Antes de ejecutar cargas de trabajo de producción en Google Cloud, te recomendamos configurar una base inicial para admitir tu trabajo. La configuración de Google Cloud ayuda a los administradores a configurar Google Cloud para cargas de trabajo escalables. El proceso de configuración te guía a través de un procedimiento interactivo que te ayuda a crear una arquitectura básica basada en las prácticas recomendadas.
Para ayudarte a alinear tus necesidades empresariales, puedes implementar con rapidez una configuración predeterminada o realizar ajustes a lo largo del proceso de configuración. Según tu flujo de trabajo de implementación preferido, puedes implementar tu configuración directamente desde la consola o descargar y, luego, implementar Terraform para integrarlo en tu propio proceso de infraestructura como código (IaC).
En este documento, se incluyen pasos e información general para ayudarte a completar el proceso de configuración, que también está disponible como una guía interactiva en la consola de Google Cloud:
Ir a la configuración de Google Cloud
El proceso de configuración incluye las siguientes fases:
Establece tu organización, tus administradores y tu facturación: Configura el nodo de nivel superior de tu jerarquía, crea usuarios administradores iniciales y conecta tu forma de pago.
Crea una arquitectura inicial: Selecciona una carpeta y una estructura de proyecto iniciales, asigna acceso, configura el registro, aplica la configuración de seguridad y establece la red.
Implementa tu configuración: Las opciones iniciales de arquitectura se compilan en archivos de configuración de Terraform. Puedes implementar con rapidez a través de la consola de Google Cloud o descargar los archivos para iterar y personalizar usando tu propio flujo de trabajo.
Aplica la configuración de supervisión y asistencia: Aplica la configuración recomendada de supervisión y asistencia para reforzar tu arquitectura.
Establece tu organización, tus administradores y tu facturación
Organización
Un recurso de organización en Google Cloud representa tu empresa y sirve como el nodo de nivel superior de tu jerarquía. Para crear tu organización, debes configurar un servicio de identidad de Google y asociarlo con tu dominio. Cuando completas este proceso, se crea un recurso de organización automáticamente.
Para obtener una descripción general del recurso de la organización, consulta los siguientes vínculos:
- Administra los recursos de la organización.
- Prácticas recomendadas para planificar cuentas y organizaciones.
Quiénes deben realizar esta tarea
Los siguientes dos administradores realizan esta tarea:
Un administrador de identidades responsable de asignar acceso basado en roles. Debes asignar a esta persona como el administrador avanzado de Cloud Identity. Para obtener más información sobre el usuario administrador avanzado, consulta Roles de administrador precompilados
Un administrador de dominio con acceso al host del dominio de la empresa. Esta persona edita la configuración del dominio, como los parámetros de configuración de DNS, como parte del proceso de verificación del dominio
Qué debes hacer en esta tarea
- Si aún no lo haz hecho, configura Cloud Identity, en el que creas una cuenta de usuario administrada para tu usuario de administrador avanzado.
- Vincula Cloud Identity a tu dominio (como example.com).
- Verifique su dominio. Este proceso crea el nodo raíz de la jerarquía de recursos, conocida como recurso de organización.
Por qué recomendamos esta tarea
Debes configurar lo siguiente como parte de tu base de Google Cloud:
- Un servicio de identidad de Google para administrar identidades de manera centralizada
- Un recurso de organización para establecer la raíz de tu jerarquía y el control de acceso
Opciones de Google Identity Services
Usa uno o ambos de los siguientes Google Identity Services para administrar las credenciales de los usuarios de Google Cloud:
- Cloud Identity: Administra usuarios y grupos de manera centralizada. Puedes federar identidades entre Google y otros proveedores de identidad. Para obtener más información, consulta Descripción general de Cloud Identity.
- Google Workspace: Administra usuarios y grupos, y proporciona acceso a productos de productividad y colaboración, como Gmail y Google Drive. Para obtener más información, consulta Google Workspace.
Si deseas obtener información detallada sobre la planificación de identidad, consulta Planifica el proceso de integración para tus identidades corporativas.
Antes de comenzar
Para comprender cómo administrar una cuenta de administrador avanzado, consulta las Prácticas recomendadas para cuentas de administrador avanzado.
Configura un proveedor de identidad y verifica tu dominio
Los pasos que debes completar en esta tarea dependen de si eres un cliente nuevo o existente. Identifica la opción que mejor se adapte a tus necesidades:
Cliente nuevo: Configura Cloud Identity, verifica tu dominio y crea tu organización.
Cliente existente de Google Workspace: Usa Google Workspace como proveedor de identidad para los usuarios que acceden a Google Workspace y Google Cloud. Si planeas crear usuarios que solo accedan a Google Cloud, habilita Cloud Identity.
Cliente existente de Cloud Identity: Verifica tu dominio, asegúrate de que se haya creado tu organización y confirma que Cloud Identity esté habilitado.
Cliente nuevo
Cliente nuevo: Configura Cloud Identity y crea tu organización
Para crear el recurso de tu organización, primero configura Cloud Identity, que te ayudará a administrar usuarios y grupos que acceden a los recursos de Google Cloud.
En esta tarea, configurarás la edición gratuita de Cloud Identity. Puedes habilitar Cloud Identity Premium después de completar la configuración inicial. Para obtener más información, consulta esta comparación de las funciones y ediciones de Cloud Identity.
Identifica a la persona que actúa como administrador de Cloud Identity (también conocido como administrador avanzado) en tu organización
Registra el nombre de usuario del administrador en el siguiente formato: administrador-nombre@example.com. Por ejemplo, administrador-maria@example.com. Especifica este nombre de usuario cuando crees tu primer usuario administrador.
Para completar el proceso de configuración y crear la cuenta de administrador avanzado, ve a la página de registro de Cloud Identity.
Si recibes un error cuando configuras la cuenta de administrador, consulta el error “La cuenta de Google ya existe”.
Verifica tu dominio y crea el recurso de tu organización
Cloud Identity requiere que verifiques que eres el propietario del dominio. Una vez que se complete la verificación, el recurso de organización de Google Cloud se creará automáticamente.
Asegúrate de haber creado una cuenta de administrador avanzado cuando configuraste tu proveedor de identidad.
Verifica tu dominio en Cloud Identity. Cuando completes el proceso de verificación, ten en cuenta lo siguiente:
- Cuando se te solicite, no hagas clic en Crear usuarios nuevos. Crearás usuarios nuevos en una tarea posterior.
- Si no puedes registrar tu dominio, consulta No puedo registrarme en un servicio de Google con mi dominio.
- La verificación puede tardar varias horas en procesarse.
Sigue los pasos que se indican en Verifica tu dominio.
Cuando termines los pasos de verificación del dominio, haz clic en Configurar la consola de Google Cloud ahora.
Accede a la consola de Google Cloud como el usuario administrador avanzado con la dirección de correo electrónico que especificaste. Por ejemplo, administrador-maria@example.com.
Ve a Configuración de Google Cloud: Organización. Tu organización se crea automáticamente.
Elige tu organización de la lista desplegable Elegir desde en la parte superior de la página.
Solicita licencias de usuario adicionales de Cloud Identity
La edición gratuita de Cloud Identity incluye una asignación de licencias de usuario. Si deseas ver los pasos para solicitar y ver licencias, consulta Límite de usuarios de Cloud Identity Free Edition.
Cliente de Workspace
Cliente existente de Google Workspace: Verifica tu dominio y habilita Cloud Identity
Si ya eres cliente de Google Workspace, verifica tu dominio, asegúrate de que se cree automáticamente el recurso de tu organización y, de forma opcional, habilita Cloud Identity.
Para verificar tu dominio en Google Workspace, consulta Verifica tu dominio. Cuando completes el proceso de verificación, ten en cuenta lo siguiente:
- Cuando se te solicite, no hagas clic en Crear usuarios nuevos. Crearás usuarios nuevos en una tarea posterior.
- Si no puedes registrar tu dominio, consulta No puedo registrarme en un servicio de Google con mi dominio.
