州、地方和教育组织的初始配置最佳实践

与其他企业相比，州、地方和教育 (SLED) 组织通常有独特的 IT 需求。本指南定义了为 SLED 组织创建 Google Cloud 和 Google Workspace 环境的初始配置注意事项和最佳实践。本文档适用于为组织设置 Google Cloud 和 Google Workspace 或 Google Workspace 教育版的管理员。

身份概览

在创建 Google Cloud 环境之前，您必须了解 Google Cloud 如何提供身份验证、授权和审核。身份验证、访问权限控制和审核由三种云服务协同工作来提供：

• Cloud Identity 提供身份验证。如果贵组织使用 Google Workspace 或 Google Workspace 教育版，那么您已在使用 Cloud Identity。
• Identity and Access Management 提供授权。
• Cloud Audit Logs 提供审核。

Cloud Identity

Cloud Identity 是一个身份管理即服务 (IDaaS) 产品，可让您集中管理访问 Google Cloud、Google Workspace 或 Google Workspace 教育版资源的用户和群组。Cloud Identity 提供免费或付费版本。在 Google Cloud 初始配置过程中，Cloud Identity 使用 TXT 记录提供主域名验证。使用 Cloud Identity 的好处包括：

• 您可以使用 Google Workspace 管理控制台创建和管理群组。
• 提供账号安全控制措施，包括单点登录 (SSO) 和双重身份验证 (2FA)。
• 可用作第三方应用的身份提供方，因为它支持安全断言标记语言 (SAML) 和 LDAP。

设置身份

概括来讲，建立身份的建议步骤如下：

1. 如果您尚未使用 Cloud Identity、Google Workspace 或 Google Workspace 教育版，请从以下某个注册页面开始：

   • Cloud Identity 注册页面

   • Google Workspace 教育版注册页面

   • Google Cloud 控制台中的基础核对清单（如需查看示例，请参阅企业初始配置核对清单）

   使用管理员账号来浏览控制台中的核对清单。

2. 使用 Cloud Identity 验证您的域名。域名验证会自动创建一个组织，该组织充当 Google Cloud 资源层次结构的根节点。

   如果您遇到指出域名已被占用的错误，请完成域名收回过程。此过程最多可能需要 5 个工作日。

3. 验证域名后，使用新创建的管理员账号登录 Google Workspace 管理控制台。

4. 确定将在 Google Cloud 控制台中管理新 Google Cloud 组织的组织管理员。

5. 使用员工身份联合

   或 Cloud Identity 添加用户。如果使用 Cloud Identity，您可以通过以下任一方式添加用户：

   • 使用 Google Workspace 管理控制台逐个或批量添加用户。

   • 使用 Google Cloud Directory Sync，此工具可将 Google 账号中的数据与 Active Directory 或 LDAP 同步。

   • 使用 Google Workspace Admin SDK。

   • 使用第三方同步服务，例如 Azure Active Directory。

管理资源

本部分介绍管理 SLED 组织中资源的最佳实践。

实施一种集中式方法来管理 Google Cloud 资源

Google Cloud 提供了一种由组织、文件夹和项目组成的分层容器系统。在这些结构内，您可以整理 Compute Engine 虚拟机、数据库和 Cloud Storage 存储桶等其他资源。这种层次结构可帮助您管理多个方面，例如多个资源共同的访问权限控制以及配置设置。您可以使用 Resource Manager 以编程方式管理这些资源。

大型组织通常拥有许多直接与 Google Cloud 资源互动的项目和用户。为了以最佳方式支持现有的 IT 治理和访问权限控制策略，我们建议您实施一种集中式方法来整理 Google Cloud 资源。

使用组织节点来整理资源

资源的整理方式是以组织节点作为根层级。在组织节点下，文件夹最多可以嵌套四层。这些文件夹可以包含项目，而项目又可以包含其他资源作为项目下的子项。每项资源有且仅有一个父项。您为父级资源设置访问控制政策和配置设置后，它的子资源会继承这些政策和设置。

组织节点可确保超级用户能看到用户在您的域名中创建的所有项目。每个主域名都有一个组织节点。默认情况下，Google Workspace 超级用户对于设置组织政策拥有不可撤销的权限。对于拥有单独的 IT 和云管理的组织，Google Workspace 超级用户必须指派一名组织管理员来管理组织。如需了解详情，请参阅超级用户账号最佳实践。

