在 Google Cloud 上运行生产工作负载之前,我们建议您配置初始基础来支持您的工作。Google Cloud 设置可帮助管理员配置 Google Cloud,以运行可扩缩的工作负载。设置过程将引导您完成交互式步骤,从而帮助您创建遵循最佳实践的基础架构。
根据您的业务需求,您可以快速部署默认配置,也可以在设置过程中进行调整。根据您偏好的部署工作流,您可以直接从控制台部署配置,也可以下载并部署 Terraform 以与您自己的基础设施即代码 (IaC) 流程集成。
本文档包括帮助您完成设置过程的步骤和背景信息,您也可以在 Google Cloud 控制台中以交互式指南的形式查看此文档:
设置过程包括以下阶段:
建立组织、管理员和结算:设置层次结构的顶级节点,创建初始管理员用户,并关联付款方式。
创建初始架构:选择初始文件夹和项目结构,分配访问权限,配置日志记录,应用安全设置,以及设置网络。
部署设置:您的初始架构选项将在 Terraform 配置文件中编译。您可以通过 Google Cloud 控制台快速部署,也可以下载文件以使用您自己的工作流进行自定义和迭代。
应用监控和支持设置:应用建议的监控和支持设置,以增强您的架构。
建立组织、管理员和结算
组织
Google Cloud 中的组织资源代表您的企业,是层次结构的顶级节点。如需创建组织,您需要设置 Google Identity 服务,并将其与您的域名关联。完成此过程后,系统会自动创建组织资源。
如需大致了解组织资源,请参阅以下内容:
谁执行此任务
以下两个管理员执行此任务:
负责分配基于角色的访问权限的身份管理员。您可以将此人指定为 Cloud Identity 超级用户。如需详细了解超级用户,请参阅预先创建的管理员角色。
有权访问公司的域名托管服务商的网域管理员。此人会在域名验证流程中修改您的网域设置,例如 DNS 配置。
您在此任务中执行的操作
- 设置 Cloud Identity,为超级用户创建受管用户账号(如果您尚未设置)。
- 将 Cloud Identity 关联到您的网域(例如 example.com)。example.com
- 验证域名。此过程会创建资源层次结构的根节点,称为组织资源。
我们为何建议执行此任务
您必须在 Google Cloud 基础中配置以下内容:
- 用于集中管理身份的 Google Identity 服务。
- 用于建立层次结构的根节点和访问权限控制的组织资源。
Google Identity 服务选项
您可以使用以下任一 Google Identity 服务或同时使用两者来管理 Google Cloud 用户的凭据:
- Cloud Identity:集中管理用户和群组。您可以在 Google 与其他身份提供方之间联合身份。如需了解详情,请参阅 Cloud Identity 概览。
- Google Workspace:管理用户和群组,并提供对效率和协作产品(如 Gmail 和 Google 云端硬盘)的访问权限。如需了解详情,请参阅 Google Workspace。
如需详细了解身份规划,请参阅为公司身份规划新手入门流程。
准备工作
如需了解如何管理超级用户账号,请参阅超级用户账号最佳实践。
配置身份提供方并验证您的域名
您在此任务中需要完成的步骤取决于您是新客户还是现有客户。确定符合您需求的选项:
新客户:设置 Cloud Identity,验证您的域名并创建组织。
现有 Google Workspace 客户:将 Google Workspace 用作访问 Google Workspace 和 Google Cloud 的用户的身份提供方。如果您打算创建仅访问 Google Cloud 的用户,请启用 Cloud Identity。
现有 Cloud Identity 客户:验证您的域名,确保您的组织已创建,并确认 Cloud Identity 已启用。
新客户
新客户:设置 Cloud Identity 并创建组织
如需创建组织资源,请先设置 Cloud Identity,它可帮助您管理访问 Google Cloud 资源的用户和群组。
在此任务中,您将设置 Cloud Identity 免费版。您可以在完成初始设置后启用 Cloud Identity 专业版。如需了解详情,请参阅比较 Cloud Identity 功能和版本。
确定在您的组织中担任 Cloud Identity 管理员(也称为超级用户)的人员
按以下格式记录管理员的用户名:admin-name@example.com。例如 admin-maria@example.com。创建第一个管理员用户时,请指定此用户名。
如需完成设置过程并创建超级用户账号,请打开 Cloud Identity 注册页面。
如果您在设置管理员账号时收到错误消息,请参阅“Google 账号已存在”错误。
验证您的域名并创建组织资源
Cloud Identity 要求您验证自己是域名所有者。验证完成后,系统会自动为您创建 Google Cloud 组织资源。
确保您已在配置身份提供方时创建了超级用户账号。
在 Cloud Identity 中验证您的域名。完成验证流程时,请注意以下事项:
- 出现提示时,请不要点击“创建新用户”。您将在后续任务中创建新用户。
- 如果您无法注册域名,请参阅我无法使用自己的域名注册 Google 服务。
- 验证过程可能需要几个小时才能完成。
如需了解验证域名的步骤,请参阅验证您的域名。
完成域名验证步骤后,点击立即设置 Google Cloud 控制台。
使用您指定的电子邮件地址以超级用户身份登录 Google Cloud 控制台。例如,admin-maria@example.com。
进入 Google Cloud 设置:组织。您的组织会自动创建。
从页面顶部的请选择下拉列表中选择您的组织。
申请更多 Cloud Identity 用户许可
Cloud Identity 免费版具有用户许可配额。如需了解查看和申请许可的步骤,请参阅 Cloud Identity 免费版的用户数上限。
Workspace 客户
现有 Google Workspace 客户:验证您的域名并启用 Cloud Identity
如果您是现有 Google Workspace 客户,请验证您的域名,确保组织资源已自动创建,并视情况启用 Cloud Identity。
如需在 Google Workspace 中验证您的域名,请参阅验证您的域名。完成验证流程时,请注意以下事项:
