Checkliste für die Einrichtung von Google Cloud

Eine Organisationsressource in Google Cloud stellt Ihr Unternehmen dar und dient als Knoten auf oberster Ebene in der Hierarchie. Um eine Organisation zu erstellen, richten Sie einen Google Identity-Dienst ein und verknüpfen ihn mit Ihrer Domain. Wenn Sie diesen Vorgang abgeschlossen haben, wird automatisch eine Organisationsressource erstellt.

Eine Übersicht über die Organisationsressource finden Sie unter:

• Ressourcen der Organisation verwalten
• Best Practices für die Planung von Konten und Organisationen

Wer führt diese Aufgabe aus?

Diese Aufgabe wird von den folgenden beiden Administratoren ausgeführt:

• Ein Identitätsadministrator, der für die Zuweisung rollenbasierter Zugriffe zuständig ist. Sie weisen diese Person als Cloud Identity-Super Admin zu. Weitere Informationen zu Nutzern mit der Rolle „Super Admin“ finden Sie im Hilfeartikel Vordefinierte Administratorrollen.

• Ein Domainadministrator mit Zugriff auf den Domainhost des Unternehmens. Diese Person bearbeitet im Rahmen der Domainbestätigung Ihre Domaineinstellungen, z. B. DNS-Konfigurationen.

Was Sie in dieser Aufgabe tun

• Richten Sie Cloud Identity ein, wenn Sie das noch nicht getan haben. Dort erstellen Sie ein verwaltetes Nutzerkonto für Ihren Super Admin-Nutzer.
• Verknüpfen Sie Cloud Identity mit Ihrer Domain (z. B. example.com).
• Bestätigen Sie Ihre Domain. Dadurch wird der Stammknoten Ihrer Ressourcenhierarchie erstellt, die Organisationsressource.

Warum wir diese Aufgabe empfehlen

Sie müssen Folgendes als Teil Ihrer Google Cloud-Grundlagen konfigurieren:

• Ein Google-Identitätsdienst zur zentralen Verwaltung von Identitäten.
• Eine Organisationsressource, um die Wurzel Ihrer Hierarchie und die Zugriffssteuerung festzulegen.

Optionen für Google Identity-Dienste

Sie verwenden einen oder beide der folgenden Google Identity-Dienste, um Anmeldedaten für Google Cloud-Nutzer zu verwalten:

• Cloud Identity: Nutzer und Gruppen werden zentral verwaltet. Sie können Identitäten zwischen Google und anderen Identitätsanbietern föderieren. Weitere Informationen finden Sie unter Cloud Identity – Übersicht.
• Google Workspace: Hier können Nutzer und Gruppen verwaltet und auf Produktivitäts- und Gruppenarbeit-Produkte wie Gmail und Google Drive zugegriffen werden. Weitere Informationen finden Sie unter Google Workspace.

Ausführliche Informationen zur Identitätsplanung finden Sie unter Onboardingprozess für Ihre Unternehmensidentitäten planen.

Hinweise

Informationen zum Verwalten eines Super Admin-Kontos finden Sie unter Best Practices für Super Admin-Konten.

Identitätsanbieter konfigurieren und Domain bestätigen

Die Schritte in dieser Aufgabe hängen davon ab, ob Sie ein neuer oder bestehender Kunde sind. Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht:

• Neuer Kunde: Richten Sie Cloud Identity ein, bestätigen Sie Ihre Domain und erstellen Sie Ihre Organisation.

• Bestehender Google Workspace-Kunde: Verwenden Sie Google Workspace als Identitätsanbieter für Nutzer, die auf Google Workspace und Google Cloud zugreifen. Wenn Sie Nutzer erstellen möchten, die nur auf Google Cloud zugreifen, aktivieren Sie Cloud Identity.

• Vorhandener Cloud Identity-Kunde: Prüfen Sie Ihre Domain, ob die Organisation erstellt wurde und ob Cloud Identity aktiviert ist.

Nächste Schritte

Erstellen Sie Gruppen und fügen Sie Mitglieder hinzu.

In dieser Aufgabe richten Sie Identitäten, Nutzer und Gruppen ein, um den Zugriff auf Google Cloud-Ressourcen zu verwalten.

Weitere Informationen zur Zugriffsverwaltung in Google Cloud finden Sie hier:

• Übersicht: Identity and Access Management (IAM).
• Best Practices finden Sie unter Identität und Zugriff verwalten.

Wer führt diese Aufgabe aus?

Sie können diese Aufgabe ausführen, wenn Sie eines der folgenden Dinge haben:

• Den Google Workspace- oder Cloud Identity-Super Admin, den Sie in der Aufgabe Organisation erstellt haben.
• Eine der folgenden IAM-Rollen:
  • Organization Administrator (roles/resourcemanager.organizationAdmin).
  • Workforce Identity Pool Admin (roles/iam.workforcePoolAdmin)

Was Sie in dieser Aufgabe tun

• Stellen Sie eine Verbindung zu Cloud Identity oder Ihrem externen Identitätsanbieter (Identity Provider, IdP) her.

• Erstellen Sie Gruppen und Nutzer mit Administratorzugriff, die die restlichen Schritte zur Einrichtung von Google Cloud ausführen. Sie gewähren diesen Gruppen in einer späteren Aufgabe Zugriff.

Warum wir diese Aufgabe empfehlen

Bei dieser Aufgabe können Sie die folgenden Best Practices für die Sicherheit implementieren:

• Prinzip der geringsten Berechtigung: Erteilen Sie Nutzern die Berechtigungen, die mindestens für ihre Rolle erforderlich sind, und entfernen Sie den Zugriff, sobald er nicht mehr benötigt wird.

• Rollenbasierte Zugriffssteuerung (RBAC): Weisen Sie Nutzergruppen Berechtigungen gemäß ihrer Jobrolle zu. Fügen Sie einzelnen Nutzerkonten keine Berechtigungen hinzu.

Mithilfe von Gruppen können Sie IAM-Rollen effizient auf eine Gruppe von Nutzern anwenden. So lässt sich die Zugriffsverwaltung vereinfachen.

Identitätsanbieter auswählen

Sie haben folgende Möglichkeiten, Nutzer und Gruppen zu verwalten und mit Google Cloud zu verbinden:

• Google Workspace oder Cloud Identity: Nutzer und Gruppen werden in Google Workspace oder Cloud Identity erstellt und verwaltet. Sie können die Synchronisierung mit Ihrem externen Identitätsanbieter auch später vornehmen.
• Externer Identitätsanbieter, z. B. Microsoft Entra ID oder Okta: Nutzer und Gruppen werden bei Ihrem externen Identitätsanbieter erstellt und verwaltet. Anschließend verbinden Sie Ihren Anbieter mit Google Cloud, um die Einmalanmeldung zu aktivieren.

So wählen Sie Ihren Identitätsanbieter aus:

1. Melden Sie sich in der Google Cloud Console als einer der Nutzer an, die Sie unter Wer führt diese Aufgabe aus? angegeben haben.

2. Gehen Sie zu Google Cloud-Einrichtung: Nutzer und Gruppen.

   Zu „Nutzer und Gruppen“

3. Prüfen Sie die Aufgabendetails und klicken Sie auf Identitätseinrichtung fortsetzen.

4. Wählen Sie auf der Seite Identitätsanbieter auswählen eine der folgenden Optionen aus, um mit der Einrichtung zu beginnen:

   • Google Cloud-Nutzer zentral über Google verwalten: Mit Google Workspace oder Cloud Identity können Sie Nutzer und Gruppen als Super Admin Ihrer bestätigten Domain bereitstellen und verwalten. Sie können die Daten später mit Ihrem externen Identitätsanbieter synchronisieren.
   • Microsoft Entra ID (Azure AD): Verwenden Sie OpenID Connect, um eine Verbindung zu Microsoft Entra ID zu konfigurieren.
   • Okta: Verwenden Sie OpenID Connect, um eine Verbindung zu Okta zu konfigurieren.
   • OpenID Connect: Verbinden Sie sich über das OpenID-Protokoll mit einem kompatiblen Identitätsanbieter.
   • SAML: Verwenden Sie das SAML-Protokoll, um eine Verbindung zu einem kompatiblen Identitätsanbieter herzustellen.
   • Einrichten eines externen IdPs vorerst überspringen: Wenn Sie einen externen Identitätsanbieter haben, ihn aber noch nicht mit Google Cloud verbinden möchten, können Sie Nutzer und Gruppen in Google Workspace oder Cloud Identity erstellen.

5. Klicken Sie auf Weiter.

6. Weitere Informationen zu den nächsten Schritten finden Sie in den folgenden Anleitungen:

   • Nutzer und Gruppen in Cloud Identity erstellen
   • Externen Identitätsanbieter mit Google Cloud verbinden

Nutzer und Gruppen in Cloud Identity erstellen

Wenn Sie noch keinen Identitätsanbieter haben oder Ihren Identitätsanbieter noch nicht mit Google Cloud verbinden möchten, können Sie Nutzer und Gruppen in Cloud Identity oder Google Workspace erstellen und verwalten. So erstellen Sie Nutzer und Gruppen:

• Erstellen Sie eine Gruppe für jede empfohlene Verwaltungsfunktion, einschließlich Organisation, Abrechnung und Netzwerkverwaltung.
• Erstellen Sie verwaltete Nutzerkonten für Administratoren.
• Weisen Sie die Nutzer Verwaltungsgruppen zu, die ihren Aufgaben entsprechen.

