Google Cloud 設定引導式流程
透過集合功能整理內容
你可以依據偏好儲存及分類內容。
建議管理員先使用「設定」 Google Cloud 設定基礎架構,再於 Google Cloud上執行工作負載。基礎設定包括基本設定,可協助您整理、管理及維護Google Cloud 資源。
您可以使用「設定」 Google Cloud 中的互動式指南,快速部署預設設定,或根據業務需求進行調整:
前往「設定」 Google Cloud
本文將說明設定程序步驟和背景資訊,協助您完成設定程序,包括下列階段:
選取基礎選項:
根據要支援的工作負載,選取概念驗證、正式版或強化安全性的基礎。
建立機構、管理員和帳單:設定階層的頂層節點、建立初始管理員使用者並指派存取權,以及連結付款方式。
建立初始架構:選取初始資料夾和專案結構、套用安全性設定、設定記錄和監控,以及設定網路。
部署設定:初始架構選項會編譯到 Terraform 設定檔中。您可以透過 Google Cloud 控制台快速部署,也可以下載檔案,使用自己的工作流程自訂及疊代。部署完成後,請選取支援方案。
選取 Google Cloud 設定基礎選項
如要開始使用「設定」 Google Cloud ,請根據貴機構的需求選取下列其中一個基礎選項:
概念驗證:融入基本安全考量,適用於概念驗證工作負載。這個選項會引導您完成機構和帳單工作。舉例來說,您可以選取這個選項,先試用 Google Cloud,再決定是否要做出更大的承諾。
正式版:兼顧安全性和擴充性,適用於可在正式環境執行的工作負載。這個選項包含本文件中所有 Google Cloud 設定工作。舉例來說,您可以選取這個選項,為機構設定安全且可擴充的基礎。
安全再升級:包含生產環境基礎的所有工作,以及「安全性」工作中的 Cloud KMS 與 Autokey 設定。舉例來說,如果貴機構必須遵守嚴格的安全規定,就可以選取這個選項。
如要選取基礎選項,請按照下列步驟操作:
前往「Google Cloud 設定:基礎」。
前往「基礎」
在下列任一選項下方,按一下「開始」:
執行下列其中一個步驟:
建立概念驗證基礎
概念驗證基礎可協助您執行下列操作:
- 機構和帳單工作。
- 建立輕量型部署,其中包含下列項目:
如要建立概念驗證基礎,請執行下列操作:
完成「機構」工作。
設定身分識別提供者、驗證網域,然後產生機構。
以您在「機構組織」工作建立的超級管理員使用者身分登入控制台。
選取「概念驗證」基礎選項。
確認已選取您建立的機構,然後按一下「繼續前往帳單」。
系統會建立 gcp-organization-admins 和 gcp-billing-admins 群組,
並將你新增為各群組的成員。
選取或建立帳單帳戶。詳情請參閱「帳單」工作。
按一下「繼續檢查及部署基礎架構」。
在「檢查及部署設定」畫面中,檢查下列草稿設定:
按一下「Deploy」(部署)。概念驗證基礎已部署完成。
如要啟用管理專案的計費功能,請參閱「將帳單帳戶連結至管理專案」。
如要瞭解如何實驗及建構,請參閱「建構架構 Google Cloud 」。
建立機構、管理員和帳單
機構
Google Cloud 中的機構資源代表貴商家,是階層的頂層節點。如要建立機構,請設定 Google 身分識別服務,並將其與網域建立關聯。完成這項程序後,系統會自動建立機構資源。
如要瞭解機構資源的相關資訊,請參閱下列內容:
下列兩位管理員會執行這項工作:
這項工作的待辦事項
- 如果尚未設定 Cloud Identity,請先為超級管理員使用者建立受管理的使用者帳戶。
- 將 Cloud Identity 連結至您的網域 (例如 example.com)。
- 驗證您的網域。這個程序會建立資源階層結構的根節點,也就是機構資源。
我們建議這項工作的原因
您必須在 Google Cloud 基礎中設定下列項目:
- Google 身分識別服務,可集中管理身分。
- 機構資源,用於建立階層結構的根目錄和存取權控管機制。
