Práticas recomendadas para usar o Cloud IAM e o Cloud Billing no ensino superior

Universidades, faculdades, escolas vocacionais e outras instituições de ensino superior muitas vezes têm necessidades únicas de TI em comparação com outros tipos de empresas. Neste guia, apresentamos as práticas recomendadas e descrevemos vários problemas críticos a serem resolvidos ao configurar o ambiente do Google Cloud Platform (GCP) da sua instituição.

Veja a seguir algumas definições de termos básicos que ajudarão você a entender o guia.

Node organizacional
O node da organização (node organizacional) representa uma instituição como sua universidade. É o node raiz na hierarquia dos recursos do GCP.
Pasta
As pastas organizam recursos da sua organização. Quando você configura as políticas do Cloud Identity and Access Management (IAM) no nível da pasta, elas são aplicadas transitivamente aos recursos contidos nessa pasta.
projeto
O nível do projeto é onde você ativa e usa todos os serviços do GCP, gerencia APIs e faturamento, adiciona e remove colaboradores e gerencia permissões.
Cloud IAM
O Cloud IAM controla as políticas da sua organização e dos seus projetos. Ele regula o nível de acesso que os membros do projeto têm para gerenciar máquinas virtuais (VMs), registros e outros recursos.
Papel
Um papel é um conjunto de permissões. Não é possível atribuir permissões diretamente aos usuários. Em vez disso, atribua um papel. Quando você concede um papel, todas as permissões inclusas nele são atribuídas ao usuário.
Recurso
Um recurso físico, como um computador ou uma unidade de disco rígido, ou um recurso virtual, como uma máquina virtual (VM). Como exemplos de recursos, citamos projetos, instâncias do Compute Engine e intervalos do Cloud Storage.

Como configurar o G Suite for Education

Se sua universidade está testando os recursos do GCP, configurar o G Suite for Education é geralmente o ponto de partida. Você pode configurá-lo e desativar os serviços não utilizados, se não quiser usar o Gmail, por exemplo. Dessa forma, poderá aproveitar as contas de usuário e os grupos para identidade e autenticação do GCP. Para entidades comerciais que não se qualificam para contas gratuitas do G Suite for Education, o Cloud Identity é uma opção.

Como gerenciar recursos

O GCP fornece um sistema hierárquico de contêineres que consiste em organizações, pastas e projetos. Dentro dessas estruturas, é possível organizar outros recursos, como as máquinas virtuais (VMs) do Compute Engine e os tópicos do Cloud Pub/Sub. Essa hierarquia ajuda a gerenciar aspectos como o controle de acesso e as definições de configuração comuns a vários recursos. Você pode gerenciar programaticamente esses recursos por meio do Resource Manager.

Grandes instituições, inclusive muitas universidades, geralmente têm inúmeros projetos e usuários que interagem diretamente com os recursos do GCP. Para oferecer suporte otimizado às estratégias de controle de acesso e governança de TI existentes, recomendamos que você implemente uma abordagem centralizada para a organização dos recursos do GCP.

Organizações e pastas

Os recursos são organizados com o node organizacional na raiz. As pastas podem ser aninhadas até quatro níveis abaixo do node e podem conter projetos que, por sua vez, contêm abaixo deles outros recursos como nodes filhos. Cada recurso tem exatamente um pai. Quando você define políticas de controle de acesso e configurações para um recurso pai, os recursos filhos herdam essas políticas e configurações.

Um node organizacional garante que todos os projetos criados pelos usuários no domínio do G Suite for Education sejam visíveis para os superadministradores. Cada domínio principal do G Suite for Education tem um node organizacional. Os domínios secundários do G Suite não recebem um node organizacional próprio. Por padrão, o superadministrador do G Suite tem acesso irrevogável para definir a política da organização. Para organizações que têm administrações de TI e de nuvem separadas, o superadministrador do G Suite precisa atribuir um administrador da organização.