Hinweise

• Nutzer mit bestehenden Google-Konten finden und migrieren Weitere Informationen finden Sie im Hilfeartikel Nutzer mit nicht verwalteten Konten hinzufügen.

• Sie müssen Super Admin sein.

Administratorgruppen erstellen

Eine Gruppe ist eine benannte Sammlung von Google-Konten und Dienstkonten. Jede Gruppe hat eine eindeutige E-Mail-Adresse, z. B. gcp-billing-admins@example.com. Sie erstellen Gruppen, um Nutzer zu verwalten und IAM-Rollen im großen Maßstab anzuwenden.

Die folgenden Gruppen werden empfohlen, um die Kernfunktionen Ihrer Organisation zu verwalten und die Google Cloud-Einrichtung abzuschließen.

So erstellen Sie Verwaltungsgruppen:

1. Wählen Sie Google als Anbieter aus.

2. Sehen Sie sich auf der Seite Gruppen erstellen die Liste der empfohlenen Administratorgruppen an und führen Sie dann einen der folgenden Schritte aus:

   • Wenn Sie alle empfohlenen Gruppen erstellen möchten, klicken Sie auf Alle Gruppen erstellen.
   • Wenn Sie eine Teilmenge der empfohlenen Gruppen erstellen möchten, klicken Sie in den ausgewählten Zeilen auf Erstellen.

3. Klicken Sie auf Weiter.

Administratoren erstellen

Wir empfehlen, anfangs Nutzer hinzuzufügen, die organisatorische, netzwerkbezogene, abrechnungsbezogene und andere Einrichtungsverfahren durchführen. Sie können weitere Nutzer hinzufügen, nachdem Sie die Google Cloud-Einrichtung abgeschlossen haben.

So fügen Sie Administratoren hinzu, die Google Cloud-Einrichtungsaufgaben ausführen:

1. Privatnutzerkonten zu verwalteten Nutzerkonten migrieren, die von Cloud Identity verwaltet werden. Eine detaillierte Anleitung finden Sie hier:

   • Privatnutzerkonten migrieren
   • Nutzer mit nicht verwalteten Konten hinzufügen

2. Melden Sie sich mit einem Super-Admin-Konto in der Google-Admin-Konsole an.

3. Sie haben folgende Möglichkeiten, Nutzer hinzuzufügen:

   • Eine Anleitung zum Hinzufügen mehrerer Nutzer finden Sie im Hilfeartikel Mehrere Nutzer über eine CSV-Datei hinzufügen oder aktualisieren.
   • Weitere Informationen zum Hinzufügen einzelner Nutzer finden Sie im Hilfeartikel Konto für neue Nutzer hinzufügen.

4. Wenn Sie mit dem Hinzufügen von Nutzern fertig sind, kehren Sie zu Google Cloud-Einrichtung: Nutzer und Gruppen (Nutzer erstellen) zurück.

5. Klicken Sie auf Weiter.

Administratoren zu Gruppen hinzufügen

Fügen Sie die von Ihnen erstellten Nutzer zu den Administratorgruppen hinzu, die ihren Aufgaben entsprechen.

1. Sie müssen Administratoren erstellt haben.

2. Lesen Sie sich die Schritte unter Google Cloud-Einrichtung: Nutzer und Gruppen (Nutzer zu Gruppen hinzufügen) durch.

3. Gehen Sie in jeder Gruppenzeile so vor:

   1. Klicken Sie auf Mitglieder hinzufügen.
   2. Geben Sie die E‑Mail-Adresse des Nutzers ein.

   3. Wählen Sie im Drop-down-Menü Gruppenrolle die Gruppenberechtigungseinstellungen des Nutzers aus. Weitere Informationen finden Sie unter Festlegen, wer Beiträge ansehen, posten und moderieren darf.

      Jedes Mitglied übernimmt alle IAM-Rollen, die Sie einer Gruppe gewähren, unabhängig von der ausgewählten Gruppenrolle.

   4. Wenn Sie dieser Gruppe einen weiteren Nutzer hinzufügen möchten, klicken Sie auf Weiteres Mitglied hinzufügen und wiederholen Sie diese Schritte. Wir empfehlen, jeder Gruppe mehrere Mitglieder hinzuzufügen.

   5. Wenn Sie der Gruppe keine weiteren Nutzer mehr hinzufügen möchten, klicken Sie auf Speichern.

4. Wenn Sie mit allen Gruppen fertig sind, klicken Sie auf Nutzer und Gruppen bestätigen.

5. Wenn Sie Ihren Identitätsanbieter mit Google Cloud verknüpfen möchten, lesen Sie den Hilfeartikel zum Thema:

   • Referenzarchitekturen: Externen IdP verwenden
   • Weitere Informationen zur automatischen Nutzerverwaltung und Aktivierung der Einmalanmeldung finden Sie unter den folgenden Links:
     • Cloud Identity mit Active Directory verknüpfen
     • Cloud Identity mit Microsoft Entra ID verbinden
   • Verwenden Sie zum Synchronisieren von Active Directory-Nutzern und ‑Gruppen mit Google Cloud Directory Sync oder Google Cloud Directory Sync.
     • Einen Vergleich finden Sie unter Directory Sync mit GCDS vergleichen.

Externen Identitätsanbieter mit Google Cloud verbinden

Sie können Ihren vorhandenen Identitätsanbieter verwenden, um Gruppen und Nutzer zu erstellen und zu verwalten. Sie konfigurieren die Einmalanmeldung für Google Cloud, indem Sie die Mitarbeiteridentitätsföderation mit Ihrem externen Identitätsanbieter einrichten. Die wichtigsten Konzepte dieses Prozesses finden Sie unter Mitarbeiteridentitätsföderation.

Um eine Verbindung zu Ihrem externen Identitätsanbieter herzustellen, führen Sie eine interaktive Einrichtung durch, die die folgenden Schritte umfasst:

1. Personalpool erstellen: Mit einem Mitarbeiteridentitätspool können Sie Identitäten und deren Zugriff auf Ressourcen verwalten. Geben Sie die folgenden Details in einem für Menschen lesbaren Format ein.
   • Personalpool-ID: Eine global eindeutige Kennung, die in IAM verwendet wird.
   • Anbieter-ID: Ein Name für Ihren Anbieter, den Nutzer angeben, wenn sie sich in Google Cloud anmelden.
2. Google Cloud bei Ihrem Anbieter konfigurieren: Die Anleitung enthält spezifische Schritte für Ihren Anbieter.
3. Details zum Personalpool Ihres Anbieters eingeben: Wenn Sie Ihren Anbieter als vertrauenswürdige Zertifizierungsstelle für die Bestätigung von Identitäten hinzufügen möchten, rufen Sie die Details von Ihrem Anbieter ab und fügen Sie sie Google Cloud hinzu:
4. Anfängliche Verwaltungsgruppen konfigurieren: Die Anleitung enthält spezifische Schritte für Ihren Anbieter. Sie weisen Gruppen bei Ihrem Anbieter zu und stellen eine Verbindung zu Google Cloud her. Eine detaillierte Beschreibung der einzelnen Gruppen finden Sie unter Verwaltungsgruppen erstellen.
5. Nutzer jeder Gruppe zuweisen: Wir empfehlen, jeder Gruppe mehrere Nutzer zuzuweisen.

Hintergrundinformationen zum Verbindungsprozess für die einzelnen Anbieter finden Sie hier:

• Mitarbeiteridentitätsföderation mit Azure AD konfigurieren und Nutzer anmelden
• Mitarbeiteridentitätsföderation mit Okta konfigurieren und Nutzer anmelden
• Informationen zu anderen Anbietern, die OIDC oder SAML unterstützen, finden Sie unter Mitarbeiteridentitätsföderation konfigurieren.

Nächste Schritte

Weisen Sie Ihren Administratorgruppen Berechtigungen zu.

In dieser Aufgabe verwenden Sie Identity and Access Management (IAM), um Gruppen von Administratoren auf Organisationsebene Berechtigungsgruppen zuzuweisen. Dadurch erhalten Administratoren eine zentrale Übersicht und Kontrolle über alle Cloud-Ressourcen, die zu Ihrer Organisation gehören.

Eine Übersicht über Identity and Access Management in Google Cloud finden Sie in der IAM-Übersicht.

Wer führt diese Aufgabe aus?

Dafür müssen Sie einer der folgenden Nutzer sein:

• Ein Super Admin-Nutzer.
• Ein Nutzer mit der Rolle „Organization Administrator“ (roles/resourcemanager.organizationAdmin).

Was Sie in dieser Aufgabe tun

• Sehen Sie sich eine Liste der Standardrollen an, die den einzelnen Administratorgruppen zugewiesen sind, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

• So passen Sie eine Gruppe an:

  • Rollen hinzufügen oder entfernen
  • Wenn Sie eine Gruppe nicht verwenden möchten, können Sie sie löschen.

Warum wir diese Aufgabe empfehlen

Sie müssen alle Administratorrollen für Ihre Organisation explizit gewähren. Mit dieser Aufgabe können Sie die folgenden Best Practices für die Sicherheit implementieren:

• Prinzip der geringsten Berechtigung: Erteilen Sie Nutzern die Berechtigungen, die mindestens für ihre Tätigkeit erforderlich sind, und entfernen Sie den Zugriff, sobald er nicht mehr benötigt wird.