Google Identity 服務選項
您可以使用下列任一或兩種 Google 身分識別服務,管理 Google Cloud 使用者的憑證:
- Cloud Identity:集中管理使用者和群組。您可以在 Google 與其他身分識別提供者之間連結身分識別。詳情請參閱 Cloud Identity 總覽。
- Google Workspace:管理使用者和群組,並提供 Gmail 和 Google 雲端硬碟等生產力和協作產品的存取權。詳情請參閱「Google Workspace」。
如要進一步瞭解身分規劃,請參閱「規劃公司身分的新手上路程序」。
事前準備
如要瞭解如何管理超級管理員帳戶,請參閱「超級管理員帳戶最佳做法」。
您需要完成的步驟取決於您是新客戶還是現有客戶。找出符合需求的選項:
新客戶:設定 Cloud Identity、驗證網域並建立機構。
現有 Google Workspace 客戶:將 Google Workspace 做為身分識別提供者,供使用者存取 Google Workspace 和 Google Cloud。如果打算建立只存取 Google Cloud的使用者,請啟用 Cloud Identity。
現有 Cloud Identity 客戶:驗證網域、確認機構已建立,並確認 Cloud Identity 已啟用。
新客戶
新客戶:設定 Cloud Identity 並建立機構
如要建立機構資源,請先設定 Cloud Identity,以便管理可存取資源的使用者和群組。 Google Cloud
在這項工作中,您將設定 Cloud Identity 免費版。完成初始設定後,即可啟用 Cloud Identity 進階版。詳情請參閱比較 Cloud Identity 功能與版本。
找出貴機構的 Cloud Identity 管理員 (又稱超級管理員)
請以「admin-name@example.com」格式記錄管理員的使用者名稱,例如「admin-maria@example.com」。建立第一位管理員使用者時,請指定這個使用者名稱。
如要完成設定程序並建立超級管理員帳戶,請前往 Cloud Identity 註冊頁面。
如果設定管理員帳戶時發生錯誤,請參閱「這個 Google 帳戶已有人使用」錯誤。
驗證網域並建立機構資源
Cloud Identity 會要求您驗證網域擁有權。驗證完成後,系統會自動為您建立 Google Cloud 機構資源。
請確認您在設定身分提供者時,已建立超級管理員帳戶。
在 Cloud Identity 中驗證網域。完成驗證程序時,請注意下列事項:
如需驗證網域的步驟,請參閱「驗證網域」。
完成網域驗證步驟後,請按一下「立即設定控制台」 Google Cloud 。
以您指定的電子郵件地址,登入 Google Cloud 控制台做為超級管理員使用者。例如:admin-maria@example.com。
前往「設定:機構」Google Cloud 。系統會自動建立機構。
前往機構
在頁面頂端的「可用的選項」下拉式選單中,選取您的機構。
申請額外 Cloud Identity 使用者授權
Cloud Identity 免費版包含一定數量的使用者授權。如需查看及申請授權的步驟,請參閱「您的 Cloud Identity 免費版使用者人數上限」。
Workspace 客戶
現有 Google Workspace 客戶:驗證網域並啟用 Cloud Identity
如果您是現有的 Google Workspace 客戶,請驗證網域,確認系統自動建立機構資源,並視需要啟用 Cloud Identity。
如要在 Google Workspace 中驗證網域,請參閱「驗證網域」。完成驗證程序時,請注意下列事項:
以超級管理員身分登入 Google Cloud 控制台。
前往「設定:機構」Google Cloud 。
前往機構
選取「我目前是 Google Workspace 客戶」。
確認貴機構名稱顯示在「機構」清單中。