- La verificación puede tardar varias horas en procesarse.
Accede a la consola de Google Cloud como el usuario administrador avanzado.
Ve a Configuración de Google Cloud: Organización.
Selecciona Soy cliente actual de Google Workspace.
Asegúrate de que el nombre de tu organización se muestre en la lista Organización.
Si deseas crear usuarios que accedan a Google Cloud, pero no reciban licencias de Google Workspace, haz lo siguiente:
En Google Workspace, habilita Cloud Identity.
Cuando configures Cloud Identity, Inhabilita las licencias automáticas de Google Workspace.
Cliente de Cloud Identity
Cliente de Cloud Identity existente: Verifica tu dominio
Si ya eres cliente de Cloud Identity, asegúrate de que verificaste tu dominio y de que el recurso de tu organización se creó automáticamente.
Para asegurarte de que verificaste tu dominio, consulta Verifica tu dominio. Cuando completes el proceso de verificación, ten en cuenta lo siguiente:
- Cuando se te solicite, no hagas clic en Crear usuarios nuevos. Crearás usuarios nuevos en una tarea posterior.
- Si no puedes registrar tu dominio, consulta No puedo registrarme en un servicio de Google con mi dominio.
- La verificación puede tardar varias horas en procesarse.
Accede a la consola de Google Cloud como el usuario administrador avanzado.
Ve a Configuración de Google Cloud: Organización.
Selecciona Soy cliente actual de Cloud Identity.
Asegúrate de que el nombre de tu organización se muestre en la lista Organización.
Asegúrate de que Cloud Identity esté habilitado en la Consola del administrador de Google: Suscripciones. Accede como un usuario administrador avanzado.
¿Qué sigue?
Usuarios y grupos
En esta tarea, crearás grupos de usuarios y cuentas de usuario administradas para los administradores de tu organización de Google Cloud.
Para obtener más información sobre la administración de accesos en Google Cloud, consulta los siguientes vínculos:
- Descripción general de Identity and Access Management (IAM)
- Para conocer prácticas recomendadas, consulta Administra la identidad y el acceso
Antes de comenzar
Busca y migra usuarios que ya tengan Cuentas de Google. Para obtener información detallada, consulta Agrega usuarios con cuentas no administradas.
Quiénes deben realizar esta tarea
Un administrador de identidades responsable de administrar el acceso a individuos o grupos de tu organización. Asignaste a esta persona como administrador avanzado en la tarea de Organización.
Qué debes hacer en esta tarea
En esta tarea, realizarás los siguientes procedimientos de administración de usuarios:
- Crear un grupo para cada función administrativa recomendada, que incluya la organización, la facturación y la administración de la red
- Crear cuentas de usuario para administradores
- Asignar usuarios a grupos administrativos que correspondan a sus responsabilidades
Puedes personalizar los permisos para cada grupo en una tarea posterior.
Por qué recomendamos esta tarea
Esta tarea te ayuda a implementar las siguientes prácticas recomendadas de seguridad:
Principio de privilegio mínimo: Otorga a los usuarios los permisos mínimos necesarios para ejercer su rol y quita el acceso cuando ya no sea necesario.
Control de acceso basado en roles (RBAC): Asigna permisos a grupos de usuarios según su puesto laboral. No agregues permisos a cuentas de usuario individuales.
Puedes usar grupos para aplicar roles de IAM de forma eficiente a una colección de usuarios. Esta práctica te ayuda a simplificar la administración de accesos.
Crea grupos administrativos
Un grupo es una colección de Cuentas de Google y cuentas de servicio que posee un nombre. Cada grupo tiene una dirección de correo electrónico única, como gcp-billing-admins@example.com. Puedes crear grupos para administrar usuarios y aplicar roles de IAM a gran escala.
Se recomiendan los siguientes grupos para ayudarte a administrar las funciones principales de tu organización y completar el proceso de configuración de Google Cloud.
Grupo | Descripción |
gcp-organization-admins
|
Administra todos los recursos de la organización. Asigna este rol solo a tus usuarios más confiables. |
gcp-billing-admins
|
Configura cuentas de facturación y supervisa el uso. |
gcp-network-admins
|
Crear redes de nube privada virtual, subredes y reglas de firewall. |
gcp-hybrid-connectivity-admins
|
Crea dispositivos de red, como instancias de Cloud VPN y Cloud Router. |
gcp-logging-admins
|
Usa todas las funciones de Cloud Logging. |
gcp-logging-viewers
|
Acceso de solo lectura a un subconjunto de registros. |
gcp-monitoring-admins
|
Los administradores de supervisión tienen acceso a todas las funciones de Cloud Monitoring. |
gcp-security-admins |
Establecer y administrar políticas de seguridad para toda la organización, incluida la administración de accesos y las políticas de restricciones de la organización. Consulta el plano de bases empresariales de Google Cloud para obtener más información para planificar la infraestructura de seguridad de Google Cloud. |
gcp-developers
|
Diseña, codifica y prueba aplicaciones. |
gcp-devops
|
Crea o administra canalizaciones de extremo a extremo que admitan integración y entrega continuas, supervisión y aprovisionamiento de sistemas. |
Para crear grupos administrativos, haz lo siguiente:
Accede a la consola de Google Cloud como la cuenta de administrador avanzado que creaste en la tarea de Organización.
Ve a Configuración de Google Cloud: Usuarios y grupos.
Revisa los detalles de la tarea y haz clic en Ir a Usuarios y grupos.
Revisa la lista de grupos administrativos recomendados y, luego, realiza una de las siguientes acciones:
- Para crear todos los grupos recomendados, haz clic en Crear todos los grupos.
- Si deseas crear un subconjunto de los grupos recomendados, haz clic en Crear en las filas seleccionadas.
Haga clic en Continuar.
Crea usuarios administradores
Te recomendamos que primero agregues usuarios que completen los procedimientos organizacionales, de redes, de facturación y de configuración. Puedes agregar otros usuarios después de completar el proceso de configuración de Google Cloud.
Para agregar usuarios administrativos que realizan tareas de configuración de Google Cloud, haz lo siguiente:
Migra cuentas personales a cuentas de usuario administradas controladas por Cloud Identity. Para obtener pasos detallados, consulta lo siguiente:
Accede a la Consola del administrador de Google con una cuenta de administrador avanzado.
Usa una de las siguientes opciones para agregar usuarios:
- Para agregar usuarios de forma masiva, consulta Agrega o actualiza varios usuarios desde un archivo CSV.
- Para agregar usuarios de forma individual, consulta Agrega una cuenta para un usuario nuevo.
Cuando termines de agregar usuarios, regresa a la configuración de Google Cloud: Usuarios y grupos (Crear usuarios).
Haga clic en Continuar.
Agrega usuarios administradores a grupos
Agrega los miembros que creaste a los grupos administrativos que corresponden a sus obligaciones.
En Configuración de Google Cloud: Usuarios y grupos (Agregar usuarios a grupos), revisa los detalles del paso.
En cada fila de Grupo, haz lo siguiente:
- Haz clic en Agregar miembros.
- Ingresa la dirección de correo electrónico del usuario.
En la lista desplegable Rol del grupo, selecciona la configuración de permisos del grupo del usuario. Para obtener más información, consulta Configura quién puede ver, publicar y moderar elementos.
Cada miembro hereda todos los roles de IAM que le otorgas a un grupo, sin importar el rol del grupo que selecciones.
Para agregar otro usuario a este grupo, haz clic en Agregar otro miembro y repite estos pasos.
Cuando termines de agregar usuarios a este grupo, haz clic en Guardar.
Cuando hayas terminado de agregar miembros a los grupos, haz clic en Confirmar usuarios y grupos.
¿Qué sigue?
Acceso de administrador
En esta tarea, usarás Identity and Access Management (IAM) para asignar colecciones de permisos a grupos de administradores a nivel de la organización. Este proceso les brinda a los administradores visibilidad y control central sobre cada recurso de la nube que pertenece a tu organización.
Para obtener una descripción general de Identity and Access Management en Google Cloud, consulta Descripción general de IAM.