- 出现提示时,请不要点击“创建新用户”。您将在后续任务中创建新用户。
- 如果您无法注册域名,请参阅我无法使用自己的域名注册 Google 服务。
- 验证过程可能需要几个小时才能完成。
以超级用户身份登录 Google Cloud 控制台。
进入 Google Cloud 设置:组织。
选择我已经是 Google Workspace 客户。
确保您的组织名称显示在组织列表中。
如果您要创建访问 Google Cloud 的用户,但未收到 Google Workspace 许可,请执行以下操作。
在 Google Workspace 中,启用 Cloud Identity。
设置 Cloud Identity 时,请停用自动分配 Google Workspace 许可的功能。
Cloud Identity 客户
现有 Cloud Identity 客户:验证您的域名
如果您是现有 Cloud Identity 客户,请确保您已验证您的域名,并且组织资源已自动创建。
如需确保您已验证域名,请参阅验证您的域名。完成验证流程时,请注意以下事项:
- 出现提示时,请不要点击“创建新用户”。您将在后续任务中创建新用户。
- 如果您无法注册域名,请参阅我无法使用自己的域名注册 Google 服务。
- 验证过程可能需要几个小时才能完成。
以超级用户身份登录 Google Cloud 控制台。
进入 Google Cloud 设置:组织。
选择我已经是 Cloud Identity 客户。
确保您的组织名称显示在组织列表中。
确保已在 Google 管理控制台:订阅中启用 Cloud Identity。以超级用户身份登录。
后续步骤
用户和群组
在此任务中,您将为您的 Google Cloud 组织中的管理员创建用户群组和受管用户账号。
如需详细了解 Google Cloud 上的访问管理,请参阅以下内容:
- Identity and Access Management (IAM) 概览。
- 如需了解最佳实践,请参阅管理身份和访问权限。
准备工作
查找并迁移已有 Google 账号的用户。如需了解详情,请参阅添加使用非受管账号的用户。
谁执行此任务
负责管理组织中个人或群组访问权限的身份管理员。您已将此人指定为组织任务中的超级用户。
您在此任务中执行的操作
在此任务中,您将执行以下用户管理流程:
- 为每个建议的管理功能(包括组织、结算和网络管理)创建一个群组。
- 为管理员创建用户账号。
- 将用户分配到与其职责相对应的管理员群组。
您可以在后续任务中为每个群组自定义权限。
我们为何建议执行此任务
此任务可帮助您实现以下安全最佳实践:
最小权限原则:为用户提供执行其角色所需的最低权限,并在不再需要时立即移除访问权限。
基于角色的访问控制 (RBAC):根据用户的工作角色为用户群组分配权限。请不要向个别用户账号添加权限。
您可以使用群组高效地将 IAM 角色应用于一组用户。这种做法可帮助您简化访问管理。
创建管理员群组
群组是 Google 账号和服务账号的指定集合。每个群组都有一个唯一的电子邮件地址,例如 gcp-billing-admins@example.comgcp-billing-admins@example.com。您可以创建群组来管理用户和大规模应用 IAM 角色。
建议您使用以下群组来帮助管理组织的核心功能并完成 Google Cloud 设置过程。
组 | 说明 |
gcp-organization-admins
|
管理所有组织资源。请仅将此角色分配给最受信任的用户。 |
gcp-billing-admins
|
设置结算账号并监控使用情况。 |
gcp-network-admins
|
创建 Virtual Private Cloud 网络、子网和防火墙规则。 |
gcp-hybrid-connectivity-admins
|
创建网络设备,例如 Cloud VPN 实例和 Cloud Router 路由器。 |
gcp-logging-admins
|
使用所有 Cloud Logging 功能。 |
gcp-logging-viewers
|
拥有部分日志的只读权限。 |
gcp-monitoring-admins
|
Monitoring 管理员有权访问 Cloud Monitoring 的所有功能。 |
gcp-security-admins |
建立和管理整个组织的安全策略,包括访问权限管理和组织限制政策。 如需详细了解如何规划 Google Cloud 安全基础设施,请参阅 Google Cloud 企业基础蓝图。 |
gcp-developers
|
设计应用、编写代码和测试应用。 |
gcp-devops
|
创建或管理支持持续集成和交付、监控和系统预配的端到端流水线。 |
如需创建管理员群组,请执行以下操作:
使用您在组织任务中创建的超级用户账号登录 Google Cloud 控制台。
进入 Google Cloud 设置:用户和群组。
查看任务详细信息,然后点击继续执行“用户和群组”这项任务。
查看建议的管理员群组列表,然后执行以下操作之一:
- 如需创建所有建议的群组,请点击创建所有群组。
- 如果您想创建一部分建议的群组,请点击所选行中的创建。
点击继续。
创建管理员用户
我们建议您首先添加完成组织、网络、结算和其他设置过程的用户。您可以在完成 Google Cloud 设置过程后添加其他用户。
如需添加执行 Google Cloud 设置任务的管理员用户,请执行以下操作:
使用超级用户账号登录 Google 管理控制台。
使用以下任一选项添加用户:
- 如需批量添加用户,请参阅通过 CSV 文件添加或更新多个用户。
- 如需逐个添加用户,请参阅为新用户添加账号。
添加完用户后,返回至 Google Cloud 设置:用户和群组(创建用户)。
点击继续。
将管理员用户添加到群组
将您创建的成员添加到与其职责对应的管理员群组。
在 Google Cloud 设置:用户和群组(将用户添加到群组)中,查看步骤详情。
在每个群组行中,执行以下操作:
- 点击添加成员。
- 输入用户的电子邮件地址。
从群组角色下拉列表中,选择用户的群组权限设置。如需了解详情,请参阅设置哪些人拥有查看、发帖和审核权限。
无论您选择哪个群组角色,每个成员都会继承您授予群组的所有 IAM 角色。
如需向此群组添加其他用户,请点击添加其他成员,然后重复这些步骤。
