Flusso guidato per la configurazione di Google Cloud

Una risorsa organizzazione in Google Cloud rappresenta la tua attività e funge da nodo di primo livello della gerarchia. Per creare la tua organizzazione, configura un servizio di identità Google e associalo al tuo dominio. Al termine di questa procedura, viene creata automaticamente una risorsa dell'organizzazione.

Per una panoramica della risorsa dell'organizzazione, consulta quanto segue:

• Gestire le risorse dell'organizzazione.
• Best practice per la pianificazione di account e organizzazioni.

Chi esegue questa attività

I seguenti due amministratori eseguono questa attività:

• Un amministratore delle identità responsabile dell'assegnazione dell'accesso basato sul ruolo. Assegni a questa persona il ruolo di super amministratore di Cloud Identity. Per saperne di più sull'utente super amministratore, vedi Ruoli amministrativi predefiniti.

• Un amministratore di dominio con accesso all'host del dominio dell'azienda. Questa persona modifica le impostazioni del dominio, ad esempio le configurazioni DNS, nell'ambito della procedura di verifica del dominio.

Cosa fai in questa attività

• Se non l'hai ancora fatto, configura Cloud Identity, dove crei un account utente gestito per l'utente superamministratore.
• Collega Cloud Identity al tuo dominio (ad esempio example.com).
• Verifica il dominio. Questo processo crea il nodo radice della gerarchia delle risorse, noto come risorsa dell'organizzazione.

Perché consigliamo questa attività

Devi configurare quanto segue nell'ambito della tua Google Cloud base:

• Un servizio di identità Google per gestire centralmente le identità.
• Una risorsa organizzazione per stabilire la radice della gerarchia e il controllo dell'accesso.

Opzioni del servizio di identità Google

Utilizzi uno o entrambi i seguenti servizi di identità Google per amministrare le credenziali per gli utenti Google Cloud :

• Cloud Identity: gestisce centralmente utenti e gruppi. Puoi federare le identità tra Google e altri provider di identità. Per ulteriori informazioni, vedi Panoramica di Cloud Identity.
• Google Workspace: gestisce utenti e gruppi e fornisce l'accesso a prodotti di produttività e collaborazione come Gmail e Google Drive. Per saperne di più, vedi Google Workspace.

Per informazioni dettagliate sulla pianificazione dell'identità, vedi Pianificare la procedura di onboarding per le identità aziendali.

Prima di iniziare

Per capire come gestire un account super amministratore, vedi Best practice per gli account super amministratore.

Configura un provider di identità e verifica il dominio

I passaggi che completi in questa attività dipendono dal fatto che tu sia un cliente nuovo o esistente. Identifica l'opzione più adatta alle tue esigenze:

• Nuovo cliente: configura Cloud Identity, verifica il dominio e crea la tua organizzazione.

• Cliente Google Workspace esistente: utilizza Google Workspace come provider di identità per gli utenti che accedono a Google Workspace e Google Cloud. Se prevedi di creare utenti che accedono solo a Google Cloud, attiva Cloud Identity.

• Cliente Cloud Identity esistente: verifica il dominio, assicurati che la tua organizzazione sia stata creata e conferma che Cloud Identity sia abilitato.

Passaggi successivi

Crea gruppi e aggiungi membri.

In questa attività configuri identità, utenti e gruppi per gestire l'accesso alle risorseGoogle Cloud .

Per ulteriori informazioni sulla gestione degli accessi su Google Cloud, consulta quanto segue:

• Panoramica di Identity and Access Management (IAM).
• Per le best practice, vedi Utilizzare IAM in modo sicuro.

Chi esegue questa attività

Puoi eseguire questa attività se disponi di uno dei seguenti elementi:

• Il super amministratore di Google Workspace o Cloud Identity che hai creato nell'attività Organizzazione.
• Uno dei seguenti ruoli IAM:
  • Amministratore organizzazione (roles/resourcemanager.organizationAdmin).
  • Amministratore pool di identità forza lavoro (roles/iam.workforcePoolAdmin).

Cosa fai in questa attività

• Connettiti a Cloud Identity o al tuo provider di identità (IdP) esterno.

• Crea utenti e gruppi amministrativi che eseguiranno il resto dei Google Cloud passaggi di configurazione. Concederai l'accesso a questi gruppi in un'attività successiva.

Perché consigliamo questa attività

Questa attività ti aiuta a implementare le seguenti best practice per la sicurezza:

• Principio del privilegio minimo: concedi agli utenti le autorizzazioni minime necessarie per svolgere il loro ruolo e rimuovi l'accesso non appena non è più necessario.

• Controllo controllo dell'accesso basato sui ruoli (RBAC): assegna autorizzazioni a gruppi di utenti in base al loro ruolo lavorativo. Non aggiungere autorizzazioni a singoli account utente.

Puoi utilizzare i gruppi per applicare in modo efficiente i ruoli IAM a una raccolta di utenti. Questa prassi ti aiuta a semplificare la gestione degli accessi.

Seleziona un provider di identità

Puoi utilizzare uno dei seguenti metodi per gestire utenti e gruppi e collegarli a Google Cloud:

• Google Workspace o Cloud Identity: crei e gestisci utenti e gruppi in Google Workspace o Cloud Identity. Puoi scegliere di eseguire la sincronizzazione con il tuo provider di identità esterno in un secondo momento.
• Il tuo provider di identità esterno, ad esempio Microsoft Entra ID o Okta: crei e gestisci utenti e gruppi nel tuo provider di identità esterno. Poi collega il tuo provider a Google Cloud per attivare Single Sign-On.

Per selezionare il tuo provider di identità:

1. Accedi alla console Google Cloud come uno degli utenti che hai identificato in Chi esegue questa attività.

2. Vai a Google Cloud Configurazione: utenti e gruppi.

   Vai a Utenti e gruppi

3. Controlla i dettagli dell'attività e fai clic su Continua con la configurazione dell'identità.

4. Nella pagina Seleziona il tuo identity provider, seleziona una delle seguenti opzioni per iniziare una configurazione guidata:

   • Utilizza Google per gestire centralmente gli utenti Google Cloud : utilizza Google Workspace o Cloud Identity per eseguire il provisioning e la gestione di utenti e gruppi come super amministratore del dominio verificato. Puoi sincronizzarli in un secondo momento con il tuo provider di identità esterno.
   • Microsoft Entra ID (Azure AD): utilizza OpenID Connect per configurare una connessione a Microsoft Entra ID.
   • Okta: utilizza OpenID Connect per configurare una connessione a Okta.
   • OpenID Connect: utilizza il protocollo OpenID per connetterti a un provider di identità compatibile.
   • SAML: utilizza il protocollo SAML per connetterti a un provider di identità compatibile.
   • Salta la configurazione di un IdP esterno per ora: se hai un provider di identità esterno e non sei pronto a connetterlo a Google Cloud, puoi creare utenti e gruppi in Google Workspace o Cloud Identity.

5. Fai clic su Continua.

6. Per i passaggi successivi, consulta uno dei seguenti articoli:

   • Creare utenti e gruppi in Cloud Identity
   • Connettere il provider di identità esterno a Google Cloud

Creare utenti e gruppi in Cloud Identity

Se non hai un provider di identità esistente o non sei pronto a connetterlo a Google Cloud, puoi creare e gestire utenti e gruppi in Cloud Identity o Google Workspace. Per creare utenti e gruppi:

• Crea un gruppo per ogni funzione amministrativa consigliata, inclusa l'amministrazione di organizzazione, fatturazione e rete.
• Crea account utente gestito per gli amministratori.
• Assegna gli utenti a gruppi amministrativi corrispondenti alle loro responsabilità.

Prima di iniziare

• Trova ed esegui la migrazione degli utenti che hanno già Account Google. Per informazioni dettagliate, vedi Aggiungere utenti con account non gestiti.

• Devi essere un super amministratore.

