Checklist de configuration de Google Cloud

Avant de commencer

• Pour sécuriser votre compte Google Cloud, découvrez et appliquez les bonnes pratiques relatives aux comptes super-administrateur.
• Collectez les identifiants d'administrateur du domaine (comme example.com) que vous souhaitez associer à Google Cloud. Vous en aurez besoin pour ajuster les paramètres DNS lors de la configuration.
• Identifiez un compte de messagerie principal (comme maria@example.com) à utiliser comme adresse de récupération pour votre organisation Google Cloud. Lorsque vous lancez le processus d'inscription, Cloud Identity vous demande d'abord cette adresse.
• Trouvez un identifiant secondaire différent à associer à votre premier compte super-administrateur Google Cloud (par exemple, admin@example.com). Cet identifiant doit être différent de l'identifiant principal utilisé pour la récupération de compte. Cloud Identity demande cette adresse après avoir fourni l'adresse de récupération de compte décrite ci-dessus.
• Sécurisez vos comptes Google Cloud en appliquant les bonnes pratiques. En particulier, évitez d'associer vos comptes de récupération et de super-administrateur à une identité utilisateur particulière, et accédez-y uniquement lorsque cela est nécessaire pour administrer ou récupérer votre compte Google Cloud.

Objectifs de l'atelier

Dans cette première tâche, vous allez :

• Indiquer une adresse e-mail initiale à utiliser pour la récupération de compte.
• Créer un compte utilisateur géré pour votre premier super-administrateur Google Cloud.
• Valider le domaine de votre entreprise (comme example.com) avec Google Cloud.

Une fois ces actions effectuées, Google Cloud crée le nœud racine de la hiérarchie des ressources, que nous appelons la ressource "Organisation".

Vous utiliserez Cloud Identity dans la console d'administration Google Workspace pour effectuer cette tâche. Cloud Identity fournit une gestion unifiée des identités, des accès, des applications et des points de terminaison sur l'ensemble des services Google. Vous bénéficiez de 50 licences utilisateur gratuites et vous pouvez demander des licences gratuites supplémentaires si nécessaire. Les utilisateurs Cloud Identity peuvent également accéder aux services Google Drive, Google Keep et Google Groupes de votre organisation.

Google Cloud propose Cloud Identity en tant que produit autonome ou en association avec Google Workspace. Google Workspace propose Cloud Identity avec des outils collaboratifs et de productivité courants tels que Gmail, Agenda, Meet, Chat, etc… Plusieurs options d'essai gratuit sont disponibles. Certaines entreprises réalisent des économies en combinant plusieurs licences Cloud Identity autonomes pour certains utilisateurs et en réservant les licences Google Workspace aux utilisateurs qui ont besoin des outils de collaboration supplémentaires.

Autorisations requises

Dans cette tâche, vous allez créer le premier super-administrateur de votre organisation Google Cloud. Le super-administrateur dispose de droits d'administrateur racine irrévocables pour votre organisation et peut attribuer le même rôle à d'autres utilisateurs.

Bonnes pratiques concernant la sécurité

La sécurisation de vos comptes super-administrateur est essentielle à la sécurité de votre organisation Google Cloud. Veuillez consulter et appliquer les bonnes pratiques relatives aux comptes super-administrateur Google Cloud lors de la création de vos comptes super-administrateur.

Procédure

Pour effectuer cette tâche, indiquez si vous êtes un nouveau client ou un client Google Workspace existant.

Dépannage

Je ne parviens pas à m'inscrire à un service Google avec mon domaine

Pour en savoir plus sur les problèmes courants et découvrir comment les corriger, consultez l'article Je ne parviens pas à m'inscrire à un service Google avec mon domaine.

Ce compte Google existe déjà

Consultez la page concernant l'erreur "Ce compte Google existe déjà" pour résoudre le problème.

Mon compte ne dispose pas des autorisations nécessaires pour administrer ou utiliser l'organisation GCP de mon entreprise

Cette erreur indique que le domaine de votre entreprise a déjà été validé et qu'il comporte des super-administrateurs. Si vous avez encore besoin d'un accès pour administrer votre organisation Google Cloud, demandez à un administrateur de votre entreprise de vous accorder l'accès.