如果项目是在您创建组织节点之前创建的，您可以将这些非附属项目迁移到组织节点。

开始使用 Google Cloud 时，默认配置是单个组织节点。以下部分介绍了单个组织节点方法与多个组织节点方法。如需详细了解这些选项，请参阅确定 Google Cloud 着陆区的资源层次结构。

方法 1：单个组织节点

在此方法中，您需要将单个组织节点映射到 Workspace 域名，该域名是 IAM 的可靠来源。每个文件夹都可以拥有自己的管理员以及单独的角色和其他政策。下图以教育机构为例，展示了单个组织节点的结构。您可以根据需要为团队和环境添加更多子文件夹。

您可以将全局资源（如跨项目网络和共享图片）托管在一个允许组织中所有用户访问的文件夹中。

详情请参阅以下内容：

• Cloud Resource Manager
• IAM 概览

方法 2：多个组织节点

如果您希望将组织内的各部门视为独立实体而不采用集中管理，请考虑创建多个独立的组织。下图以学校为例，展示了多个组织节点的结构。

若要实施这种配置，您需要将 school.edu 和 lab3.school.edu 设置为独立的 Google Workspace 主域名，从而创建不同的组织节点。仅当满足以下所有条件时，您才应选择这种方法：

• 您希望维护不同的身份域名。
• 您必须使第二个组织的访问权限控制、自定义角色、结算、配额和配置设置不同于中央 school.edu 组织节点。

对于许多采用集中式 IT 治理的组织来说，管理两个独立的 Google Cloud 环境会产生额外的开销。例如，除非管理员非常注意保持政策的同步，否则多个组织节点之间的安全政策可能会随着时间的推移而出现分歧。

如需详细了解此方法的影响，请参阅使用单个组织节点。

使用文件夹整理资源

您可以利用文件夹来整理 Google Cloud 资源、应用政策、分配管理权限，以及为各部门和团队赋予更多自主性。此外，文件夹还可帮助您同时为一组项目管理政策和控制访问权限。嵌套在一个文件夹中的文件夹、项目和资源会继承父文件夹的政策。

以下几种场景可能适合使用文件夹：

• 您的组织有不同的业务部门，每个业务部门都有自己的 IT 群组。
• 您要映射到一个基于 LDAP 目录（如 Microsoft Active Directory）建立的结构。
• 您希望按照使用案例（如 IT 基础架构、研究计算或教学）隔离项目。

如需了解详情，请参阅管理 Google Cloud 资源。

使用项目整理资源

您分配和使用的任何 Google Cloud 资源都必须属于一个项目。项目是您要构建的应用的组织实体。项目包括设置、权限和描述您的应用的其他元数据。一个项目中的各资源可以通过内部网络进行通信，以协同工作。每个项目使用的资源在各项目边界之间保持独立。您只能通过外部网络连接或共享 Virtual Private Cloud (VPC) 网络将这些资源连接起来。

每个 Google Cloud 项目都包含以下几个部分：

• 项目名称，由您提供。
• 项目 ID，可以由您或 Google Cloud 提供。
• 项目编号，由 Google Cloud 提供。

创建项目时，请考虑以下事项：

• 确定项目的所有权，并为不同的工作负载或团队创建不同的项目。
• 使用不同的项目将应用划分为生产和非生产环境。这样，在非生产测试环境中所做的更改不会影响生产环境，并且可以使用部署脚本来提升或传播更改。
• 在各实验室之间，甚至一个实验室中的不同工作之间隔离计算资源和数据资源。实现这种隔离后，便可在各项目之间实现完全自主性和数据分离；如果一个实验室在处理多个项目，且这些项目涉及的利益相关方存在竞争关系，这样的设置会很有帮助。

创建项目时，您必须将项目与结算账号关联。您必须具有目标结算账号的 Billing Account Administrator 角色或 Billing Account User 角色，才能将新项目与现有结算账号关联。