Crea gruppi amministrativi

Un gruppo è una raccolta denominata di Account Google e account di servizio. Ogni gruppo ha un indirizzo email univoco, ad esempio gcp-billing-admins@example.com. Crea gruppi per gestire gli utenti e applicare i ruoli IAM su larga scala.

I seguenti gruppi sono consigliati per aiutarti ad amministrare le funzioni principali della tua organizzazione e completare la procedura di configurazione. Google Cloud

Per creare gruppi amministrativi:

1. Seleziona Google come fornitore.

2. Nella pagina Crea gruppi, esamina l'elenco dei gruppi amministrativi consigliati e poi esegui una delle seguenti operazioni:

   • Per creare tutti i gruppi consigliati, fai clic su Crea tutti i gruppi.
   • Se vuoi creare un sottoinsieme dei gruppi consigliati, fai clic su Crea nelle righe scelte.

3. Fai clic su Continua.

Creare utenti amministrativi

Ti consigliamo di aggiungere inizialmente gli utenti che completano le procedure di configurazione organizzativa, di rete, di fatturazione e altre. Puoi aggiungere altri utenti dopo aver completato la procedura di configurazione di Google Cloud .

Per aggiungere utenti amministrativi che eseguono le attività di configurazione, procedi come segue: Google Cloud

1. Eseguire la migrazione degli account consumer agli account utente gestiti controllati da Cloud Identity. Per i passaggi dettagliati, vedi quanto segue:

   • Migrazione degli account consumer.
   • Aggiungere utenti con account non gestiti.

2. Accedi alla Console di amministrazione Google utilizzando un account super amministratore.

3. Utilizza una delle seguenti opzioni per aggiungere utenti:

   • Per aggiungere utenti collettivamente, vedi Aggiungere o aggiornare più utenti da un file CSV.
   • Per aggiungere utenti singolarmente, vedi Aggiungere un account per un nuovo utente.

4. Al termine dell'aggiunta degli utenti, torna a Google Cloud Configurazione: utenti e gruppi (crea utenti).

5. Fai clic su Continua.

Aggiungere utenti amministrativi ai gruppi

Aggiungi gli utenti che hai creato ai gruppi amministrativi corrispondenti alle loro mansioni.

1. Assicurati di aver creato utenti amministrativi.

2. In Google Cloud Configurazione: utenti e gruppi (aggiungi utenti ai gruppi), rivedi i dettagli del passaggio.

3. In ogni riga Gruppo, procedi come segue:

   1. Fai clic su Aggiungi membri.
   2. Inserisci l'indirizzo email dell'utente.

   3. Nell'elenco a discesa Ruolo gruppo, seleziona le impostazioni delle autorizzazioni del gruppo dell'utente. Per saperne di più, vedi Impostare chi può visualizzare, pubblicare e moderare i post.

      Ogni membro eredita tutti i ruoli IAM che concedi a un gruppo, indipendentemente dal ruolo del gruppo selezionato.

   4. Per aggiungere un altro utente a questo gruppo, fai clic su Aggiungi un altro membro e ripeti questi passaggi. Ti consigliamo di aggiungere più di un membro a ogni gruppo.

   5. Quando hai finito di aggiungere utenti a questo gruppo, fai clic su Salva.

4. Quando hai finito con tutti i gruppi, fai clic su Conferma utenti e gruppi.

5. Se vuoi federare il tuo provider di identità in Google Cloud, consulta quanto segue:

   • Architetture di riferimento: utilizzo di un IdP esterno.
   • Per eseguire automaticamente il provisioning degli utenti e attivare il Single Sign-On, consulta quanto segue:
     • Federa Cloud Identity con Active Directory.
     • Federare Cloud Identity con Microsoft Entra ID.
   • Per sincronizzare gli utenti e i gruppi di Active Directory con Google Cloud, utilizza Directory Sync o Google Cloud Directory Sync.
     • Per un confronto, vedi Confronto tra Directory Sync e GCDS.

Connetti il tuo provider di identità esterno a Google Cloud

Puoi utilizzare il tuo provider di identità esistente per creare e gestire gruppi e utenti. Configura il Single Sign-On per Google Cloud impostando la federazione delle identità per la forza lavoro con il tuo provider di identità esterno. Per i concetti chiave di questa procedura, consulta la sezione Federazione delle identità per la forza lavoro.

Per connettere il tuo provider di identità esterno, completa una configurazione guidata che include i seguenti passaggi:

1. Crea un pool di forza lavoro: un pool di identità della forza lavoro ti aiuta a gestire le identità e il loro accesso alle risorse. Inserisci i seguenti dettagli in un formato leggibile.
   • ID pool della forza lavoro: un identificatore univoco a livello globale utilizzato in IAM.
   • ID provider: un nome per il tuo provider, che gli utenti specificheranno quando accedono a Google Cloud.
2. Configura Google Cloud nella tua CMP: la configurazione guidata include passaggi specifici per la tua CMP.
3. Inserisci i dettagli del pool di forza lavoro del tuo provider: per aggiungere il tuo provider come autorità attendibile per rivendicare le identità, recupera i dettagli dal tuo provider e aggiungili a Google Cloud:
4. Configura un insieme iniziale di gruppi amministrativi: la configurazione guidata include passaggi specifici per il tuo provider. Assegni i gruppi nel tuo fornitore e stabilisci una connessione a Google Cloud. Per una descrizione dettagliata di ogni gruppo, vedi Creare gruppi amministrativi.
5. Assegna utenti a ogni gruppo: ti consigliamo di assegnare più di un utente a ogni gruppo.

Per informazioni di base sulla procedura di connessione per ciascun fornitore, consulta quanto segue:

• Configura la federazione delle identità della forza lavoro con Azure AD e accedi agli utenti.
• Configurare la federazione delle identità della forza lavoro con Okta e accedere agli utenti
• Per altri provider che supportano OIDC o SAML, vedi Configurare la federazione delle identità della forza lavoro.

Passaggi successivi

Assegna le autorizzazioni ai tuoi gruppi di amministratori.

In questa attività, utilizzi Identity and Access Management (IAM) per assegnare insiemi di autorizzazioni a gruppi di amministratori a livello di organizzazione. Questo processo offre agli amministratori visibilità e controllo centralizzati su ogni risorsa cloud che appartiene alla tua organizzazione.

Per una panoramica di Identity and Access Management in Google Cloud, consulta la panoramica di IAM.

Chi esegue questa attività

Per eseguire questa attività, devi essere uno dei seguenti utenti:

• Un utente super amministratore.
• Un utente con il ruolo di Amministratore organizzazione (roles/resourcemanager.organizationAdmin).

Cosa fai in questa attività

• Esamina un elenco dei ruoli predefiniti assegnati a ciascun gruppo di amministratori che hai creato nell'attività Utenti e gruppi.

• Se vuoi personalizzare un gruppo, puoi:

  • Aggiungi o rimuovi ruoli.
  • Se non prevedi di utilizzare un gruppo, puoi eliminarlo.

Perché consigliamo questa attività

Devi concedere esplicitamente tutti i ruoli amministrativi per la tua organizzazione. Questa attività ti aiuta a implementare le seguenti best practice per la sicurezza:

• Principio del privilegio minimo: concedi agli utenti le autorizzazioni minime necessarie per svolgere il proprio lavoro e rimuovi l'accesso non appena non è più necessario.

• Controllo controllo dell'accesso basato sui ruoli (RBAC): assegna autorizzazioni a gruppi di utenti in base alle loro mansioni. Non concedere ruoli a singoli account utente.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.

Concedere l'accesso ai gruppi di amministratori

Per concedere l'accesso appropriato a ogni gruppo di amministratori creato nell'attività Utenti e gruppi, esamina i ruoli predefiniti assegnati a ciascun gruppo. Puoi aggiungere o rimuovere ruoli per personalizzare l'accesso di ogni gruppo.

1. Assicurati di aver eseguito l'accesso alla console Google Cloud come utente super amministratore.

   In alternativa, puoi accedere come utente con il ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin).