向此群组添加完用户后,点击保存。
向此群组添加完成员后,点击确认用户和群组。
后续步骤
管理员权限
在本任务中,您将使用 Identity and Access Management (IAM) 在组织级层为管理员群组分配权限集合。此过程使管理员可以集中查看和控制属于您组织的每个云资源。
如需大致了解 Google Cloud 中的 Identity and Access Management,请参阅 IAM 概览。
谁执行此任务
如需执行此任务,您必须具有以下任一身份:
- 超级用户。
- 具有 Organization Administrator 角色 (
roles/resourcemanager.organizationAdmin
) 的用户。
您在此任务中执行的操作
查看分配给您在用户和群组任务中创建的每个管理员群组的默认角色列表。
如果要自定义群组,您可以执行以下操作:
- 添加或移除角色。
- 如果您不打算使用群组,可以将其删除。
我们为何建议执行此任务
您必须为组织明确授予所有管理员角色。此任务可帮助您实现以下安全最佳实践:
最小权限原则:为用户提供执行其工作所需的最低权限,并在不再需要时立即移除访问权限。
基于角色的访问控制 (RBAC):根据用户的工作为用户群组分配权限。请不要向个别用户账号授予角色。
准备工作
完成以下任务:
向管理员群组授予访问权限
如需向在用户和群组任务中创建的每个管理员群组授予适当的访问权限,请查看分配给每个群组的默认角色。您可以添加或移除角色以自定义每个组的访问权限。
确保您以超级用户身份登录 Google Cloud 控制台。
或者,您也可以使用具有 Organization Administrator 角色 (
roles/resourcemanager.organizationAdmin
) 的用户身份登录。进入 Google Cloud 设置:管理员权限。
从页面顶部的请选择下拉列表中选择您的组织名称。
查看任务概览,然后点击继续设置管理员权限。
在群组(主账号)列中,查看您在用户和群组任务中创建的群组。
对于每个群组,查看默认的 IAM 角色。您可以添加或移除分配给每个群组的角色,以满足组织的独特需求。
每个角色都包含允许用户执行相关任务的多个权限。如需详细了解每个角色的权限,请参阅 IAM 基本角色和预定义角色参考文档。
准备好为每个群组分配角色后,点击保存并授予访问权限。
后续步骤
设置结算。
结算
在此任务中,您将设置一个结算账号来支付 Google Cloud 资源的费用。为此,请将以下账号之一与您的组织关联。
现有 Cloud Billing 账号。如果您无权访问该账号,则可以向您的结算账号管理员请求访问权限。
新的 Cloud Billing 账号。
如需详细了解结算,请参阅 Cloud Billing 文档。
谁执行此任务
您在用户和群组任务中创建的 gcp-billing-admins@YOUR_DOMAIN
群组中的人员。
您在此任务中执行的操作
- 创建或使用现有的自助 Cloud Billing 账号。
- 决定是否从自助账号转换为账单结算账号。
- 设置 Cloud Billing 账号和付款方式。
我们为何建议执行此任务
Cloud Billing 账号与一个或多个 Google Cloud 项目相关联,且用于支付您使用的资源(如虚拟机、网络和存储空间)的费用。
确定您的结算账号类型
您关联到组织的结算账号为以下类型之一。
自助(或在线):使用信用卡或借记卡在线注册。如果您是小型企业或个人,我们建议您使用此选项。在线注册结算账号时,您的账号会自动设置为自助账号。
账单结算(或离线)。如果您已经拥有自助结算账号,并且您的公司符合资格要求,那么您可能有资格申请账单结算。
您无法在线创建账单结算账号,但可以申请将自助账号转换为账单结算账号。
如需了解详情,请参阅 Cloud Billing 账号类型。
准备工作
完成以下任务:
设置结算账号
现在您已经选择了结算账号类型,接下来请将结算账号与您的组织相关联。完成此过程后,您便可以使用结算账号支付 Google Cloud 资源的费用。
以
gcp-billing-admins@YOUR_DOMAIN
群组中的用户身份登录 Google Cloud 控制台。进入 Google Cloud 设置:结算。
查看任务概览,然后点击继续结算。
选择以下结算账号选项之一:
创建新账号
如果您的组织还没有账号,请创建一个新账号。
- 选择我要创建新的结算账号。
- 点击继续。
选择要创建的结算账号类型。如需了解详细步骤,请参阅以下内容:
- 如需创建新的自助服务账号,请参阅创建新的自助 Cloud Billing 账号。
- 如需将现有自助账号转换为账单结算,请参阅申请按月账单结算。
验证您的结算账号已创建:
如果您创建了账单结算账号,最多可能需要等待 5 个工作日才会收到电子邮件确认。
打开“结算”页面。
从页面顶部的请选择列表中选择您的组织。如果账号已成功创建,则会显示在结算账号列表中。
使用我的现有账号
如果您已有结算账号,则可以将其与组织关联。
- 选择我从此列表中找到了我想要用于完成设置步骤的结算账号。
- 从结算下拉列表中,选择要与组织关联的账号。
- 点击继续。
- 查看详细信息,然后点击确认结算账号。
使用其他用户的账号
如果其他用户具有现有结算账号的访问权限,您可以请该用户将结算账号与您的组织关联,或者该用户可为您提供权限来完成关联操作。
- 选择我想使用由其他 Google 用户账号管理的结算账号。
- 点击继续。
- 输入结算账号管理员的电子邮件地址。
- 点击联系管理员。
- 等待结算账号管理员与您联系并提供进一步指示。
后续步骤
创建初始架构
层次结构和访问权限
在此任务中,您将通过创建和分配对以下资源的访问权限来设置资源层次结构:
- 文件夹
- 在项目之间提供分组机制和隔离边界。例如,文件夹可代表您组织中的主要部门(例如财务或零售),也可代表环境(例如生产或非生产)。
- 项目
- 包含 Google Cloud 资源,例如虚拟机、数据库和存储桶。
如需了解在项目中组织资源的设计注意事项和最佳实践,请参阅确定 Google Cloud 着陆区的资源层次结构。
谁执行此任务
您在用户和群组任务中创建的 gcp-organization-admins@YOUR_DOMAIN
群组中的人员可以执行此任务。
您在此任务中执行的操作
- 创建包含文件夹和项目的初始层次结构。