• Rollenbasierte Zugriffssteuerung (RBAC): Weisen Sie Nutzergruppen Berechtigungen gemäß ihrer Tätigkeit zu. Weisen Sie einzelnen Nutzerkonten keine Rollen zu.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.

Administratorgruppen Zugriff gewähren

Prüfen Sie die Standardrollen, die den einzelnen Gruppen zugewiesen sind, um jeder Administratorgruppe, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben, den entsprechenden Zugriff zu gewähren. Sie können Rollen hinzufügen oder entfernen, um den Zugriff für jede Gruppe anzupassen.

1. Achten Sie darauf, dass Sie in der Google Cloud Console als Super Admin angemeldet sind.

   Alternativ können Sie sich als Nutzer mit der Rolle „Organization Administrator“ anmelden (roles/resourcemanager.organizationAdmin).

2. Gehen Sie zu Google Cloud-Einrichtung: Administratorzugriff.

   "Administratorzugriff" aufrufen

3. Wählen Sie oben auf der Seite in der Drop-down-Liste Auswählen aus Ihre Organisation aus.

4. Sehen Sie sich die Aufgabenübersicht an und klicken Sie auf Ablauf für Administratorzugriff fortsetzen.

5. Sehen Sie sich die Gruppen in der Spalte Gruppe (Hauptkonto) an, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

6. Prüfen Sie für jede Gruppe die Standard-IAM-Rollen. Sie können den einzelnen Gruppen Rollen hinzufügen oder entfernen, um sie an die spezifischen Anforderungen Ihrer Organisation anzupassen.

   Jede Rolle enthält mehrere Berechtigungen, die es Nutzern ermöglichen, relevante Aufgaben auszuführen. Weitere Informationen zu den Berechtigungen der einzelnen Rollen finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.

7. Wenn Sie den einzelnen Gruppen Rollen zuweisen möchten, klicken Sie auf Speichern und Zugriff gewähren.

Nächste Schritte

Abrechnung einrichten

In dieser Aufgabe richten Sie ein Rechnungskonto für die Bezahlung von Google Cloud-Ressourcen ein. Dazu ordnen Sie Ihrer Organisation eines der folgenden Dinge zu.

• Ein vorhandenes Cloud-Rechnungskonto. Wenn Sie keinen Zugriff auf das Konto haben, können Sie den Administrator Ihres Rechnungskontos um Zugriff bitten.

• Ein neues Cloud-Rechnungskonto.

Weitere Informationen zur Abrechnung finden Sie in der Dokumentation zu Cloud Billing.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-billing-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

• Erstellen Sie ein Selfservice-Cloud-Rechnungskonto oder verwenden Sie ein vorhandenes.
• Entscheiden Sie, ob Sie von einem Selfservice-Konto zu einem Rechnungskonto mit monatlicher Abrechnung wechseln möchten.
• Richten Sie ein Cloud-Rechnungskonto und eine Zahlungsmethode ein.

Warum wir diese Aufgabe empfehlen

Cloud Billing-Konten sind mit einem oder mehreren Google Cloud-Projekten verknüpft und werden für die Abrechnung der von Ihnen genutzten Ressourcen verwendet, wie virtuellen Maschinen, Netzwerken und Speicher.

Art des Rechnungskontos ermitteln

Das Rechnungskonto, das Sie mit Ihrer Organisation verknüpfen, muss einen der folgenden Typen haben.

• Selfservice (Online): Sie registrieren sich online per Kredit- oder Debitkarte. Wir empfehlen diese Option, wenn Sie ein Kleinunternehmen oder eine Einzelperson sind. Wenn Sie sich online für ein Rechnungskonto anmelden, wird Ihr Konto automatisch als Selfservice-Kontotyp eingerichtet.

• Rechnungskonto mit monatlicher Abrechnung (Offlinekonto) Wenn Sie bereits ein Self-Service-Abrechnungskonto haben, können Sie die Abrechnung per Rechnung beantragen, wenn Ihr Unternehmen bestimmte Voraussetzungen erfüllt.

Sie können kein Rechnungskonto online erstellen, aber Sie können beantragen, ein Selfservice-Konto in ein Rechnungskonto umzuwandeln.

Weitere Informationen finden Sie unter Cloud-Rechnungskontotypen.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.

Rechnungskonto einrichten

Nachdem Sie einen Typ für das Rechnungskonto ausgewählt haben, verknüpfen Sie das Rechnungskonto mit Ihrer Organisation. Danach können Sie mit Ihrem Rechnungskonto für Google Cloud-Ressourcen bezahlen.

1. Melden Sie sich in der Google Cloud Console als Nutzer der Gruppe gcp-billing-admins@YOUR_DOMAIN an.

2. Rufen Sie Google Cloud-Einrichtung: Abrechnung auf.

   Zur Abrechnung

3. Prüfen Sie die Aufgabenübersicht und klicken Sie dann auf Abrechnung fortsetzen.

4. Wählen Sie eine der folgenden Optionen für das Rechnungskonto aus:

   Ein neues Konto erstellen

   Wenn Ihre Organisation noch kein Konto hat, erstellen Sie ein neues.

   1. Wählen Sie Ich möchte ein neues Rechnungskonto erstellen aus.
   2. Klicken Sie auf Weiter.

   3. Wählen Sie den Typ des Rechnungskontos aus, das Sie erstellen möchten. Eine detaillierte Anleitung finden Sie hier:

      • Informationen zum Erstellen eines neuen Selfservice-Kontos finden Sie unter Neues Selfservice-Cloud-Rechnungskonto erstellen.
      • Informationen zum Wechsel von einem bestehenden Selfservice-Konto zur Abrechnung per Rechnung finden Sie unter Monatliche Rechnungsstellung beantragen.

   4. Prüfen Sie, ob Ihr Abrechnungskonto erstellt wurde:

      1. Wenn Sie ein Rechnungskonto erstellt haben, kann es bis zu fünf Arbeitstage dauern, bis Sie eine E-Mail-Bestätigung erhalten.

      2. Rufen Sie die Seite Abrechnung auf.

      3. Wählen Sie oben auf der Seite in der Liste Auswählen aus Ihre Organisation aus. Wenn das Konto erfolgreich erstellt wurde, wird es in der Liste der Rechnungskonten angezeigt.

   Vorhandenes Konto verwenden

   Wenn Sie bereits ein Rechnungskonto haben, können Sie es mit Ihrer Organisation verknüpfen.

   1. Wählen Sie Ich habe in dieser Liste ein Rechnungskonto gefunden, mit dem ich die Einrichtungsschritte abschließen möchte aus.
   2. Wählen Sie in der Drop-down-Liste Abrechnung das Konto aus, das Sie mit Ihrer Organisation verknüpfen möchten.
   3. Klicken Sie auf Weiter.
   4. Überprüfen Sie die Details und klicken Sie auf Rechnungskonto bestätigen.

   Konto eines anderen Nutzers verwenden

   Wenn ein anderer Nutzer Zugriff auf ein vorhandenes Rechnungskonto hat, können Sie ihn bitten, das Rechnungskonto mit Ihrer Organisation zu verknüpfen. Alternativ kann er Ihnen Zugriff gewähren, damit Sie die Verknüpfung vornehmen können.

   1. Wählen Sie Ich möchte ein Rechnungskonto verwenden, das von einem anderen Google-Nutzerkonto verwaltet wird aus.
   2. Klicken Sie auf Weiter.
   3. Geben Sie die E-Mail-Adresse des Administrators des Rechnungskontos ein.
   4. Klicken Sie auf Administrator kontaktieren.
   5. Warten Sie, bis der Administrator des Abrechnungskontos Sie mit weiteren Anweisungen kontaktiert.

Nächste Schritte

Erstellen Sie eine Ressourcenhierarchie und weisen Sie Zugriffsrechte zu.

In dieser Aufgabe richten Sie Ihre Ressourcenhierarchie ein, indem Sie die folgenden Ressourcen erstellen und Zugriff darauf zuweisen:

Ordner

Ordner bieten einen Gruppierungsmechanismus und grenzen Projekte voneinander ab. Beispielsweise können Ordner für Hauptabteilungen Ihrer Organisation wie Finanzen oder Einzelhandel oder für Umgebungen wie Produktion oder Nicht-Produktion stehen.

Projekte

Sie enthalten Ihre Google Cloud-Ressourcen wie virtuelle Maschinen, Datenbanken und Storage-Buckets.

Designaspekte und Best Practices zum Organisieren Ihrer Ressourcen in Projekten finden Sie unter Ressourcenhierarchie für Ihre Google Cloud-Landing-Zone festlegen.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-organization-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben, kann diese Aufgabe ausführen.

Was Sie in dieser Aufgabe tun

• Erstellen Sie eine erste Hierarchiestruktur mit Ordnern und Projekten.
• Legen Sie IAM-Richtlinien fest, um den Zugriff auf Ihre Ordner und Projekte zu steuern.

Warum wir diese Aufgabe empfehlen

Wenn Sie eine Struktur für Ordner und Projekte erstellen, können Sie Google Cloud-Ressourcen verwalten und den Zugriff basierend auf der Arbeitsweise Ihrer Organisation zuweisen. Sie können beispielsweise Ressourcen anhand der geografischen Regionen, Tochterunternehmen oder Verantwortlichkeiten in Ihrer Organisation organisieren und Zugriff darauf gewähren.