Quiénes deben realizar esta tarea
Para llevar a cabo esta tarea, debes ser uno de los siguientes usuarios:
- Un usuario administrador avanzado
- Un usuario con el rol de Administrador de la organización (
roles/resourcemanager.organizationAdmin
).
Qué debes hacer en esta tarea
Revisa una lista de roles predeterminados asignados a cada grupo de administradores que creaste en la tarea Usuarios y grupos.
Si deseas personalizar un grupo, puedes hacer lo siguiente:
- Agregar o quitar roles
- Si no planeas usar un grupo, puedes borrarlo
Por qué recomendamos esta tarea
Debes otorgar de manera explícita todos los roles administrativos de tu organización. Esta tarea te ayuda a implementar las siguientes prácticas recomendadas de seguridad:
Principio de privilegio mínimo: Otorga a los usuarios los permisos mínimos necesarios para realizar sus trabajos y quita el acceso cuando ya no sea necesario.
Control de acceso basado en roles (RBAC): Asigna permisos a grupos de usuarios según sus trabajos. No se otorgan roles a cuentas de usuario individuales.
Antes de comenzar
Realice las siguientes tareas:
- Crea un usuario administrador avanzado y tu organización en la tarea Organización.
- Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
Otorga acceso a los grupos de administradores
Para otorgar el acceso adecuado a cada grupo de administradores que creaste en la tarea Usuarios y grupos, revisa los roles predeterminadas que se asignan a cada grupo. Puedes agregar o quitar roles para personalizar el acceso de cada grupo.
Asegúrate de haber accedido a la consola de Google Cloud como usuario administrador avanzado.
Como alternativa, puedes acceder como un usuario con el rol de administrador de la organización (
roles/resourcemanager.organizationAdmin
).Ve a Configuración de Google Cloud: Acceso de administrador.
Selecciona el nombre de tu organización de la lista desplegable Seleccionar de en la parte superior de la página.
Revisa la descripción general de la tarea y haz clic en Continuar con el acceso de administrador.
Revisa los grupos en la columna Grupo (principal) que creaste en la tarea Usuarios y grupos.
Para cada grupo, revisa los roles de IAM predeterminados. Puedes agregar o quitar roles asignados a cada grupo para que se adapten a las necesidades únicas de tu organización.
Cada rol contiene varios permisos que permiten a los usuarios realizar tareas relevantes. Para obtener más información sobre los permisos de cada rol, consulta Referencia de las roles básicos y predefinidos de IAM.
Cuando estés listo para asignar roles a cada grupo, haz clic en Guardar y otorgar acceso.
¿Qué sigue?
Configura la facturación
Facturación
En esta tarea, configurarás una cuenta de facturación para pagar los recursos de Google Cloud. Para hacerlo, debes asociar una de las siguientes opciones a tu organización.
Una cuenta de Facturación de Cloud existente. Si no tienes acceso a la cuenta, puedes solicitar acceso al administrador de tu cuenta de facturación
Una cuenta de Facturación de Cloud nueva
Para obtener más información sobre la facturación, consulta la Documentación de Facturación de Cloud.
Quiénes deben realizar esta tarea
Una persona en el grupo gcp-billing-admins@YOUR_DOMAIN
que creaste en la tarea Usuarios y grupos.
Qué debes hacer en esta tarea
- Crear o usar una cuenta de Facturación de Cloud existente con servicio automático
- Decidir si pasas de una cuenta de servicio automático a una cuenta facturada.
- Configurar una cuenta de Facturación de Cloud y una forma de pago
Por qué recomendamos esta tarea
Las cuentas de Facturación de Cloud se pueden vincular a uno o más proyectos de Google Cloud y se usan para pagar los recursos que uses, como máquinas virtuales, redes y almacenamiento.
Determina el tipo de cuenta de facturación
La cuenta de facturación que asocias a tu organización es uno de los siguientes tipos.
Con servicio automático (o en línea): Regístrate en línea con una tarjeta de crédito o débito. Recomendamos esta opción si tienes una empresa pequeña o una persona física. Cuando te registras en línea para una cuenta de facturación, tu cuenta se configura automáticamente como un tipo de cuenta con servicio automático.
Con facturación (o sin conexión): Si ya tienes una cuenta de facturación con servicio automático, es posible que cumplas con los requisitos para solicitar la facturación si tu empresa reúne los requisitos de elegibilidad.
No puedes crear una cuenta de facturación en línea, pero puedes aplicarla para convertir una cuenta con servicio automático en una cuenta con facturación.
Para obtener más información, consulta Tipos de cuentas de Facturación de Cloud.
Antes de comenzar
Realice las siguientes tareas:
- Crea un usuario administrador avanzado y tu organización en la tarea Organización.
- Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
- Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
Configura la cuenta de facturación
Ahora que elegiste un tipo de cuenta de facturación, asocia la cuenta de facturación a tu organización. Cuando completes este proceso, puedes usar tu cuenta de facturación para pagar los recursos de Google Cloud.
Accede a la consola de Google Cloud como un usuario del grupo
gcp-billing-admins@YOUR_DOMAIN
.Ve a Configuración de Google Cloud: Facturación.
Revisa la descripción general de la tarea y, luego, haz clic en Continuar con la facturación.
Selecciona una de las siguientes opciones de cuenta de facturación:
Crear una cuenta nueva
Si tu organización no tiene una cuenta existente, crea una nueva.
- Selecciona Quiero crear una cuenta de facturación nueva.
- Haga clic en Continuar.
Selecciona el tipo de cuenta de facturación que deseas crear. Para obtener pasos detallados, consulta lo siguiente:
- Para crear una nueva cuenta con servicio automático, consulta Crea una cuenta de Facturación de Cloud con servicio automático.
- Para realizar la transición de una cuenta con servicio automático a una con facturación, consulta Solicita la facturación mensual.
Verifica que se haya creado la cuenta de facturación:
Si creaste una cuenta de facturación, espera hasta 5 días hábiles para recibir la confirmación por correo electrónico.
Ir a la página de Facturación.
Selecciona tu organización en la lista Seleccionar una opción en la parte superior de la página. Si la cuenta se creó de forma correcta, aparecerá en la lista de cuentas de facturación.
Usa tu cuenta existente
Si tienes una cuenta de facturación existente, puedes asociarla con tu organización.
- Selecciona Encontré una cuenta de facturación en esta lista que me gustaría usar para completar los pasos de configuración.
- En la lista desplegable Facturación, selecciona la cuenta que deseas asociar con tu organización.
- Haga clic en Continuar.
- Revisa los detalles y haz clic en Confirmar cuenta de facturación.
Usa la cuenta de otro usuario
Si otro usuario tiene acceso a una cuenta de facturación existente, puedes pedirle que asocie la cuenta de facturación con tu organización o que te otorgue acceso para completar la asociación.
- Selecciona Quiero usar una cuenta de facturación administrada por otra cuenta de usuario de Google.
- Haga clic en Continuar.
- Ingresa la dirección de correo electrónico del administrador de la cuenta de facturación.
- Haz clic en Comunicarse con el administrador.
- Espera a que el administrador de la cuenta de facturación se comunique contigo para darte más instrucciones.
¿Qué sigue?
Crea una arquitectura inicial
Jerarquía y acceso
En esta tarea, configurarás la jerarquía de recursos a través de la creación y la asignación del acceso a los siguientes recursos:
- Carpetas
- Proporcionan un mecanismo de agrupación y límites de aislamiento entre proyectos. Por ejemplo, las carpetas pueden representar departamentos principales en la organización, como finanzas o venta minorista, o entornos, como producción o no producción.
- Proyectos
- Contienen tus recursos de Google Cloud, como máquinas virtuales, bases de datos y buckets de almacenamiento.
Si deseas obtener consideraciones de diseño y prácticas recomendadas para organizar tus recursos en proyectos, consulta Elige una jerarquía de recursos para tu zona de destino de Google Cloud.