A estrutura de uma organização típica do GCP pode ser assim:

estrutura de uma organização típica do GCP

Se os projetos foram criados antes do estabelecimento do node organizacional, você pode migrar esses projetos órfãos para o node.

Para listar todos os projetos no seu node organizacional, execute o seguinte comando:

gcloud projects list --filter "parent.type=organization parent.id=$ORG_ID"

Quando uma universidade com um domínio do G Suite for Education adota o GCP, a configuração padrão é ter um único node organizacional. Na seção a seguir, discutimos as diferenças entre as abordagens de node organizacional único e de vários nodes.

Quando usar um node organizacional centralizado

O node organizacional centralizado é mapeado para o domínio do G Suite, que é a fonte da verdade do Cloud IAM. É possível configurar cada pasta com administradores centrais próprios e com o Cloud IAM e outras políticas separadas.

node organizacional centralizado

Para mais informações, consulte estes recursos:

Você pode hospedar recursos globais, como redes de projetos cruzados e imagens compartilhadas, em uma pasta com permissões que permitem o acesso a todos os usuários da organização.

Quando usar nodes organizacionais separados

Se você quiser tratar os departamentos da universidade como entidades isoladas sem administração central, crie organizações separadas, como mostrado no diagrama a seguir.

estrutura organizacional separada

Para implementar essa configuração, defina school.edu e lab3.school.edu como domínios principais separados do G Suite, o que resulta em nodes organizacionais distintos. Use essa opção somente se você decidiu:

  • manter domínios de identidade separados;
  • manter IAMs, papéis personalizados, faturamentos, cotas e configurações diferentes do nó organizacional central de school.edu.

Para muitas universidades com governança de TI centralizada, o gerenciamento de dois ambientes separados do GCP cria uma sobrecarga extra. Além disso, com o tempo, as políticas podem divergir entre vários nodes organizacionais.

Como usar pastas

As pastas permitem organizar os recursos do GCP, aplicar políticas, delegar privilégios de administrador e dar mais autonomia aos departamentos e às equipes. Elas também ajudam você a administrar políticas e controlar o acesso acima do nível do projeto. As pastas, os projetos e os recursos aninhados em uma pasta herdam as políticas da pasta pai.

Veja alguns cenários em que o uso de pastas pode ser útil:

  • Sua instituição tem departamentos distintos, como engenharia, negócios e artes, cada uma com um grupo de TI próprio.
  • Você está mapeando para uma estrutura estabelecida baseada em um diretório LDAP, como o Microsoft Active Directory.
  • Você quer separar projetos por caso de uso, como infraestrutura de TI, computação de pesquisa ou ensino e aprendizado.

Projetos e recursos

Todos os recursos do GCP usados e alocados precisam pertencer a um projeto. Pense em um projeto como a entidade organizadora do seu plano. Ele é composto de configurações, permissões e outros metadados que descrevem os aplicativos. Os recursos de um único projeto trabalham juntos de forma eficiente e se comunicam por meio de uma rede interna, sujeitos a regras que variam por região ou zona. Os recursos que cada projeto usa permanecem separados entre os limites do projeto. Você pode vinculá-los somente por meio de uma conexão de rede externa ou de uma rede de nuvem privada virtual (VPC) compartilhada.

Cada projeto do GCP tem o seguinte:

  • um nome, escolhido por você;
  • um código do projeto, fornecido por você ou pelo GCP;
  • um número do projeto, fornecido pelo GCP.

Ao configurar um novo projeto, você pode se basear em um destes cenários:

  • Propriedade de aplicativos ou projetos, como a configuração de um projeto para uma carga de trabalho ou equipe pequena.
  • Dividir um aplicativo entre projetos de produção e não produção. Dessa maneira, as alterações feitas no ambiente de teste que não é de produção não afetarão o ambiente de produção, e é possível promover ou propagar alterações com scripts de implantação.
  • Segregar recursos de computação e de dados entre laboratórios ou até projetos dentro de um laboratório. Essa segregação permite total autonomia e separação de dados entre projetos, o que é útil se um laboratório trabalhar em vários projetos com partes interessadas concorrentes.