- 设置 IAM 政策以控制对文件夹和项目的访问权限。
我们为何建议执行此任务
为文件夹和项目创建结构可帮助您管理 Google Cloud 资源,并根据组织的运营方式分配访问权限。例如,您可以根据组织独特的地理区域、子公司结构或责任框架来整理和提供资源的访问权限。
规划资源层次结构
资源层次结构可帮助您创建边界,并在整个组织中共享常见任务的资源。根据您的组织结构,您可以使用以下初始配置之一创建层次结构:
以环境为中心的简单层次结构:
- 隔离不同的环境,例如
Non-production
和Production
。 - 在每个环境文件夹中实施不同的政策、监管要求和访问权限控制。
- 适合采用集中式环境的小型公司。
- 隔离不同的环境,例如
以团队为中心的简单层次结构:
- 隔离不同的团队,例如
Development
和QA
。 - 使用每个团队文件夹下的子环境文件夹隔离对资源的访问权限。
- 适合拥有多个自主团队的小型公司。
- 隔离不同的团队,例如
以环境为中心的层次结构:
- 优先隔离环境,例如
Non-production
和Production
。 - 在每个环境文件夹下,隔离业务部门。
- 在每个业务部门下,隔离团队。
- 适合采用集中式环境的大型公司。
- 优先隔离环境,例如
以业务部门为中心的层次结构:
- 优先隔离业务部门(例如
Human Resources
和Engineering
),以确保用户只能访问自己需要的资源和数据。 - 在每个业务部门下,隔离团队。
- 在每个团队下,隔离环境。
- 适合拥有多个自主团队的大型公司。
- 优先隔离业务部门(例如
每种配置都有一个 Common
文件夹,用于包含共享资源的项目。这可能包括日志记录和监控项目。
准备工作
完成以下任务:
配置初始文件夹和项目
选择代表您的组织结构的资源层次结构。
如需配置初始文件夹和项目,请执行以下操作:
以您在用户和群组任务中创建的
gcp-organization-admins@YOUR_DOMAIN
群组中的用户身份登录 Google Cloud 控制台。从页面顶部的请选择下拉列表中选择您的组织。
进入 Google Cloud 设置:层次结构和访问权限。
查看任务概览,然后点击资源层次结构旁边的开始。
选择起始配置。
点击继续并配置。
自定义资源层次结构以反映您的组织结构。例如,您可以自定义以下内容:
- 文件夹名称。
每个团队的服务项目。如需授予对服务项目的访问权限,您可以创建以下各项:
- 每个服务项目对应的一个群组。
- 每个群组中的用户。
如需简要了解服务项目,请参阅共享 VPC。
监控、日志记录和网络所需的项目。
自定义项目。
点击继续。
授予对文件夹和项目的访问权限
在管理员权限任务中,您在组织级层向管理员授予了对群组的访问权限。在此任务中,您将配置与新配置的文件夹和项目交互的群组的访问权限。
项目、文件夹和组织都有自己的 IAM 政策,这些政策通过资源层次结构继承:
- 组织:政策适用于组织中的所有文件夹和项目。
- 文件夹:政策适用于项目中的项目和其他文件夹。
- 项目:政策仅适用于该项目及其资源。
更新文件夹和项目的 IAM 政策:
在层次结构和访问权限的配置访问权限控制部分,向群组授予对文件夹和项目的访问权限:
在表格中,查看为每个群组授予的每个资源的建议 IAM 角色列表。
如果要修改分配给每个群组的角色,请点击所需行中的修改。
如需详细了解每个角色,请参阅 IAM 基本角色和预定义角色。
点击继续。
检查您的更改,然后点击确认草稿配置。
后续步骤
集中管理日志记录
在此任务中,您将为整个组织配置日志记录,包括您在先前任务中创建的项目。
谁执行此任务
您必须具有以下身份之一:
- Logging Admin 角色 (
roles/logging.admin
)。 - 您在用户和群组任务中创建的
gcp-logging-admins@YOUR_DOMAIN
群组中的成员。
您在此任务中执行的操作
集中管理组织的各个项目中创建的日志,以便满足安全、审计与合规方面的需求。
我们为何建议执行此任务
日志存储和保留可简化分析并保留审核跟踪记录。
准备工作
完成以下任务:
- 在组织任务中创建超级用户和您的组织。
- 在用户和群组任务中添加用户并创建群组。
- 在管理员权限任务中,将 IAM 角色分配给群组。
- 在结算任务中创建或关联结算账号。
- 在层次结构和访问权限任务中,设置层次结构并分配访问权限。
集中管理日志记录
借助 Cloud Logging,您可以存储、搜索、分析、监控 Google Cloud 中的日志数据和事件,并根据这些数据和事件发出提醒。您还可以从应用、本地资源和其他云平台收集日志并进行处理。我们建议您使用 Cloud Logging 将日志整合到单个日志存储桶中。
详情请参阅以下内容:
- 如需查看概览,请参阅路由和存储概览。
- 如需了解如何记录本地资源,请参阅使用 BindPlane 记录本地资源。
- 如需了解在部署配置后更改日志过滤条件的步骤,请参阅包含过滤条件。
如需将日志数据存储在中央日志存储桶中,请执行以下操作:
以您在执行此任务的人员中标识的用户身份登录 Google Cloud 控制台。
从页面顶部的请选择下拉列表中选择您的组织。
进入 Google Cloud 设置:集中管理日志记录。
查看任务概览,然后点击开始日志记录配置流程。
查看任务的详细信息。
如需将日志路由到中央日志存储桶,请确保已选择将组织级管理员活动审核日志存储到日志存储桶中。
展开将日志路由到 Logging 日志存储桶,然后执行以下操作:
在日志存储桶名称字段中,输入中央日志存储桶的名称。
从日志存储桶区域列表中,选择存储日志数据的区域。
如需了解详情,请参阅记录存储桶位置。
我们建议将日志存储 365 天。如需自定义保留期限,请在保留期限字段中输入天数。
存储时间超过 30 天的日志会产生保留费用。如需了解详情,请参阅 Cloud Logging 价格摘要。
将日志导出到 Google Cloud 之外
如果要将日志导出到 Google Cloud 之外的目标位置,则可以使用 Pub/Sub 导出。例如,如果您使用多个云服务提供商,则可能会决定将每个云服务提供商的日志数据导出到第三方工具。
您可以过滤导出的日志,以满足您的独特需求和要求。例如,您可以选择限制导出的日志类型,以控制费用或减少数据中的噪声。
如需详细了解如何导出日志,请参阅以下内容:
- 如需查看概览,请参阅什么是 Pub/Sub?