Quiénes deben realizar esta tarea
Una persona del grupo gcp-organization-admins@YOUR_DOMAIN
que creaste en la tarea Usuarios y grupos puede realizar esta tarea.
Qué debes hacer en esta tarea
- Crea una estructura de jerarquía inicial que incluya carpetas y proyectos.
- Configura políticas de IAM para controlar el acceso a tus carpetas y proyectos.
Por qué recomendamos esta tarea
Crear una estructura para carpetas y proyectos te ayuda a administrar los recursos de Google Cloud y asignar el acceso en función de la forma en que opera tu organización. Por ejemplo, puedes organizar y proporcionar acceso a los recursos según la colección única de regiones geográficas, estructuras de subsidiarias o marcos de trabajo de responsabilidad de tu organización.
Planifica la jerarquía de recursos
La jerarquía de recursos te ayuda a crear límites y compartir recursos en tu organización para tareas comunes. Creas tu jerarquía usando una de las siguientes configuraciones iniciales, según la estructura de tu organización:
Simple y orientada al entorno:
- Aísla entornos como
Non-production
yProduction
. - Implementa políticas, requisitos regulatorios y controles de acceso distintos en cada carpeta de entorno
- Es excelente para empresas pequeñas con entornos centralizados.
- Aísla entornos como
Simple y orientada al equipo:
- Aísla equipos como
Development
yQA
. - Aísla el acceso a los recursos usando carpetas del entorno secundario en cada carpeta del equipo.
- Es excelente para empresas pequeñas con equipos autónomos.
- Aísla equipos como
Orientada al entorno:
- Prioriza el aislamiento de entornos como
Non-production
yProduction
. - En cada carpeta de entorno, aísla las unidades de negocios.
- En cada unidad de negocios, aísla a los equipos.
- Es excelente para grandes empresas con entornos centralizados.
- Prioriza el aislamiento de entornos como
Orientada a las unidades de negocios:
- Prioriza el aislamiento de las unidades de negocios, como
Human Resources
yEngineering
, para garantizar que los usuarios solo puedan acceder a los recursos y datos que necesitan. - En cada unidad de negocios, aísla a los equipos.
- En cada equipo, aísla los entornos.
- Es excelente para grandes empresas con equipos autónomos.
- Prioriza el aislamiento de las unidades de negocios, como
Cada configuración tiene una carpeta Common
para los proyectos que contienen recursos compartidos. Esto puede incluir proyectos de registro y supervisión.
Antes de comenzar
Realice las siguientes tareas:
- Crea un usuario administrador avanzado y tu organización en la tarea Organización.
- Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
- Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
- Crea o vincula una cuenta de facturación en la tarea Facturación.
Configura carpetas y proyectos iniciales
Selecciona la jerarquía de recursos que representa la estructura de la organización.
Para configurar carpetas y proyectos iniciales, haz lo siguiente:
Accede a la consola de Google Cloud como el usuario del grupo
gcp-organization-admins@YOUR_DOMAIN
que creaste en la tarea Usuarios y grupos.Elige tu organización de la lista desplegable Elegir desde en la parte superior de la página.
Ve a Configuración de Google Cloud: Jerarquía y acceso.
Revisa la descripción general de la tarea y, luego, haz clic en Iniciar junto a Jerarquía de recursos.
Selecciona una configuración inicial.
Haz clic en Continuar y configurar.
Personaliza la jerarquía de recursos para que refleje la estructura organizativa. Por ejemplo, puedes personalizar lo siguiente:
- Nombres de carpetas
Proyectos de servicio para cada equipo. Para otorgar acceso a los proyectos de servicio, puedes crear lo siguiente:
- Un grupo para cada proyecto de servicio
- Usuarios de cada grupo
Para obtener una descripción general de los proyectos de servicio, consulta VPC compartida.
Proyectos necesarios para la supervisión, el registro y las redes.
Proyectos personalizados
Haga clic en Continuar.
Otorga acceso a tus carpetas y proyectos
En la tarea Acceso de administrador, otorgaste acceso de administrador a grupos a nivel de la organización. En esta tarea, configurarás el acceso a los grupos que interactúan con tus carpetas y proyectos recién configurados.
Los proyectos, las carpetas y las organizaciones tienen sus propias políticas de IAM, que se heredan a través de la jerarquía de recursos:
- Organización: Las políticas se aplican a todas las carpetas y proyectos de la organización.
- Carpeta: Las políticas se aplican a los proyectos y a otras carpetas dentro de la carpeta.
- Proyecto: Las políticas se aplican solo a ese proyecto y sus recursos.
Actualiza las políticas de IAM para tus carpetas y proyectos:
En la sección Configura el control de acceso de Jerarquía y acceso, otorga a tus grupos acceso a tus carpetas y proyectos:
En la tabla, revisa la lista de roles de IAM recomendados que se otorgan a cada grupo para cada recurso.
Si deseas modificar los roles asignados a cada grupo, haz clic en Editar en la fila deseada.
Para obtener más información sobre cada rol, consulta Funciones básicas y predefinidas de IAM.
Haga clic en Continuar.
Revisa los cambios y haz clic en Confirmar configuración de borrador.
¿Qué sigue?
Configura una ubicación central para almacenar y analizar datos de registro.
Centralizar registros
En esta tarea, configurarás el registro para toda tu organización, incluidos los proyectos que creaste en una tarea anterior.
Quiénes deben realizar esta tarea
Debes tener uno de los siguientes roles:
- El rol de administrador de Logging (
roles/logging.admin
) - La membresía en el grupo
gcp-logging-admins@YOUR_DOMAIN
que creaste en la tarea Usuarios y grupos
Qué debes hacer en esta tarea
Organiza de forma central los registros que se crean en los proyectos de toda la organización para ayudar con la seguridad, la auditoría y el cumplimiento.
Por qué recomendamos esta tarea
El almacenamiento y la retención de registros simplifican el análisis y conservan tu registro de auditoría.
Antes de comenzar
Realice las siguientes tareas:
- Crea un usuario administrador avanzado y tu organización en la tarea Organización.
- Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
- Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
- Crea o vincula una cuenta de facturación en la tarea Facturación.
- Configura tu jerarquía y asigna el acceso en la tarea Jerarquía y acceso.
Organiza el registro de manera centralizada
Cloud Logging te ayuda a almacenar, buscar, analizar, supervisar los datos de registro y eventos de Google Cloud, así como a enviar alertas sobre ellos. También puedes recopilar y procesar registros de tus aplicaciones, recursos locales y otras nubes. Te recomendamos usar Cloud Logging para consolidar los registros en un solo bucket de registros.
Para obtener más información, consulta lo siguiente:
- Para obtener una descripción general, consulta Descripción general del enrutamiento y el almacenamiento.
- Para obtener información sobre el registro de recursos locales, consulta Registra recursos locales con BindPlane.
- Si deseas conocer los pasos para cambiar el filtro de registro después de implementar tu configuración, consulta Filtros de inclusión.
Para almacenar tus datos de registro en un bucket de registro central, haz lo siguiente:
Accede a la consola de Google Cloud con el usuario que identificaste en Quién realiza esta tarea.
Elige tu organización de la lista desplegable Elegir desde en la parte superior de la página.
Ve a Configuración de Google Cloud: Centralizar los registros.
Revisa la descripción general de la tarea y haz clic en Iniciar configuración del registro.
Revisa los detalles de la tarea.
Para enrutar registros a un bucket de registros central, asegúrate de que la opción Almacenar registros de auditoría de actividad del administrador a nivel de la organización en un bucket de registros esté seleccionada.
Expande Enruta registros a un bucket de registros de Logging y haz lo siguiente:
En el campo Nombre del bucket de registros, ingresa un nombre para el bucket de registro central.
En la lista Región del bucket de registros, selecciona la región en la que se almacenan los datos de registros.
Para obtener más información, consulta Ubicaciones de los buckets de registros.
Recomendamos almacenar registros durante 365 días. Para personalizar el período de retención, ingresa la cantidad de días en el campo Período de retención.
Los registros almacenados por más de 30 días generan un costo de retención. Para obtener más información, consulta Resumen de precios de Cloud Logging.
