für die Verbindung Ihres lokalen Systems mit Google Cloud benötigen, finden Sie entsprechende Informationen unter Partner Interconnect und Dedicated Interconnect. Folgen Sie der Anleitung unter Gateway und Tunnel erstellen, um eine VPN-Verbindung für die freigegebenen VPC-Netzwerke sowohl der Produktions- als auch der Nicht-Produktionsumgebung zu konfigurieren, die im vorherigen Verfahren erstellt wurden.

3. Richten Sie einen Pfad für externen ausgehenden Traffic ein. Sie können Cloud NAT verwenden, damit sich Ihre VMs ohne Verwendung externer IP-Adressen mit dem Internet verbinden können. Cloud NAT ist eine regionale Ressource. Sie können diese so konfigurieren, dass Traffic aus allen primären und sekundären IP-Bereichen von Subnetzen in einer Region oder nur aus bestimmten Bereichen zugelassen wird. Folgen Sie zum Einrichten eines Pfads für externen ausgehenden Traffic den Anweisungen unter NAT erstellen für alle Regionen in den freigegebenen VPC-Netzwerken, die in der vorherigen Prozedur sowohl für Produktions- als auch für Nicht-Produktionsnetzwerke erstellt wurden.

4. Netzwerksicherheitsfunktionen implementieren. Mit Firewallregeln können Sie den Traffic zu und von Ihren VM-Instanzen (virtuellen Maschinen) mithilfe einer von Ihnen festgelegten Konfiguration zulassen oder ablehnen. Folgen Sie der Anleitung unter Firewallregeln verwenden, um diese Steuerelemente für die freigegebenen VPC-Netzwerke sowohl der Produktions- als auch der Nicht-Produktionsumgebung zu konfigurieren, die im vorherigen Verfahren erstellt wurden.

5. Option für eingehenden Traffic auswählen. Mit Cloud Load Balancing können Sie festlegen, wie Computing-Ressourcen über Regionen verteilt werden. Das Load-Balancing bietet eine Unterstützung, um die Verfügbarkeitsanforderungen sowohl für eingehenden externen Traffic als auch für Traffic innerhalb Ihres VPC-Netzwerks zu erfüllen. Sehen Sie sich bei der Planung Ihrer Anwendungsarchitektur auf Google Cloud die Informationen unter Load-Balancer auswählen an, um zu entscheiden, welche Typen von Load-Balancern Sie benötigen.

In dieser Aufgabe richten Sie grundlegende Logging- und Monitoring-Funktionen mit Cloud Logging und Cloud Monitoring ein.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-devops@<your-domain>.com, die in Aufgabe 2 erstellt wurde.

Was tun Sie in dieser Aufgabe?

Richten Sie grundlegende Logging- und Monitoring-Funktionen mit Cloud Logging und Cloud Monitoring ein.

Warum wir diese Aufgabe empfehlen

Umfassendes Logging und Monitoring sind entscheidend, um die Beobachtbarkeit in Ihrer Cloud-Umgebung zu erhalten. Wenn Sie von Anfang an eine geeignete Logging-Aufbewahrung konfigurieren, können Sie einen Audit-Trail erstellen und sich darauf verlassen, dass er beibehalten wird. Durch die Einrichtung eines zentralisierten Monitorings erhält Ihr Team ein zentrales Dashboard zum Anzeigen Ihrer Umgebungen.

Monitoring einrichten

Cloud Monitoring erfasst Messwerte, Ereignisse und Metadaten aus Google Cloud-Diensten, gehosteten Betriebszeitprüfungen, Anwendungsinstrumentierung und weiteren üblichen Anwendungskomponenten.

Cloud Logging dient zum Speichern, Suchen, Analysieren, Beobachten und Auslösen von Benachrichtigungen durch Logdaten und Ereignisse von Google Cloud und Amazon Web Services (AWS). Cloud Logging ermöglicht Ihnen außerdem, benutzerdefinierte Logdaten von jeder Quelle aufzunehmen und Logs in externe Datensenken zu exportieren.

Monitoring einrichten

Cloud Monitoring erfasst Messwerte, Ereignisse und Metadaten aus Google Cloud-Diensten, gehosteten Betriebszeitprüfungen, Anwendungsinstrumentierung und weiteren üblichen Anwendungskomponenten.

1. Achten Sie darauf, dass Sie in der Cloud Console als Nutzer in der Google Groups-Gruppe gcp-devops angemeldet sind, die in Aufgabe 2 erstellt wurde.