使用 Active Assist 大规模管理资源

一般而言，随着组织的发展，复杂程度会不断提高。项目变得无人使用，虚拟机处于空闲状态，授予的权限在不再需要后不会被移除。为降低复杂程度，我们建议您使资产清单保持最新并根据 Active Assist 中的建议和数据洞见对其进行检查。Active Assist 提供用于查找空闲虚拟机、移除多余的 IAM 权限、删除或收回不使用的项目的建议。

使用这些建议可为您的组织带来显著的好处，包括减少不必要的支出和降低安全风险，以及提高组织的效能和可管理性。

如需访问所有 Google Cloud 项目和关联资源的清单和历史记录，您可以使用 Cloud Asset Inventory。您可以将资产历史记录导出到 BigQuery 或 Cloud Storage。

管理访问权限控制

本部分介绍管理对 Google Cloud 和 Google Workspace 服务的访问权限的最佳实践。

使用群组管理政策

IAM 最佳实践是在政策中使用群组而非个人。当团队成员加入和离开时，您可以调整群组成员资格，系统便会自动进行正确的政策更改。如要实现这一最佳实践，请为每个项目或文件夹创建基于工作职能的 Google 群组。然后再根据相应工作职能的要求为每个群组分配多个角色。

如需管理群组，超级用户或委派管理员可以使用 Google Workspace 管理控制台。

使用最小权限创建信任边界

在决定项目结构时，您应考虑 IT 信任边界，它们可能遵循现有 IT 治理或安全模型。例如，假设您的组织有不同的部门（例如工程、业务和法律），并且这些部门之间必须保持信任边界。

应用最小权限这一安全最佳实践时，您可以向多个项目的用户账号和服务账号授予不同角色。如果某个用户拥有一个项目的管理员级权限，而只需要另一个项目的查看者权限，您可以使用允许政策来显式定义这些角色。如需了解详情，请参阅 IAM 最小权限指南。

使用服务账号、角色和政策管理对资源的访问权限

大型组织通常需要将运营团队（如安全和网络管理）与其他部门隔离开来。这种隔离操作需要使用由其他团队管理的资源并遵循最小权限原则。您可以使用 IAM 和服务账号配置这种隔离。

借助 IAM，您可以通过定义谁对哪些资源具有何种级别的访问权限来管理访问控制。您可以创建允许政策来向用户授予角色。如需授予对特定 Google Cloud 资源的精细访问权限，请使用预定义角色或定义自定义角色。

在 Google Cloud 中，系统会默认向 Google Workspace 中的超级用户分配 Organization Administrator 角色。此角色用于为其他用户授予权限，且无法从超级用户账号中移除。超级用户要授予的最重要的角色是 Project Creator 角色，以便指定用户可以开始创建自己的项目。

如需详细了解服务账号，请参阅了解服务账号。

谨慎创建特权账号

遵循最小权限原则，将超级用户角色分配给管理员常规账号以外的账号。例如，您可以使用 alex@school.edu 进行日常活动，而使用 alex.admin@school.edu 来更改 Google Workspace 管理控制台或 Google Cloud 控制台。

为工作负载创建身份

Google Cloud 使用服务账号来调用 Google API 调用，以确保不直接涉及用户凭据。这些账号可被视为身份和资源，具体如下：

• 当服务账号充当身份时，您可为该账号授予角色以使其能访问资源（如存储桶）。
• 当服务账号充当资源时，您必须为用户授予该账号的访问权限，具体方式与授予 BigQuery 数据集访问权限的方式相同。您可以为用户授予 Owner、Editor、Viewer 或 Service Account User 角色。具有 Service Account User 角色的用户可以访问服务账号有权访问的所有资源。

管理结算

Cloud Billing 账号有两种类型：自助（或称在线）账号和账单结算（或称离线）账号。

自助账号的特性如下：

• 使用信用卡、借记卡或 ACH 直接付款等付款方式付款（如果您所在的国家/地区或区域支持）。
• 费用会通过与 Cloud Billing 账号关联的付款方式自动扣除。
• 您可以在无需我们帮助的情况下注册自助账号。
• 为自助账号生成的票据包括对账单、付款收据和税务发票。您可以通过控制台访问这些票据。