如要建立可存取 Google Cloud但不會收到 Google Workspace 授權的使用者,請按照下列步驟操作。
在 Google Workspace 中啟用 Cloud Identity。
設定 Cloud Identity 時,請停用 Google Workspace 自動授權功能。
Cloud Identity 客戶
現有 Cloud Identity 客戶:驗證網域
如果您是現有的 Cloud Identity 客戶,請確認您已驗證網域,且系統已自動建立機構資源。
如要確認網域是否已通過驗證,請參閱「驗證網域」。完成驗證程序時,請注意下列事項:
以超級管理員身分登入 Google Cloud 控制台。
前往「設定:機構」Google Cloud 。
前往機構
選取「我目前是 Cloud Identity 客戶」。
確認貴機構名稱顯示在「機構」清單中。
確認已在 Google 管理控制台的「訂閱項目」頁面啟用 Cloud Identity。以超級管理員身分登入。
後續步驟
建立群組並新增成員。
使用者和群組
在這項工作中,您會設定身分、使用者和群組,以便管理Google Cloud 資源的存取權。
如要進一步瞭解如何管理 Google Cloud的存取權,請參閱下列文章:
如要執行這項工作,您必須具備下列其中一項條件:
- 您在「機構」工作建立的 Google Workspace 或 Cloud Identity 超級管理員。
- 下列其中一個 IAM 角色:
- 機構管理員 (
roles/resourcemanager.organizationAdmin)。
- 工作團隊身分集區管理員 (
roles/iam.workforcePoolAdmin)。
這項工作的待辦事項
我們建議這項工作的原因
這項工作可協助您實作下列安全性最佳做法:
您可以透過群組,有效率地對一組使用者套用 IAM 角色,這項做法有助於簡化存取權管理。
選取識別資訊提供者
您可以透過下列方式管理使用者和群組,並將其連結至 Google Cloud:
- Google Workspace 或 Cloud Identity:您可以在 Google Workspace 或 Cloud Identity 中建立及管理使用者和群組。您可以選擇稍後再與外部身分識別提供者同步。
- 外部身分提供者,例如 Microsoft Entra ID 或 Okta:您可以在外部身分提供者中建立及管理使用者和群組。然後將供應商連結至 Google Cloud ,啟用單一登入。
如要選取身分識別提供者,請按照下列步驟操作:
以「誰會執行這項工作」一節中識別的使用者身分登入 Google Cloud 控制台。
前往「Google Cloud 設定:使用者與群組」。
前往「使用者和群組」
查看工作詳細資料,然後按一下「繼續設定身分」。
在「選取身分識別提供者」頁面中,選取下列其中一個選項,開始進行導覽式設定:
- 透過 Google 集中管理使用者 Google Cloud :身為已驗證網域的超級管理員,您可以使用 Google Workspace 或 Cloud Identity 佈建及管理使用者和群組。您稍後可以與外部識別資訊提供者同步。
- Microsoft Entra ID (Azure AD):使用 OpenID Connect 設定與 Microsoft Entra ID 的連線。
- Okta:使用 OpenID Connect 設定與 Okta 的連線。
- OpenID Connect:使用 OpenID 通訊協定連線至相容的識別資訊提供者。
- SAML:使用 SAML 通訊協定連線至相容的識別資訊提供者。
- 暫時略過設定外部 IdP:如果您有外部身分識別提供者,但尚未準備好將其連線至 Google Cloud,可以在 Google Workspace 或 Cloud Identity 中建立使用者和群組。
按一下「繼續」。
如要瞭解後續步驟,請參閱下列任一文章:
在 Cloud Identity 中建立使用者和群組