Os projetos precisam estar associados a contas de faturamento, abordadas posteriormente neste documento. Observe que somente alguém com o papel de administrador da conta de faturamento ou de usuário da conta de faturamento pode associar um novo projeto a uma conta de faturamento existente.

Cotas

Muitos recursos do GCP são limitados por cotas. Por exemplo, um novo projeto vinculado a uma nova conta de faturamento associada tem uma cota de oito CPUs virtuais no Compute Engine. É possível solicitar um aumento na sua cota para adicionar recursos novos ou extras, como GPUs, que não são emitidos por padrão.

Além das cotas de recursos, as organizações estão sujeitas a cotas de número de projetos criados. Mesmo se você excluir um projeto, ele continuará fazendo parte da cota de projetos por alguns dias até ser completamente eliminado.

Limites de confiança

Ao decidir sobre uma estrutura de projeto, considere os limites de confiança de TI, que provavelmente seguem um modelo de governança ou segurança de TI existente. Por exemplo, departamentos separados, como engenharia, negócios e direito, mantêm limites de confiança entre si? Os setores separados dentro das instituições confiam uns nos outros?

Ao aplicar a prática recomendada de segurança de TI de acesso com menos privilégios, você pode conceder diferentes papéis a contas de usuário e de serviço em um único projeto e em vários. Se um usuário tiver acesso em nível de administrador a um projeto, mas tiver apenas acesso de visualizador ou somente leitura a outro projeto, você poderá definir esses papéis explicitamente usando a política do Cloud IAM no GCP. Para saber mais informações, consulte a orientação do Cloud IAM sobre o menor privilégio.

Políticas do Cloud IAM

Grandes organizações geralmente separam as equipes de operações, como segurança e administração de rede, das equipes de produção. Essa separação exige o uso de recursos gerenciados por outras equipes e a aplicação do princípio do menor privilégio. Você pode definir as configurações dessa separação por meio do Cloud IAM e das contas de serviço.

Com o Cloud IAM, você gerencia o controle de acesso ao definir quem tem qual nível de acesso a quais recursos. Para conceder papéis aos usuários, crie uma política do Cloud IAM, que é um conjunto de instruções anexada a um recurso que define e controla quem tem qual tipo de acesso a ele. Para oferecer acesso granular a determinados recursos do GCP, use papéis predefinidos ou defina papéis de Cloud IAM personalizados.

Como usar contas privilegiadas

Seguindo o princípio do menor privilégio, atribua papéis de superadministrador a contas usadas com pouca frequência. Por exemplo, você pode usar jo.watanabe@school.edu para as atividades diárias, mas use jo.watanabe.admin@school.edu para fazer alterações no Admin console do G Suite ou no Console do GCP.

Como usar contas de serviço

No GCP, as contas de serviço do Cloud IAM são usadas para invocar as chamadas da API Google. Assim, não há envolvimento direto das credenciais de usuários individuais. Uma das características dessas contas é serem tratadas como uma identidade e como um recurso.

  • Quando uma conta de serviço age como uma identidade, você concede papéis a ela para que ela possa acessar um recurso, como um intervalo do Cloud Storage.

  • Quando uma conta de serviço atua como um recurso, você precisa conceder permissão aos usuários para acessar essa conta da mesma maneira que concede permissão para acessar um conjunto de dados do BigQuery. É possível conceder a um usuário o papel de proprietário, editor, visualizador ou usuário da conta de serviço. Os membros com papéis de usuários de contas de serviço têm acesso a todos os recursos da conta.

Quando usar grupos

Ao usar grupos em vez de indivíduos nas políticas, seus administradores podem ajustar a associação ao grupo, sempre que membros da equipe forem adicionados e removidos. Como resultado, as políticas são sempre atualizadas da forma correta. Para implementar essa prática, crie grupos baseados em cargos para cada projeto ou pasta. Em seguida, atribua vários papéis a cada grupo, conforme necessário a cada função.