Ressourcenhierarchie planen

Mithilfe Ihrer Ressourcenhierarchie können Sie Grenzen festlegen und Ressourcen für gängige Aufgaben in Ihrer Organisation freigeben. Sie erstellen Ihre Hierarchie anhand einer der folgenden Erstkonfigurationen, die auf Ihrer Organisationsstruktur basiert:

• Einfach und umgebungsorientiert:

  • Isolieren Sie Umgebungen wie Non-production und Production.
  • Implementieren Sie in jedem Umgebungsordner unterschiedliche Richtlinien, rechtliche Anforderungen und Zugriffssteuerungen.
  • Gut für kleine Unternehmen mit zentralisierten Umgebungen.

• Einfach und teamorientiert:

  • Teams wie Development und QA isolieren
  • Isolieren Sie den Zugriff auf Ressourcen mithilfe von Ordnern der untergeordneten Umgebungen unter den einzelnen Teamordnern.
  • Gut für kleine Unternehmen mit autonomen Teams.

• Umgebungsorientiert:

  • Priorisieren Sie die Isolation von Umgebungen wie Non-production und Production.
  • Isolieren Sie Geschäftsbereiche unter jedem Umgebungsordner.
  • Isolieren Sie Teams für jede Geschäftseinheit.
  • Gut für große Unternehmen mit zentralisierten Umgebungen.

• An Geschäftseinheiten orientiert:

  • Priorisieren Sie die Isolation von Geschäftsbereichen wie Human Resources und Engineering, damit Nutzer nur auf die Ressourcen und Daten zugreifen können, die sie benötigen.
  • Isolieren Sie Teams für jede Geschäftseinheit.
  • Isolieren Sie die Umgebungen unter den einzelnen Teams.
  • Gut für große Unternehmen mit autonomen Teams.

Jede Konfiguration hat einen Common-Ordner für Projekte, die freigegebene Ressourcen enthalten. Dies kann u. a. Logging- und Monitoring-Projekte umfassen.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.
• Erstellen oder verknüpfen Sie ein Rechnungskonto in der Aufgabe Abrechnung.

Erste Ordner und Projekte konfigurieren

Wählen Sie die Ressourcenhierarchie aus, die Ihrer Organisationsstruktur entspricht.

So konfigurieren Sie die ersten Ordner und Projekte:

1. Melden Sie sich in der Google Cloud Console als Nutzer der Gruppe gcp-organization-admins@YOUR_DOMAIN an, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

2. Wählen Sie oben auf der Seite in der Drop-down-Liste Auswählen aus Ihre Organisation aus.

3. Gehen Sie zu Google Cloud-Einrichtung: Hierarchie und Zugriff.

   Zur Seite „Hierarchie und Zugriff“

4. Sehen Sie sich die Aufgabenübersicht an und klicken Sie neben Ressourcenhierarchie auf Starten.

5. Wählen Sie eine Startkonfiguration aus.

6. Klicken Sie auf Fortfahren und konfigurieren.

7. Passen Sie die Ressourcenhierarchie an Ihre Organisationsstruktur an. Sie können beispielsweise Folgendes anpassen:

   • Ordnernamen

   • Dienstprojekte für jedes Team. Sie können Folgendes erstellen, um Zugriff auf Dienstprojekte zu gewähren:

     • Eine Gruppe für jedes Dienstprojekt.
     • Nutzer in jeder Gruppe.

     Eine Übersicht über Dienstprojekte finden Sie unter Freigegebene VPC.

   • Projekte, die für Monitoring, Logging und Networking erforderlich sind.

   • Benutzerdefinierte Projekte.

8. Klicken Sie auf Weiter.

9. Gewähren Sie Zugriff auf Ihre Ordner und Projekte.

Zugriff auf Ordner und Projekte gewähren

In der Aufgabe Administratorzugriff haben Sie Gruppen auf Organisationsebene Administratorzugriff gewährt. In dieser Aufgabe konfigurieren Sie den Zugriff für Gruppen, die mit Ihren neu konfigurierten Ordnern und Projekten interagieren.

Projekte, Ordner und Organisationen haben jeweils eigene IAM-Richtlinien, die über die Ressourcenhierarchie übernommen werden:

• Organisation: Richtlinien gelten für alle Ordner und Projekte in der Organisation.
• Ordner: Richtlinien gelten für Projekte und andere Ordner im Ordner.
• Projekt: Richtlinien gelten nur für dieses Projekt und seine Ressourcen.

Aktualisieren Sie die IAM-Richtlinien für Ihre Ordner und Projekte:

1. Gewähren Sie Ihren Gruppen unter Hierarchie und Zugriff im Bereich Zugriffssteuerung konfigurieren Zugriff auf Ihre Ordner und Projekte:

   1. In der Tabelle finden Sie eine Liste der empfohlenen IAM-Rollen, die jeder Gruppe für jede Ressource gewährt werden.

   2. Wenn Sie die den einzelnen Gruppen zugewiesenen Rollen ändern möchten, klicken Sie in der gewünschten Zeile auf Bearbeiten.

      Weitere Informationen zu den einzelnen Rollen finden Sie unter Einfache und vordefinierte IAM-Rollen.

2. Klicken Sie auf Weiter.

3. Überprüfen Sie Ihre Änderungen und klicken Sie auf Konfigurationsentwurf bestätigen.

Nächste Schritte

Konfigurieren Sie einen zentralen Speicherort zum Speichern und Analysieren von Logdaten.

In dieser Aufgabe konfigurieren Sie das Logging für Ihre gesamte Organisation, einschließlich der Projekte, die Sie in einer früheren Aufgabe erstellt haben.

Wer führt diese Aufgabe aus?

Sie benötigen eines von Folgendem:

• Die Rolle „Logging-Administrator“ (roles/logging.admin).
• Mitgliedschaft in der Gruppe gcp-logging-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

Logs, die in Projekten in Ihrer Organisation erstellt werden, zentral organisieren, um die Sicherheit, Prüfung und Compliance zu verbessern

Warum wir diese Aufgabe empfehlen

Die Logspeicherung und -aufbewahrung vereinfacht die Analyse und bewahrt den Audit-Trail auf.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.
• Erstellen oder verknüpfen Sie ein Rechnungskonto in der Aufgabe Abrechnung.
• Richten Sie die Hierarchie ein und weisen Sie Zugriffsrechte in der Aufgabe Hierarchie und Zugriff zu.

Logging zentral organisieren

Mit Cloud Logging können Sie Logdaten und Ereignisse von Google Cloud speichern, darin suchen sowie diese analysieren, überwachen und melden. Sie können auch Logs von Ihren Anwendungen, lokalen Ressourcen und anderen Clouds erfassen und verarbeiten. Wir empfehlen, Logs mit Cloud Logging in einem einzigen Log-Bucket zusammenzuführen.

Hier finden Sie weitere Informationen:

• Eine Übersicht finden Sie unter Routing und Speicher.
• Informationen zum Logging lokaler Ressourcen finden Sie unter Logging lokaler Ressourcen mit BindPlane.
• Eine Anleitung zum Ändern des Logfilters nach der Bereitstellung der Konfiguration finden Sie unter Einschlussfilter.

So speichern Sie Ihre Logdaten in einem zentralen Log-Bucket:

1. Melden Sie sich in der Google Cloud Console als Nutzer an, den Sie unter Wer führt diese Aufgabe aus? angegeben haben.

2. Wählen Sie oben auf der Seite in der Drop-down-Liste Auswählen aus Ihre Organisation aus.

3. Gehen Sie zu Google Cloud-Einrichtung: Logging zentralisieren.

   Zu „Logging zentralisieren“

4. Sehen Sie sich die Aufgabenübersicht an und klicken Sie auf Konfiguration des Loggings starten.

5. Prüfen Sie die Aufgabendetails.

6. Wenn Sie Logs an einen zentralen Log-Bucket weiterleiten möchten, muss Audit-Logs zu Administratoraktivitäten auf Organisationsebene in einem Log-Bucket speichern ausgewählt sein.

7. Maximieren Sie Logs an einen Logging-Log-Bucket weiterleiten und gehen Sie so vor:

   1. Geben Sie im Feld Name des Log-Buckets einen Namen für den zentralen Log-Bucket ein.

   2. Wählen Sie in der Liste Log-Bucket-Region die Region aus, in der Ihre Logdaten gespeichert werden.

      Weitere Informationen finden Sie unter Log-Bucket-Standorte.

   3. Wir empfehlen, Logs 365 Tage lang zu speichern. Wenn Sie die Aufbewahrungsdauer anpassen möchten, geben Sie die Anzahl der Tage im Feld Aufbewahrungsdauer ein.

      Für Logs, die länger als 30 Tage gespeichert sind, fallen Kosten für die Aufbewahrung an. Weitere Informationen finden Sie unter Cloud Logging – Preise.

Logs außerhalb von Google Cloud exportieren

Wenn Sie Logs an ein Ziel außerhalb von Google Cloud exportieren möchten, können Sie Pub/Sub verwenden. Wenn Sie beispielsweise mehrere Cloud-Anbieter verwenden, können Sie Logdaten von jedem Cloud-Anbieter in ein Drittanbietertool exportieren.

Sie können die exportierten Logs nach Ihren individuellen Anforderungen filtern. Sie können beispielsweise die Arten von Logs einschränken, die Sie exportieren, um die Kosten zu kontrollieren oder die Daten zu bereinigen.