Exporta registros fuera de Google Cloud
Si deseas exportar registros a un destino fuera de Google Cloud, puedes exportar mediante Pub/Sub. Por ejemplo, si usas varios proveedores de servicios en la nube, puedes decidir exportar datos de registro de cada proveedor de servicios en la nube a una herramienta de terceros.
Puedes filtrar los registros que exportas para satisfacer tus necesidades y requisitos únicos. Por ejemplo, puedes optar por limitar los tipos de registros que exportas para controlar los costos o reducir el ruido en los datos.
Para obtener más información sobre la exportación de registros, consulta lo siguiente:
- Para obtener una descripción general, consulta ¿Qué es Pub/Sub?
- Para obtener información sobre los precios, consulta lo siguiente:
- Para obtener información sobre la transmisión a Splunk, consulta Implementa la transmisión de registros de Google Cloud a Splunk.
Para exportar registros, haz lo siguiente:
Haz clic en Transmitir tus registros a otras aplicaciones, otros repositorios o a terceros.
En el campo ID del tema de Pub/Sub, ingresa un identificador para el tema que contiene tus registros exportados. Para obtener información sobre cómo suscribirte a un tema, consulta Suscripciones de extracción.
Para evitar que se exporte uno de los siguientes registros recomendados, desmarca su casilla de verificación:
- Registros de auditoría de Cloud: actividad del administrador: llamadas a la API o acciones que modifican la configuración o los metadatos de los recursos.
- Registros de auditoría de Cloud: Evento del sistema: Acciones de Google Cloud que modifican la configuración de los recursos.
- Transparencia de acceso: Acciones que realizan los empleados de Google cuando acceden al contenido del cliente.
Selecciona los siguientes registros adicionales para exportarlos:
- Registros de auditoría de Cloud: acceso a los datos: llamadas a la API que leen la configuración o los metadatos de los recursos, y llamadas a la API controladas por el usuario que crean, modifican o leen datos de los recursos que proporciona el usuario.
- Registros de auditoría de Cloud: política denegada: rechazos de acceso al servicio de Google Cloud a las cuentas de usuario o de servicio, según los incumplimientos de la política de seguridad.
Para obtener información sobre cada tipo de registro, consulta Información sobre los Registros de auditoría de Cloud.
Completa la configuración de registro
Para completar la tarea de registro, haz lo siguiente:
Haga clic en Continuar.
Revisa los detalles de la configuración de registro y haz clic en Confirmar configuración del borrador.
La configuración de registro no se implementará hasta que la implementes en una tarea posterior.
¿Qué sigue?
Seguridad
En esta tarea, configurarás las opciones de seguridad y los productos para proteger tu organización.
Quiénes deben realizar esta tarea
Debes tener uno de los siguientes elementos para completar esta tarea:
- El rol de Administrador de la organización (
roles/resourcemanager.organizationAdmin
) - La membresía en uno de los siguientes grupos que creaste en la tarea Usuarios y grupos:
gcp-organization-admins@<your-domain>.com
gcp-security-admins@<your-domain>.com
Qué debes hacer en esta tarea
Aplica las políticas de la organización recomendadas según las siguientes categorías:
- Administración de accesos.
- Comportamiento de la cuenta de servicio.
- Configuración de la red de VPC.
También debes habilitar Security Command Center para centralizar los informes de vulnerabilidades y amenazas.
Por qué recomendamos esta tarea
Aplicar las políticas de la organización recomendadas te ayuda a limitar las acciones del usuario que no se alinean con tu postura de seguridad.
Habilitar Security Command Center te ayuda a crear una ubicación central para analizar vulnerabilidades y amenazas.
Antes de comenzar
Realice las siguientes tareas:
- Crea un usuario administrador avanzado y tu organización en la tarea Organización.
- Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
- Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
Inicia la tarea de seguridad
Accede a la consola de Google Cloud con el usuario que identificaste en Quién realiza esta tarea.
Elige tu organización en el menú desplegable Elegir desde en la parte superior de la página.
Ve a Configuración de Google Cloud: Seguridad.
Revisa la descripción general de la tarea y, luego, haz clic en Iniciar seguridad.
Centraliza los informes de vulnerabilidades y amenazas
Para centralizar los servicios de informes de vulnerabilidades y amenazas, habilita Security Command Center. Esto te ayuda a fortalecer tu postura de seguridad y mitigar los riesgos. Para obtener más información, consulta Descripción general de Security Command Center.
En la página Configuración de Google Cloud: Seguridad, asegúrate de que la casilla de verificación Habilitar Security Command Center: Estándar esté habilitada.
Esta tarea habilita el nivel Estándar gratuito. Puedes actualizar a la versión Premium más adelante. Para obtener más información, consulta Niveles de servicio de Security Command Center.
Haz clic en Aplicar configuraciones de Security Command Center.
Aplica las políticas de la organización recomendadas
Las políticas de la organización se aplican a nivel de la organización y se heredan a través de carpetas y proyectos. En esta tarea, revisa y aplica la lista de políticas recomendadas. Puedes cambiar las políticas de la organización en cualquier momento. Para obtener más información, consulta Introducción al Servicio de políticas de la organización.
Revisa la lista de políticas de la organización recomendadas. Si no quieres aplicar una política recomendada, haz clic en su casilla de verificación para quitarla.
Para obtener una explicación detallada de cada política de la organización, consulta Restricciones de las políticas de la organización.
Haz clic en Confirmar parámetros de configuración de las políticas de la organización.
Las políticas de la organización que selecciones se aplicarán cuando implementes tu configuración en una tarea posterior.
¿Qué sigue?
Redes de VPC
En esta tarea, configurarás tu red inicial, que puedes escalar a medida que cambian tus necesidades.
Arquitectura de nube privada virtual
Una red de nube privada virtual (VPC) es una versión virtual de una red física que se implementa dentro de la red de producción de Google. Una red de VPC es un recurso global que consta de subredes regionales.
Las redes de VPC proporcionan capacidades de redes a tus recursos de Google Cloud, como las instancias de máquina virtual de Compute Engine, las instancias de entorno flexible de App Engine y los contenedores de GKE.
La VPC compartida conecta recursos de varios proyectos a una red de VPC común para que puedan comunicarse entre sí a través de las direcciones IP internas de la red. En el siguiente diagrama, se muestra la arquitectura básica de una red de VPC compartida con proyectos de servicio adjuntos.
Cuando usas una VPC compartida, debes designar un proyecto host y adjuntarle uno o más proyectos de servicio. Las redes de nube privada virtual en el proyecto host se conocen como redes de VPC compartida.
En el diagrama de ejemplo, se incluyen proyectos host de producción y no producción, que contienen una red de VPC compartida. Puedes usar un proyecto host para administrar de forma centralizada lo siguiente:
- Rutas
- Firewalls
- Conexiones a VPN
- Subredes
Un proyecto de servicio es cualquier proyecto que se haya adjuntado a un proyecto host. Puedes compartir subredes, incluidos los rangos secundarios, entre los proyectos host y de servicio.
En esta arquitectura, cada red de VPC compartida contiene subredes públicas y privadas:
- Las instancias orientadas a Internet pueden usar la subred pública para la conectividad externa.
- Las instancias internas que no son direcciones IP públicas asignadas pueden usar la subred privada.
En esta tarea, crearás una configuración de red inicial basada en el diagrama de ejemplo.
Quiénes deben realizar esta tarea
Necesitas una de las siguientes opciones para realizar esta tarea:
- El rol
roles/compute.networkAdmin
- La inclusión en el grupo
gcp-network-admins@YOUR_DOMAIN
que creaste en la tarea Usuarios y grupos
Qué debes hacer en esta tarea
Crea una configuración de red inicial, que incluye lo siguiente:
- Crear varios proyectos host para reflejar tus entornos de desarrollo
- Crear una red de VPC compartida en cada proyecto host para permitir que recursos distintos compartan la misma red
- Crear subredes distintas en cada red de VPC compartida para proporcionar acceso a la red a los proyectos de servicio
Por qué recomendamos esta tarea
Los equipos distintos pueden usar la VPC compartida para conectarse a una red de VPC común administrada de forma central.