- 如需了解价格信息,请参阅以下内容:
- 如需了解如何流式传输到 Splunk,请参阅部署从 Google Cloud 到 Splunk 的日志流式传输。
如需导出日志,请执行以下操作:
点击将日志流式传输到其他应用、其他存储库或第三方。
在 Pub/Sub 主题 ID 字段中,输入包含所导出日志的主题的标识符。如需了解如何订阅主题,请参阅拉取订阅。
如需防止导出以下推荐的日志,请清除相应日志的复选框:
- Cloud Audit Logs:管理员活动:修改资源配置或元数据的 API 调用或操作。
- Cloud Audit Logs:系统事件:修改资源配置的 Google Cloud 操作。
- Access Transparency:Google 员工在访问客户内容时所执行的操作。
选择以下其他日志以导出它们:
- Cloud Audit Logs:数据访问:读取资源配置或元数据的 API 调用,以及用户进行的创建、修改或读取用户所提供资源数据的 API 调用。
- Cloud Audit Logs:政策拒绝:基于安全政策违规的针对用户或服务账号的 Google Cloud 服务访问拒绝。
如需了解每种日志类型,请参阅了解 Cloud Audit Logs。
完成日志记录配置
如需完成日志记录任务,请执行以下操作:
点击继续。
查看日志记录配置详细信息,然后点击确认草稿配置。
在后续任务中部署设置之前,您的日志记录配置不会部署。
后续步骤
安全性
在此任务中,您将配置安全设置和产品,以帮助保护您的组织。
谁执行此任务
您必须满足以下条件之一才能完成此任务:
- Organization Administrator 角色 (
roles/resourcemanager.organizationAdmin
)。 - 您在用户和群组任务中创建的以下某个群组的成员:
gcp-organization-admins@<your-domain>.com
gcp-security-admins@<your-domain>.com
您在此任务中执行的操作
根据以下类别应用建议的组织政策:
- 访问权限管理。
- 服务账号行为。
- VPC 网络配置。
您还可以通过 Security Command Center 集中管理漏洞和威胁报告。
我们为何建议执行此任务
应用推荐的组织政策有助于限制不符合您的安全状况的用户操作。
启用 Security Command Center 可帮助您创建中心位置来分析漏洞和威胁。
准备工作
完成以下任务:
启动安全任务
使用您在执行此任务的人员中确定的用户身份登录 Google Cloud 控制台。
从页面顶部的请选择下拉列表中选择您的组织。
转到 Google Cloud 设置:安全性。
查看任务概览,然后点击开始设置安全措施。
集中管理漏洞和威胁报告
如需集中漏洞和威胁报告服务,请启用 Security Command Center。 这有助于您强化安全状况并缓解风险。如需了解详情,请参阅 Security Command Center 概览。
在 Google Cloud 设置:安全页面上,确保已启用启用 Security Command Center:标准复选框。
此任务会启用免费标准层级。您可以稍后升级到付费版本。如需了解详情,请参阅 Security Command Center 服务层级。
点击应用 Security Command Center 配置。
应用建议的组织政策
组织政策在组织级层应用,并由文件夹和项目继承。在此任务中,请查看并应用建议的政策列表。您可以随时修改组织政策。如需了解详情,请参阅组织政策服务简介。
查看建议的组织政策列表。如果您不想应用建议的政策,请点击其复选框以将其移除。
如需详细了解每个组织政策,请参阅组织政策限制条件。
点击确认组织政策配置。
在后续任务中部署配置时,系统会应用您选择的组织政策。
后续步骤
配置网络。
VPC 网络
在此任务中,您将设置初始网络配置,并且您可以根据需要对其进行调整。
Virtual Private Cloud 架构
Virtual Private Cloud (VPC) 网络是物理网络的虚拟版本,在 Google 的生产网络内部实现。VPC 网络是一种全球性资源,由区域性子网组成。
VPC 网络可为 Google Cloud 资源(例如 Compute Engine 虚拟机实例、GKE 容器和 App Engine 柔性环境实例)提供网络功能。
共享 VPC 可将多个项目中的资源连接到一个公用 VPC 网络,让它们能够使用该网络的内部 IP 地址相互通信。下图展示了关联了服务项目的共享 VPC 网络的基本架构。
在使用共享 VPC 时,您需要指定一个宿主项目,并将一个或多个服务项目关联到该项目。宿主项目中的 Virtual Private Cloud 网络称为共享 VPC 网络。
示例图中有生产和非生产宿主项目,每个项目都包含一个共享 VPC 网络。您可以使用宿主项目来集中管理以下各项:
- 路由
- 防火墙
- 多个 VPN 连接
- 子网
服务项目是关联到宿主项目的任何项目。您可以在宿主项目和服务项目之间共享子网,包括次要范围。
在此架构中,每个共享 VPC 网络都包含公共和专用子网:
- 公共子网可供面向互联网的实例用于外部连接。
- 专用子网可供未分配公共 IP 地址的面向内部的实例使用。
在此任务中,您将根据示例图创建初始网络配置。
谁执行此任务
如需执行此任务,您需要具有以下身份之一:
roles/compute.networkAdmin
角色。- 您在用户和群组任务中创建的
gcp-network-admins@YOUR_DOMAIN
群组中的成员。
您在此任务中执行的操作
创建初始网络配置,包括以下内容:
- 创建多个宿主项目以反映您的开发环境。
- 在每个宿主项目中创建一个共享 VPC 网络,以允许不同的资源共享同一网络。
- 在每个共享 VPC 网络中创建不同的子网,以向服务项目提供网络访问权限。
我们为何建议执行此任务
不同的团队可以使用共享 VPC 连接到一个集中管理的公用 VPC 网络。
准备工作