Weitere Informationen zum Exportieren von Logs finden Sie unter:

• Eine Übersicht finden Sie unter Was ist Pub/Sub?
• Preisinformationen finden Sie hier:
  • Pub/Sub – Preise
  • Best Practices für Cloud-Audit-Logs: Preise
• Informationen zum Streamen zu Splunk finden Sie unter Log-Streaming von Google Cloud zu Splunk bereitstellen.

So exportieren Sie Logs:

1. Klicken Sie auf Logs an andere Anwendungen, andere Repositories oder Dritte streamen.

2. Geben Sie im Feld Pub/Sub-Themen-ID eine Kennzeichnung für das Thema ein, das Ihre exportierten Logs enthält. Informationen zum Abonnieren eines Themas finden Sie unter Pull-Abos.

3. Wenn Sie verhindern möchten, dass eines der folgenden empfohlenen Logs exportiert wird, deaktivieren Sie das Kästchen daneben:

   • Cloud-Audit-Logs: Administratoraktivitäten: API-Aufrufe oder Aktionen, die die Ressourcenkonfiguration oder die Metadaten ändern.
   • Cloud-Audit-Logs: Systemereignis: Google Cloud-Aktionen, die die Ressourcenkonfiguration ändern.
   • Access Transparency: Aktionen, die Google-Mitarbeiter beim Zugriff auf Kundeninhalte ausführen.

   Wählen Sie die folgenden zusätzlichen Logs aus, um sie zu exportieren:

   • Cloud-Audit-Logs: Datenzugriff: API-Aufrufe, die die Ressourcenkonfiguration oder ‑metadaten lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen.
   • Cloud-Audit-Logs: Richtlinienverstoß: Verweigerung des Zugriffs auf Google Cloud-Dienste für Nutzer- oder Dienstkonten aufgrund von Verstößen gegen Sicherheitsrichtlinien.

   Informationen zu den einzelnen Logtypen finden Sie unter Cloud-Audit-Logs.

Logging-Konfiguration abschließen

So führen Sie die Logging-Aufgabe aus:

1. Klicken Sie auf Weiter.

2. Überprüfen Sie die Details der Logging-Konfiguration und klicken Sie auf Konfigurationsentwurf bestätigen.

   Ihre Logging-Konfiguration wird erst bereitgestellt, wenn Sie Ihre Einstellungen in einer späteren Aufgabe bereitstellen.

Nächste Schritte

Konfigurieren Sie die ersten Sicherheitseinstellungen.

In dieser Aufgabe konfigurieren Sie Sicherheitseinstellungen und ‑produkte zum Schutz Ihrer Organisation.

Wer führt diese Aufgabe aus?

Für diese Aufgabe benötigen Sie Folgendes:

• Die Rolle „Organization Administrator“ (roles/resourcemanager.organizationAdmin).
• Mitgliedschaft in einer der folgenden Gruppen, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben:
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

Was Sie in dieser Aufgabe tun

Empfohlene Organisationsrichtlinien anhand der folgenden Kategorien anwenden:

• Zugriffsmanagement.
• Verhalten von Dienstkonten
• VPC-Netzwerkkonfiguration

Sie aktivieren auch Security Command Center, um Berichte zu Sicherheitslücken und Bedrohungen zu zentralisieren.

Warum wir diese Aufgabe empfehlen

Wenn Sie die empfohlenen Organisationsrichtlinien anwenden, können Sie Nutzeraktionen einschränken, die nicht Ihrem Sicherheitsstatus entsprechen.

Wenn Sie Security Command Center aktivieren, haben Sie einen zentralen Ort, an dem Sie Sicherheitslücken und Bedrohungen analysieren können.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.

Sicherheitsaufgabe starten

1. Melden Sie sich in der Google Cloud Console mit einem Nutzer an, den Sie unter Wer führt diese Aufgabe aus? angegeben haben.

2. Wählen Sie oben auf der Seite in der Drop-down-Liste Auswählen aus Ihre Organisation aus.

3. Gehen Sie zu Google Cloud-Einrichtung: Sicherheit.

   Gehen Sie zu Sicherheit.

4. Sehen Sie sich die Aufgabenübersicht an und klicken Sie dann auf Sicherheit starten.

Berichte zu Sicherheitslücken und Bedrohungen zentralisieren

Wenn Sie Dienste zur Meldung von Sicherheitslücken und Bedrohungen zentralisieren möchten, aktivieren Sie Security Command Center. So können Sie Ihre Sicherheitsmaßnahmen verbessern und Risiken minimieren. Weitere Informationen finden Sie in der Übersicht über das Security Command Center.

1. Achten Sie darauf, dass auf der Seite Google Cloud-Einrichtung: Sicherheit das Kästchen Security Command Center aktivieren: Standard angeklickt ist.

   Dadurch wird die kostenlose Standardstufe aktiviert. Sie können später ein Upgrade auf die Premium-Version durchführen. Weitere Informationen finden Sie unter Security Command Center-Dienststufen.

2. Klicken Sie auf Security Command Center-Konfigurationen anwenden.

Empfohlene Organisationsrichtlinien anwenden

Organisationsrichtlinien gelten auf Organisationsebene und werden von Ordnern und Projekten übernommen. In dieser Aufgabe prüfen Sie die Liste der empfohlenen Richtlinien und wenden sie an. Sie können die Richtlinien für Ihre Organisation jederzeit ändern. Weitere Informationen finden Sie unter Einführung in den Organisationsrichtliniendienst.

1. Prüfen Sie die Liste der empfohlenen Organisationsrichtlinien. Wenn Sie eine empfohlene Richtlinie nicht anwenden möchten, klicken Sie auf das Kästchen, um sie zu entfernen.

   Eine detaillierte Erklärung der einzelnen Organisationsrichtlinien finden Sie unter Einschränkungen für Organisationsrichtlinien.

2. Klicken Sie auf Konfigurationen der Organisationsrichtlinien bestätigen.

Die von Ihnen ausgewählten Organisationsrichtlinien werden angewendet, wenn Sie die Konfiguration in einer späteren Aufgabe bereitstellen.

Nächste Schritte

Netzwerk konfigurieren

In dieser Aufgabe richten Sie Ihre anfängliche Netzwerkkonfiguration ein, die Sie bei Bedarf skalieren können.

Virtual-Private-Cloud-Architektur

Ein VPC-Netzwerk (Virtual Private Cloud) ist eine virtuelle Version eines physischen Netzwerks, das im Google-Produktionsnetzwerk implementiert wird. Ein VPC-Netzwerk ist eine globale Ressource, die aus regionalen Subnetzen besteht.

VPC-Netzwerke bieten Netzwerkfunktionen für Ihre Google Cloud-Ressourcen wie Instanzen virtueller Maschinen von Compute Engine, GKE-Container und Instanzen der flexiblen App Engine-Umgebung.

Eine freigegebene VPC verbindet Ressourcen aus mehreren Projekten mit einem gemeinsamen VPC-Netzwerk, sodass sie über die internen IP-Adressen des Netzwerks miteinander kommunizieren können. Das folgende Diagramm zeigt die grundlegende Architektur eines freigegebenen VPC-Netzwerks mit angehängten Dienstprojekten.

Wenn Sie eine freigegebene VPC verwenden, legen Sie ein Hostprojekt fest und fügen Sie ein oder mehrere Dienstprojekte hinzu. Virtual Private Cloud-Netzwerke im Hostprojekt werden als freigegebene VPC-Netzwerke bezeichnet.

Das Beispieldiagramm enthält Produktions- und Nicht-Produktions-Hostprojekte, die jeweils ein freigegebenes VPC-Netzwerk enthalten. Mit einem Hostprojekt können Sie Folgendes zentral verwalten:

• Routen
• Firewalls
• VPN-Verbindungen
• Subnetze

Ein Dienstprojekt ist ein beliebiges Projekt, das an ein Hostprojekt angehängt ist. Sie können Subnetze, einschließlich sekundärer Bereiche, zwischen Host- und Dienstprojekten freigeben.

In dieser Architektur enthält jedes freigegebene VPC-Netzwerk öffentliche und private Subnetze:

• Das öffentliche Subnetz kann von Instanzen verwendet werden, die aus dem Internet zugänglich sind, um externe Konnektivität bereitzustellen.
• Das private Subnetz kann von intern ausgerichteten Instanzen verwendet werden, denen keine öffentlichen IP-Adressen zugewiesen werden.

In dieser Aufgabe erstellen Sie eine erste Netzwerkkonfiguration anhand des Beispieldiagramms.

Wer führt diese Aufgabe aus?

Für diese Aufgabe benötigen Sie Folgendes:

• Die Rolle roles/compute.networkAdmin
• Sie müssen der Gruppe gcp-network-admins@YOUR_DOMAIN angehören, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

Erstellen Sie eine erste Netzwerkkonfiguration mit folgenden Elementen:

• Erstellen Sie mehrere Hostprojekte, die Ihren Entwicklungsumgebungen entsprechen.
• Erstellen Sie in jedem Hostprojekt ein freigegebenes VPC-Netzwerk, damit verschiedene Ressourcen dasselbe Netzwerk nutzen können.
• Erstellen Sie in jedem freigegebenen VPC-Netzwerk separate Subnetze, um Dienstprojekten Netzwerkzugriff zu gewähren.