2. Vai a Google Cloud Configurazione: accesso amministrativo.

   Vai ad Accesso amministrativo

3. Seleziona il nome della tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.

4. Rivedi la panoramica dell'attività e fai clic su Continua l'accesso amministrativo.

5. Esamina i gruppi nella colonna Gruppo (entità) che hai creato nell'attività Utenti e gruppi.

6. Per ogni gruppo, esamina i ruoli IAM predefiniti. Puoi aggiungere o rimuovere i ruoli assegnati a ogni gruppo per soddisfare le esigenze specifiche della tua organizzazione.

   Ogni ruolo contiene più autorizzazioni che consentono agli utenti di eseguire attività pertinenti. Per saperne di più sulle autorizzazioni in ogni ruolo, consulta Riferimento ai ruoli di base e predefiniti di IAM.

7. Quando è tutto pronto per assegnare i ruoli a ogni gruppo, fai clic su Salva e concedi l'accesso.

Passaggi successivi

Configura la fatturazione.

In questa attività dovrai configurare un account di fatturazione per pagare le risorse Google Cloud. Per farlo, associa alla tua organizzazione uno dei seguenti elementi.

• Un account di fatturazione Cloud esistente. Se non hai accesso all'account, puoi richiedere l'accesso all'amministratore dell'account di fatturazione.

• Un nuovo account di fatturazione Cloud.

Per ulteriori informazioni sulla fatturazione, consulta la documentazione sulla fatturazione Cloud.

Chi esegue questa attività

Una persona nel gruppo gcp-billing-admins@YOUR_DOMAIN che hai creato nell'attività Utenti e gruppi.

Cosa fai in questa attività

• Crea o utilizza un account di fatturazione Cloud self-service esistente.
• Decidi se passare da un account self-service a un account con fatturazione mensile automatica.
• Configura un account di fatturazione Cloud e un metodo di pagamento.

Perché consigliamo questa attività

Gli account fatturazione Cloud sono collegati a uno o più progetti Google Cloud e vengono usati per pagare le risorse che utilizzi, ad esempio macchine virtuali, networking e spazio di archiviazione.

Determinare il tipo di account di fatturazione

L'account di fatturazione che associ alla tua organizzazione è di uno dei seguenti tipi.

• Self-service (o online): registrati online utilizzando una carta di credito o di debito. Consigliamo questa opzione se sei una piccola impresa o un privato. Quando ti registri online per un account di fatturazione, il tuo account viene configurato automaticamente come account self-service.

• Fatturato (o offline). Se hai già un account di fatturazione self-service, potresti avere diritto a richiedere la fatturazione mensile non automatica se la tua attività soddisfa i requisiti di idoneità.

Non puoi creare un account con fatturazione mensile non automatica online, ma puoi richiedere la conversione di un account self-service in un account con fatturazione mensile non automatica.

Per ulteriori informazioni, consulta Tipi di account di fatturazione Cloud.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.

Configura l'account di fatturazione

Ora che hai scelto un tipo di account di fatturazione, associa l'account di fatturazione alla tua organizzazione. Al termine di questa procedura, puoi utilizzare il tuo account di fatturazione per pagare le risorse Google Cloud .

1. Accedi alla console Google Cloud come utente del gruppo gcp-billing-admins@YOUR_DOMAIN.

2. Vai a Google Cloud Configurazione: fatturazione.

   Vai a Fatturazione

3. Esamina la panoramica dell'attività e poi fai clic su Continua fatturazione.

4. Seleziona una delle seguenti opzioni per l'account di fatturazione:

   Crea un nuovo account

   Se la tua organizzazione non dispone di un account, creane uno nuovo.

   1. Seleziona Voglio creare un nuovo account di fatturazione.
   2. Fai clic su Continua.

   3. Seleziona il tipo di account di fatturazione che vuoi creare. Per la procedura dettagliata, vedi quanto segue:

      • Per creare un nuovo account self-service, consulta Creare un nuovo account di fatturazione Cloud self-service.
      • Per eseguire la transizione di un account self-service esistente alla fatturazione mensile non automatica, consulta l'articolo Richiedere la fatturazione mensile non automatica.

   4. Verifica che l'account di fatturazione sia stato creato:

      1. Se hai creato un account con fatturazione mensile non automatica, attendi fino a 5 giorni lavorativi per ricevere l'email di conferma.

      2. Vai alla pagina Fatturazione.

      3. Seleziona la tua organizzazione dall'elenco Seleziona da nella parte superiore della pagina. Se l'account è stato creato, viene visualizzato nell'elenco degli account di fatturazione.

   Utilizza il mio account esistente

   Se hai un account di fatturazione esistente, puoi associarlo alla tua organizzazione.

   1. Seleziona In questo elenco ho identificato un account di fatturazione che vorrei utilizzare per completare la procedura di configurazione.
   2. Dall'elenco a discesa Fatturazione, seleziona l'account che vuoi associare alla tua organizzazione.
   3. Fai clic su Continua.
   4. Controlla i dettagli e fai clic su Conferma account di fatturazione.

   Utilizzare l'account di un altro utente

   Se un altro utente ha accesso a un account di fatturazione esistente, puoi chiedergli di associarlo alla tua organizzazione oppure può concederti l'accesso per completare l'associazione.

   1. Seleziona Voglio utilizzare un account di fatturazione gestito da un altro account utente Google.
   2. Fai clic su Continua.
   3. Inserisci l'indirizzo email dell'amministratore dell'account di fatturazione.
   4. Fai clic su Contatta l'amministratore.
   5. Attendi che l'amministratore dell'account di fatturazione ti contatti per ulteriori istruzioni.

Passaggi successivi

Crea una gerarchia delle risorse e assegna l'accesso.

In questa attività configurerai la gerarchia delle risorse creando e assegnando l'accesso alle seguenti risorse:

Cartelle

Forniscono un meccanismo di raggruppamento e limiti di isolamento tra i progetti. Ad esempio, le cartelle possono rappresentare i reparti della tua organizzazione, come finanza o vendita al dettaglio.

Le cartelle dell'ambiente, ad esempio Production, nella gerarchia delle risorse sono cartelle abilitate per le app. Puoi definire e gestire le applicazioni in queste cartelle.

Progetti

Contengono le tue Google Cloud risorse, come macchine virtuali, database e bucket di archiviazione. Ogni cartella abilitata per le app contiene anche un progetto di gestione, che ti aiuta a gestire l'accesso, la fatturazione, l'osservabilità e altre funzioni amministrative per le tue applicazioni.

Per considerazioni di progettazione e best practice per organizzare le risorse nei progetti, vedi Scegliere una gerarchia di risorse per la tua landing zone. Google Cloud

Chi esegue questa attività

Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN che hai creato nell'attività Utenti e gruppi può eseguire questa attività.

Cosa fai in questa attività

• Crea una struttura gerarchica iniziale che includa cartelle e progetti.
• Imposta i criteri IAM per controllare l'accesso alle cartelle e ai progetti.

Perché consigliamo questa attività

La creazione di una struttura per cartelle e progetti ti aiuta a gestire Google Cloud risorse e applicazioni. Puoi utilizzare la struttura per assegnare l'accesso in base al modo in cui opera la tua organizzazione. Ad esempio, puoi organizzare e fornire l'accesso in base alla raccolta unica di regioni geografiche, strutture delle filiali o framework di responsabilità della tua organizzazione.

Pianifica la gerarchia delle risorse

La gerarchia delle risorse ti aiuta a creare limiti e a condividere le risorse all'interno della tua organizzazione per le attività comuni. Crea la gerarchia utilizzando una delle seguenti configurazioni iniziali, in base alla struttura della tua organizzazione:

• Semplice orientata agli ambienti:

  • Isola ambienti come Non-production e Production.
  • Implementa criteri, requisiti normativi e controlli dell'accesso distinti in ogni cartella dell'ambiente.
  • Ideale per piccole aziende con ambienti centralizzati.