Mon pare-feu affiche des erreurs et je ne parviens pas à valider le domaine

Si votre entreprise utilise un serveur proxy qui refuse des URL spécifiques, vous rencontrerez des erreurs lorsque vous tenterez d'enregistrer votre domaine. Ce scénario est courant avec les clients ayant des configurations de sécurité avancées, comme les institutions financières. Si vous voyez cette erreur, assurez-vous que votre serveur proxy autorise explicitement les URL suivantes :

URL requise	Pourquoi ce changement est-il important ?
accounts.google.com	Requis pour la fédération SSO (authentification unique) SAML avec Google Cloud et pour la connexion SSO à Cloud Console. Remarque : cela ne fonctionnera qu'après la mise en liste blanche du domaine client sur le backend de Google.
www.googleapis.com	Requis lors de la connexion pour la synchronisation des annonces AD si la fédération SSO est utilisée
https://console.cloud.google.com/	Obligatoire pour l'accès à Cloud Console. Domaine principal de Cloud Console et polices utilisées pour l'affichage dans Cloud Console.
fonts.googleapis.com	Polices pour Cloud Console Remarque : Cloud Console fonctionnera toujours sans cela, mais l'apparence peut être étrange.
*.clients6.google.com	Requis pour Cloud Console. Points de terminaison gRPC de l'API Service utilisés par Cloud Console pour afficher des informations sur la console.
ssl.gstatic.com www.gstatic.com lh3.googleusercontent.com lh4.googleusercontent.com lh5.googleusercontent.com lh6.googleusercontent.com	Requis pour Cloud Console. Dans Cloud Console et certaines API, les clés publiques des certificats personnalisés sont stockées dans le contenu statique.
cloud.google.com	Obligatoire pour l'accès à la documentation et aux pages d'aide de Google Cloud.
ssh.cloud.google.com	Requis pour Cloud Shell (si vous le souhaitez)
apis.google.com *.googleapis.com	Obligatoire pour l'accès à distance aux API pour Google Cloud. (Facultatif pour Cloud Console, préférez un accès privé ou restreint à l'API lorsque vous utilisez le SDK et/ou la CLI)
admin.google.com	Facultatif lorsque vous utilisez la console d'administration Google Workspace (Cloud Identity).
payments.google.com	Facultatif pour l'envoi des informations de paiement, des abonnements de la console d'administration Google et des comptes de facturation.

Autres ressources

Voici quelques sujets supplémentaires qui vous permettront d'en savoir plus sur l'identité et sur d'autres sujets pertinents pour cette tâche.

• Présentation de la création et de la gestion des organisations
• Bonnes pratiques pour planifier des comptes et des organisations
• Évaluer et planifier la configuration de votre identité
• Édition gratuite de Cloud Identity
• Validation de domaine :
  • Documentation
  • Tutoriel vidéo
• Rôles d'administrateur Google Workspace
• Rôles d'administrateur Cloud Identity

Lors de cette tâche, vous allez créer des comptes Google gérés pour les administrateurs.

Utilisateurs effectuant cette tâche

Une personne qui agira en tant qu'administrateur d'identité pour Google Cloud pour votre entreprise.

Actions à effectuer dans cette tâche

• Ajoutez des utilisateurs à votre compte Cloud Identity qui participeront aux tâches prévues dans la checklist.
• Créez un ensemble de groupes Google.
• Ajoutez des utilisateurs aux groupes Google qui participeront aux tâches prévues dans la checklist.

Raisons pour lesquelles nous recommandons cette tâche

La création de ces comptes utilisateur et de Google Groupes est obligatoire pour l'attribution de rôles Identity and Access Management (IAM) afin de contrôler l'accès ultérieurement.

Ajouter des utilisateurs

Pour les besoins de cette checklist d'intégration, nous vous recommandons d'ajouter initialement les utilisateurs qui vont participer aux tâches concernées. Il s'agit, par exemple, des administrateurs et des décideurs impliqués dans les activités de configuration cloud. Vous pouvez exécuter les autres tâches de la checklist sans ajouter tous les utilisateurs. Vous pourrez créer des groupes d'utilisateurs plus tard dans cette tâche. Une fois que vous aurez terminé cette checklist, vous pourrez passer à un plus grand nombre d'utilisateurs à l'aide de l'un des outils que nous décrirons plus loin.

1. Connectez-vous à la console d'administration Google Workspace à l'aide du compte super-administrateur que vous avez créé lors de la configuration du compte Cloud Identity au cours de la tâche 1.

2. Ajouter des utilisateurs en utilisant l'une des options suivantes :

   • Ajouter plusieurs utilisateurs à la fois.
   • Ajoutez des comptes utilisateur individuellement.