如果您沒有現有的身分識別提供者,或尚未準備好將身分識別提供者連結至 Google Cloud,可以在 Cloud Identity 或 Google Workspace 中建立及管理使用者和群組。如要建立使用者和群組,請按照下列步驟操作:
- 為每個建議的管理功能建立群組,包括機構、帳單和網路管理。
- 為管理員建立受管理使用者帳戶。
- 將使用者指派給與其職責相應的管理群組。
事前準備
建立管理群組
群組是 Google 帳戶和服務帳戶的統稱。每個群組都有專屬的電子郵件地址,例如 gcp-billing-admins@example.com。您可以建立群組來管理使用者,並大規模套用 IAM 角色。
建議您建立下列群組,以便管理機構的核心功能,並完成 Google Cloud 設定程序。
| 群組
|
說明 |
gcp-organization-admins
|
管理所有機構資源。請僅將此角色指派給最信任的使用者。
|
gcp-billing-admins
|
設定帳單帳戶並監控使用情形。
|
gcp-network-admins
|
建立虛擬私有雲網路、子網路和防火牆規則。
|
gcp-hybrid-connectivity-admins
|
建立網路裝置,例如 Cloud VPN 執行個體和 Cloud Router。
|
gcp-logging-monitoring-admins
|
使用所有 Cloud Logging 和 Cloud Monitoring 功能。
|
gcp-logging-monitoring-viewers
|
具備部分記錄和監控資料的唯讀存取權。
|
gcp-security-admins
|
為整個機構建立及管理安全性政策,包括存取權管理和機構限制政策。如要進一步瞭解如何規劃 Google Cloud 安全 Google Cloud 基礎架構,請參閱「企業基礎藍圖」。Google Cloud |
gcp-developers
|
設計、編寫及測試應用程式。
|
gcp-devops
|
建立或管理支援下列功能的端對端 pipeline:持續整合、持續推送軟體更新、監控和系統佈建。 |
如要建立管理群組,請按照下列步驟操作:
選取 Google 做為供應商。
在「建立群組」頁面中,查看建議的管理群組清單,然後執行下列任一操作:
- 如要建立所有建議群組,請按一下「建立所有群組」。
- 如要建立建議群組的子集,請在所選資料列中按一下「建立」。
按一下「繼續」。
建立管理員使用者
建議您一開始先新增會完成機構、網路、帳單和其他設定程序的使用者。完成 Google Cloud 設定程序後,即可新增其他使用者。
如要新增執行 Google Cloud 設定工作的管理員使用者,請按照下列步驟操作:
將個人帳戶遷移至由 Cloud Identity 控制的受管理使用者帳戶。如需詳細步驟,請參閱下列文章:
使用超級管理員帳戶登入 Google 管理控制台。
使用下列其中一種方式新增使用者:
新增使用者後,請返回「設定:使用者與群組 (建立使用者)」Google Cloud 。
按一下「繼續」。
將管理員使用者新增至群組
將建立的使用者新增至與其職責對應的管理員群組。
- 請確認您已建立管理員使用者。
在「設定:使用者與群組 (將使用者新增至群組)」Google Cloud 中,查看步驟詳細資料。
在每個「群組」列中,執行下列操作:
- 按一下 [Add members] (新增成員)。
- 輸入使用者的電子郵件地址。
從「群組角色」下拉式清單中,選取使用者的群組權限設定。詳情請參閱「設定哪些人可以查看、張貼及審核留言」。
無論您選取哪個群組角色,每位成員都會繼承您授予群組的所有 IAM 角色。
如要將其他使用者加入這個群組,請按一下「新增其他成員」,然後重複上述步驟。建議您在每個群組中都設定多位成員。
將使用者新增至這個群組後,請按一下「儲存」。
完成所有群組的設定後,請按一下「確認使用者和群組」。