• Semplice orientata ai team:

  • Isola team come Development e QA.
  • Isola l'accesso alle risorse utilizzando le cartelle degli ambienti secondari in ogni cartella del team.
  • Ideale per piccole aziende con team autonomi.

• Orientato all'ambiente:

  • Dai la priorità all'isolamento di ambienti come Non-production e Production.
  • Isola le business unit in ogni cartella di ambiente.
  • Isola i team in ogni unità aziendale.
  • Ideale per le grandi aziende con ambienti centralizzati.

• Orientata alle business unit:

  • Dai la priorità all'isolamento delle unità aziendali come Human Resources e Engineering per garantire che gli utenti possano accedere solo alle risorse e ai dati di cui hanno bisogno.
  • Isola i team in ogni unità aziendale.
  • Isola gli ambienti in ogni team.
  • Ideale per le grandi aziende con team autonomi.

Ogni configurazione ha una cartella Common per i progetti che contengono risorse condivise. Potrebbe includere progetti di registrazione e monitoraggio.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.
• Crea o collega un account di fatturazione nell'attività Fatturazione.

Configura cartelle e progetti iniziali

Seleziona la gerarchia delle risorse che rappresenta la struttura della tua organizzazione.

Per configurare cartelle e progetti iniziali:

1. Accedi alla console Google Cloud come utente del gruppo gcp-organization-admins@YOUR_DOMAIN creato nell'attività Utenti e gruppi.

2. Seleziona la tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.

3. Vai a Google Cloud Configurazione: gerarchia e accesso.

   Vai a Gerarchia e accesso

4. Esamina la panoramica dell'attività, quindi fai clic su Avvia accanto a Gerarchia delle risorse.

5. Seleziona una configurazione iniziale.

6. Fai clic su Continua e configura.

7. Personalizza la gerarchia delle risorse in modo che rifletta la struttura organizzativa. Ad esempio, puoi personalizzare quanto segue:

   • Nomi delle cartelle.

   • Progetti di servizio per ogni team. Per concedere l'accesso ai service project, puoi creare quanto segue:

     • Un gruppo per ogni progetto di servizio.
     • Utenti in ogni gruppo.

     Per una panoramica dei progetti di servizio, consulta VPC condiviso.

   • Progetti necessari per il monitoraggio, il logging e il networking.

   • Progetti personalizzati.

8. Fai clic su Continua.

9. Concedi l'accesso alle tue cartelle e ai tuoi progetti.

Concedere l'accesso a cartelle e progetti

Nell'attività Accesso amministrativo, hai concesso l'accesso amministrativo ai gruppi a livello di organizzazione. In questa attività, configurerai l'accesso ai gruppi che interagiscono con le cartelle e i progetti appena configurati.

Progetti, cartelle e organizzazioni hanno ciascuno i propri criteri IAM, che vengono ereditati tramite la gerarchia delle risorse:

• Organizzazione: i criteri si applicano a tutte le cartelle e a tutti i progetti dell'organizzazione.
• Cartella: i criteri si applicano ai progetti e alle altre cartelle all'interno della cartella.
• Progetto: i criteri si applicano solo a quel progetto e alle relative risorse.

Aggiorna i criteri IAM per le cartelle e i progetti:

1. Nella sezione Configura il controllo dell'accesso di Gerarchia e accesso, concedi ai tuoi gruppi l'accesso a cartelle e progetti:

   1. Nella tabella, esamina l'elenco dei ruoli IAM consigliati concessi a ciascun gruppo per ogni risorsa.

   2. Se vuoi modificare i ruoli assegnati a ogni gruppo, fai clic su Modifica nella riga desiderata.

      Per saperne di più su ciascun ruolo, consulta Ruoli IAM di base e predefiniti.

2. Fai clic su Continua.

3. Controlla le modifiche e fai clic su Conferma configurazione di bozza.

Configurare la fatturazione per i progetti di gestione

Dopo aver eseguito il deployment della configurazione, devi configurare la fatturazione per ogni progetto di gestione. L'account di fatturazione è necessario per pagare le API che hanno costi associati. Per saperne di più, consulta Collegare un account di fatturazione al progetto di gestione.

Passaggi successivi

Configura le impostazioni di sicurezza.

In questa attività configurerai le impostazioni e i prodotti di sicurezza per proteggere la tua organizzazione.

Chi esegue questa attività

Per completare questa attività, devi disporre di uno dei seguenti elementi:

• Il ruolo Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin).
• L'appartenenza a uno dei seguenti gruppi che hai creato nell'attività Utenti e gruppi:
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

Cosa fai in questa attività

Applica le policy dell'organizzazione consigliate in base alle seguenti categorie:

• Gestione degli accessi.
• Comportamento del service account.
• Configurazione della rete VPC.
• Cloud KMS con Autokey, disponibile solo per l'opzione di base Sicurezza avanzata.

Inoltre, abiliti Security Command Center per centralizzare la segnalazione di vulnerabilità e minacce.

Perché consigliamo questa attività

L'applicazione dei criteri dell'organizzazione consigliati ti aiuta a limitare le azioni degli utenti che non sono in linea con il tuo livello di sicurezza.

L'abilitazione di Security Command Center ti aiuta a creare una posizione centrale per analizzare vulnerabilità e minacce.

L'applicazione e l'automazione di Cloud KMS con Autokey ti aiutano a utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in modo coerente per proteggere le tue risorse.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna ruoli IAM ai gruppi nell'attività Accesso amministrativo.

Avvia l'attività di sicurezza

1. Accedi alla console Google Cloud con un utente che hai identificato in Chi esegue questa attività.

2. Seleziona la tua organizzazione dal menu a discesa Seleziona da nella parte superiore della pagina.

3. Vai a Google Cloud Configurazione: Sicurezza.

   Vai a Sicurezza

4. Controlla la panoramica dell'attività, quindi fai clic su Avvia sicurezza.

Centralizzare la segnalazione di vulnerabilità e minacce

Per centralizzare i servizi di segnalazione di vulnerabilità e minacce, abilita Security Command Center. In questo modo, puoi rafforzare la tua postura di sicurezza e mitigare i rischi. Per ulteriori informazioni, vedi Panoramica di Security Command Center.

1. Nella pagina Google Cloud Configurazione: sicurezza, assicurati che la casella di controllo Abilita Security Command Center: Standard sia selezionata.

   Questa attività attiva il livello Standard gratuito. Puoi eseguire l'upgrade alla versione Premium in un secondo momento. Per saperne di più, consulta Livelli di servizio di Security Command Center.

2. Fai clic su Applica impostazioni SCC.

Applica le policy dell'organizzazione consigliate

I criteri dell'organizzazione si applicano a livello di organizzazione e vengono ereditati da cartelle e progetti. In questa attività, esamina e applica l'elenco dei criteri consigliati. Puoi modificare le norme dell'organizzazione in qualsiasi momento. Per saperne di più, consulta la pagina Introduzione al servizio Policy dell'organizzazione.

1. Esamina l'elenco delle policy dell'organizzazione consigliate. Se non vuoi applicare un criterio consigliato, fai clic sulla relativa casella di controllo per rimuoverlo.

   Per una spiegazione dettagliata di ogni policy dell'organizzazione, consulta Vincoli delle policy dell'organizzazione.

2. Fai clic su Conferma configurazione delle policy dell'organizzazione.

I criteri dell'organizzazione che selezioni vengono applicati quando esegui il deployment della configurazione in un'attività successiva.

Applica e automatizza le chiavi di crittografia del cliente

Cloud KMS con Autokey consente agli sviluppatori della tua organizzazione di creare chiavi di crittografia simmetrica quando necessario per proteggere le tue risorse Google Cloud. Puoi configurare Cloud KMS con Autokey se hai selezionato l'opzione di base Sicurezza avanzata.

1. Esamina la descrizione di Cloud KMS con Autokey, poi per Utilizza Cloud KMS con Autokey e applica le policy dell'organizzazione, fai clic su Sì (opzione consigliata).
2. Fai clic su Conferma la configurazione della gestione delle chiavi.