Warum wir diese Aufgabe empfehlen

Unterschiedliche Teams können mit Shared VPC eine Verbindung zu einem gemeinsamen, zentral verwalteten VPC-Netzwerk herstellen.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.
• Erstellen oder verknüpfen Sie ein Rechnungskonto in der Aufgabe Abrechnung.
• Richten Sie die Hierarchie ein und weisen Sie Zugriffsrechte in der Aufgabe Hierarchie und Zugriff zu.

Netzwerkarchitektur konfigurieren

Erstellen Sie Ihre anfängliche Netzwerkkonfiguration mit zwei Hostprojekten, um nicht produktionsbezogene und produktionsbezogene Arbeitslasten zu segmentieren. Jedes Hostprojekt enthält ein freigegebenes VPC-Netzwerk, das von mehreren Dienstprojekten verwendet werden kann. Sie konfigurieren die Netzwerkdetails und stellen dann in einer späteren Aufgabe eine Konfigurationsdatei bereit.

So konfigurieren Sie Ihr anfängliches Netzwerk:

1. Melden Sie sich in der Google Cloud Console als Nutzer der Gruppe gcp-organization-admins@YOUR_DOMAIN an, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

2. Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen Ihre Organisation aus.

3. Gehen Sie zu Google Cloud-Einrichtung: Netzwerk.

   Gehen Sie zu Networking.

4. Sehen Sie sich die Standardnetzwerkarchitektur an.

5. So bearbeiten Sie den Netzwerknamen:

   1. Klicken Sie auf more_vertAktionen.
   2. Wählen Sie Netzwerknamen bearbeiten aus.
   3. Geben Sie im Feld Netzwerkname Kleinbuchstaben, Zahlen oder Bindestriche ein. Der Netzwerkname darf maximal 25 Zeichen enthalten.
   4. Klicken Sie auf Speichern.

Firewalldetails ändern

Die Standard-Firewallregeln im Hostprojekt basieren auf empfohlenen Best Practices. Sie können eine oder mehrere der Standard-Firewallregeln deaktivieren. Allgemeine Informationen zu Firewallregeln finden Sie unter VPC-Firewallregeln.

So ändern Sie die Firewalleinstellungen:

1. Klicken Sie auf more_vert Aktionen.

2. Wählen Sie Firewallregeln bearbeiten aus.

3. Ausführliche Informationen zu den einzelnen Standard-Firewallregeln finden Sie unter Vorab ausgefüllte Regeln im Standardnetzwerk.

4. Wenn Sie eine Firewallregel deaktivieren möchten, entfernen Sie das Häkchen aus dem entsprechenden Kästchen.

5. Wenn Sie das Logging von Firewallregeln deaktivieren möchten, klicken Sie auf Aus.

   Standardmäßig wird der Traffic von und zu Compute Engine-Instanzen zu Prüfzwecken protokolliert. Für diesen Vorgang fallen Kosten an. Weitere Informationen finden Sie unter Logging von Firewallregeln.

6. Klicken Sie auf Speichern.

Subnetzdetails ändern

Jedes VPC-Netzwerk enthält mindestens ein Subnetz. Dies ist eine regionale Ressource mit einem zugewiesenen IP-Adressbereich. In dieser multiregionalen Konfiguration müssen mindestens zwei Subnetze mit nicht überlappenden IP-Bereichen vorhanden sein.

Weitere Informationen finden Sie unter Subnetze.

Jedes Subnetz wird gemäß den empfohlenen Best Practices konfiguriert. Wenn Sie jedes Subnetz anpassen möchten, gehen Sie so vor:

1. Klicken Sie auf more_vertAktionen.
2. Wählen Sie Subnetze bearbeiten aus.
3. Geben Sie im Feld Name Kleinbuchstaben, Zahlen oder Bindestriche ein. Der Subnetzname darf 25 Zeichen nicht überschreiten.

4. Wählen Sie im Drop-down-Menü Region eine Region in der Nähe Ihres Bereitstellungsorts aus.

   Wir empfehlen für jedes Subnetz eine andere Region. Sie können die Region nicht mehr ändern, nachdem Sie die Konfiguration bereitgestellt haben. Weitere Informationen zur Auswahl einer Region finden Sie unter Regionale Ressourcen.

5. Geben Sie im Feld IP-Adressbereich einen Bereich in CIDR-Notation ein, z. B. 10.0.0.0/24.

   Der von Ihnen eingegebene Bereich darf sich nicht mit anderen Subnetzen in diesem Netzwerk überschneiden. Informationen zu gültigen Bereichen finden Sie unter IPv4-Subnetzbereiche.

6. Wiederholen Sie diese Schritte für Subnetz 2.

7. Wenn Sie weitere Subnetze in diesem Netzwerk konfigurieren möchten, klicken Sie auf Subnetz hinzufügen und wiederholen Sie diese Schritte.

8. Klicken Sie auf Speichern.

Ihre Subnetze werden automatisch gemäß Best Practices konfiguriert. Wenn Sie die Konfiguration ändern möchten, gehen Sie auf der Seite Google Cloud-Einrichtung: VPC-Netzwerke so vor:

1. Wenn Sie VPC-Flusslogs deaktivieren möchten, wählen Sie in der Spalte Flusslogs die Option Aus aus.

   Wenn Flusslogs aktiviert sind, werden in jedem Subnetz Netzwerkflüsse aufgezeichnet, die Sie aus Sicherheitsgründen, zur Kostenoptimierung und zu anderen Zwecken analysieren können. Weitere Informationen finden Sie unter VPC-Flusslogs verwenden.

   VPC-Flusslogs verursachen Kosten. Weitere Informationen finden Sie unter Virtual Private Cloud – Preise.

2. Wenn Sie den privaten Google-Zugriff deaktivieren möchten, wählen Sie in der Spalte Privater Zugriff die Option Aus aus.

   Wenn der private Google-Zugriff aktiviert ist, können VM-Instanzen ohne externe IP-Adressen Google APIs und -Dienste erreichen. Weitere Informationen finden Sie unter Privater Google-Zugriff.

3. Wenn Sie Cloud NAT aktivieren möchten, wählen Sie in der Spalte Cloud NAT die Option An aus.

   Wenn Cloud NAT aktiviert ist, können bestimmte Ressourcen ausgehende Verbindungen zum Internet herstellen. Weitere Informationen finden Sie unter Cloud NAT – Übersicht.

   Für Cloud NAT fallen Kosten an. Weitere Informationen finden Sie unter Preise für Virtual Private Cloud.

4. Klicken Sie auf Weiter zu „Dienstprojekte verknüpfen“.

Dienstprojekte mit Ihren Hostprojekten verknüpfen

Ein Dienstprojekt ist ein beliebiges Projekt, das an ein Hostprojekt angehängt wurde. Durch diesen Anhang kann das Dienstprojekt an der freigegebenen VPC teilnehmen. Jedes Dienstprojekt kann von verschiedenen Abteilungen oder Teams betrieben und verwaltet werden, um eine Aufgabentrennung zu ermöglichen.

Weitere Informationen zum Verbinden mehrerer Projekte mit einem gemeinsamen VPC-Netzwerk finden Sie unter Freigegebene VPC – Übersicht.

So verknüpfen Sie Dienstprojekte mit Ihren Hostprojekten und schließen die Konfiguration ab:

1. Wählen Sie für jedes Subnetz in der Tabelle Freigegebene VPC-Netzwerke ein Dienstprojekt aus, mit dem eine Verbindung hergestellt werden soll. Wählen Sie dazu im Drop-down-Menü Projekt auswählen in der Spalte Dienstprojekt die Option „Projekt“ aus.

   Sie können ein Dienstprojekt mit mehreren Subnetzen verbinden.

2. Klicken Sie auf Weiter zur Überprüfung.

3. Überprüfen Sie die Konfiguration und nehmen Sie Änderungen vor.

   Sie können Änderungen vornehmen, bis Sie die Konfigurationsdatei bereitgestellt haben.

4. Klicken Sie auf Konfigurationsentwurf bestätigen. Ihre Netzwerkkonfiguration wird der Konfigurationsdatei hinzugefügt.

   Ihr Netzwerk wird erst bereitgestellt, wenn Sie die Konfigurationsdatei in einer späteren Aufgabe bereitstellen.

Nächste Schritte

Hybridkonnektivität einrichten, um lokale Server oder andere Cloud-Anbieter mit Google Cloud zu verbinden.

In dieser Aufgabe stellen Sie Verbindungen zwischen Ihren Peer-Netzwerken (lokal oder in einer anderen Cloud) und Ihren Google Cloud-Netzwerken her, wie im folgenden Diagramm dargestellt.

Dadurch wird ein HA VPN erstellt, eine Lösung mit hoher Verfügbarkeit (HA), die Sie schnell erstellen können, um Daten über das öffentliche Internet zu übertragen.

Nachdem Sie Ihre Google Cloud-Umgebung bereitgestellt haben, empfehlen wir Ihnen, eine robustere Verbindung mit Cloud Interconnect zu erstellen.

Weitere Informationen zu Verbindungen zwischen Peer-Netzwerken und Google Cloud finden Sie unter den folgenden Links:

• Cloud VPN – Übersicht
• Produkt für die Netzwerkverbindung auswählen

Wer führt diese Aufgabe aus?

Sie benötigen die Rolle "Organization Administrator" (roles/resourcemanager.organizationAdmin).