Antes de comenzar
Realice las siguientes tareas:
- Crea un usuario administrador avanzado y tu organización en la tarea Organización.
- Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
- Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
- Crea o vincula una cuenta de facturación en la tarea Facturación.
- Configura tu jerarquía y asigna el acceso en la tarea Jerarquía y acceso.
Configura la arquitectura de tu red
Crea la configuración inicial de la red con dos proyectos host para segmentar las cargas de trabajo de producción y no producción. Cada proyecto host contiene una red de VPC compartida, que pueden usar varios proyectos de servicio. Debes configurar los detalles de la red y, luego, implementar un archivo de configuración en una tarea posterior.
Para configurar tu red inicial, haz lo siguiente:
Accede a la consola de Google Cloud como un usuario del grupo
gcp-organization-admins@YOUR_DOMAIN
que creaste en la tarea Usuarios y grupos.Selecciona tu organización en la lista desplegable Seleccionar una organización en la parte superior de la página.
Ve a Configuración de Google Cloud: Redes.
Revisa la arquitectura de red predeterminada.
Para editar el nombre de la red, haz lo siguiente:
- Haz clic en more_vert Acciones.
- Selecciona Editar nombre de red.
- En el campo Nombre de la red, ingresa letras minúsculas, números o guiones. El nombre de la red no puede superar los 25 caracteres.
- Haz clic en Guardar.
Modifica los detalles del firewall
Las reglas predeterminadas de firewall del proyecto host se basan en las prácticas recomendadas. Puedes inhabilitar una o más de las reglas de firewall predeterminadas. Para obtener información general sobre las reglas de firewall, consulta Reglas de firewall de VPC.
Para modificar la configuración del firewall, haz lo siguiente:
Haz clic en more_vert Acciones.
Selecciona Editar reglas de firewall.
Para obtener información detallada sobre cada regla de firewall predeterminada, consulta Reglas prepropagadas en la red predeterminada.
Para inhabilitar una regla de firewall, desmarca la casilla de verificación correspondiente.
Para inhabilitar el registro de reglas de firewall, haz clic en Desactivar.
De forma predeterminada, el tráfico desde y hacia las instancias de Compute Engine se registra para auditoría. Este proceso genera costos. Para obtener más información, consulta Registro de reglas de firewall.
Haz clic en Guardar.
Modifica los detalles de la subred
Cada red de VPC contiene al menos una subred, que es un recurso regional con un rango de direcciones IP asociado. En esta configuración multirregional, debes tener al menos dos subredes con rangos de IP que no se superpongan.
Para obtener más información, consulta Subredes.
Cada subred se configura con las prácticas recomendadas. Si deseas personalizar cada subred, haz lo siguiente:
- Haz clic en more_vert Acciones.
- Selecciona Editar subredes.
- En el campo Nombre, ingresa letras minúsculas, números o guiones. El nombre de la subred no puede superar los 25 caracteres.
En el menú desplegable Región, selecciona una región que esté cerca de tu punto de servicio.
Recomendamos una región diferente para cada subred. No puedes cambiar la región después de implementar tu configuración. Si deseas obtener información para elegir una región, consulta Recursos regionales.
En el campo Rango de direcciones IP, ingresa un rango en notación CIDR, por ejemplo, 10.0.0.0/24.
El rango que ingresas no debe superponerse con otras subredes de esta red. Para obtener información sobre los rangos válidos, consulta Rangos de subredes IPv4.
Repite estos pasos para la subred 2.
Para configurar subredes adicionales en esta red, haz clic en Agregar subred y repite estos pasos.
Haz clic en Guardar.
Tus subredes se configuran automáticamente según las prácticas recomendadas. Si deseas modificar la configuración, en la página Configuración de Google Cloud: Redes de VPC, haz lo siguiente:
Para desactivar los registros de flujo de VPC, en la columna Registros de flujo, selecciona Desactivados.
Cuando los registros de flujo están activados, cada subred registra los flujos de red que puedes analizar para seguridad, optimización de gastos y otros fines. Para obtener más información, consulta Usa los registros de flujo de VPC.
Los registros de flujo de VPC generan costos. Para obtener más información, consulta Precios de la nube privada virtual.
Para desactivar el Acceso privado a Google, selecciona Desactivado en la columna Acceso privado.
Cuando el Acceso privado a Google está activado, las instancias de VM que no tienen direcciones IP externas pueden acceder a los servicios y las APIs de Google. Para obtener más información, consulta Acceso privado a Google.
Para activar Cloud NAT, en la columna Cloud NAT, selecciona Activado.
Cuando Cloud NAT está activado, ciertos recursos pueden crear conexiones salientes a Internet. Para obtener más información, consulta Descripción general de Cloud NAT.
Cloud NAT genera costos. Para obtener más información, consulta Precios de la nube privada virtual.
Haz clic en Continuar con la vinculación de proyectos de servicio.
Vincula proyectos de servicio a tus proyectos host
Un proyecto de servicio es cualquier proyecto que se haya adjuntado a un proyecto host. Este adjunto permite que el proyecto de servicio participe en la VPC compartida. Diferentes departamentos o equipos pueden operar y administrar cada proyecto de servicio para crear una separación de responsabilidades.
Para obtener más información sobre cómo conectar varios proyectos a una red de VPC común, consulta Descripción general de la VPC compartida.
Para vincular proyectos de servicio a tus proyectos host y completar la configuración, haz lo siguiente:
En cada subred de la tabla Redes de VPC compartidas, selecciona un proyecto de servicio para conectarte. Para hacerlo, selecciona una opción en el menú desplegable Seleccionar un proyecto en la columna Proyecto de servicio.
Puedes conectar un proyecto de servicio a varias subredes.
Haz clic en Continuar con la revisión.
Revisa tu configuración y realiza los cambios.
Puedes realizar modificaciones hasta que implementes el archivo de configuración.
Haz clic en Confirmar configuración de borrador. La configuración de red se agrega a tu archivo de configuración.
No se implementará la red hasta que implementes el archivo de configuración en una tarea posterior.
¿Qué sigue?
Configura la conectividad híbrida, que te ayuda a conectar servidores locales o cualquier otro proveedor de servicios en la nube a Google Cloud.
Conectividad híbrida
En esta tarea, establecerás conexiones entre tus redes de intercambio de tráfico (locales o en otra nube) y tus redes de Google Cloud, como se muestra en el siguiente diagrama.
Este proceso crea una VPN con alta disponibilidad, que es una solución de alta disponibilidad (HA) que puedes crear con rapidez para transmitir datos a través de la Internet pública.
Después de implementar tu configuración de Google Cloud, te recomendamos crear una conexión más sólida con Cloud Interconnect.
Para obtener más información sobre las conexiones entre redes de intercambio de tráfico y Google Cloud, consulta los siguientes recursos:
Quiénes deben realizar esta tarea
Debes tener el rol Administrador de la organización (roles/resourcemanager.organizationAdmin
).
Qué debes hacer en esta tarea
Crea conexiones de baja latencia y alta disponibilidad entre tus redes de VPC y tus redes locales o de otras nubes. Debes configurar los siguientes componentes:
- Puerta de enlace de VPN con alta disponibilidad de Google Cloud: Un recurso regional que tiene dos interfaces, cada una con su propia dirección IP. Debes especificar el tipo de pila de IP, que determina si el tráfico IPv6 es compatible con tu conexión. Para obtener información general, consulta VPN con alta disponibilidad.
- Puerta de enlace de VPN de intercambio de tráfico: Es la puerta de enlace en tu red de intercambio de tráfico a la que se conecta la puerta de enlace de VPN con alta disponibilidad de Google Cloud. Ingresa las direcciones IP externas que usa la puerta de enlace de intercambio de tráfico para conectarse a Google Cloud. Para obtener más información general, consulta Configura la puerta de enlace de VPN de intercambio de tráfico.