Le seguenti configurazioni vengono applicate quando esegui il deployment della configurazione in un'attività successiva:

• Configura un progetto Autokey in ogni cartella di ambiente della gerarchia.
• Attiva Cloud KMS con Autokey nelle cartelle dell'ambiente.
• Richiedere l'utilizzo di chiavi di crittografia gestite dal cliente (CMEK) per le risorse create in ogni cartella dell'ambiente.
• Limita ogni cartella in modo che utilizzi solo le chiavi Cloud KMS nel progetto Autokey per quella cartella.

Passaggi successivi

Logging e monitoraggio centralizzati.

In questa attività configuri quanto segue:

• Logging centralizzato per aiutarti ad analizzare e ottenere informazioni dettagliate dai log per tutti i progetti della tua organizzazione.
• Monitoraggio centralizzato per visualizzare le metriche di tutti i progetti creati in questa configurazione.

Chi esegue questa attività

Per configurare il logging e il monitoraggio, devi disporre di uno dei seguenti elementi:

• I ruoli Amministratore Logging (roles/logging.admin) e Amministratore Monitoring (roles/monitoring.admin).
• L'appartenenza a uno dei seguenti gruppi che hai creato nell'attività Utenti e gruppi:
  • gcp-organization-admins@YOUR_DOMAIN
  • gcp-security-admins@YOUR_DOMAIN
  • gcp-logging-monitoring-admins@YOUR_DOMAIN

Cosa fai in questa attività

In questa attività, imparerai a:

• Organizza in modo centralizzato i log creati nei progetti della tua organizzazione per facilitare la sicurezza, il controllo e la conformità.
• Configura un progetto di monitoraggio centralizzato per accedere alle metriche di monitoraggio nei progetti che hai creato in questa configurazione.

Perché consigliamo questa attività

L'archiviazione e la conservazione dei log semplificano l'analisi e preservano l'audit trail. Il monitoraggio centralizzato fornisce una visualizzazione delle metriche in un unico posto.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.
• Crea o collega un account di fatturazione nell'attività Fatturazione.
• Configura la gerarchia e assegna l'accesso nell'attività Gerarchia e accesso.

Organizzare il logging a livello centralizzato

Cloud Logging ti aiuta ad archiviare, cercare, analizzare, monitorare e creare avvisi su dati di log ed eventi di Google Cloud. Puoi anche raccogliere ed elaborare i log dalle tue applicazioni, dalle risorse on-premise e da altri cloud. Ti consigliamo di utilizzare Cloud Logging per consolidare i log in un unico bucket di log.

Per ulteriori informazioni, consulta le seguenti risorse:

• Per una panoramica, vedi Panoramica su routing e archiviazione.
• Per informazioni sul logging delle risorse on-premise, vedi Logging delle risorse on-premise con BindPlane.
• Per i passaggi per modificare il filtro dei log dopo aver eseguito il deployment della configurazione, vedi Filtri di inclusione.

Per archiviare i dati di log in un bucket di log centrale:

1. Accedi alla console Google Cloud come utente identificato in Chi esegue questa attività.

2. Seleziona la tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.

3. Vai a Google Cloud Configurazione: logging e monitoraggio centralizzati.

   Vai a Logging e monitoraggio centralizzati

4. Controlla la panoramica dell'attività e fai clic su Inizia il logging e il monitoraggio centralizzati.

5. Controlla i dettagli dell'attività.

6. Per eseguire il routing dei log a un bucket di log centrale, assicurati che Archivia gli audit log a livello di organizzazione in un bucket di log sia selezionato.

7. Espandi Esegui il routing dei log in un bucket di log di Logging e segui questi passaggi:

   1. Nel campo Nome bucket log, inserisci un nome per il bucket log centrale.

   2. Nell'elenco Regione del bucket di log, seleziona la regione in cui sono archiviati i dati dei log.

      Per saperne di più, consulta Località dei bucket di log.

   3. Per impostazione predefinita, i log vengono archiviati per 30 giorni. Consigliamo alle grandi aziende di archiviare i log per 365 giorni. Per personalizzare il periodo di conservazione, inserisci il numero di giorni nel campo Periodo di conservazione.

      I log conservati per più di 30 giorni comportano un costo di conservazione. Per maggiori informazioni, consulta il Riepilogo dei prezzi di Cloud Logging.

Esportare i log al di fuori di Google Cloud

Se vuoi esportare i log in una destinazione al di fuori di Google Cloud, puoi esportarli utilizzando Pub/Sub. Ad esempio, se utilizzi più provider cloud, potresti decidere di esportare i dati di log da ciascun provider cloud in uno strumento di terze parti.

Puoi filtrare i log che esporti per soddisfare le tue esigenze e i tuoi requisiti unici. Ad esempio, potresti scegliere di limitare i tipi di log che esporti per controllare i costi o per ridurre il rumore nei dati.

Per saperne di più sull'esportazione dei log, consulta quanto segue:

• Per una panoramica, consulta Che cos'è Pub/Sub?
• Per informazioni sui prezzi, vedi quanto segue:
  • Prezzi di Pub/Sub.
  • Best practice per Cloud Audit Logs: prezzi.
• Per informazioni sullo streaming su Splunk, vedi Trasmettere in streaming i log da Google Cloud a Splunk.

Per esportare i log:

1. Fai clic su Trasmetti i log ad altre applicazioni, altri repository o terze parti.

2. Nel campo ID argomento Pub/Sub, inserisci un identificatore per l'argomento che contiene i log esportati. Per informazioni su come abbonarsi a un argomento, consulta la sezione Sottoscrizioni pull.

3. Per selezionare i log da esportare:

   1. Per informazioni su ciascun tipo di log, vedi Comprendere Cloud Audit Logs.

   2. Per impedire l'esportazione di uno dei seguenti log consigliati, fai clic sull'elenco Filtro di inclusione e deseleziona la casella di controllo del log:

      • Cloud Audit Logs: attività di amministrazione: chiamate API o azioni che modificano la configurazione o i metadati delle risorse.
      • Cloud Audit Logs: evento di sistema: Google Cloud azioni che modificano la configurazione delle risorse.
      • Access Transparency: azioni intraprese dal personale di Google quando accede ai contenuti dei clienti.

   3. Seleziona i seguenti log aggiuntivi da esportare:

      • Cloud Audit Logs: accesso ai dati: chiamate API che leggono la configurazione o i metadati delle risorse e chiamate API guidate dall'utente che creano, modificano o leggono i dati delle risorse forniti dall'utente.
      • Cloud Audit Logs: Policy Denied: Google Cloud negazioni dell'accesso al servizio a utenti o service account, in base alle violazioni delle norme di sicurezza.

   4. I log selezionati in questo passaggio vengono esportati solo se sono attivati nei tuoi progetti o nelle tue risorse. Per i passaggi per modificare il filtro dei log per i tuoi progetti e le tue risorse dopo aver eseguito il deployment della configurazione, consulta Filtri di inclusione.

   5. Fai clic su OK.

4. Fai clic su Continua con il monitoraggio.

Configura monitoraggio centralizzato

Il monitoraggio centralizzato ti aiuta ad analizzare l'integrità, le prestazioni e la sicurezza del sistema per più progetti. In questa attività aggiungi i progetti che hai creato durante l'attività Gerarchia e accesso a un progetto di definizione dell'ambito. Puoi quindi monitorare questi progetti dal progetto di definizione dell'ambito. Dopo aver completato la configurazione di Cloud, puoi configurare altri progetti da monitorare dal progetto di scoping.

Per ulteriori informazioni, consulta la panoramica dell'ambito delle metriche.

Per configurare il monitoraggio centralizzato:

1. Per configurare i progetti creati durante l'impostazione di Google Cloud per il monitoraggio centralizzato, assicurati che l'opzione Utilizza il monitoraggio centralizzato sia selezionata.

   I progetti che hai creato durante la Google Cloud configurazione vengono aggiunti all'ambito delle metriche del progetto di definizione dell'ambito elencato.