如要將識別資訊提供者服務連結至 Google Cloud,請參閱下列說明:
將外部身分識別提供者連結至 Google Cloud
您可以使用現有的身分識別提供者建立及管理群組和使用者。您會透過外部識別資訊提供者設定員工身分聯盟,以設定單一登入服務。 Google Cloud 如要瞭解這個程序的重要概念,請參閱「員工身分聯盟」。
如要連結外部身分識別提供者,請完成導覽設定,包括下列步驟:
- 建立員工集區:員工身分集區可協助您管理身分及其資源存取權。您以人類可解讀的格式輸入下列詳細資料。
- 員工集區 ID:IAM 中使用的全域專屬 ID。
- 供應商 ID:供應商名稱,使用者登入 Google Cloud時會指定這個名稱。
- 在供應商平台中設定 Google Cloud :引導式設定會提供供應商專屬的步驟。
- 輸入提供者的工作團隊集區詳細資料:如要將提供者新增為信任機構,以便聲明身分,請從提供者擷取詳細資料,然後新增至 Google Cloud:
- 設定初始管理群組:引導式設定包含供應商的特定步驟。在供應商中指派群組,並建立與 Google Cloud的連線。如要詳細瞭解各個群組,請參閱「建立管理群組」。
- 將使用者指派給各個群組:建議您為每個群組指派多位使用者。
如要瞭解各供應商的連線程序背景資訊,請參閱下列文章:
後續步驟
將權限指派給管理員群組。
管理員存取權
在本工作中,您將使用 Identity and Access Management (IAM),在機構層級將權限集合指派給管理員群組。這個程序可讓管理員集中查看及控管屬於貴機構的每項雲端資源。
如要瞭解 Google Cloud中的 Identity and Access Management,請參閱 IAM 總覽。
如要執行這項工作,您必須是下列其中一種使用者:
- 超級管理員使用者。
- 使用者須具備機構管理員角色 (
roles/resourcemanager.organizationAdmin)。
這項工作的待辦事項
我們建議這項工作的原因
您必須明確授予貴機構的所有管理員角色。這項工作可協助您實作下列安全性最佳做法:
事前準備
完成下列工作:
- 在「Organization」(機構) 工作建立超級管理員使用者和貴機構。
- 在「使用者和群組」工作新增使用者並建立群組。
授予管理員群組的存取權
如要授予您在「使用者和群組」工作建立的每個管理員群組適當存取權,請查看指派給每個群組的預設角色。您可以新增或移除角色,自訂每個群組的存取權。
確認您是以超級管理員身分登入 Google Cloud 控制台。
或者,您也可以以具有機構管理員角色 (roles/resourcemanager.organizationAdmin) 的使用者身分登入。
前往「設定」Google Cloud 「管理員存取權」。
前往「管理員存取權」
在頁面頂端的「Select from」(可用的選項) 下拉式清單中,選取您的機構名稱。
查看工作總覽,然後按一下「繼續授予管理員權限」。
查看「群組 (主體)」欄中,您在「使用者與群組」工作建立的群組。
請為每個群組查看預設 IAM 角色。您可以視貴機構的獨特需求,新增或移除指派給各群組的角色。
每個角色都包含多項權限,可讓使用者執行相關工作。如要進一步瞭解每個角色的權限,請參閱 IAM 基本和預先定義的角色參考資料。
準備好為各個群組指派角色後,請按一下「儲存並授予存取權」。
後續步驟
設定帳單資訊。
帳單
在這項工作中,您會設定用來支付 Google Cloud資源費用的帳單帳戶。如要完成這項操作,請將下列其中一項項目與貴機構建立關聯。
如要進一步瞭解帳單,請參閱 Cloud Billing 說明文件。
在「使用者與群組」工作建立的gcp-billing-admins@YOUR_DOMAIN群組成員。
這項工作的待辦事項
- 建立或使用現有的自助式 Cloud Billing 帳戶。
- 決定是否要從自助式帳戶改用月結帳戶。
- 設定 Cloud Billing 帳戶和付款方式。