账单结算账号的特性如下：

• 使用支票或电汇付款。
• 我们会通过邮寄或电子方式发送账单。
• 您可以通过控制台访问账单和付款收据。
• 您必须符合使用账单结算方式的资格。如需了解详情，请参阅账单结算资格。

以下部分介绍了这两种 Cloud Billing 账号的最佳实践。

将 Cloud Billing 数据导出到 BigQuery 进行分析

如需分析您的使用情况和费用，请将结算数据导出到 BigQuery 数据集。

将结算数据导出到 BigQuery 可以帮助您查找支出超出所设限额的项目。您还可以查询需要付费的服务列表。例如，以下查询列出了当前月份中支出超过 $0.10 的所有项目：

SELECT
  project.name,
  cost
FROM
  YOUR_BIGQUERY_TABLE
WHERE
  cost > 0.1 AND usage_month IN "YYYY-MM"
ORDER BY
   cost DESC

请替换以下内容：

• 将 YOUR_BIGQUERY_TABLE 替换为您的表名。
• 将 YYYY-MM 替换为当前月份和日期。例如 2022-10。

使用单个结算账号管理结算和预算

使用 Google Cloud 控制台管理您的 Cloud Billing 账号。在此控制台中，您可以更新账号设置（如付款方式和管理联系人）。还可以对此控制台进行配置，以设置预算、触发提醒、查看付款记录以及导出结算数据。

对于大多数组织而言，为所有项目使用一个结算账号就足够了。与该结算账号关联的所有项目都可享受整个组织范围的折扣。您可以向 Google 一次性付清月度账单上的费用，并采用内部 IT 费用分摊流程来收取特定机构、特定部门或特定实验室项目的费用。

下图显示了单个结算账号的工作原理：

此外，结算方面的注意事项还有助于您决定如何在 Google Cloud 中整理项目和文件夹。根据内部成本中心，您可能会决定按下图所示的方式来进行整理：

在此图中，文件夹标识与成本中心、部门或 IT 项目关联的所有项目和资源。费用按项目显示，并且导出到 BigQuery 的账单数据中包括项目 ID。

如果成本中心有需要单独支付的账单，或者贵组织有必须单独使用特定币种进行支付的工作负载，请考虑使用多个结算账号。使用这种方法时，您可能需要为每个结算账号或与 Google Cloud 转销商的每项合作签署一份协议。

分配结算账号角色

结算账号角色可帮助您管理结算账号。您可以在组织级层为特定用户分配以下结算角色。

角色	说明
Billing Account Administrator	管理组织中的所有结算账号。
Billing Account Creator	在组织中创建结算账号。
Billing Account User	将项目与结算账号关联起来。
Project Billing Manager	提供为项目分配结算账号或停用项目结算功能的权限。
Billing Account Costs Manager	管理预算，以及查看和导出结算账号的费用信息（但不能查看或导出价格信息）。
Billing Account Viewer	查看结算账号费用信息和交易。

如需允许用户查看组织中的所有结算账号，请在组织级层授予 Billing Account Administrator 角色。如需限制谁能创建结算账号以及如何创建此类账号，可使用 Billing Account Creator 角色并限制哪些用户拥有此权限。如需了解详情，请参阅创建、修改或关闭结算账号和结算访问权限控制概览。

如需更改项目的结算账号，请参阅如何更改项目的结算账号。

创建预算和提醒以监控结算

如需监控结算账号和各个项目，您可以创建预算并向结算管理员和结算用户发送电子邮件提醒。

预算会生成提醒，但不会停用项目的结算功能，因此即使某个项目超出预算，该项目仍会继续运行。如果项目超出预算，您必须手动停用结算功能。此外，由于预算不会实时更新，因此在一到两天内，您可能无法发现超支问题。

如需向不是结算管理员或结算用户的用户发送预算提醒，请配置 Cloud Monitoring 通知渠道。

使用标签整理资源

标签是有助于您整理 Google Cloud 资源的键值对。标签会被转发到结算系统，并包含在导出到 BigQuery 的结算数据中。您可以使用标签来查询按标签细分的结算费用。

按部门、学院、工作负载或实验室为资源添加标签有助于将结算费用与正确的实体相关联，这样您就无需为每个新项目创建单独的结算账号。如需详细了解标签，请参阅创建和管理标签。