O gerenciamento de grupos é feito pelo Google Groups for Business, que faz parte do G Suite. O usuário administrador ou o administrador delegado do G Suite podem usar o Admin console para acessar essa ferramenta.

Opções de rede

Com a nuvem privada virtual (VPC), você pode isolar seus serviços de nuvem privada. Por exemplo, você pode usar a VPC para configurar uma rede, um espaço privado de IP RFC 1918, que abrange todos os seus projetos. Em seguida, poderá adicionar instâncias de qualquer projeto a essa rede ou às sub-redes dela.

Você também pode anexar uma rede privada virtual (VPN) a uma única rede, que pode ser usada por todos ou por um subconjunto dos projetos. A conexão VPN pode ser usada para se conectar a um espaço de IP RFC 1918 específico do GCP ou estender o espaço de IP RFC 1918 da rede local.

O Google oferece as seguintes opções para se conectar às suas instâncias de VPC.

Interconexão Peering
Cloud Interconnect – Dedicated VPN de IPsec Peering direto Peering de operadora
Útil para estender redes corporativas e espaço de IP RFC 1918 para a nuvem.

Nenhuma VPN é necessária para acessar os recursos do GCP na sua VPC.
Útil para criar túneis para a Internet pública, para se conectar ao Google e para conexões de dados de baixo volume. Útil para se conectar diretamente ao Google e economizar 50% nas taxas de saída em comparação com a VPN ou o acesso público pela Internet. Útil se você gosta dos benefícios do peering direto, mas não cumpre os requisitos de peering sem um parceiro.
10 Gbps para cada link 1,5 a 3 Gbps para cada túnel 10 Gbps para cada link Varia com base na oferta dos parceiros

Para mais detalhes sobre essas opções, consulte a página do Cloud Interconnect.

Quando usar o peering direto

Qualquer cliente do GCP que tenha um número de sistema autônomo (ASN, na sigla em inglês) registrado e prefixos de IP publicamente roteáveis pode fazer peering direto com o Google. Essa opção usa o mesmo modelo de interconexão que a Internet pública, com a exceção de que não há um provedor de serviços como intermediário. Saiba mais sobre como fazer peering com o Google.

Quando usar o peering de operadora

Para clientes que não têm ASNs públicos ou que querem se conectar ao Google por meio de um provedor de serviços, o Google oferece o serviço de peering de operadora. Esse serviço foi desenvolvido para clientes que querem conectividade de nível empresarial com a rede avançada do Google.

Cloud Billing

Você pode usar o Console do GCP para gerenciar sua conta do Cloud Billing e atualizar as configurações dela, como formas de pagamento e contatos administrativos. Você também pode configurar o Console do GCP para definir orçamentos, acionar alertas, visualizar seu histórico de pagamentos e exportar dados de faturamento.

Para a maioria dos usuários, uma única conta do Cloud Billing é suficiente. Os descontos para instituições são aplicáveis a todos os projetos associados à conta. Os usuários fazem um único pagamento ao Google para liquidar a fatura mensal, e os projetos específicos de departamentos ou laboratórios podem ser cobrados por meio de um processo interno de reembolso de TI.

A conta de faturamento única é estruturada desta forma:

conta de faturamento única

O detalhamento do faturamento também pode dar insights sobre como você organiza projetos e pastas no GCP. Dependendo dos seus centros de custo internos, você pode decidir organizar como no diagrama a seguir.

conta de faturamento separada por pastas

  • Neste diagrama, as pastas identificam todos os projetos e recursos associados a um centro de custo, departamento ou projeto de TI.
  • Projetos organizam recursos. O custo é mostrado por projeto, e os códigos do projeto estão incluídos na exportação de faturamento.
  • Você adiciona aos projetos rótulos que dão informações adicionais de agrupamento, como environment=test. Os rótulos são incluídos na exportação do faturamento.
  • O centro de custo é codificado no nome ou no código do projeto.