我們建議這項工作的原因
Cloud Billing 帳戶會連結至一或多項 Google Cloud 專案
,可用來支付資源使用費用,例如虛擬機器、網路和儲存空間。
判斷帳單帳戶類型
與機構建立關聯的帳單帳戶屬於下列類型。
您無法在線上建立月結帳戶,但可以申請將自助式帳戶轉換為月結帳戶。
詳情請參閱「Cloud Billing 帳戶類型」。
事前準備
完成下列工作:
- 在「Organization」(機構) 工作建立超級管理員使用者和貴機構。
- 在「使用者和群組」工作新增使用者並建立群組。
- 在「管理存取權」工作將 IAM 角色指派給群組。
設定帳單帳戶
現在您已選擇帳單帳戶類型,請將帳單帳戶與貴機構建立關聯。完成這項程序後,您就可以使用帳單帳戶支付 Google Cloud 資源費用。
以gcp-billing-admins@YOUR_DOMAIN群組中的使用者身分登入 Google Cloud 控制台。
前往「設定:帳單」Google Cloud 。
前往「帳單」頁面
查看工作總覽,然後按一下「繼續計費」。
選取下列任一帳單帳戶選項:
建立新帳戶
如果貴機構沒有現有帳戶,請建立新帳戶。
- 選取「我想建立新的帳單帳戶」。
- 按一下「繼續」。
選取要建立的帳單帳戶類型。如需詳細步驟,請參閱下列文章:
確認帳單帳戶已建立:
如果您建立的是可開立月結單的帳戶,請等待最多 5 個工作天,即可收到確認電子郵件。
前往「帳單」頁面。
在頁面頂端的「從以下項目選取」清單中,選取您的機構。如果帳戶建立成功,就會顯示在帳單帳戶清單中。
使用現有帳戶
如果您已有帳單帳戶,可以將該帳戶與貴機構建立關聯。
- 選取「我已在清單中找到要用來完成設定步驟的帳單帳戶」。
- 從「帳單」下拉式選單中,選取要與機構建立關聯的帳戶。
- 按一下「繼續」。
- 查看詳細資料,然後按一下「確認帳單帳戶」。
使用其他使用者的帳戶
如果其他使用者有權存取現有帳單帳戶,您可以請對方將帳單帳戶與貴機構建立關聯,或授予您存取權來完成關聯。
- 選取「我要使用由其他 Google 使用者帳戶管理的帳單帳戶」。
- 按一下「繼續」。
- 輸入帳單帳戶管理員的電子郵件地址。
- 按一下「聯絡管理員」。
- 等待帳單帳戶管理員與您聯絡,提供進一步指示。
後續步驟
建立資源階層結構並指派存取權。
建立初始架構
階層結構與存取權
在這項工作中,您會建立下列資源並指派存取權,藉此設定資源階層:
- 資料夾
- 提供分組機制,為專案劃定明確的分界。舉例來說,資料夾可用來代表組織中的主要部門 (例如財務或零售),或實際工作和非實際工作等環境。
- 專案
- 包含您的 Google Cloud 資源,例如虛擬機器、資料庫和儲存空間值區。
如要瞭解設計注意事項和資源整理最佳做法,請參閱決定登陸區的資源階層 Google Cloud 。
在「使用者與群組」工作建立的 gcp-organization-admins@YOUR_DOMAIN 群組成員可以執行這項工作。
這項工作的待辦事項
- 建立含有資料夾和專案的初始階層結構。
- 設定 IAM 政策,控管資料夾和專案的存取權。
我們建議這項工作的原因
為資料夾和專案建立結構,有助於您根據機構的運作方式管理Google Cloud 資源及指派存取權。舉例來說,您可以根據機構專屬的地理區域集合、子公司結構或問責架構,整理及提供資源存取權。
規劃資源階層結構
資源階層可協助您建立界線,並在機構中分享資源,以執行常見工作。您可以根據機構架構,使用下列其中一種初始設定建立階層:
以環境為核心的簡易型:
- 隔離
Non-production 和 Production 等環境。
- 在每個環境資料夾中,實施不同的政策、法規要求和存取權控管。
- 適合採用集中式環境的小型公司。
以團隊為核心的簡易型階層結構:
- 隔離
Development 和 QA 等團隊。
- 在每個團隊資料夾下使用子項環境資料夾,隔離資源存取權。
- 適合有自主團隊的小型公司。
環境導向:
- 優先隔離