2. Cloud Monitoring include un abbonamento mensile gratuito. Per maggiori informazioni, consulta il Riepilogo dei prezzi di Cloud Monitoring.

3. Per i passaggi per configurare i progetti creati al di fuori di Google Cloud Setup, consulta quanto segue:

   • Configura un ambito delle metriche.
   • Limiti dei progetti monitorati.

Completare la configurazione

Per completare l'attività di logging e monitoraggio, segui questi passaggi:

1. Fai clic su Conferma configurazione.

2. Rivedi i dettagli della configurazione di logging e monitoraggio. La configurazione non viene eseguita il deployment finché non esegui il deployment delle impostazioni in un'attività successiva.

Passaggi successivi

Configura la configurazione di networking iniziale.

In questa attività configuri la tua configurazione di networking iniziale, che puoi scalare man mano che le tue esigenze cambiano.

Architettura Virtual Private Cloud

Una rete Virtual Private Cloud (VPC) è una versione virtuale di una rete fisica implementata all'interno delle reti di produzione di Google. Una rete VPC è una risorsa globale formata da subnet regionali.

Le reti VPC forniscono funzionalità di networking alle tue risorse Google Cloud , come le istanze di macchine virtuali di Compute Engine, i container GKE e le istanze dell'ambiente flessibile di App Engine.

VPC condivisa connette risorse di più progetti a una rete VPC comune in modo che possano comunicare tra loro utilizzando gli indirizzi IP interni della rete. Il seguente diagramma mostra l'architettura di base di una rete VPC condiviso con progetti di servizio collegati.

Quando utilizzi un VPC condiviso, designi un progetto host e vi colleghi uno o più progetti di servizio. Le reti Virtual Private Cloud nel progetto host sono chiamate retiVPC condivisoe.

Il diagramma di esempio mostra progetti host di produzione e non di produzione, ognuno dei quali contiene una reteVPC condivisoa. Puoi utilizzare un progetto host per gestire centralmente quanto segue:

• Route
• Firewall
• Connessioni VPN
• Subnet

Un progetto di servizio è qualsiasi progetto collegato a un progetto host. Puoi condividere le subnet, inclusi gli intervalli secondari, tra i progetti host e di servizio.

In questa architettura, ogni rete VPC condiviso contiene subnet pubbliche e private:

• La subnet pubblica può essere utilizzata dalle istanze rivolte a internet per la connettività esterna.
• La subnet privata può essere utilizzata dalle istanze rivolte verso l'interno a cui non sono allocati indirizzi IP pubblici.

In questa attività, crei una configurazione di rete iniziale basata sul diagramma di esempio.

Chi esegue questa attività

Per eseguire questa attività, devi disporre di uno dei seguenti elementi:

• Il ruolo roles/compute.networkAdmin.
• Inclusione nel gruppo gcp-network-admins@YOUR_DOMAIN che hai creato nell'attività Utenti e gruppi.

Cosa fai in questa attività

Crea una configurazione di rete iniziale, tra cui:

• Crea più progetti host per riflettere i tuoi ambienti di sviluppo.
• Crea una rete VPC condiviso in ogni progetto host per consentire a risorse distinte di condividere la stessa rete.
• Crea subnet distinte in ogni rete VPC condiviso per fornire l'accesso alla rete ai progetti di servizio.

Perché consigliamo questa attività

Team distinti possono utilizzare VPC condiviso per connettersi a una rete VPC comune, gestita centralmente.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.
• Crea o collega un account di fatturazione nell'attività Fatturazione.
• Configura la gerarchia e assegna l'accesso nell'attività Gerarchia e accesso.

Configura l'architettura di rete

Crea la configurazione di rete iniziale con due progetti host per segmentare i carichi di lavoro non di produzione e di produzione. Ogni progetto host contiene una rete VPC condiviso, che può essere utilizzata da più progetti di servizio. Configura i dettagli della rete e poi esegui il deployment di un file di configurazione in un'attività successiva.

Per configurare la rete iniziale:

1. Accedi alla console Google Cloud come utente del gruppogcp-organization-admins@YOUR_DOMAIN creato nell'attività Utenti e gruppi.

2. Seleziona la tua organizzazione dall'elenco a discesa Seleziona un'organizzazione nella parte superiore della pagina.

3. Vai a Google Cloud Configurazione: rete.

   Vai a Networking

4. Rivedi l'architettura di rete predefinita.

5. Per modificare il nome della rete:

   1. Fai clic su more_vert Azioni.
   2. Seleziona Modifica nome rete.
   3. Nel campo Nome rete, inserisci lettere minuscole, numeri o trattini. Il nome dell'emittente non può superare i 25 caratteri.
   4. Fai clic su Salva.

Modificare i dettagli del firewall

Le regole firewall predefinite nel progetto host si basano sulle best practice consigliate. Puoi scegliere di disabilitare una o più regole firewall predefinite. Per informazioni generali sulle regole firewall, consulta Regole firewall VPC.

Per modificare le impostazioni del firewall:

1. Fai clic su more_vert Azioni.

2. Seleziona Modifica regole firewall.

3. Per informazioni dettagliate su ogni regola firewall predefinita, vedi Regole precompilate nella rete predefinita.

4. Per disattivare una regola firewall, deseleziona la relativa casella di controllo.

5. Per disattivare il logging delle regole firewall, fai clic su Off.

   Per impostazione predefinita, il traffico da e verso le istanze Compute Engine viene registrato a fini di controllo. Questo processo comporta dei costi. Per saperne di più, consulta Logging delle regole firewall.

6. Fai clic su Salva.

Modificare i dettagli della subnet

Ogni rete VPC contiene almeno una subnet, che è una risorsa di regione con un intervallo di indirizzi IP associato. In questa configurazione multiregionale, devi avere almeno due subnet con intervalli IP non sovrapposti.

Per saperne di più, vedi Subnet.

Ogni subnet è configurata utilizzando le best practice consigliate. Se vuoi personalizzare ogni subnet, segui questi passaggi:

1. Fai clic su more_vert Azioni.
2. Seleziona Modifica subnet.
3. Nel campo Nome, inserisci lettere minuscole, numeri o trattini. Il nome della subnet non può contenere più di 25 caratteri.

4. Dal menu a discesa Regione, seleziona una regione vicina al tuo punto di servizio.

   Consigliamo una regione diversa per ogni subnet. Non puoi modificare la regione dopo aver eseguito il deployment della configurazione. Per informazioni sulla scelta di una regione, vedi Risorse regionali.

5. Nel campo Intervallo di indirizzi IP, inserisci un intervallo in notazione CIDR, ad esempio 10.0.0.0/24.

   L'intervallo che inserisci non deve sovrapporsi ad altre subnet in questa rete. Per informazioni sugli intervalli validi, vedi Intervalli di subnet IPv4.

6. Ripeti questi passaggi per la subnet 2.

7. Per configurare altre subnet in questa rete, fai clic su Aggiungi subnet e ripeti questi passaggi.

8. Fai clic su Salva.

Le subnet vengono configurate automaticamente in base alle best practice. Se vuoi modificare la configurazione, nella pagina Google Cloud Configurazione: reti VPC, segui questi passaggi:

1. Per disattivare i log di flusso VPC, seleziona Off nella colonna Log di flusso.

   Quando i log di flusso sono attivi, ogni subnet registra i flussi di rete che puoi analizzare per sicurezza, ottimizzazione delle spese e altri scopi. Per maggiori informazioni, consulta Utilizzare i log di flusso VPC.

   I log di flusso VPC comportano costi. Per maggiori informazioni, consulta la pagina Prezzi di Virtual Private Cloud.

2. Per disattivare l'accesso privato Google, nella colonna Accesso privato, seleziona Off.

   Quando l'accesso privato Google è attivo, le istanze VM che non hanno indirizzi IP esterni possono raggiungere i servizi e le API di Google. Per ulteriori informazioni, vedi Accesso privato Google.