Créer des groupes Google

Vous allez maintenant créer un ensemble Google Groupes. Google Groupes vous permet d'attribuer rapidement des autorisations à un groupe d'utilisateurs Cloud Identity ou Google Workspace. Vous pourrez définir dans cette checklist des autorisations pour les groupes ultérieurement.

Pour commencer, nous vous recommandons de créer les groupes Google suivants :

• gcp-organization-admins
• gcp-network-admins
• gcp-security-admins
• gcp-billing-admins
• gcp-devops
• gcp-developers

Ces groupes seront essentiels dans le processus de configuration lorsque vous commencerez à ajouter des autorisations d'accès Google Cloud. Pour en savoir plus sur la raison pour laquelle nous recommandons ces groupes, consultez le guide Bonnes pratiques concernant l'organisation d'entreprise.

1. Ouvrez le sujet Comment créer des groupes dans la console d'administration, puis suivez les instructions permettant de créer les groupes Google recommandés.

2. Ajouter des utilisateurs à chaque groupe Google. Pour exécuter les tâches de cette checklist, vous devez ajouter au moins un utilisateur aux groupes suivants :

   • gcp-organization-admins
   • gcp-network-admins
   • gcp-billing-admins
   • gcp-devops

Évaluer les comptes personnels existants

Évaluez si certains employés de votre organisation utilisent actuellement des comptes personnels pour accéder aux services Google, et déterminez si vous souhaitez les migrer vers Cloud Identity ou Google Workspace.

Automatiser la gestion des comptes utilisateur et activer l'authentification unique

Si votre organisation utilise déjà un fournisseur d'identité tel qu'Active Directory, Azure AD, Okta ou Ping Identity, vous pouvez intégrer Google Cloud à ce fournisseur d'identité externe via la fédération :

• Fédérer Cloud Identity avec Active Directory pour gérer automatiquement les utilisateurs et activer l'authentification unique.
• Intégrer à Azure Active Directory.
• Créer une solution personnalisée à l'aide du SDK Admin Google Workspace.

Cette tâche vous permet de configurer l'accès administrateur pour votre organisation de sorte que les administrateurs bénéficient d'une visibilité et d'un contrôle centralisés sur chaque ressource cloud appartenant à votre organisation.

Utilisateurs effectuant cette tâche

Si votre entreprise a déjà souscrit un service Google Workspace payant, une personne dotée d'un accès super-administrateur Google Workspace doit effectuer cette étape. Si ce n'est pas le cas, utilisez le compte Cloud Identity créé à la tâche 2.

Actions à effectuer dans cette tâche

• Vérifiez que votre organisation a bien été créée
• Attribuez des rôles Administrateur au groupe gcp-organization-admins@<your-domain>.com créé à la tâche 2.
• Ajoutez des autorisations d'administration à vous-même et aux autres administrateurs de votre organisation afin de pouvoir effectuer des tâches ultérieures dans la checklist.

Raisons pour lesquelles nous recommandons cette tâche

Pour des raisons de sécurité, vous devez définir explicitement tous les rôles Administrateur de votre organisation. La séparation des rôles de super-administrateur et d'administrateur de l'organisation fait partie des bonnes pratiques de sécurité GCP. Le rôle de super-administrateur gère toutes les autres identités dans Cloud Identity et Google Workspace. Il est requis pour créer l'organisation Google Cloud racine. Pour en savoir plus, consultez les bonnes pratiques applicables aux super-administrateurs.

Configurer l'accès administrateur

Pour configurer un accès administrateur pour votre organisation, utilisez la checklist de configuration Google Cloud dans Cloud Console. L'utilisation de Cloud Console permet de gagner du temps en automatisant certaines tâches. Vous pouvez à tout moment consulter cette page si nécessaire.

Configurer l'accès administrateur

Lors de cette tâche, vous allez configurer un compte de facturation pour payer les ressources Google Cloud, puis définir l'accès administrateur pour vos comptes de facturation.

Lorsque vous préparez cette tâche, vous devez choisir le type de compte de facturation à utiliser pour votre configuration :

• Libre-service. Inscrivez-vous en ligne par carte de crédit, carte de débit ou prélèvement automatique SIT. Les coûts sont facturés automatiquement.
• Paiement sur facture. Si vous avez déjà configuré la facturation en libre-service, vous pourrez peut-être basculer vers un type de facturation mensuelle si votre entreprise répond à certains critères. Les factures sont envoyées par courrier ou par voie électronique, et peuvent être réglées par chèque ou par virement électronique.