Non-production 和 Production 等環境。
- 在每個環境資料夾下,隔離業務單位。
- 在每個業務單位下方,區隔出各個團隊。
- 適合採用集中式環境的大型公司。
以業務單位為核心:
- 優先隔離
Human Resources 和 Engineering 等業務單位,確保使用者只能存取所需的資源和資料。
- 在每個業務單位下方,區隔出各個團隊。
- 在每個團隊底下,隔離環境。
- 適合有自主團隊的大型公司。
每個設定都有一個 Common 資料夾,內含共用資源的專案。這可能包括記錄及監控專案。
事前準備
完成下列工作:
- 在「Organization」(機構) 工作建立超級管理員使用者和貴機構。
- 在「使用者和群組」工作新增使用者並建立群組。
- 在「管理存取權」工作,將 IAM 角色指派給群組。
- 在「帳單」工作建立或連結帳單帳戶。
設定初始資料夾和專案
選取代表貴機構架構的資源階層。
如要設定初始資料夾和專案,請按照下列步驟操作:
以您在「使用者和群組」工作建立的gcp-organization-admins@YOUR_DOMAIN群組使用者身分登入 Google Cloud 控制台。
在頁面頂端的「可用的選項」下拉式選單中,選取您的機構。
前往「Google Cloud 設定:階層結構與存取權」。
前往「階層結構與存取權」
查看工作總覽,然後按一下「資源階層」旁的「開始」。
選取起始設定。
按一下「繼續並設定」。
自訂資源階層結構,反映貴機構的架構。舉例來說,您可以自訂下列項目:
按一下「繼續」。
授予資料夾和專案的存取權。
在「管理員存取權」工作中,您已在機構層級將管理員存取權授予群組。在這項工作中,您會設定群組的存取權,讓群組與新設定的資料夾和專案互動。
專案、資料夾和機構各有自己的 IAM 政策,這些政策會透過資源階層繼承:
- 機構:政策會套用至機構中的所有資料夾和專案。
- 資料夾:政策會套用至資料夾中的專案和其他資料夾。
- 專案:政策只會套用至該專案及其資源。
更新資料夾和專案的 IAM 政策:
在「階層結構與存取權」的「設定存取權控管」部分,授予群組資料夾和專案的存取權:
在表格中,查看授予每個資源中各群組的建議 IAM 角色清單。
如要修改指派給各群組的角色,請按一下所需資料列中的「編輯」。
如要進一步瞭解各個角色,請參閱「IAM 基本和預先定義角色」。
按一下「繼續」。
檢查變更,然後按一下「確認草稿設定」。
後續步驟
調整安全性設定。
安全性
在這項工作中,您會設定安全性設定和產品,協助保護貴機構。
如要完成這項工作,您必須具備下列其中一項:
- 機構管理員角色 (
roles/resourcemanager.organizationAdmin)。
- 您在「使用者與群組」工作建立的下列其中一個群組成員:
gcp-organization-admins@<your-domain>.comgcp-security-admins@<your-domain>.com
這項工作的待辦事項
根據下列類別套用建議的機構政策:
- 存取權管理。
- 服務帳戶行為。
- 虛擬私有雲網路設定。
- 使用 Autokey 的 Cloud KMS:僅適用於「強化安全性」基礎選項。
您也可以啟用 Security Command Center,集中管理安全漏洞和威脅報告。
我們建議這項工作的原因
套用建議的機構政策,有助於限制使用者採取不符合安全防護機制的行動。
啟用 Security Command Center 後,您就能建立中央位置來分析安全漏洞和威脅。
強制執行並自動化 Cloud KMS with Autokey,有助於您持續使用客戶管理加密金鑰 (CMEK) 保護資源。
事前準備
完成下列工作:
- 在「Organization」(機構) 工作建立超級管理員使用者和貴機構。
- 在「使用者和群組」工作新增使用者並建立群組。
- 在「管理員存取權」工作,將 IAM 角色指派給群組。
開始執行安全性工作