3. Per attivare Cloud NAT, seleziona On nella colonna Cloud NAT.

   Quando Cloud NAT è attivo, determinate risorse possono creare connessioni in uscita a internet. Per ulteriori informazioni, consulta la panoramica di Cloud NAT.

   Cloud NAT comporta costi. Per maggiori informazioni, consulta la pagina Prezzi di Virtual Private Cloud.

4. Fai clic su Continua a collegare i progetti di servizio.

Collega i progetti di servizio ai progetti host

Un progetto di servizio è qualsiasi progetto collegato a un progetto host. Questo collegamento consente al progetto di servizio di partecipare al VPC condiviso. Ogni progetto di servizio può essere gestito e amministrato da reparti o team diversi per creare una separazione delle responsabilità.

Per maggiori informazioni sulla connessione di più progetti a una rete VPC comune, consulta Panoramica del VPC condiviso.

Per collegare i progetti di servizio ai progetti host e completare la configurazione, esegui le seguenti operazioni:

1. Per ogni subnet nella tabella Reti VPC condivise, seleziona un progetto di servizio a cui connetterti. Per farlo, seleziona un'opzione dal menu a discesa Seleziona un progetto nella colonna Progetto di servizio.

   Puoi connettere un progetto di servizio a più subnet.

2. Fai clic su Continua con la revisione.

3. Rivedi la configurazione e apporta le modifiche.

   Puoi apportare modifiche fino al deployment del file di configurazione.

4. Fai clic su Conferma configurazione di bozza. La configurazione di rete viene aggiunta al file di configurazione.

   La rete non viene implementata finché non distribuisci il file di configurazione in un'attività successiva.

Passaggi successivi

Configura la connettività ibrida, che ti aiuta a connettere server on-premise o altri provider cloud a Google Cloud.

In questa attività, stabilisci le connessioni tra le reti peer (on-premise o di un altro cloud) e le tue reti Google Cloud , come nel seguente diagramma.

Questo processo crea una VPN ad alta disponibilità, una soluzione ad alta disponibilità che puoi creare rapidamente per trasmettere dati su internet pubblico.

Dopo aver eseguito il deployment della configurazione Google Cloud , ti consigliamo di creare una connessione più solida utilizzando Cloud Interconnect.

Per ulteriori informazioni sulle connessioni tra reti peer e Google Cloud, consulta quanto segue:

• Panoramica di Cloud VPN
• Scegliere una Connettività di rete Connectivity

Chi esegue questa attività

Devi disporre del ruolo Amministratore organizzazione (roles/resourcemanager.organizationAdmin).

Cosa fai in questa attività

Crea connessioni a bassa latenza e ad alta disponibilità tra le tue reti VPC e le tue reti on-premise o di altri cloud. Configura i seguenti componenti:

• Google Cloud Gateway VPN ad alta disponibilità: una risorsa di regione con due interfacce, ciascuna con un proprio indirizzo IP. Specifichi il tipo di stack IP, che determina se il traffico IPv6 è supportato nella connessione. Per informazioni di base, consulta VPN ad alta disponibilità.
• Gateway VPN peer: il gateway sulla rete peer a cui si connette il gateway VPN ad alta disponibilità Google Cloud. Inserisci gli indirizzi IP esterni che il gateway peer utilizza per connettersi a Google Cloud. Per informazioni di base, consulta Configura il gateway VPN peer.
• Cloud Router: utilizza il protocollo BGP (Border Gateway Protocol) per scambiare dinamicamente le route tra la tua rete VPC e le reti peer. Assegni un numero di sistema autonomo (ASN) come identificatore per il router Cloud e specifichi l'ASN utilizzato dal router peer. Per informazioni di base, consulta Crea un router Cloud per connettere una rete VPC a una rete peer.
• Tunnel VPN: connetti il gateway Google Cloud al gateway peer. Specifichi il protocollo Internet Key Exchange (IKE) da utilizzare per stabilire il tunnel. Puoi inserire la tua chiave IKE generata in precedenza o generare e copiare una nuova chiave. Per informazioni di base, vedi Configurare IKE.

Perché consigliamo questa attività

Una VPN ad alta disponibilità fornisce una connessione sicura e ad alta disponibilità tra la tua infrastruttura esistente e Google Cloud.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.
• Crea o collega un account di fatturazione nell'attività Fatturazione.
• Configura la gerarchia e assegna l'accesso nell'attività Gerarchia e accesso.
• Configura la rete nell'attività Reti VPC.

Raccogli le seguenti informazioni dall'amministratore di rete peer:

• Nome del gateway VPN peer: il gateway a cui si connette Cloud VPN.
• Indirizzo IP dell'interfaccia peer 0: un indirizzo IP esterno sul gateway della rete peer.
• Indirizzo IP dell'interfaccia peer 1: un secondo indirizzo esterno oppure puoi riutilizzare l'indirizzo IP 0 se la rete peer ha un solo indirizzo IP esterno.
• Numero di sistema autonomo (ASN) peer: un identificatore univoco assegnato al router di rete peer.
• ASN router Cloud: un identificatore univoco che assegnerai al tuo router Cloud.
• Chiavi Internet Key Exchange (IKE): chiavi che utilizzi per stabilire due tunnel VPN con il gateway VPN peer. Se non disponi di chiavi esistenti, puoi generarle durante questa configurazione e poi applicarle al gateway peer.

Configurare le connessioni

Per connettere le tue reti VPC alle reti peer:

1. Accedi come utente con il ruolo di Amministratore organizzazione.

2. Seleziona la tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.

3. Vai a Google Cloud Configurazione: connettività ibrida.

   Vai alla connettività ibrida

4. Per esaminare i dettagli dell'attività:

   1. Controlla la panoramica dell'attività e fai clic su Avvia la connettività ibrida.

   2. Fai clic su ciascuna scheda per scoprire di più sulla connettività ibrida e fai clic su Continua.

   3. Scopri cosa aspettarti in ogni passaggio dell'attività e fai clic su Continua.

   4. Esamina le informazioni di configurazione del gateway peer che devi raccogliere e fai clic su Continua.

5. Nell'area Connessioni ibride, identifica le reti VPC a cui vuoi connetterti in base alle esigenze aziendali.

6. Nella riga relativa alla prima rete che hai scelto, fai clic su Configura.

7. Nell'area Panoramica della configurazione, leggi la descrizione e fai clic su Avanti.

8. Nell'area Google Cloud Gateway VPN ad alta disponibilità, esegui le seguenti operazioni:

   1. Nel campo Nome gateway Cloud VPN, inserisci fino a 60 caratteri utilizzando lettere minuscole, numeri e trattini.

   2. Nell'area Tipo di stack IP interno dei tunnel VPN, seleziona uno dei seguenti tipi di stack:

      • IPv4 e IPv6 (opzione consigliata): può supportare il traffico IPv4 e IPv6. Ti consigliamo questa impostazione se prevedi di consentire il traffico IPv6 nel tunnel.
      • IPv4: può supportare solo il traffico IPv4.

      Il tipo di stack determina il tipo di traffico consentito nel tunnel tra la tua rete VPC e la tua rete peer. Non puoi modificare il tipo di stack dopo aver creato il gateway. Per informazioni di base, consulta le seguenti risorse:

      • Supporto di IPv6
      • Tipi di stack e sessioni BGP

   3. Fai clic su Avanti.

9. Nell'area Gateway VPN peer, segui questi passaggi:

   1. Nel campo Nome gateway VPN peer, inserisci il nome fornito dall'amministratore della rete peer. Puoi inserire fino a 60 caratteri utilizzando lettere minuscole, numeri e trattini.

   2. Nel campo Indirizzo IP dell'interfaccia peer 0, inserisci l'indirizzo IP esterno dell'interfaccia del gateway peer fornito dall'amministratore di rete peer.

   3. Nel campo Indirizzo IP dell'interfaccia peer 1, procedi in uno dei seguenti modi:

      • Se il gateway peer ha una seconda interfaccia, inserisci il relativo indirizzo IP.
      • Se il gateway peer ha una sola interfaccia, inserisci lo stesso indirizzo che hai inserito in Indirizzo IP dell'interfaccia peer 0.