Pour plus d'informations, consultez la section Types de comptes de facturation.

Utilisateurs effectuant cette tâche

Cette tâche nécessite plusieurs personnes :

1. Une personne du groupe gcp-organization-admins@<your-domain>.com créé à la tâche 2.

2. Une personne du groupe gcp-billing-admins@<your-domain>.com créé à la tâche 2.

Actions à effectuer dans cette tâche

• Attribuez un accès administrateur au groupe gcp-billing-admins@<your-domain>.com créé à la tâche 2.
• Décidez si vous souhaitez utiliser un compte de facturation en libre-service ou avec paiement sur facture mensuelle.
• Configurez un compte de facturation et un mode de paiement.

Raisons pour lesquelles nous recommandons cette tâche

Vous devez disposer d'un compte Cloud Billing pour utiliser les produits Google Cloud. Les comptes Cloud Billing sont associés à un ou plusieurs projets Google Cloud et sont utilisés pour payer les ressources que vous utilisez, telles que les machines virtuelles, la mise en réseau et le stockage. Les rôles IAM contrôlent l'accès aux comptes Cloud Billing.

Configurer la facturation

Afin de configurer la facturation pour votre projet, utilisez la checklist de configuration Google Cloud dans Cloud Console. L'utilisation de la console vous permet de gagner du temps en automatisant certaines tâches. Vous pouvez consulter à tout moment cette page si nécessaire.

Configurer la facturation

Une fois le compte de facturation configuré

Pour surveiller vos coûts et éviter les surprises sur votre facture, une fois votre compte de facturation Cloud configuré, nous vous recommandons d'appliquer les bonnes pratiques suivantes pour chaque compte de facturation :

• Configurez les exportations de données Cloud Billing vers un ensemble de données BigQuery.
• Définissez des budgets pour générer des alertes lorsque les dépenses atteignent certains seuils.

Pour en savoir plus sur les bonnes pratiques de facturation, consultez la section Facturation et gestion dans les Bonnes pratiques pour les entreprises.

Dans le cadre de cette tâche, vous allez créer une structure de base pour les dossiers et les projets présents dans la hiérarchie des ressources.

• Les dossiers constituent un mécanisme de regroupement et une façon d'isoler les projets les uns des autres. Par exemple, ils peuvent représenter les principaux services de votre organisation, tels que finance ou commerce, ou des environnements en production ou hors production.

• Les projets contiennent vos ressources cloud, telles que des machines virtuelles, des bases de données et des buckets de stockage. Pour connaître les bonnes pratiques liées aux projets, consultez Spécifier la structure du projet.

Vous pouvez définir des règles IAM pour contrôler l'accès à différents niveaux de la hiérarchie des ressources. Vous définirez ces règles dans une tâche ultérieure de la checklist.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@<your-domain>.com que vous avez créé à la tâche 2.

Actions à effectuer dans cette tâche

Créez la structure hiérarchique initiale avec des dossiers et des projets.

Raisons pour lesquelles nous recommandons cette tâche

La création de la structure est nécessaire pour réaliser une tâche ultérieure dans laquelle vous définissez des stratégies IAM afin de contrôler l'accès à différents niveaux de la hiérarchie des ressources.

Schéma de la hiérarchie des ressources

Il existe de nombreuses manières de créer une hiérarchie de ressources. Le diagramme suivant montre un exemple type.

Dans l'exemple, la hiérarchie de ressources de l'organisation contient trois niveaux de dossiers :

• Environnement (hors production et production). En isolant les environnements les uns des autres, vous pouvez mieux contrôler l'accès aux environnements de production et éviter que des changements non liés à la production n'aient un impact accidentel sur celle-ci.

• Unités commerciales. Sur le diagramme, les unités commerciales sont représentées comme Dept X et Dept Y, ce qui peut correspondre à des unités commerciales telles que "Ingénierie" et "Marketing", ainsi qu'un dossier Shared partagé de projets contenant des ressources partagées sur toute la hiérarchie, comme la mise en réseau, la journalisation et la surveillance.

• Équipes. Sur le diagramme, les équipes sont représentées comme Team A, Team B et Team C, ce qui peut correspondre à "Développement", "Science des données", "Contrôle qualité", etc.