2. Erstellen Sie einen Arbeitsbereich für Monitoring unter Verwendung eines Hostprojekts. Das erste überwachte Google Cloud-Projekt in einem Arbeitsbereich ist das Hostprojekt. Achten Sie darauf, dass Sie das richtige Projekt als Hostprojekt auswählen. Wenn Sie bei einem Schritt zur Auswahl eines Projekts aufgefordert werden, wählen Sie das Monitoring-Projekt der Nicht-Produktionsumgebung aus (example-monitoring-nonprod), das Sie in Aufgabe 5 erstellt haben.

3. Fügen Sie weitere Projekte hinzu, die Sie von diesem Arbeitsbereich aus überwachen möchten. Fügen Sie beispielsweise alle anderen Projekte der Nicht-Produktionsumgebung hinzu.

4. Wiederholen Sie diese Anleitung für Ihre Projekte der Produktionsumgebung. Verwenden Sie example-monitoring-prod als Arbeitsbereichsprojekt und fügen Sie die zu überwachenden Projekte der Produktionsumgebung hinzu.

Logging einrichten

Cloud Logging dient zum Speichern, Suchen, Analysieren, Beobachten und Auslösen von Benachrichtigungen durch Logdaten und Ereignisse von Google Cloud und Amazon Web Services (AWS). Cloud Logging ermöglicht Ihnen außerdem, benutzerdefinierte Logdaten von jeder Quelle aufzunehmen und Logs in externe Datensenken zu exportieren.

1. Achten Sie darauf, dass Sie in der Cloud Console als Nutzer in der Google Groups-Gruppe gcp-devops angemeldet sind, die in Aufgabe 2 erstellt wurde.

2. Aktivieren Sie den Logging-Export nach BigQuery unter Verwendung der folgenden Werte:

   • Wählen Sie das Projekt example-logging-nonprod aus.
   • Erstellen Sie ein BigQuery-Dataset. Verwenden Sie für Dataset-ID einen Namen wie example_logging_export_nonprod.
   • Benennen Sie das Dataset und klicken Sie dann auf Dataset erstellen.

3. Wiederholen Sie den vorherigen Schritt für das Projekt example-logging-prod, verwenden Sie jedoch example_logging_export_prod als Dataset-ID.

4. Sehen Sie sich die Aufbewahrungsdauer von Logs an, um festzustellen, ob sie Ihre Compliance-Anforderungen erfüllen. Falls nicht, richten Sie den Logexport nach Cloud Storage ein, was für eine langfristige Aufbewahrung hilfreich sein kann.

Bei dieser Aufgabe konfigurieren Sie Google Cloud-Produkte für den Schutz Ihrer Organisation. Google Cloud hat ein umfangreiches Sicherheitsangebot.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-organization-admins@<your-domain>.com, die in Aufgabe 2 erstellt wurde.

Was tun Sie in dieser Aufgabe?

• Aktivieren Sie das Security Command Center-Dashboard
• Richten Sie Organisationsrichtlinien ein.

Warum wir diese Aufgabe empfehlen

Wir empfehlen, die folgenden beiden Produkte einzurichten:

• Security Command Center Auf dieser umfassenden Sicherheitsmanagement- und Datenrisikoplattform können Sie Ihre Cloudassets beobachten, Speichersysteme nach sensiblen Daten scannen, gängige Websicherheitslücken erkennen und die Zugriffsrechte für Ihre wichtigen Ressourcen prüfen.

• Organisationsrichtliniendienst: Dieser Dienst gibt Ihnen zentrale und programmgesteuerte Kontrolle über die Cloudressourcen Ihrer Organisation.

Die Produkte einrichten

1. Achten Sie darauf, dass Sie in der Cloud Console als Nutzer in der Google Groups-Gruppe gcp-organization-admins angemeldet sind, die in Aufgabe 2 erstellt wurde.

2. Aktivieren Sie das Security Command Center-Dashboard.

3. Richten Sie eine Organisationsrichtlinie ein. Führen Sie dazu die Schritte unter Richtlinien für boolesche Einschränkungen anpassen mit den folgenden Details aus:

   1. Richten Sie die Einschränkung Erstellen des Standardnetzwerks überspringen mit den folgenden Änderungen ein:
      • Wenn Sie zur Auswahl eines Projekts, eines Ordners oder einer Organisation aufgefordert werden, wählen Sie Ihre Organisation aus.
      • Wenn Sie zur Auswahl einer Einschränkung aus der Liste auf der Seite Organisationsrichtlinien aufgefordert werden, wählen Sie Erstellen des Standardnetzwerks überspringen aus.
      • Wenn Sie zur Auswahl einer Option für die Erzwingung aufgefordert werden, wählen Sie An aus.
   2. Richten Sie die Einschränkung Domaineingeschränkte Freigabe ein.
   3. Deaktivieren Sie den Zugriff von externen IP-Adressen durch VM-Instanzen.