Was Sie in dieser Aufgabe tun

Verbindungen mit niedriger Latenz und Hochverfügbarkeit zwischen Ihren VPC-Netzwerken und Ihren lokalen oder anderen Cloud-Netzwerken erstellen. Sie konfigurieren die folgenden Komponenten:

• HA VPN-Gateway von Google Cloud: Eine regionale Ressource mit zwei Schnittstellen, die jeweils eine eigene IP-Adresse haben. Sie geben den IP-Stacktyp an, der bestimmt, ob IPv6-Traffic in Ihrer Verbindung unterstützt wird. Weitere Informationen finden Sie unter HA VPN.
• Peer-VPN-Gateway: Das Gateway in Ihrem Peer-Netzwerk, mit dem das Google Cloud HA VPN-Gateway verbunden ist. Sie geben externe IP-Adressen ein, die Ihr Peer-Gateway für die Verbindung zu Google Cloud verwendet. Weitere Informationen finden Sie unter Peer-VPN-Gateway konfigurieren.
• Cloud Router: Verwendet das Border Gateway Protocol (BGP), um Routen zwischen Ihrem VPC und Peer-Netzwerken dynamisch auszutauschen. Sie weisen eine Autonomous System Number (ASN) als Kennung für Ihren Cloud Router zu und geben die ASN an, die Ihr Peer-Router verwendet. Weitere Informationen finden Sie unter Cloud Router erstellen, um ein VPC-Netzwerk mit einem Peer-Netzwerk zu verbinden.
• VPN-Tunnel: Verbinden Sie das Google Cloud-Gateway mit dem Peer-Gateway. Sie geben das IKE-Protokoll (Internet Key Exchange) an, das zum Aufbau des Tunnels verwendet werden soll. Sie können einen zuvor generierten IKE-Schlüssel eingeben oder einen neuen Schlüssel generieren und kopieren. Weitere Informationen finden Sie unter IKE konfigurieren.

Warum wir diese Aufgabe empfehlen

Ein HA VPN bietet eine sichere und hochverfügbare Verbindung zwischen Ihrer vorhandenen Infrastruktur und Google Cloud.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.
• Erstellen oder verknüpfen Sie ein Rechnungskonto in der Aufgabe Abrechnung.
• Richten Sie die Hierarchie ein und weisen Sie Zugriffsrechte in der Aufgabe Hierarchie und Zugriff zu.
• Konfigurieren Sie Ihr Netzwerk in der Aufgabe VPC-Netzwerke.

Erfassen Sie die folgenden Informationen vom Administrator des Peer-Netzwerks:

• Name des Peer-VPN-Gateways: Das Gateway, mit dem Ihr Cloud VPN verbunden ist.
• IP-Adresse 0 der Peer-Schnittstelle: Eine externe IP-Adresse auf dem Peer-Netzwerk-Gateway.
• IP-Adresse 1 der Peer-Schnittstelle: Eine zweite externe Adresse. Sie können auch die IP-Adresse 0 wiederverwenden, wenn Ihr Peer-Netzwerk nur eine einzige externe IP-Adresse hat.
• Peer Autonomous System Number (ASN): Eine eindeutige Kennung, die Ihrem Peer-Netzwerkrouter zugewiesen ist.
• Cloud Router ASN: Eine eindeutige Kennung, die Sie Ihrem Cloud Router zuweisen.
• IKE-Schlüssel (Internet Key Exchange): Schlüssel, mit denen Sie zwei VPN-Tunnel mit Ihrem Peer-VPN-Gateway herstellen. Wenn Sie keine vorhandenen Schlüssel haben, können Sie sie während dieser Einrichtung generieren und dann auf Ihr Peer-Gateway anwenden.

Verbindungen konfigurieren

So verbinden Sie Ihre VPC-Netzwerke mit Ihren Peer-Netzwerken:

1. Melden Sie sich als Nutzer mit der Rolle „Organization Administrator“ an.

2. Wählen Sie oben auf der Seite in der Drop-down-Liste Auswählen aus Ihre Organisation aus.

3. Gehen Sie zu Google Cloud-Einrichtung: Hybridkonnektivität.

   Zu "Hybridkonnektivität"

4. So rufen Sie die Aufgabendetails auf:

   1. Sehen Sie sich die Aufgabenübersicht an und klicken Sie auf Hybridkonnektivität starten.

   2. Klicken Sie auf die einzelnen Tabs, um mehr über die Hybridkonnektivität zu erfahren, und klicken Sie dann auf Weiter.

   3. Sehen Sie sich an, was Sie bei den einzelnen Aufgabenschritten erwartet, und klicken Sie auf Weiter.

   4. Prüfen Sie die Informationen zur Peer-Gateway-Konfiguration, die Sie erfassen müssen, und klicken Sie auf Weiter.

5. Geben Sie im Bereich Hybridverbindungen die VPC-Netzwerke an, die Sie basierend auf Ihren Geschäftsanforderungen verbinden möchten.

6. Klicken Sie in der Zeile des ersten ausgewählten Netzwerks auf Konfigurieren.

7. Lesen Sie im Bereich Konfigurationsübersicht die Beschreibung und klicken Sie auf Weiter.

8. Gehen Sie im Bereich Google Cloud HA VPN-Gateway so vor:

   1. Geben Sie im Feld Name des Cloud-VPN-Gateways bis zu 60 Zeichen in Kleinbuchstaben, Zahlen und Bindestriche ein.

   2. Wählen Sie im Bereich Innerer IP-Stacktyp des VPN-Tunnels einen der folgenden Stacktypen aus:

      • IPv4 und IPv6 (empfohlen): Unterstützt sowohl IPv4- als auch IPv6-Traffic. Wir empfehlen diese Einstellung, wenn Sie IPv6-Traffic in Ihrem Tunnel zulassen möchten.
      • IPv4: Unterstützt nur IPv4-Traffic.

      Der Stacktyp bestimmt die Art des Traffics, der im Tunnel zwischen Ihrem VPC-Netzwerk und Ihrem Peer-Netzwerk zulässig ist. Nachdem Sie das Gateway erstellt haben, können Sie den Stacktyp nicht mehr ändern. Weitere Informationen finden Sie hier:

      • IPv6-Unterstützung
      • Stacktypen und BGP-Sitzungen

   3. Klicken Sie auf Weiter.

9. Gehen Sie im Bereich Peer-VPN-Gateway so vor:

   1. Geben Sie im Feld Name des Peer-VPN-Gateways den Namen ein, den Ihnen der Administrator des Peer-Netzwerks mitgeteilt hat. Sie können bis zu 60 Zeichen mit Kleinbuchstaben, Zahlen und Bindestriche eingeben.

   2. Geben Sie im Feld IP-Adresse 0 der Peer-Schnittstelle die externe IP-Adresse der Peer-Gateway-Schnittstelle ein, die vom Administrator des Peer-Netzwerks bereitgestellt wurde.

   3. Führen Sie im Feld IP-Adresse 1 der Peer-Schnittstelle einen der folgenden Schritte aus:

      • Wenn Ihr Peer-Gateway eine zweite Schnittstelle hat, geben Sie deren IP-Adresse ein.
      • Wenn Ihr Peer-Gateway nur eine einzige Schnittstelle hat, geben Sie dieselbe Adresse ein, die Sie unter IP-Adresse 0 der Peer-Schnittstelle eingegeben haben.

      Weitere Informationen finden Sie unter Peer-VPN-Gateway konfigurieren.

   4. Klicken Sie auf Weiter.

10. Gehen Sie im Bereich Cloud Router so vor:

    1. Geben Sie im Feld Cloud Router ASN die Nummer des autonomen Systems ein, die Sie Ihrem Cloud Router zuweisen möchten. Diese Nummer wird vom Administrator Ihres Peer-Netzwerks bereitgestellt. Weitere Informationen finden Sie unter Cloud Router erstellen.

    2. Geben Sie im Feld Peer-Router-ASN die Nummer des autonomen Systems des Peer-Netzwerk-Routers ein, die Ihnen von Ihrem Peer-Netzwerkadministrator mitgeteilt wurde.

11. Führen Sie im Bereich VPN-Tunnel 0 folgende Schritte aus:

    1. Geben Sie im Feld Tunnel 0 Name bis zu 60 Zeichen in Kleinbuchstaben, Zahlen und Bindestriche ein.

    2. Wählen Sie im Bereich IKE-Version eine der folgenden Optionen aus:

       • IKEv2 – empfohlen: Unterstützt IPv6-Traffic.
       • IKEv1: Verwenden Sie diese Einstellung, wenn Sie keinen IPv6-Traffic im Tunnel zulassen möchten.

       Weitere Informationen finden Sie unter VPN-Tunnel konfigurieren.

    3. Geben Sie im Feld IKE-Vorinstallierter Schlüssel den Schlüssel ein, den Sie in der Peer-Gateway-Konfiguration verwenden, wie vom Administrator Ihres Peer-Netzwerks angegeben. Wenn Sie keinen vorhandenen Schlüssel haben, können Sie auf Generieren und kopieren klicken und den Schlüssel dann an den Administrator Ihres Peer-Netzwerks weitergeben.

12. Wiederholen Sie im Bereich VPN-Tunnel 1 den vorherigen Schritt, um die Einstellungen für den zweiten Tunnel anzuwenden. Sie konfigurieren diesen Tunnel für Redundanz und zusätzlichen Durchsatz.