À ces étapes de la checklist, vous créez les dossiers et les projets de base pour votre configuration initiale, comme illustré sur le diagramme suivant. Ces dossiers et projets seront utilisés dans les autres tâches de la checklist. Plus tard, vous pourrez vous appuyer sur cette hiérarchie afin de refléter votre organisation et la personnaliser en fonction des besoins de votre entreprise à mesure que vos charges de travail s'accroîtront sur Google Cloud.

Après avoir créé la hiérarchie initiale, vous créez des projets. En suivant le principe de séparation des environnements de production et de non-production, vous devez créer les projets suivants pour cette checklist :

• example-vpc-host-nonprod. Ce projet aide à connecter les ressources hors production de différents projets à un réseau VPC commun.

• example-vpc-host-prod-draft Ce projet est un espace réservé pour associer les ressources de production de différents projets à un réseau VPC commun.

• example-monitoring-nonprod. Ce projet est utilisé pour l'hébergement de ressources de surveillance hors production.

• example-monitoring-prod-draft Ce projet est un espace réservé qui vous permettra d'héberger les ressources de surveillance de la production.

• example-logging-nonprod. Ce projet permet d'héberger des données de journaux exportées depuis votre environnement hors production.

• example-logging-prod-draft Ce projet est un espace réservé permettant d'héberger les données de journaux exportées à partir de votre environnement de production.

Les noms de projet ne peuvent pas comporter plus de 30 caractères. Habituellement, vous pouvez utiliser le nom de votre entreprise au lieu de example, tant que vous ne dépassez pas la limite de 30 caractères. À mesure que vous créez des projets dans la hiérarchie des ressources, nous vous conseillons d'adopter une convention d'attribution de noms telle que <business unit name>-<team name>-<application name>-<environment>, conformément à la hiérarchie des ressources de votre organisation.

Configurer la hiérarchie de vos ressources

Pour configurer la hiérarchie de vos ressources, utilisez la checklist de configuration Google Cloud dans Cloud Console. L'utilisation de la console vous permet de gagner du temps en automatisant certaines tâches. Vous pouvez consulter à tout moment cette page si nécessaire.

Configurer la hiérarchie des ressources

Lors de cette tâche, vous allez configurer le contrôle des accès à votre hiérarchie de ressources en ajoutant des stratégies IAM aux ressources. Une stratégie IAM est un ensemble d'instructions spécifiant qui dispose de quel type d'accès. Une stratégie est associée à une ressource et permet de contrôler tous les accès à cette ressource.

Pour définir des autorisations, vous suivez la même procédure de base, mais vous l'appliquez à des ressources situées à différents niveaux dans la hiérarchie (organisation, dossiers et projets). Nous vous recommandons de suivre le principe du moindre privilège et de n'accorder que l'accès minimal nécessaire pour chaque ressource dans chaque niveau. Les rôles que nous recommandons dans les procédures ci-dessous vous aideront à appliquer ce principe du moindre privilège.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@<your-domain>.com que vous avez créé à la tâche 2.

Actions à effectuer dans cette tâche

Définissez des stratégies IAM au niveau de l'organisation, du dossier et du projet.

Raisons pour lesquelles nous recommandons cette tâche

La définition de stratégies IAM à la hiérarchie de vos ressources vous permet de contrôler de manière évolutive l'accès à vos ressources cloud.

Définir des stratégies IAM

Les stratégies IAM s'appliquent à trois niveaux de la hiérarchie de vos ressources :

1. L'organisation. Les règles que vous définissez au niveau de l'organisation s'appliquent à tous les dossiers et projets au sein de cette organisation.
2. Un dossier. Les règles définies dans un dossier s'appliquent aux projets qu'il contient.
3. Un projet. Les règles définies au niveau du projet ne s'appliquent qu'à ce projet.

Les listes suivantes présentent les membres et les rôles que vous pouvez leur attribuer au niveau de l'organisation. Vous pouvez utiliser la checklist de configuration de Google Cloud dans Cloud Console pour définir des autorisations IAM.