完成以下任务:
- 在组织任务中创建超级用户和您的组织。
- 在用户和群组任务中添加用户并创建群组。
- 在管理员权限任务中,将 IAM 角色分配给群组。
- 在结算任务中创建或关联结算账号。
- 在层次结构和访问权限任务中,设置层次结构并分配访问权限。
配置网络架构
创建包含两个宿主项目的初始网络配置,以划分非生产和生产工作负载。每个宿主项目包含一个共享 VPC 网络,以供多个服务项目使用。您可以配置网络详细信息,然后在后续任务中部署配置文件。
如需配置初始网络,请执行以下操作:
以您在用户和群组任务中创建的
gcp-organization-admins@YOUR_DOMAIN
群组中的用户身份登录 Google Cloud 控制台。从页面顶部的选择组织下拉列表中选择您的组织。
进入 Google Cloud 设置:网络。
查看默认网络架构。
如需修改网络名称,请执行以下操作:
- 点击 more_vert 操作
- 选择修改网络名称。
- 在网络名称字段中,输入小写字母、数字或连字符。网络名称不能超过 25 个字符。
- 点击保存。
修改防火墙详情
宿主项目上的默认防火墙规则基于推荐的最佳实践。您可以选择停用一个或多个默认防火墙规则。如需了解有关防火墙规则的一般信息,请参阅 VPC 防火墙规则。
如需修改防火墙设置,请执行以下操作:
点击 more_vert 操作。
选择修改防火墙规则。
如需详细了解每个默认防火墙规则,请参阅默认网络中的预填充规则。
如需停用防火墙规则,请清除其对应的复选框。
如需停用防火墙规则日志记录,请点击关闭。
默认情况下,系统会出于审核目的记录进出 Compute Engine 实例的流量。此过程会产生费用。如需了解详情,请参阅防火墙规则日志记录。
点击保存。
修改子网详情
每个 VPC 网络至少包含一个子网,该子网是具有关联 IP 地址范围的区域级资源。在此多区域配置中,您必须至少有两个具有非重叠 IP 范围的子网。
如需了解详情,请参阅子网。
每个子网均使用建议的最佳实践进行配置。如果您想要自定义每个子网,请执行以下操作:
- 点击 more_vert 操作
- 选择修改子网。
- 在名称字段中,输入小写字母、数字或连字符。子网名称不能超过 25 个字符。
从区域下拉列表中,选择一个靠近您的服务点的区域。
我们建议为每个子网选择不同的区域。部署配置后,您将无法更改区域。如需了解如何选择区域,请参阅区域资源。
在 IP 地址范围字段中,输入采用 CIDR 表示法的范围,例如 10.0.0.0/24。
您输入的范围不得与此网络中的其他子网重叠。如需了解有效范围,请参阅 IPv4 子网范围。
对子网 2 重复上述步骤。
如需配置此网络中的其他子网,请点击添加子网,然后重复这些步骤。
点击保存。
您的子网会根据最佳实践自动进行配置。如果要修改配置,请在 Google Cloud 设置:VPC 网络页面中执行以下操作:
如需关闭 VPC 流日志,请从流日志列中选择关闭。
开启流日志后,每个子网都会记录网络流。您可以对网络流进行分析,以用于安全性、费用优化和其他用途。如需了解详情,请参阅使用 VPC 流日志。
VPC 流日志会产生费用。如需了解详情,请参阅 Virtual Private Cloud 价格。
如需关闭专用 Google 访问通道,请从专用访问通道列中选择关闭。
启用专用 Google 访问通道后,没有外部 IP 地址的虚拟机实例可以访问 Google API 和服务。如需了解详情,请参阅专用 Google 访问通道。
如需开启 Cloud NAT,请从 Cloud NAT 列中选择开启。
开启 Cloud NAT 后,某些资源可以创建与互联网的出站连接。如需了解详情,请参阅 Cloud NAT 概览。
Cloud NAT 会产生费用。如需了解详情,请参阅 Virtual Private Cloud 价格。
点击继续关联服务项目。
将服务项目关联到宿主项目
服务项目是关联到宿主项目的任何项目。此连接可让服务项目参与共享 VPC。每个服务项目可以由不同部门或团队运营和管理,以实现职责分离。
如需详细了解如何将多个项目连接到一个公用 VPC 网络,请参阅共享 VPC 概览。
如需将服务项目关联到宿主项目并完成配置,请执行以下操作:
对于共享 VPC 网络表格中的每个子网,选择一个要连接的服务项目。为此,请从服务项目列中的选择项目下拉列表中进行选择。
您可以将一个服务项目连接到多个子网。
点击继续审核。
查看您的配置并进行更改。
您可以在部署配置文件之前进行修改。
点击确认草稿配置。您的网络配置将添加到您的配置文件中。
在后续任务中部署配置文件之前,您的网络不会部署。
后续步骤
设置混合连接,这有助于您将本地服务器或其他云服务提供商连接到 Google Cloud。
混合连接
在此任务中,您需要在对等(本地或其他云)网络和 Google Cloud 网络之间建立连接,如下图所示。
此流程会创建高可用性 VPN,这是一种高可用性 (HA) 解决方案,您可以快速创建该解决方案,以通过公共互联网传输数据。
部署 Google Cloud 设置后,建议您使用 Cloud Interconnect 创建更稳健的连接。
如需详细了解对等网络与 Google Cloud 之间的连接,请参阅以下内容:
谁执行此任务
您必须拥有 Organization Administrator 角色 (roles/resourcemanager.organizationAdmin
)。
您在此任务中执行的操作
在 VPC 网络与本地网络或其他云网络之间创建低延迟、高可用性的连接。您可以配置以下组件:
- Google Cloud 高可用性 VPN 网关:一个具有两个接口的区域级资源,每个接口都有自己的 IP 地址。您需要指定 IP 栈类型,用于确定您的连接是否支持 IPv6 流量。如需了解相关背景信息,请参阅高可用性 VPN。
- 对等 VPN 网关:对等网络上的网关,Google Cloud 高可用性 VPN 网关会连接到该网关。您需要输入对等网关用来连接到 Google Cloud 的外部 IP 地址。如需了解相关背景信息,请参阅配置对等 VPN 网关。
