El nodo raíz para gestionar recursos en Google Cloud es la organización. La organización proporciona una Google Cloud jerarquía de recursos que ofrece una estructura de propiedad para los recursos y puntos de montaje para laspolíticas de organización y los controles de acceso. La jerarquía de recursos consta de carpetas, proyectos y recursos, y define la estructura y el uso de los Google Cloud servicios de una organización.
Los recursos de niveles inferiores de la jerarquía heredan políticas, como las políticas de permiso de gestión de identidades y accesos y las políticas de organización. Todos los permisos de acceso se deniegan de forma predeterminada hasta que apliques políticas de permiso directamente a un recurso o hasta que el recurso herede las políticas de permiso de un nivel superior de la jerarquía de recursos.
En el siguiente diagrama se muestran las carpetas y los proyectos que se implementan con el blueprint.
En las siguientes secciones se describen las carpetas y los proyectos del diagrama.
Carpetas
El plano usa carpetas para agrupar los proyectos según su entorno. Esta agrupación lógica se usa para aplicar configuraciones, como políticas de permiso y políticas de organización, a nivel de carpeta. Después, todos los recursos de la carpeta heredan las políticas. En la siguiente tabla se describen las carpetas que forman parte del plan.
| Carpeta | Descripción |
|---|---|
bootstrap |
Contiene los proyectos que se usan para desplegar componentes de la base. |
common |
Contiene proyectos con recursos que comparten todos los entornos. |
production |
Contiene proyectos con recursos de producción. |
nonproduction |
Contiene una copia del entorno de producción para que puedas probar las cargas de trabajo antes de pasarlas a producción. |
development |
Contiene los recursos en la nube que se usan para el desarrollo. |
networking |
Contiene los recursos de red que comparten todos los entornos. |
Proyectos
El plano usa proyectos para agrupar recursos individuales en función de su funcionalidad y de los límites previstos para el control de acceso. En la siguiente tabla se describen los proyectos que se incluyen en el blueprint.
| Carpeta | Proyecto | Descripción |
|---|---|---|
bootstrap |
prj-b-cicd |
Contiene la canalización de implementación que se usa para crear los componentes básicos de la organización. Para obtener más información, consulta la metodología de implementación. |
prj-b-seed |
Contiene el estado de Terraform de tu infraestructura y la cuenta de servicio de Terraform que se necesita para ejecutar la canalización. Para obtener más información, consulta la metodología de implementación. | |
common |
prj-c-secrets |
Contiene secretos a nivel de organización. Para obtener más información, consulta Almacenar credenciales de aplicaciones con Secret Manager. |
prj-c-logging |
Contiene las fuentes de registro agregadas de los registros de auditoría. Para obtener más información, consulta Registro centralizado para seguridad y auditoría. | |
prj-c-scc |
Contiene recursos para ayudar a configurar las alertas de Security Command Center y otra monitorización de seguridad personalizada. Para obtener más información, consulta Monitorización de amenazas con Security Command Center. | |
prj-c-billing-export |
Contiene un conjunto de datos de BigQuery con las exportaciones de facturación de la organización. Para obtener más información, consulta Asignar costes entre centros de costes internos. | |
prj-c-infra-pipeline |
Contiene una canalización de infraestructura para desplegar recursos, como máquinas virtuales y bases de datos, que se utilizarán en las cargas de trabajo. Para obtener más información, consulta Capas de la canalización. | |
prj-c-kms |
Contiene las claves de cifrado para cifrar los servicios compartidos de la carpeta común. Para obtener más información, consulta cómo gestionar las claves de cifrado. | |
networking |
prj-net-{env}-svpc |
Contiene el proyecto del host de una red de VPC compartida. Para obtener más información, consulta la topología de red. |
prj-net-hub |
Contiene la red de VPC compartida que se usa como centro de conexión entre el entorno local y los Google Cloud radios. Este proyecto solo se crea en la topología de concentrador y radios. Para obtener más información, consulta la topología de red. | |
prj-net-interconnect |
Contiene las conexiones de Cloud Interconnect que proporcionan conectividad entre tu entorno on‐premise yGoogle Cloud. Para obtener más información, consulta Conectividad híbrida. | |
environments: -
development (d) |
prj-{env}-{workload_name_or_id} |
Contiene varios proyectos de carga de trabajo en los que se crean recursos para aplicaciones. Para obtener más información, consulta los patrones de implementación de proyectos y las capas de la canalización. |
prj-{env}-secrets |
Contiene secretos a nivel de carpeta. Para obtener más información, consulta Almacenar y auditar credenciales de aplicaciones con Secret Manager. | |
prj-{env}-kms | Contiene claves de cifrado para cifrar servicios en cada carpeta de entorno. Para obtener más información, consulta cómo gestionar las claves de cifrado. |
Gobernanza de la propiedad de los recursos
Te recomendamos que apliques etiquetas de forma coherente a tus proyectos para facilitar la gestión y la asignación de costes. En la siguiente tabla se describen las etiquetas de proyecto que se añaden a cada proyecto para la gobernanza en el plano.
| Etiqueta | Descripción |
|---|---|
application |
Nombre legible de la aplicación o la carga de trabajo asociada al proyecto. |
businesscode |
Un código corto que describe qué unidad de negocio es la propietaria del proyecto. El código shared se usa para proyectos comunes que no están vinculados explícitamente a una unidad de negocio. |
billingcode |
Código que se usa para proporcionar información sobre la devolución de cargo. |
primarycontact |
Nombre de usuario del contacto principal responsable del proyecto. Como las etiquetas de proyecto no pueden incluir caracteres especiales, como la arroba (@), se asigna el nombre de usuario sin el sufijo @example.com. |
secondarycontact |
Nombre de usuario del contacto secundario responsable del proyecto. Como las etiquetas de proyecto no pueden incluir caracteres especiales, como @, solo debes indicar el nombre de usuario sin el sufijo @example.com. |
environment |
Valor que identifica el tipo de entorno, como bootstrap, common, production, non-production,development o network.. |
envcode |
Valor que identifica el tipo de entorno, abreviado como b, c, p, n, d o net. |
vpc |
El ID de la red de VPC que se espera que use este proyecto. |
En ocasiones, Google puede enviar notificaciones importantes, como suspensiones de cuentas o actualizaciones de los términos de los productos. El blueprint usa Contactos esenciales para enviar esas notificaciones a los grupos que configures durante la implementación. Los contactos esenciales se configuran en el nodo de la organización y se heredan en todos los proyectos de la organización. Te recomendamos que revises estos grupos y te asegures de que los correos se monitorizan de forma fiable.
Contactos esenciales se usa con un fin distinto a los campos primarycontact y secondarycontact que se configuran en las etiquetas de los proyectos. Los contactos de las etiquetas de proyectos están pensados para la gestión interna. Por ejemplo, si identificas recursos que no cumplen los requisitos en un proyecto de carga de trabajo y necesitas ponerte en contacto con los propietarios, puedes usar el campo primarycontact para encontrar a la persona o al equipo responsable de esa carga de trabajo.
Siguientes pasos
- Consulta información sobre las redes (en el siguiente documento de esta serie).