Membre	Rôles à accorder
gcp-network-admins@<your-domain>.com	Compute Engine > Administrateur de réseaux Compute. Fournit les autorisations requises pour créer, modifier et supprimer des ressources réseau, à l'exception des règles de pare-feu et des certificats SSL. Compute Engine > Administrateur VPC Compute partagé. Fournit les autorisations requises pour administrer des projets hôtes de VPC partagé. Compute Engine > Administrateur de sécurité Compute. Fournit les autorisations requises pour créer, modifier et supprimer des règles de pare-feu et des certificats SSL. Gestionnaire de ressources > Lecteur de dossier. Fournit les autorisations nécessaires pour afficher les dossiers.
gcp-security-admins@<your-domain>.com	Règles d'administration > Administrateur de règle d'administration. Fournit les autorisations requises pour définir des règles IAM au niveau de l'organisation. Règles d'administration > Lecteur de règles d'administration. Fournit les autorisations requises pour consulter les règles IAM qui s'appliquent au niveau de l'organisation. IAM > Examinateur de sécurité. Fournit les autorisations requises pour afficher toutes les ressources de l'organisation, ainsi que les règles IAM qui s'y appliquent. Rôles > Lecteur des rôles de l'organisation Fournit les autorisations requises pour afficher tous les rôles IAM personnalisés de l'organisation et les projets auxquels ils s'appliquent. Centre de sécurité > Administrateur du centre de sécurité. Fournit un accès administrateur au centre de contrôle de la sécurité. Gestionnaire de ressources > Administrateur IAM de dossier. Fournit les autorisations requises pour définir des règles IAM au niveau des dossiers. Logging > Lecteur des journaux privés. Fournit un accès en lecture seule à toutes les fonctionnalités Cloud Logging, y compris la capacité de lire des journaux privés. Logging > Rédacteur de configuration de journaux. Fournit l'autorisation de créer des métriques basées sur les journaux et d'exporter des récepteurs. Kubernetes Engine > Lecteur Kubernetes Engine Fournit un accès en lecture seule aux ressources Kubernetes Engine. Compute Engine > Lecteur de Compute. Fournit un accès en lecture seule aux ressources Compute Engine. BigQuery > Lecteur de données BigQuery Fournit les autorisations requises pour accéder aux ensembles de données BigQuery.
gcp-devops@<your-domain>.com	Gestionnaire de ressources > Lecteur de dossier. Fournit les autorisations requises pour afficher les dossiers.

Pour définir des stratégies IAM pour une organisation, un dossier ou un projet, utilisez la checklist de configuration Google Cloud dans Cloud Console. L'utilisation de la console vous permet de gagner du temps en automatisant certaines tâches. Vous pouvez consulter à tout moment cette page si nécessaire.

Configurer les stratégies IAM

Dans cette tâche, vous pouvez choisir une option d'assistance.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@<your-domain>.com créé à la tâche 2.

Actions à effectuer dans cette tâche

Choisissez un forfait d'assistance en fonction des besoins de votre entreprise.

Raisons pour lesquelles nous recommandons cette tâche

Un forfait d'assistance Premium vous offre une assistance commerciale stratégique afin de résoudre rapidement les problèmes avec l'aide d'experts Google.

Choisissez une option d'assistance

Tous les clients Google Cloud bénéficient automatiquement d'une assistance gratuite, qui comprend la documentation sur nos produits, l'assistance de la communauté et l'assistance en cas de problèmes de facturation. Toutefois, nous recommandons aux entreprises clientes de souscrire un forfait d'assistance Premium, qui offre une assistance technique individuelle assurée par des ingénieurs Google. Pour en savoir plus, vous pouvez comparer les forfaits d'assistance.

Activer l'assistance

Pour en savoir plus sur les offres d'assistance, consultez la documentation relative aux offres d'assistance, qui inclut des liens permettant de souscrire une formule d'assistance. Vous pouvez également administrer les options d'assistance dans Cloud Console si vous avez le rôle IAM Organization Admin ou Support Account Admin.

Dans cette tâche, vous allez définir votre configuration de mise en réseau initiale. Généralement, vous devez effectuer les opérations suivantes :

• Concevez, créez et configurez une architecture de cloud privé virtuel.
• Si vous disposez d'une infrastructure sur site ou auprès d'un autre fournisseur cloud, configurez la connectivité entre ce fournisseur et Google Cloud.
• Configurez un chemin d'accès pour le trafic de sortie externe.
• Mettez en œuvre des contrôles de sécurité du réseau, tels que des règles de pare-feu.
• Choisissez l'option de trafic d'entrée de votre choix pour les services hébergés dans le cloud.

Cette tâche décrit un exemple pour l'élément 1, qui vous sert de base pour votre propre architecture de cloud privé virtuel.