- Cloud Router 路由器:使用边界网关协议 (BGP) 在 VPC 与对等网络之间动态交换路由。您需要分配一个自治系统编号 (ASN) 作为 Cloud Router 路由器的标识符,并指定对等路由器使用的 ASN。如需了解相关背景信息,请参阅创建 Cloud Router 路由器以将 VPC 网络连接到对等网络。
- VPN 隧道:将 Google Cloud 网关连接到对等网关。您需要指定用于建立隧道的互联网密钥交换 (IKE) 协议。您可以输入自己之前生成的 IKE 密钥,也可以生成并复制新密钥。如需了解相关背景信息,请参阅配置 IKE。
我们为何建议执行此任务
高可用性 VPN 可在您的现有基础架构与 Google Cloud 之间提供高可用性的安全连接。
准备工作
完成以下任务:
- 在组织任务中创建超级用户和您的组织。
- 在用户和群组任务中添加用户并创建群组。
- 在管理员权限任务中,将 IAM 角色分配给群组。
- 在结算任务中创建或关联结算账号。
- 在层次结构和访问权限任务中,设置层次结构并分配访问权限。
- 在 VPC 网络任务中配置网络。
请从您的对等网络管理员处收集以下信息:
- 您的对等 VPN 网关名称:您的 Cloud VPN 所连接的网关。
- 对等接口 IP 地址 0:您的对等网络网关上的外部 IP 地址。
- 对等接口 IP 地址 1:另一个外部地址;但如果您的对等网络只有一个外部 IP 地址,也可以重复使用 IP 地址 0。
- 对等自治系统编号 (ASN):分配给您的对等网络路由器的唯一标识符。
- Cloud Router 路由器 ASN:您将分配给 Cloud Router 路由器的唯一标识符。
- 互联网密钥交换 (IKE) 密钥:用于与对等 VPN 网关建立两个 VPN 隧道的密钥。如果您还没有密钥,则可以在此设置过程中生成这些密钥,然后将其应用于您的对等网关。
配置连接
如需将 VPC 网络连接到对等网络,请执行以下操作:
以拥有 Organization Administrator 角色的用户身份登录。
从页面顶部的请选择下拉列表中选择您的组织。
前往 Google Cloud 设置:混合连接。
执行以下操作,以查看任务详情:
查看任务概览,然后点击开始混合连接。
点击每个标签页了解混合连接的各项内容,然后点击继续。
查看每个任务步骤的预期目标,然后点击继续。
查看您需要收集的对等网关配置信息,然后点击继续。
在混合连接区域,根据您的业务需求确定您要连接的 VPC 网络。
在您选择的第一个网络对应的行中,点击配置。
在配置概览区域,阅读相关说明,然后点击下一步。
在 Google Cloud 高可用性 VPN 网关区域,执行以下操作:
在 Cloud VPN 网关名称字段中,输入网关名称,可以使用小写字母、数字和连字符,且不得超过 60 个字符。
在 VPN 隧道内部 IP 栈类型区域,选择以下栈类型之一:
- IPv4 和 IPv6(推荐):可以同时支持 IPv4 和 IPv6 流量。如果您打算允许在隧道中传输 IPv6 流量,建议您使用此设置。
- IPv4:只能支持 IPv4 流量。
栈类型决定了 VPC 网络与对等网络之间的隧道中允许传输的流量类型。创建网关后,无法再修改栈类型。如需了解相关背景信息,请参阅以下内容:
点击下一步。
在对等 VPN 网关区域,执行以下操作:
在对等 VPN 网关名称字段中,输入您的对等网络管理员提供的名称。该名称可以使用小写字母、数字和连字符,且不得超过 60 个字符。
在对等接口 IP 地址 0 字段中,输入您的对等网络管理员提供的对等网关接口外部 IP 地址。
在对等接口 IP 地址 1 字段中,执行以下操作之一:
- 如果您的对等网关有另一个接口,则输入其 IP 地址。
- 如果您的对等网关只有一个接口,则输入您在对等接口 IP 地址 0 中输入的地址。
如需了解相关背景信息,请参阅配置对等 VPN 网关。
点击下一步。
在 Cloud Router 路由器区域,执行以下操作:
在 Cloud Router 路由器 ASN 字段中,输入您的对等网络管理员提供的要分配给 Cloud Router 路由器的自治系统编号。如需了解相关背景信息,请参阅创建 Cloud Router 路由器。
在对等路由器 ASN 字段中,输入您的对等网络管理员提供的对等网络路由器自治系统编号。
在 VPN 隧道 0 区域,执行以下操作:
在隧道 0 名称字段中,输入一个名称,可以使用小写字母、数字和连字符,且不得超过 60 个字符。
在 IKE 版本区域,选择以下选项之一:
- IKEv2(推荐):支持 IPv6 流量。
- IKEv1:如果您不打算允许在隧道中传输 IPv6 流量,则可使用此设置。
如需了解相关背景信息,请参阅配置 VPN 隧道。
在 IKE 预共享密钥字段中,输入您在对等网关配置中使用的密钥(由您的对等网络管理员提供)。如果您还没有密钥,可以点击生成并复制,然后将生成的密钥提供给您的对等网络管理员。
在 VPN 隧道 1 区域,重复上一步,为另一个隧道应用设置。您可以配置此隧道来实现冗余和额外的吞吐量。
点击保存。
针对您要连接到对等网络的任何其他 VPC 网络,重复这些步骤。
部署后事项
部署 Google Cloud 设置配置后,完成以下步骤以确保您的网络连接已完成:
与您的对等网络管理员协调,让您的对等网络设置与混合连接设置保持一致。部署完成后,系统会提供有关您的对等网络的具体说明,包括以下内容:
- 隧道设置。
- 防火墙设置。
- IKE 设置。
验证您创建的网络连接。例如,您可以使用 Network Intelligence Center 检查网络之间的连接。如需了解详情,请参阅 Connectivity Tests 概览。
如果您的业务需要更稳健的连接,不妨使用 Cloud Interconnect。如需了解详情,请参阅选择 Network Connectivity 产品。
后续步骤
部署配置,包括层次结构和访问权限、日志记录、网络和混合连接的设置。
部署设置
部署或下载