- Cloud Router: Usa el protocolo de puerta de enlace de frontera (BGP) para intercambiar rutas de forma dinámica entre tus redes de VPC y de intercambio de tráfico. Debes asignar un número de sistema autónomo (ASN) como identificador para tu Cloud Router y especificar el ASN que usa tu router de intercambio de tráfico. Si quieres obtener información general, consulta Crea un Cloud Router para conectar una red de VPC a una red de intercambio de tráfico.
- Túneles VPN: Conectan la puerta de enlace de Google Cloud a la puerta de enlace de intercambio de tráfico. Debes especificar el protocolo de intercambio de claves de Internet (IKE) que se usará para establecer el túnel. Puedes ingresar tu propia clave IKE generada previamente o generar y copiar una nueva. Para obtener información general, consulta Configura IKE.
Por qué recomendamos esta tarea
Una VPN con alta disponibilidad proporciona una conexión segura y con alta disponibilidad entre tu infraestructura existente y Google Cloud.
Antes de comenzar
Realice las siguientes tareas:
- Crea un usuario administrador avanzado y tu organización en la tarea Organización.
- Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
- Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
- Crea o vincula una cuenta de facturación en la tarea Facturación.
- Configura tu jerarquía y asigna el acceso en la tarea Jerarquía y acceso.
- Configura tu red en la tarea Redes de VPC.
Recopila la siguiente información de tu administrador de red de intercambio de tráfico:
- Nombre de la puerta de enlace de la VPN de intercambio de tráfico: Es la puerta de enlace a la que se conecta tu Cloud VPN.
- Dirección IP de la interfaz de intercambio de tráfico 0: Es una dirección IP externa en la puerta de enlace de la red de intercambio de tráfico.
- Dirección IP de la interfaz de intercambio de tráfico 1: Es una segunda dirección externa. También, puedes volver a usar la dirección IP 0 si tu red de intercambio de tráfico solo tiene una dirección IP externa.
- Número de sistema autónomo (ASN) de intercambio de tráfico: Es un identificador único asignado a tu router de red de intercambio de tráfico.
- ASN de Cloud Router: Es un identificador único que asignarás a tu Cloud Router.
- Claves de intercambio de claves de Internet (IKE): Son las claves que usas para establecer dos túneles VPN con tu puerta de enlace de VPN de intercambio de tráfico. Si no tienes claves existentes, puedes generarlas durante esta configuración y, luego, aplicarlas a tu puerta de enlace de intercambio de tráfico.
Configura tus conexiones
Haz lo siguiente para conectar las redes de VPC a las redes de intercambio de tráfico:
Accede como un usuario con el rol de Administrador de la organización.
Elige tu organización de la lista desplegable Elegir desde en la parte superior de la página.
Ve a Configuración de Google Cloud: Conectividad híbrida.
Para revisar los detalles de la tarea, haz lo siguiente:
Revisa la descripción general de la tarea y haz clic en Iniciar conectividad híbrida.
Haz clic en cada pestaña para obtener información sobre la conectividad híbrida y haz clic en Continuar.
Consulta qué sucede en cada paso de la tarea y haz clic en Continuar.
Revisa la información de configuración de la puerta de enlace de intercambio de tráfico que debes recopilar y haz clic en Continuar.
En el área Conexiones híbridas, identifica las redes de VPC que quieres conectar, según las necesidades de tu empresa.
En la fila de la primera red que elegiste, haz clic en Configurar.
En el área Descripción general de la configuración, lee la descripción y haz clic en Siguiente.
En el área de la puerta de enlace de VPN con alta disponibilidad de Google Cloud, haz lo siguiente:
En el campo Nombre de la puerta de enlace de Cloud VPN, ingresa hasta 60 caracteres con letras minúsculas, números y guiones.
En el área Tipo de pila de IP interna del túnel VPN, selecciona uno de los siguientes tipos de pila:
- IPv4 e IPv6 (recomendado): Puede admitir tráfico IPv4 e IPv6. Recomendamos este parámetro de configuración si planeas permitir el tráfico IPv6 en tu túnel.
- IPv4: Solo puede admitir tráfico IPv4.
El tipo de pila determina el tipo de tráfico permitido en el túnel entre tu red de VPC y tu red de intercambio de tráfico. No puedes modificar el tipo de pila después de crear la puerta de enlace. Para obtener información general, consulta los siguientes recursos:
Haz clic en Siguiente.
En el área Puerta de enlace de VPN de intercambio de tráfico, haz lo siguiente:
En el campo Nombre de la puerta de enlace de VPN de intercambio de tráfico, ingresa el nombre que proporcionó tu administrador de red de intercambio de tráfico. Puedes ingresar hasta 60 caracteres con letras minúsculas, números y guiones.
En el campo Dirección IP de la interfaz de intercambio de tráfico 0, ingresa la dirección IP externa de la interfaz de puerta de enlace de intercambio de tráfico que proporcionó tu administrador de red de intercambio de tráfico.
En el campo Dirección IP de la interfaz de intercambio de tráfico 1, realiza una de las siguientes acciones:
- Si la puerta de enlace de intercambio de tráfico tiene una segunda interfaz, ingresa su dirección IP.
- Si la puerta de enlace de intercambio de tráfico solo tiene una interfaz, ingresa la misma dirección que ingresaste en la Dirección IP de la interfaz de intercambio de tráfico 0.
Para obtener información general, consulta Configura la puerta de enlace de VPN de intercambio de tráfico.
Haz clic en Siguiente.
En el área Cloud Router, haz lo siguiente:
En el campo ASN de Cloud Router, ingresa el número de sistema autónomo que quieres asignarle a tu Cloud Router, como lo proporciona tu administrador de red de intercambio de tráfico. Para obtener información general, consulta Crea un Cloud Router.
En el campo ASN del router de intercambio de tráfico, ingresa el Número de sistema autónomo del router de la red de intercambio de tráfico, que proporcionó el administrador de la red de intercambio de tráfico.
En el área Túnel VPN 0, haz lo siguiente:
En el campo Nombre del túnel 0, ingresa hasta 60 caracteres con letras minúsculas, números y guiones.
En el área Versión de IKE, selecciona una de las siguientes opciones:
- IKEv2 (recomendado): Admite el tráfico IPv6.
- IKEv1: Usa este parámetro de configuración si no planeas permitir el tráfico IPv6 en el túnel.
Para obtener información general, consulta Configura túneles VPN.
En el campo clave precompartida IKE, ingresa la clave que usas en la configuración de la puerta de enlace de intercambio de tráfico, como lo proporciona el administrador de la red de intercambio de tráfico. Si no tienes una clave existente, puedes hacer clic en Generar y copiar y, luego, darle la clave al administrador de tu red de intercambio de tráfico.
En el área Túnel VPN 1, repite el paso anterior para aplicar la configuración del segundo túnel. Configura este túnel para obtener redundancia y capacidad de procesamiento adicional.
Haz clic en Guardar.
Repite estos pasos para cualquier otra red de VPC que desees conectar a tu red de intercambio de tráfico.
Después de la implementación
Después de implementar la configuración de Google Cloud, completa los siguientes pasos para asegurarte de que la conexión de red esté completa:
Trabaja con el administrador de red de intercambio de tráfico para alinear la red de intercambio de tráfico con la configuración de conectividad híbrida. Después de la implementación, se proporcionan instrucciones específicas para tu red de intercambio de tráfico, incluidas las siguientes:
- Configuración de túnel
- Configuración de firewall
- Configuración del IKE
Valida las conexiones de red que creaste. Por ejemplo, puedes usar Network Intelligence Center para verificar la conectividad entre redes. Para obtener más información, consulta la descripción general de las pruebas de conectividad.
Si las necesidades de tu empresa requieren una conexión más sólida, usa Cloud Interconnect. Para obtener más información, consulta Elige un producto de Conectividad de red.
¿Qué sigue?
Implementa la configuración, lo que incluye la configuración de la jerarquía y el acceso, el registro, la red y la conectividad híbrida.