Les éléments restants (connectivité externe, configuration de trafic de sortie, mise en œuvre des règles de pare-feu et choix d'une option de sortie) dépendent des besoins de votre entreprise. Pour cette raison, la checklist ne traite pas ces éléments. Nous proposons toutefois des liens comportant des informations supplémentaires à leur sujet.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-network-admins@<your-domain>.com que vous avez créé à la tâche 2.

Actions à effectuer dans cette tâche

Créez une configuration de mise en réseau initiale.

• Créer des réseaux VPC partagés
• Configurer la connectivité entre le fournisseur externe et Google Cloud
• Configurer un chemin d'accès pour le trafic de sortie externe
• Mettre en œuvre des contrôles de sécurité du réseau
• Choisir une option de trafic d'entrée

Raisons pour lesquelles nous recommandons cette tâche

• Le VPC partagé permet à des équipes distinctes de se connecter à un réseau VPC commun centralisé à partir de plusieurs produits différents.

• La configuration de la connectivité hybride permet de migrer en toute simplicité des applications vers Google Cloud, tout en continuant à se connecter aux dépendances de service.

• Concevoir des chemins d'entrée et de sortie sécurisés dès le départ permet à vos équipes de travailler de manière efficace dans Google Cloud sans compromettre la sécurité.

Architecture de cloud privé virtuel

Google propose le cloud privé virtuel (VPC), qui fournit des fonctionnalités de mise en réseau aux ressources Google Cloud, telles que les instances de machines virtuelles Compute Engine, les conteneurs GKE et l'environnement flexible App Engine. Le schéma suivant décrit une architecture multirégionale de base :

Cette architecture comprend deux projets hôtes de VPC partagé. L'un est associé à votre environnement hors production, tandis que l'autre est destiné à votre environnement de production final (actuellement nommé "production-draft"). Le cloud privé virtuel partagé permet aux organisations de connecter des ressources provenant de différents projets à un réseau commun, afin que ces ressources puissent communiquer entre elles de manière plus sécurisée et plus efficace à l'aide des adresses IP internes de ce réseau.

Un projet hôte de VPC partagé contient un ou plusieurs réseaux VPC partagés. Dans cette architecture, chaque réseau VPC partagé (production-draft et hors production) dispose de sous-réseaux publics et privés dans deux régions (ici, us-east1 et us-west1) :

• Le sous-réseau public peut être utilisé pour les instances Web afin de fournir une connectivité externe.
• Vous pouvez utiliser le sous-réseau privé pour les instances exclusivement destinées à un usage interne, sans avoir besoin de leur allouer des adresses IP publiques.

L'architecture décrite dans le schéma précédent utilise des exemples de noms pour plusieurs ressources. Pour votre configuration, vous pouvez modifier une partie du nom, comme votre entreprise (example dans les exemples de noms), ainsi que la région que vous utilisez (us-east1 et us-west1 dans les exemples).

Configurer la mise en réseau

Bien que les configurations de réseau varient en fonction de votre charge de travail, les activités suivantes sont courantes :

1. Créez des réseaux VPC (Virtual Private Cloud) partagés. Un VPC partagé permet à une organisation de connecter des ressources provenant de différents projets à un réseau VPC commun. Pour créer un réseau VPC partagé, utilisez la checklist de configuration Google Cloud dans Cloud Console. L'utilisation de la console vous permet de gagner du temps en automatisant certaines tâches. Vous pouvez consulter à tout moment cette page si nécessaire.

   Configurer un VPC partagé

2. Configurez la connectivité entre le fournisseur externe et Google Cloud. Si vous disposez d'une infrastructure sur site ou auprès d'un autre fournisseur cloud, vous pouvez configurer le service Cloud VPN, qui vous aide à connecter de manière sécurisée votre réseau de pairs à votre réseau VPC Google Cloud via une connexion VPN IPSec. Cloud VPN convient parfaitement aux vitesses atteignant jusqu'à 3 Gbit/s. Si vous souhaitez bénéficier d'une bande passante plus élevée pour connecter votre système sur site à Google Cloud, consultez les pages sur l'interconnexion partenaire et l'interconnexion dédiée. Pour créer une connexion VPN, suivez les instructions de la section Créer une passerelle et un tunnel pour les réseaux VPC partagés production-draft et hors production que vous avez créés lors de l'étape précédente.