完成 Google Cloud 设置过程后,以下任务的设置会编译为 Terraform 配置文件:
如需应用设置,请检查您的选择并选择部署方法。
谁执行此任务
您在用户和群组任务中创建的 gcp-organization-admins@YOUR_DOMAIN
群组中的人员。
您在此任务中执行的操作
部署配置文件以应用您的设置配置。
我们为何建议执行此任务
您必须部署配置文件才能应用您选择的设置。
准备工作
您必须完成以下任务:
- 在组织任务中创建超级用户和您的组织。
- 在用户和群组任务中添加用户并创建群组。
- 在管理员权限任务中,将 IAM 角色分配给群组。
- 在结算任务中创建或关联结算账号。
- 在层次结构和访问权限任务中,设置层次结构并分配访问权限。
建议执行以下任务:
检查配置详情
执行以下操作,以确保您的配置设置已完成:
以您在用户和群组任务中创建的
gcp-organization-admins@YOUR_DOMAIN
群组中的用户身份登录 Google Cloud 控制台。从页面顶部的请选择下拉列表中选择您的组织。
进入 Google Cloud 设置:部署或下载。
查看您选择的配置设置。点击以下每个标签页并检查您的设置:
- 资源层次结构和访问权限
- Logging
- 安全性
- VPC 网络
- 混合连接
部署配置
检查完配置详情后,请使用以下选项之一:
直接从控制台部署:如果您还没有 Terraform 部署工作流,并且想要采用简单的部署方法,请使用此选项。使用此方法只能部署一次。
下载并部署 Terraform 文件:如果您想要使用 Terraform 部署工作流自动执行资源管理,请使用此选项。使用此方法可以多次下载并部署。
使用以下选项之一进行部署:
直接部署
如果您还没有 Terraform 工作流,并希望进行简单的一次性部署,则可以直接从控制台进行部署。
点击直接部署。
等待部署完成,这可能需要几分钟时间。
如果部署失败,请执行以下操作:
- 如需重新尝试部署,请点击重试部署过程。
- 如果多次尝试部署后失败,您可以联系管理员寻求帮助。为此,请点击联系组织管理员。
下载并部署
如果您想要使用 Terraform 部署工作流对部署进行迭代,请下载并部署配置文件。
如需下载配置文件,请点击下载为 Terraform。
您下载的文件包包含基于您在以下任务中选择的设置的 Terraform 配置文件:
- 层次结构和访问权限
- 集中管理日志记录
- 安全性
- VPC 网络
- 混合连接
如果您只想部署与您的职责相关的配置文件,可以避免下载不相关的文件。为此,请清除不需要的配置文件对应的复选框。
点击下载。包含所选文件的
terraform.tar.gz
文件包将下载到本地文件系统中。如需了解详细的部署步骤,请参阅使用从控制台下载的 Terraform 部署基础。
后续步骤
应用监控和支持设置
监控
系统会自动为您的 Google Cloud 项目配置 Cloud Monitoring。在此任务中,您将了解可选的监控最佳实践。
准备工作
完成以下任务:
谁执行此任务
您在用户和群组任务中创建的 gcp-monitoring-admins@YOUR_DOMAIN
群组中的人员。
您在此任务中执行的操作
查看并实施可选的监控最佳实践。
我们为何建议执行此任务
您可以实施监控最佳实践来实现以下目的:
- 协助监控贵组织的用户之间的协作。
- 在一个地方集中监控您的 Google Cloud 基础设施。
- 收集重要的应用指标和日志。
查看并实施监控最佳实践
Cloud Monitoring 会从以下来源收集指标、事件和元数据:Google Cloud 服务、合成监控工具、应用插桩,以及其他常见应用组件。系统会自动为您的 Google Cloud 项目配置 Cloud Monitoring。
在此任务中,您可以实施以下最佳实践,以在默认 Cloud Monitoring 配置的基础上进行搭建。
如需协助协作,请创建组织政策,以向组织中的每个主账号授予每个项目的 Monitoring Viewer 角色。
如需在一个地方集中监控您的 Google Cloud 基础设施,请使用指标范围配置一个项目以读取多个 Google Cloud 项目中的指标。
如需收集虚拟机的应用指标和日志,请执行以下操作:
- 对于 Compute Engine,安装 Ops Agent。
- 对于 Google Kubernetes Engine (GKE),设置 Google Cloud Managed Service for Prometheus。
后续步骤
支持
在此任务中,您将选择符合您的业务需求的支持方案。
谁执行此任务
在用户和群组任务中创建的 gcp-organization-admins@YOUR_DOMAIN
群组中的人员。
您在此任务中执行的操作
根据您公司的需求选择支持方案。
我们为何建议执行此任务
高级支持服务方案可提供关键业务支持,让 Google Cloud 专家帮助您快速解决问题。
选择支持服务方案
您会自动获得免费的基本支持服务,其中包含对以下资源的访问权限:
我们建议企业客户注册高级支持服务,获享 Google 支持工程师提供的一对一技术支持。如需比较支持方案,请参阅 Google Cloud Customer Care。
准备工作
完成以下任务:
启用支持
确定并选择支持选项。
查看并选择一个支持方案。如需了解详情,请参阅 Google Cloud Customer Care。
使用您在用户和群组任务中创建的
gcp-organization-admins@<your-domain>.com
群组中的用户登录 Google Cloud 控制台。进入 Google Cloud 设置:支持。
查看任务详细信息,然后点击查看支持服务以选择支持选项。
设置支持选项后,返回到 Google Cloud 设置:支持页面,然后点击将任务标记为已完成。
后续步骤
现在您已完成 Google Cloud 设置,接下来可以扩展初始设置、部署预建的解决方案并迁移现有工作流。如需了解详情,请参阅扩展初始设置并开始构建。