监控配额和限制

Google Cloud 中的许多资源受配额的约束。例如，刚刚关联到结算账号的新项目在 Compute Engine 上的配额为八个虚拟 CPU。您可以在 Google Cloud 控制台中监控配额使用情况。此外，您可以申请增加配额以使用更多资源或新资源（如 GPU）。

管理网络

本部分介绍管理 Google Cloud 网络的最佳实践。

选择网络方法

使用 VPC 隔离您的云服务。例如，使用 VPC 设置一个网络，其中包含跨所有项目的通用和专用 RFC 1918 IP 空间。然后，可将任意项目的实例添加到此网络或其子网中。系统会为每个新项目创建一个默认 VPC 网络。此默认网络适合用于测试或开发，但您应将其替换为自定义 VPC 网络以用于生产。

您还可以将 Cloud VPN 连接连接到可供全部或部分项目使用的单个网络。使用 VPN 连接连接到 Google Cloud 专用 RFC 1918 IP 地址空间或扩展本地网络的 RFC 1918 IP 地址空间。

下表介绍了 Google Cloud 中两种最常见的网络选项。

网络选项	说明
直接对等互连	如果您有已注册的自治系统编号 (ASN)，并且拥有可公开路由的 IP 前缀，请使用直接对等互连连接到 Google。此选项使用与公共互联网相同的互连模型。但与公共互联网不同的是没有服务提供商。如需了解详情，请参阅 Google 边缘网络。
运营商对等互连	如果您没有公共 ASN，或者您想通过服务提供商连接到 Google，请使用运营商对等互连。运营商对等互连专为希望与 Google 边缘网络建立企业级连接的客户而设计。

与出站流量关联的费用通常很难预测。为帮助 Internet2 Higher Education 成员，Google 免除了按定价计算的互联网出站流量费用，最高可达每月总使用费的 15%。此优惠适用于特定的互联网出站流量 SKU。

如需详细了解网络选项，请参阅选择网络连接产品。

获取帮助

本部分介绍从 Google 获取帮助的最佳实践。

选择满足您需求的支持方案

选择符合贵组织需求的支持方案，并记录具有创建支持请求的相应权限的用户。

所有 Google Cloud 用户都可免费使用基本支持服务。基本支持服务包括结算支持，但不包括技术支持。如需获取技术支持，您必须购买技术支持方案。

您只能在组织级层购买 Google Cloud 技术支持方案。技术支持费用在项目级别收取，面向组织中的所有项目。

如需了解支持方案的详细特性和费用的比较，请参阅 Cloud Customer Care。

我们建议 SLED 组织至少购买标准支持服务方案。但是，如果贵组织运行业务关键型工作负载，请考虑购买增强型支持服务方案。如购买增强型支持服务方案，您可以在任何时间联系 Customer Care 团队，使用 Customer Support API 创建支持请求以及上报支持请求。

对于您的组织，您可能需要技术支持客户经理来协助指导初始配置、支持请求管理、支持请求上报和每月运营状况审查。如果您需要技术支持客户经理但不想购买高级支持服务方案，我们建议使用客户技术顾问服务。

您可以使用 Google Cloud 控制台购买标准支持服务和增强型支持服务。如需购买高级支持服务，请联系销售人员。

创建和上报支持请求

如需创建支持请求，您可以使用 Google Cloud 控制台或 Cloud Support API（需要增强型支持服务或高级支持服务）。创建支持请求时，请务必设置适当的支持请求优先级。

如果您已为支持请求设置适当的优先级，并且遇到与支持流程相关的问题，则可以上报支持请求。如需查看上报支持请求的可能原因列表，请参阅上报支持请求。

如果您拥有高级支持服务，也可以在当地工作时间联系技术支持客户经理来申请上报。

后续步骤

• 详细了解各种 Google Cloud 服务。
• 详细了解 Network Intelligence Center。
• 了解 Google Cloud 服务与 Amazon Web Services (AWS) 或 Microsoft Azure 服务之间的对应情况。
• 参加 Google Cloud 培训基础知识的课程或获取认证。
• 探索 Cloud Skills Boost，了解 Google Cloud 培训实验室和在线课程。