Esse modelo funciona bem se você alinhar cada pasta com um centro de custo interno separado. No entanto, os reembolsos internos ainda são necessários porque o Google envia uma única fatura para uma determinada conta de faturamento.

Se os centros de custo precisarem pagar uma fatura separada ou faturar algumas cargas de trabalho com uma moeda separada uma opção é solicitar várias contas de faturamento. Essa abordagem pode exigir um contrato assinado para cada conta de faturamento.

Como administrar contas do Cloud Billing

Os papéis da conta do Cloud Billing ajudam você a administrar as contas de faturamento. Você pode atribuir os seguintes papéis de faturamento no nível da organização.

Papel Descrição
Administrador da conta de faturamento Gerencia todas as contas de faturamento da organização.
Criador da conta de faturamento Cria contas de faturamento na organização.
Usuário da conta de faturamento Vincula projetos a contas de faturamento.
Gerente de faturamento do projeto Dá acesso para atribuir uma conta de faturamento de um projeto ou desativar o faturamento.

Conceda o papel de administrador da conta de faturamento no nível do node organizacional para permitir a visualização de todas as contas de faturamento da sua organização. Para limitar quem pode criar contas de faturamento e como fazer isso, use o papel de criador da conta de faturamento e restrinja quais usuários têm essa permissão. Estes artigos da Central de Ajuda do Google fornecem mais informações:

Como alterar contas de faturamento

Se você quiser alterar as contas do Cloud Billing para um projeto ou desativar o faturamento, siga estas etapas:

  1. No menu de navegação à esquerda no Console do GCP, clique em Faturamento.
  2. À direita do nome do projeto, clique no ícone de três pontos e, em seguida, clique em Alterar conta de faturamento. Também é possível usar esse ícone para desativar o faturamento, mas isso também desativará o projeto.

    alterar uma conta de faturamento

Como criar um orçamento

Os orçamentos geram alertas, mas não desativam o faturamento de projetos. Isso significa que um projeto continua a ser executado mesmo se exceder o orçamento. Se um projeto estiver ultrapassando o orçamento, será preciso desativar o faturamento manualmente. Ou, então, você pode interromper os recursos que estão gerando cobranças para evitar que o orçamento seja excedido. Como o orçamento não é atualizado em tempo real, pode ser que você descubra que excedeu o limite de custo depois de um dia ou dois.

Siga estas etapas para criar um orçamento:

  1. No Console do GCP, acesse o menu Faturamento, clique em Orçamentos e alertas e clique em Criar orçamento.

    como criar um orçamento

    Nesse exemplo, a conta já está acima do orçamento do mês. Lembre-se de que um orçamento não desativa nenhum serviço, mas notifica o administrador de faturamento quando o valor é excedido.

  2. Insira os detalhes do orçamento e em quais níveis de uso você quer receber alertas.

    alertas de orçamento

  3. Em Conta do projeto ou de faturamento, escolha se você quer monitorar seu orçamento geral ou projetos individuais. O recurso de orçamentos leva em consideração o período de um mês. É possível definir o orçamento para um determinado mês.

Como configurar a exportação do faturamento

Se você quiser um relatório detalhado de todos os serviços usados pela sua conta do Cloud Billing, configure Exportação de faturamento no menu Faturamento, no Console do GCP. Armazene os detalhes no Cloud Storage ou no BigQuery. Se você quiser usar o Cloud Storage, poderá armazenar os dados no formato JSON ou CSV.

exportação de faturamento

Exportar dados de faturamento para o BigQuery permite encontrar rapidamente os projetos que estão gastando mais do que o limite definido por você. Você também pode ver os serviços pelos quais está sendo cobrado. Por exemplo, a consulta a seguir lista todos os projetos que gastaram mais de US$ 0,10 no mês atual. Substitua [YOUR_BIGQUERY_TABLE] pelo nome da sua tabela.

SELECT
  project.name,
  cost
FROM
  [YOUR_BIGQUERY_TABLE]
WHERE
  cost > 0.1
ORDER BY
  cost DESC

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…