Implementa la configuración
Implementar o descargar
Cuando completes el proceso de configuración de Google Cloud, los parámetros de configuración de las siguientes tareas se compilarán en archivos de configuración de Terraform:
Para aplicar tu configuración, revisa tus selecciones y elige un método de implementación.
Quiénes deben realizar esta tarea
Una persona en el grupo gcp-organization-admins@YOUR_DOMAIN
que creaste en la tarea Usuarios y grupos.
Qué debes hacer en esta tarea
Implementar archivos de configuración para aplicarlos.
Por qué recomendamos esta tarea
Debes implementar archivos de configuración para aplicar la configuración que seleccionaste.
Antes de comenzar
Debes completar las siguientes tareas:
- Crea un usuario administrador avanzado y tu organización en la tarea Organización.
- Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
- Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
- Crea o vincula una cuenta de facturación en la tarea Facturación.
- Configura tu jerarquía y asigna el acceso en la tarea Jerarquía y acceso.
Se recomiendan las siguientes tareas:
- Consolidar los datos de registro en una sola ubicación en la tarea Centralizar el registro
- Fortalecer tu postura de seguridad a través de la configuración de servicios sin costo en la tarea Seguridad
- Configurar tu red inicial en la tarea Redes de VPC
- Conectar redes de intercambio de tráfico a Google Cloud en la tarea Conectividad híbrida
Revisa los detalles de tu configuración
Haz lo siguiente para asegurarte de que se haya completado la configuración:
Accede a la consola de Google Cloud como un usuario del grupo
gcp-organization-admins@YOUR_DOMAIN
que creaste en la tarea Usuarios y grupos.Elige tu organización de la lista desplegable Elegir desde en la parte superior de la página.
Ve a Configuración de Google Cloud: Implementar o descargar.
Revisa los parámetros de configuración que seleccionaste. Haz clic en cada una de las siguientes pestañas y revisa tu configuración:
- Jerarquía y acceso a recursos
- Logging
- Seguridad
- Redes de VPC
- Conectividad híbrida
Implementa la configuración
Ahora que ya revisaste los detalles de la configuración, usa una de las siguientes opciones:
Implementa directamente desde la consola: Usa esta opción si no tienes un flujo de trabajo de implementación de Terraform existente y deseas un método de implementación simple. Puedes realizar la implementación con este método solo una vez.
Descarga y, luego, implementa el archivo de Terraform: Usa esta opción si deseas automatizar la administración de recursos usando un flujo de trabajo de implementación de Terraform. Puedes descargar el archivo y, luego, implementarlo usando este método varias veces.
Implementa con una de las siguientes opciones:
Implementar directamente
Si no tienes un flujo de trabajo de Terraform existente y deseas una implementación única y sencilla, puedes realizar la implementación directamente desde la consola.
Haz clic en Implementar directamente.
Espera varios minutos hasta que se complete la implementación.
Si la implementación falla, haz lo siguiente:
- Para volver a intentar la implementación, haz clic en Volver a intentar el proceso.
- Si la implementación falla después de varios intentos, puedes comunicarte con un administrador para obtener ayuda. Para ello, haz clic en Comunicarse con el administrador de la organización.
Descarga e implementa
Si deseas iterar en la implementación con el flujo de trabajo de implementación de Terraform, descarga y, luego, implementa archivos de configuración.
Para descargar el archivo de configuración, haz clic en Descargar como Terraform.
El paquete que descargas contiene archivos de configuración de Terraform según la configuración que seleccionaste en las siguientes tareas:
- Jerarquía y acceso
- Centralizar registros
- Seguridad
- Redes de VPC
- Conectividad híbrida
Si solo deseas implementar archivos de configuración relevantes para tus responsabilidades, puedes evitar la descarga de archivos irrelevantes. Para ello, desmarca las casillas de verificación de los archivos de configuración que no necesitas.
Haz clic en Descargar. Se descarga un paquete
terraform.tar.gz
que incluye los archivos seleccionados en tu sistema de archivos local.Para ver los pasos de implementación detallados, consulta Implementa la base con Terraform descargado de la consola.
¿Qué sigue?
Aplica la configuración de supervisión y asistencia
Supervisión
Cloud Monitoring se configura automáticamente para tus proyectos de Google Cloud. En esta tarea, aprenderás sobre las prácticas recomendadas de supervisión opcionales.
Antes de comenzar
Realice las siguientes tareas:
- Crea un usuario administrador avanzado y tu organización en la tarea Organización.
- Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
- Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
Quiénes deben realizar esta tarea
Una persona en el grupo gcp-monitoring-admins@YOUR_DOMAIN
que creaste en la tarea Usuarios y grupos.
Qué debes hacer en esta tarea
Revisar e implementar las prácticas recomendadas de supervisión opcionales.
Por qué recomendamos esta tarea
Puedes implementar las prácticas recomendadas de supervisión para hacer lo siguiente:
- Facilitar la colaboración entre los usuarios que supervisan tu organización
- Supervisar tu infraestructura de Google Cloud en un solo lugar
- Recopilar métricas y registros importantes de la aplicación
Revisa e implementa las prácticas recomendadas de supervisión
Cloud Monitoring recopila métricas, eventos y metadatos de los servicios de Google Cloud, monitores sintéticos, instrumentación de la aplicación y otros componentes comunes de la aplicación. Cloud Monitoring se configura automáticamente para tus proyectos de Google Cloud.
En esta tarea, puedes implementar las siguientes prácticas recomendadas para compilar en la configuración predeterminada de Cloud Monitoring.
Para facilitar la colaboración, crea una política de la organización que otorgue el rol de visualizador de Monitoring a cada principal de la organización para cada proyecto.
Para supervisar tu infraestructura de Google Cloud en un solo lugar, configura un proyecto para leer métricas de varios proyectos de Google Cloud usando permisos de métricas.
Si deseas recopilar métricas y registros de aplicaciones para máquinas virtuales, haz lo siguiente:
- Para Compute Engine, instala el Agente de operaciones.
- Para Google Kubernetes Engine (GKE), configura Google Cloud Managed Service para Prometheus.
¿Qué sigue?
Asistencia
En esta tarea, elegirás un plan de asistencia que se adapte a las necesidades de tu empresa.
Quiénes deben realizar esta tarea
Una persona en el grupo gcp-organization-admins@YOUR_DOMAIN
creado en la tarea Usuarios y grupos.
Qué debes hacer en esta tarea
Elige un plan de asistencia según las necesidades de tu empresa.
Por qué recomendamos esta tarea
Un plan de asistencia premium proporciona asistencia para las operaciones fundamentales de tu empresa para solucionar problemas con rapidez con la ayuda de expertos de Google Cloud.
Elige una opción de asistencia
Obtén asistencia básica automáticamente, que incluye acceso a los siguientes recursos:
Recomendamos que los clientes empresariales se registren en la Asistencia premium, ya que ofrece asistencia técnica personalizada de ingenieros de Atención al cliente de Google. Para comparar los planes de asistencia, consulta Atención al cliente de Google Cloud.
Antes de comenzar
Realice las siguientes tareas:
- Crea un usuario administrador avanzado y tu organización en la tarea Organización.
- Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
- Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
Habilita la asistencia
Identifica y selecciona una opción de asistencia.
Revisa y selecciona un plan de asistencia. Para obtener más información, consulta la Atención al cliente de Google Cloud.
Accede a la consola de Google Cloud con el usuario del grupo
gcp-organization-admins@<your-domain>.com
que creaste en la tarea Usuarios y grupos.Ve a Configuración de Google Cloud: Asistencia.
Revisa los detalles de la tarea y haz clic en Ver ofertas de asistencia para seleccionar una opción de asistencia.
Después de configurar la opción de asistencia, regresa a la página Configuración de Google Cloud: Asistencia y haz clic en Marcar tarea como completada.
¿Qué sigue?
Ahora que completaste la configuración de Google Cloud, está todo listo para extender la configuración inicial, implementar soluciones compiladas previamente y migrar tus flujos de trabajo existentes. Para obtener más información, consulta Extiende tu configuración inicial y comienza a compilar.