Il nodo radice per la gestione delle risorse in Google Cloud è la organizzazione. L' Google Cloud organizzazione fornisce una gerarchia delle risorse che offre una struttura di proprietà per le risorse e punti di collegamento per i criteri dell'organizzazione e i controlli dell'accesso. La gerarchia delle risorse è composta da cartelle, progetti e risorse e definisce la struttura e l'utilizzo dei Google Cloud servizi all'interno di un'organizzazione.
Le risorse più in basso nella gerarchia ereditano criteri come i criteri di autorizzazione IAM e quelli dell'organizzazione. Per impostazione predefinita, tutte le autorizzazioni di accesso vengono negate finché non applichi i criteri di autorizzazione direttamente a una risorsa o la risorsa eredita i criteri di autorizzazione da un livello superiore nella gerarchia delle risorse.
Il seguente diagramma mostra le cartelle e i progetti di cui viene eseguito il deployment dal blueprint.
Le sezioni seguenti descrivono le cartelle e i progetti nel diagramma.
Cartelle
Il blueprint utilizza cartelle per raggruppare i progetti in base al loro ambiente. Questo raggruppamento logico viene utilizzato per applicare configurazioni come i criteri consentiti e i criteri dell'organizzazione a livello di cartella, in modo che tutte le risorse all'interno della cartella ereditino i criteri. La tabella seguente descrive le cartelle che fanno parte del blueprint.
| Cartella | Descrizione |
|---|---|
bootstrap |
Contiene i progetti utilizzati per il deployment dei componenti di base. |
common |
Contiene progetti con risorse condivise da tutti gli ambienti. |
production |
Contiene progetti con risorse di produzione. |
nonproduction |
Contiene una copia dell'ambiente di produzione per consentirti di testare i carichi di lavoro prima di promuoverli in produzione. |
development |
Contiene le risorse cloud utilizzate per lo sviluppo. |
networking |
Contiene le risorse di rete condivise da tutti gli ambienti. |
Progetti
Il blueprint utilizza progetti per raggruppare le singole risorse in base alla loro funzionalità e ai confini previsti per controllo dell'accesso#39;accesso. La tabella seguente descrive i progetti inclusi nel blueprint.
| Cartella | Progetto | Descrizione |
|---|---|---|
bootstrap |
prj-b-cicd |
Contiene la pipeline di deployment utilizzata per creare i componenti di base dell'organizzazione. Per ulteriori informazioni, consulta la metodologia di implementazione. |
prj-b-seed |
Contiene lo stato Terraform della tua infrastruttura e l'account di servizio Terraform necessario per eseguire la pipeline. Per maggiori informazioni, consulta la metodologia di implementazione. | |
common |
prj-c-secrets |
Contiene secret a livello di organizzazione. Per ulteriori informazioni, consulta la sezione su come archiviare le credenziali dell'applicazione con Secret Manager. |
prj-c-logging |
Contiene le origini log aggregate per gli audit log. Per maggiori informazioni, consulta la sezione relativa al logging centralizzato per la sicurezza e il controllo. | |
prj-c-scc |
Contiene risorse per aiutarti a configurare gli avvisi di Security Command Center e altro monitoraggio della sicurezza personalizzato. Per ulteriori informazioni, consulta la sezione sul monitoraggio delle minacce con Security Command Center. | |
prj-c-billing-export |
Contiene un set di dati BigQuery con le esportazioni della fatturazione dell'organizzazione. Per ulteriori informazioni, consulta Allocare i costi tra i centri di costo interni. | |
prj-c-infra-pipeline |
Contiene una pipeline di infrastruttura per il deployment di risorse come VM e database da utilizzare dai workload. Per saperne di più, consulta la sezione Livelli della pipeline. | |
prj-c-kms |
Contiene le chiavi di crittografia per la crittografia dei servizi condivisi all'interno della cartella comune. Per saperne di più, consulta la pagina relativa alla gestione delle chiavi di crittografia. | |
networking |
prj-net-{env}-svpc |
Contiene il progetto host per una rete VPC condiviso. Per ulteriori informazioni, consulta la sezione sulla topologia della rete. |
prj-net-hub |
Contiene la rete VPC condiviso utilizzata come hub tra l'ambiente on-premise e gli Google Cloud spoke. Questo progetto viene creato solo nella topologia hub and spoke. Per ulteriori informazioni, consulta la topologia della rete. | |
prj-net-interconnect |
Contiene le connessioni Cloud Interconnect che forniscono connettività tra il tuo ambiente on-premise eGoogle Cloud. Per ulteriori informazioni, consulta la sezione sulla connettività ibrida. | |
environments: -
development (d) |
prj-{env}-{workload_name_or_id} |
Contiene vari progetti di carichi di lavoro in cui crei risorse per le applicazioni. Per saperne di più, consulta i pattern di deployment dei progetti e i livelli della pipeline. |
prj-{env}-secrets |
Contiene secret a livello di cartella. Per saperne di più, consulta Archivia e controlla le credenziali delle applicazioni con Secret Manager. | |
prj-{env}-kms | Contiene le chiavi di crittografia per la crittografia dei servizi all'interno di ogni cartella dell'ambiente. Per ulteriori informazioni, consulta la sezione Gestire le chiavi di crittografia. |
Governance per la proprietà delle risorse
Ti consigliamo di applicare le etichette in modo coerente ai tuoi progetti per facilitare la gestione e l'allocazione dei costi. La tabella seguente descrive le etichette dei progetti che vengono aggiunte a ogni progetto per la governance nel blueprint.
| Etichetta | Descrizione |
|---|---|
application |
Il nome leggibile dell'applicazione o del workload associato al progetto. |
businesscode |
Un codice breve che descrive l'unità aziendale proprietaria del progetto. Il codice shared viene utilizzato per i progetti comuni
che non sono legati esplicitamente a un'unità aziendale. |
billingcode |
Un codice utilizzato per fornire informazioni sul riaccredito. |
primarycontact |
Il nome utente del contatto principale responsabile del progetto. Poiché le etichette dei progetti non possono includere caratteri speciali come il segno & (@), viene impostato il nome utente senza il suffisso @example.com. |
secondarycontact |
Il nome utente del contatto secondario responsabile del progetto. Poiché le etichette dei progetti non possono includere caratteri speciali come @, imposta solo il nome utente senza il suffisso @example.com. |
environment |
Un valore che identifica il tipo di ambiente, ad esempio
bootstrap, common, production,
non-production,development o network. |
envcode |
Un valore che identifica il tipo di ambiente, abbreviato in
b, c, p, n,
d o net. |
vpc |
L'ID della rete VPC che dovrebbe essere utilizzata da questo progetto. |
Occasionalmente, Google potrebbe inviare notifiche importanti, ad esempio sospensioni dell'account o aggiornamenti dei termini del prodotto. Il blueprint utilizza Contatti necessari per inviare queste notifiche ai gruppi configurati durante il deployment. I contatti essenziali vengono configurati nel nodo dell'organizzazione e ereditati da tutti i progetti dell'organizzazione. Ti consigliamo di esaminare questi gruppi e di assicurarti che le email vengano monitorate in modo affidabile.
Contatti necessari viene utilizzato per uno scopo diverso rispetto ai campi primarycontact e secondarycontact configurati nelle etichette del progetto. I contatti nelle etichette dei progetti sono destinati alla governance interna. Ad esempio, se identifichi risorse non conformi in un progetto di workload e devi contattare i proprietari, puoi utilizzare il campo primarycontact per trovare la persona o il team responsabile del workload.
Passaggi successivi
- Leggi la sezione sulla networking (documento successivo di questa serie).