      Per informazioni di base, consulta Configura il gateway VPN peer.

   4. Fai clic su Avanti.

10. Nell'area Cloud Router, segui questi passaggi:

    1. Nel campo ASN del router Cloud, inserisci l'Autonomous System Number che vuoi assegnare al tuo router Cloud, come fornito dall'amministratore della rete peer. Per informazioni di base, vedi Creare un router Cloud.

    2. Nel campo ASN del router peer, inserisci l'Autonomous System Number del router di rete peer, come fornito dall'amministratore di rete peer.

11. Nell'area Tunnel VPN 0, procedi nel seguente modo:

    1. Nel campo Nome tunnel 0, inserisci fino a 60 caratteri utilizzando lettere minuscole, numeri e trattini.

    2. Nell'area Versione IKE, seleziona una delle seguenti opzioni:

       • IKEv2 - opzione consigliata: supporta il traffico IPv6.
       • IKEv1: utilizza questa impostazione se non prevedi di consentire il traffico IPv6 nel tunnel.

       Per informazioni di base, vedi Configurare i tunnel VPN.

    3. Nel campo Chiave precondivisa IKE, inserisci la chiave che utilizzi nella configurazione del gateway peer, fornita dall'amministratore della rete peer. Se non hai una chiave esistente, puoi fare clic su Genera e copia e poi dare la chiave all'amministratore della rete peer.

12. Nell'area Tunnel VPN 1, ripeti il passaggio precedente per applicare le impostazioni per il secondo tunnel. Configura questo tunnel per la ridondanza e un throughput aggiuntivo.

13. Fai clic su Salva.

14. Ripeti questi passaggi per tutte le altre reti VPC che vuoi connettere alla rete peer.

Dopo il deployment

Dopo aver implementato la Google Cloud configurazione di configurazione, completa i seguenti passaggi per assicurarti che la connessione di rete sia completa:

1. Collabora con l'amministratore della rete peer per allineare la rete peer alle impostazioni di connettività ibrida. Dopo il deployment, vengono fornite istruzioni specifiche per la tua rete peer, tra cui:

   • Impostazioni tunnel.
   • Impostazioni del firewall.
   • Impostazioni IKE.

2. Convalida le connessioni di rete che hai creato. Ad esempio, puoi utilizzare Network Intelligence Center per controllare la connettività tra le reti. Per ulteriori informazioni, consulta Panoramica di Connectivity Tests.

3. Se le esigenze della tua attività richiedono una connessione più solida, utilizza Cloud Interconnect. Per saperne di più, consulta la sezione Scegliere un prodotto Network Connectivity.

Passaggi successivi

Esegui il deployment della configurazione, che include le impostazioni per la gerarchia e l'accesso, il logging, la rete e la connettività ibrida.

Man mano che completi la procedura di configurazione di Google Cloud , le impostazioni delle seguenti attività vengono compilate nei file di configurazione Terraform:

• Gerarchia e accesso
• Sicurezza
• Logging e monitoraggio centralizzati
• Reti VPC
• Connettività ibrida

Per applicare le impostazioni, rivedi le selezioni e scegli un metodo di implementazione.

Chi esegue questa attività

Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN che hai creato nell'attività Utenti e gruppi.

Cosa fai in questa attività

Esegui il deployment dei file di configurazione per applicare le impostazioni di configurazione.

Perché consigliamo questa attività

Devi distribuire i file di configurazione per applicare le impostazioni selezionate.

Prima di iniziare

Devi completare le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.
• Crea o collega un account di fatturazione nell'attività Fatturazione.
• Configura la gerarchia e assegna l'accesso nell'attività Gerarchia e accesso.

Ti consigliamo di svolgere le seguenti attività:

• Rafforza la tua strategia di sicurezza configurando servizi senza costi nell'attività Sicurezza.
• Consolida i dati di log in un'unica posizione e monitora tutti i progetti da un unico progetto nell'attività Logging e monitoraggio centralizzati.
• Configura la rete iniziale nell'attività Reti VPC.
• Collega le reti peer a Google Cloud nell'attività Connettività ibrida.

Rivedere i dettagli della configurazione

Per assicurarti che le impostazioni di configurazione siano complete:

1. Accedi alla console Google Cloud come utente del gruppogcp-organization-admins@YOUR_DOMAIN creato nell'attività Utenti e gruppi.

2. Seleziona la tua organizzazione dall'elenco a discesa Seleziona da nella parte superiore della pagina.

3. Vai a Google Cloud Configurazione: esegui il deployment o scarica.

   Vai a Esegui il deployment o scarica

4. Rivedi le impostazioni di configurazione selezionate. Fai clic su ciascuna delle seguenti schede e rivedi le impostazioni:

   • Gerarchia e accesso alle risorse
   • Sicurezza
   • Logging e monitoraggio
   • Reti VPC
   • Connettività ibrida

Esegui il deployment della configurazione

Ora che hai esaminato i dettagli della configurazione, utilizza una delle seguenti opzioni:

• Esegui il deployment direttamente dalla console: utilizza questa opzione se non disponi di un flusso di lavoro di deployment Terraform esistente e vuoi un metodo di deployment semplice. Puoi eseguire il deployment utilizzando questo metodo solo una volta.

• Scarica ed esegui il deployment del file Terraform: utilizza questa opzione se vuoi automatizzare la gestione delle risorse utilizzando un flusso di lavoro di deployment Terraform. Puoi scaricare ed eseguire il deployment utilizzando questo metodo più volte.

Esegui il deployment utilizzando una delle seguenti opzioni:

Passaggi successivi

Scegli un piano di assistenza.

In questa attività, scegli un piano di assistenza adatto alle esigenze della tua attività.

Chi esegue questa attività

Una persona nel gruppo gcp-organization-admins@YOUR_DOMAIN creato nell'attività Utenti e gruppi.

Cosa fai in questa attività

Scegli un piano di assistenza in base alle esigenze della tua azienda.

Perché consigliamo questa attività

Un piano Assistenza Premium fornisce un'assistenza business-critical per risolvere rapidamente i problemi con l'aiuto degli esperti di Google Cloud.

Scegli un'opzione di assistenza

Ricevi automaticamente l'assistenza di base gratuita, che include l'accesso alle seguenti risorse:

• Documentazione
• Assistenza e discussioni della community
• Assistenza per problemi di fatturazione

Consigliamo ai clienti aziendali di registrarsi per l'assistenza Premium, che offre assistenza tecnica individuale attraverso i tecnici di assistenza Google. Per confrontare i piani di assistenza, consulta Google Cloud Assistenza clienti.

Prima di iniziare

Completa le seguenti attività:

• Crea un utente super amministratore e la tua organizzazione nell'attività Organizzazione.
• Aggiungi utenti e crea gruppi nell'attività Utenti e gruppi.
• Assegna i ruoli IAM ai gruppi nell'attività Accesso amministrativo.

Attiva il supporto

Identifica e seleziona un'opzione di assistenza.

1. Esamina e seleziona un piano di assistenza. Per saperne di più, consulta Google Cloud Assistenza clienti.

2. Accedi alla console Google Cloud con un utente del gruppo gcp-organization-admins@<your-domain>.com che hai creato nell'attività Utenti e gruppi.

3. Vai a Google Cloud Configurazione: assistenza.

   Vai all'assistenza

4. Esamina i dettagli dell'attività e fai clic su Visualizza offerte di assistenza per selezionare un'opzione di assistenza.

5. Dopo aver configurato l'opzione di assistenza, torna alla pagina Google Cloud Configurazione: assistenza e fai clic su Contrassegna attività come completata.

Passaggi successivi

Ora che hai completato la Google Cloud configurazione, puoi estenderla, eseguire il deployment di soluzioni predefinite e migrare i flussi di lavoro esistenti. Per saperne di più, consulta Estendere la configurazione iniziale e iniziare a creare.