13. Klicken Sie auf Speichern.

14. Wiederholen Sie diese Schritte für alle anderen VPC-Netzwerke, die Sie mit Ihrem Peer-Netzwerk verbinden möchten.

Nach der Bereitstellung

Nachdem Sie die Konfiguration für die Google Cloud-Einrichtung bereitgestellt haben, führen Sie die folgenden Schritte aus, um sicherzustellen, dass die Netzwerkverbindung vollständig ist:

1. Wenden Sie sich an den Administrator Ihres Peer-Netzwerks, um es an Ihre Einstellungen für die Hybridverbindung anzupassen. Nach der Bereitstellung erhalten Sie spezifische Anweisungen für Ihr Peer-Netzwerk, darunter:

   • Tunnel-Einstellungen
   • Firewall-Einstellungen
   • IKE-Einstellungen

2. Prüfen Sie die von Ihnen erstellten Netzwerkverbindungen. Mit Network Intelligence Center können Sie beispielsweise die Verbindung zwischen Netzwerken prüfen. Weitere Informationen finden Sie unter Konnektivitätstests – Übersicht.

3. Wenn Sie für Ihre Geschäftsanforderungen eine robustere Verbindung benötigen, verwenden Sie Cloud Interconnect. Weitere Informationen finden Sie unter Network Connectivity-Produkt auswählen.

Nächste Schritte

Bereitstellen Sie Ihre Konfiguration. Dazu gehören Einstellungen für Hierarchie und Zugriff, Logging, Netzwerk und Hybridkonnektivität.

Während Sie die Google Cloud-Einrichtung abschließen, werden Ihre Einstellungen aus den folgenden Aufgaben in Terraform-Konfigurationsdateien kompiliert:

• Hierarchie und Zugriff
• Logging zentralisieren
• Sicherheit
• VPC-Netzwerke
• Hybridkonnektivität

Um Ihre Einstellungen anzuwenden, prüfen Sie Ihre Auswahl und wählen Sie eine Bereitstellungsmethode aus.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-organization-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

Stellen Sie Konfigurationsdateien bereit, um die Einrichtungseinstellungen anzuwenden.

Warum wir diese Aufgabe empfehlen

Sie müssen Konfigurationsdateien bereitstellen, um die ausgewählten Einstellungen anzuwenden.

Hinweise

Sie müssen die folgenden Aufgaben ausführen:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.
• Erstellen oder verknüpfen Sie ein Rechnungskonto in der Aufgabe Abrechnung.
• Richten Sie die Hierarchie ein und weisen Sie Zugriffsrechte in der Aufgabe Hierarchie und Zugriff zu.

Wir empfehlen folgende Aufgaben:

• Sie können Logdaten an einem zentralen Ort in der Aufgabe Logging zentralisieren zusammenführen.
• Sie können die Sicherheit verbessern, indem Sie unter Sicherheit kostenlose Dienste einrichten.
• Konfigurieren Sie Ihr erstes Netzwerk in der Aufgabe VPC-Netzwerke.
• Verbinden Sie Peer-Netzwerke mit Google Cloud in der Aufgabe Hybridkonnektivität.

Konfigurationsdetails prüfen

So prüfen Sie, ob Ihre Konfigurationseinstellungen vollständig sind:

1. Melden Sie sich in der Google Cloud Console als Nutzer der Gruppe gcp-organization-admins@YOUR_DOMAIN an, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

2. Wählen Sie oben auf der Seite in der Drop-down-Liste Auswählen aus Ihre Organisation aus.

3. Gehen Sie zu Google Cloud-Einrichtung: Bereitstellen oder herunterladen.

   Bereitstellen oder herunterladen

4. Prüfen Sie die ausgewählten Konfigurationseinstellungen. Klicken Sie auf die folgenden Tabs und prüfen Sie Ihre Einstellungen:

   • Ressourcenhierarchie und Zugriff
   • Logging
   • Sicherheit
   • VPC-Netzwerke
   • Hybridkonnektivität

Konfiguration bereitstellen

Nachdem Sie die Konfigurationsdetails geprüft haben, können Sie eine der folgenden Optionen auswählen:

• Direkt über die Console bereitstellen: Verwenden Sie diese Option, wenn Sie keinen vorhandenen Terraform-Bereitstellungsworkflow haben und eine einfache Bereitstellungsmethode wünschen. Sie können diese Methode nur einmal verwenden.

• Terraform-Datei herunterladen und bereitstellen: Verwenden Sie diese Option, wenn Sie die Ressourcenverwaltung mit einem Terraform-Bereitstellungsworkflow automatisieren möchten. Sie können diese Methode mehrmals zum Herunterladen und Bereitstellen verwenden.

Sie haben folgende Möglichkeiten:

Nächste Schritte

Best Practices für das Monitoring ansehen

Cloud Monitoring wird automatisch für Ihre Google Cloud-Projekte konfiguriert. In dieser Aufgabe erfahren Sie mehr über Best Practices für optionales Monitoring.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-monitoring-admins@YOUR_DOMAIN, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

Was Sie in dieser Aufgabe tun

Optionale Best Practices für die Überwachung prüfen und implementieren.

Warum wir diese Aufgabe empfehlen

Mit Best Practices für das Monitoring können Sie Folgendes tun:

• Zusammenarbeit zwischen Nutzern ermöglichen, die Ihre Organisation im Blick behalten.
• Google Cloud-Infrastruktur an einem Ort überwachen
• Erfassen Sie wichtige Anwendungsmesswerte und ‑logs.

Best Practices für die Überwachung prüfen und implementieren

Cloud Monitoring erfasst Messwerte, Ereignisse und Metadaten aus Google Cloud-Diensten, synthetischen Monitoren, Anwendungsinstrumentierung und anderen gängigen Anwendungskomponenten. Cloud Monitoring wird automatisch für Ihre Google Cloud-Projekte konfiguriert.

In dieser Aufgabe können Sie die folgenden Best Practices implementieren, um die Standardkonfiguration von Cloud Monitoring zu erweitern.

• Erstellen Sie zur Unterstützung der Zusammenarbeit eine Organisationsrichtlinie, die allen Hauptkonten in Ihrer Organisation für jedes Projekt die Rolle Monitoring Viewer gewährt.

• Wenn Sie Ihre Google Cloud-Infrastruktur an einem zentralen Ort überwachen möchten, konfigurieren Sie ein Projekt so, dass Messwerte aus mehreren Google Cloud-Projekten gelesen werden. Verwenden Sie dazu Messwertbereiche.

• So erfassen Sie Anwendungsmesswerte und ‑logs für virtuelle Maschinen:

  • Installieren Sie für die Compute Engine den Ops-Agent.
  • Richten Sie für die Google Kubernetes Engine (GKE) den Google Cloud Managed Service for Prometheus ein.

Nächste Schritte

Wählen Sie einen Supportplan aus.

In dieser Aufgabe wählen Sie einen Supportplan aus, der Ihren geschäftlichen Anforderungen entspricht.

Wer führt diese Aufgabe aus?

Eine Person in der Gruppe gcp-organization-admins@YOUR_DOMAIN, die in der Aufgabe Nutzer und Gruppen erstellt wurde.

Was Sie in dieser Aufgabe tun

Wählen Sie einen Supportplan aus, der auf die Anforderungen Ihres Unternehmens zugeschnitten ist.

Warum wir diese Aufgabe empfehlen

Ein Premium-Supportplan bietet geschäftskritischen Support, um Probleme mit der Hilfe von Experten von Google Cloud schnell zu beheben.

Wählen Sie eine Supportoption aus

Sie erhalten automatisch den kostenlosen Basissupport, der Zugriff auf die folgenden Ressourcen umfasst:

• Dokumentation
• Community-Support und ‑Diskussionen
• Support bei Abrechnungsproblemen

Wir empfehlen Geschäftskunden, sich für den Premium-Support zu registrieren, der persönlichen technischen Support durch Entwickler des Google-Supportteams bietet. Informationen zum Vergleichen von Supportplänen finden Sie unter Google Cloud Customer Care.

Hinweise

Führen Sie die folgenden Schritte aus:

• Erstellen Sie einen Super Admin-Nutzer und Ihre Organisation in der Aufgabe Organisation.
• In der Aufgabe Nutzer und Gruppen fügen Sie Nutzer hinzu und erstellen Gruppen.
• Weisen Sie Gruppen in der Aufgabe Administratorzugriff IAM-Rollen zu.

Unterstützung aktivieren

Wählen Sie eine Supportoption aus.

1. Sehen Sie sich die Supportpläne an und wählen Sie einen aus. Weitere Informationen finden Sie unter Google Cloud Customer Care.

2. Melden Sie sich in der Google Cloud Console mit einem Nutzer der Gruppe gcp-organization-admins@<your-domain>.com an, die Sie in der Aufgabe Nutzer und Gruppen erstellt haben.

3. Gehen Sie zu Google Cloud-Einrichtung: Support.

   Zum Support

4. Prüfen Sie die Aufgabendetails und klicken Sie auf Supportangebote ansehen, um eine Supportoption auszuwählen.

5. Nachdem Sie die Supportoption eingerichtet haben, kehren Sie zur Seite Google Cloud-Einrichtung: Support zurück und klicken Sie auf Aufgabe als erledigt markieren.

Nächste Schritte

Nachdem Sie die Google Cloud-Einrichtung abgeschlossen haben, können Sie Ihre ursprüngliche Einrichtung erweitern, vorgefertigte Lösungen bereitstellen und Ihre vorhandenen Workflows migrieren. Weitere Informationen finden Sie unter Ersteinrichtung erweitern und mit dem Erstellen beginnen.