3. Configurez un chemin d'accès pour le trafic de sortie externe. Vous pouvez utiliser Cloud NAT pour permettre à vos VM de se connecter à Internet sans adresse IP externe. Cloud NAT est une ressource régionale. Vous pouvez la configurer de sorte qu'elle autorise le trafic provenant de toutes les plages d'adresses IP primaires et secondaires ou de tous les sous-réseaux d'une région, ou vous pouvez la configurer de sorte qu'elle ne s'applique qu'à certaines de ces plages. Afin de configurer un chemin d'accès pour le trafic de sortie externe, suivez les instructions de la section Créer une passerelle NAT pour toutes les régions des réseaux VPC partagés créés à l'étape précédente pour les réseaux production-draft et hors production.

4. Mettez en œuvre des contrôles de sécurité du réseau. Les règles de pare-feu permettent d'autoriser ou de refuser le trafic depuis et vers vos instances de machines virtuelles (VM), en fonction d'une configuration spécifiée. Suivez les instructions décrites sur la page Utiliser des règles de pare-feu afin de configurer ces contrôles pour les réseaux VPC partagés production-draft et hors production que vous avez créés lors de l'étape précédente.

5. Choisissez une option de trafic d'entrée. Cloud Load Balancing vous permet de contrôler la répartition des ressources de calcul dans plusieurs régions. L'équilibrage de charge vous aide à répondre aux exigences de disponibilité en termes de trafic externe entrant et de trafic au sein de votre réseau VPC. Au moment de la planification de l'architecture de votre application sur Google Cloud, consultez la page Choisir un équilibreur de charge pour déterminer les types d'équilibreurs de charge adaptés à votre utilisation.

Cette tâche vous permet de configurer les fonctionnalités de journalisation et de surveillance de base à l'aide de Cloud Logging et Cloud Monitoring.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-devops@<your-domain>.com que vous avez créé à la tâche 2.

Actions à effectuer dans cette tâche

Configurez les fonctionnalités de journalisation et de surveillance de base à l'aide de Cloud Logging et de Cloud Monitoring.

Raisons pour lesquelles nous recommandons cette tâche

Une journalisation et une surveillance complètes sont essentielles pour la maintenance de l'observabilité dans votre environnement cloud. Bien configurer la conservation des journaux dès le départ vous permet de créer une piste d'audit et de savoir qu'elle sera conservée. La surveillance centralisée offre à votre équipe un tableau de bord centralisé afin de visualiser vos environnements.

Configurer la surveillance

Cloud Monitoring collecte des métriques, des événements et des métadonnées provenant de services Google Cloud, de vérifications du temps d'activité, de l'instrumentation d'applications et de divers composants d'application courants.

Grâce à Cloud Logging, vous pouvez stocker, rechercher, analyser et surveiller les données et les événements des journaux à partir de Google Cloud et d'Amazon Web Services (AWS), et recevoir des alertes le cas échéant. Ce service vous permet également d'ingérer des données de journaux personnalisées quelle que soit leur source, ainsi que d'exporter des journaux vers des récepteurs de données externes.

Pour configurer la journalisation et la surveillance, utilisez la checklist de configuration Google Cloud dans Cloud Console. L'utilisation de la console vous permet de gagner du temps en automatisant certaines tâches. Vous pouvez consulter à tout moment cette page si nécessaire.

Configurer la surveillance et la journalisation

Dans cette tâche, vous allez configurer des produits Google Cloud afin de protéger votre organisation. Google Cloud propose de nombreuses solutions de sécurité.

Utilisateurs effectuant cette tâche

Une personne du groupe gcp-organization-admins@<your-domain>.com que vous avez créé à la tâche 2.

Actions à effectuer dans cette tâche

• Activez le tableau de bord Security Command Center
• Configurez une règle d'administration.

Raisons pour lesquelles nous recommandons cette tâche

Nous vous recommandons de configurer les deux produits suivants :

• Security Command Center Cette plate-forme complète de gestion de la sécurité et des risques liés aux données vous permet de surveiller vos ressources cloud, d'analyser les systèmes de stockage pour rechercher les données sensibles, de détecter les failles Web courantes et d'examiner les droits d'accès aux ressources critiques.

• Service de règles d'administration Grâce à ce service, vous disposez d'un contrôle centralisé et automatisé des ressources cloud de votre organisation.

Configurer les produits

Pour configurer la sécurité, utilisez la checklist de configuration Google Cloud dans Cloud Console. L'utilisation de la console vous permet de gagner du temps en automatisant certaines tâches. Vous pouvez consulter à tout moment cette page si nécessaire.

Configurer la sécurité