使用「誰會執行這項工作」一節中識別的使用者登入 Google Cloud 控制台。
在頁面頂端的「從以下選取」下拉式選單中,選取您的機構。
前往「設定:安全性」Google Cloud 。
前往「安全性」
查看工作總覽,然後按一下「開始安全檢查」。
集中管理安全漏洞和威脅報告
如要集中管理安全漏洞和威脅回報服務,請啟用 Security Command Center。這有助於強化安全防護機制及降低風險。詳情請參閱「Security Command Center 總覽」。
在「設定:安全性」Google Cloud 頁面中,確認已啟用「啟用 Security Command Center 標準方案」核取方塊。
這項工作會啟用免費的 Standard 方案。您之後可以升級至 Premium 版。詳情請參閱「Security Command Center 服務層級」。
按一下「套用 SCC 設定」。
套用建議的機構政策
機構政策會套用至機構層級,並由資料夾和專案繼承。在這項工作中,您會查看並套用建議的政策清單。您隨時可以修改機構政策。詳情請參閱「機構政策服務簡介」。
查看建議的機構政策清單。如不想套用建議政策,請點選政策的核取方塊將其移除。
如需各項組織政策的詳細說明,請參閱組織政策限制。
按一下「確認機構政策設定」。
您選取的機構政策會在後續工作部署設定時套用。
強制執行並自動化客戶加密金鑰
使用 Autokey 的 Cloud KMS 可讓貴機構的開發人員在需要時建立對稱加密金鑰,以保護 Google Cloud資源。如果您選取「強化安全性」基礎選項,可以設定使用 Autokey 的 Cloud KMS。
- 查看「使用 Autokey 的 Cloud KMS」說明,然後點選「採用使用 Autokey 的 Cloud KMS,並套用組織政策」下方的「是 (建議)」。
- 按一下「確認金鑰管理設定」。
在後續工作中部署設定時,系統會套用下列設定:
- 在階層結構的每個環境資料夾中,設定 Autokey 專案。
- 在環境資料夾中啟用使用 Autokey 的 Cloud KMS。
- 要求在各環境資料夾中建立的資源使用客戶管理的加密金鑰 (CMEK)。
- 限制每個資料夾只能使用該資料夾 Autokey 專案中的 Cloud KMS 金鑰。
後續步驟
集中記錄與監控。
集中化記錄與監控功能
在這項工作中,您將設定下列項目:
- 集中化記錄功能,可協助您分析及深入瞭解貴機構所有專案的記錄。
- 集中化監控功能,可協助您以圖表呈現這項設定程序中建立的所有專案指標。
如要設定記錄及監控,您必須具備下列其中一個項目:
- 「記錄管理員」(
roles/logging.admin) 和「監控管理員」(roles/monitoring.admin) 角色。
- 您在「使用者與群組」工作建立的下列其中一個群組成員:
gcp-organization-admins@YOUR_DOMAINgcp-security-admins@YOUR_DOMAINgcp-logging-monitoring-admins@YOUR_DOMAIN
這項工作的待辦事項
在這項工作中,您將執行下列操作:
- 集中管理貴機構專案中建立的記錄,滿足安全性、稽核和法規遵循需求。
- 設定集中化監控專案,存取這項設定程序中建立的專案監控指標。
我們建議這項工作的原因
記錄檔儲存和保留功能可簡化分析作業,並保留稽核追蹤記錄。
集中式監控功能可讓您在同一個位置查看指標。
事前準備
完成下列工作:
- 在「Organization」(機構) 工作建立超級管理員使用者和貴機構。
- 在「使用者和群組」工作新增使用者並建立群組。
- 在「管理存取權」工作將 IAM 角色指派給群組。
- 在「帳單」工作建立或連結帳單帳戶。
- 在「階層結構與存取權」工作設定階層結構並指派存取權。
集中管理記錄
Cloud Logging 可協助您儲存、搜尋、分析及監控 Google Cloud中的記錄資料和事件,並接收相關快訊。您也可以從應用程式、內部部署資源和其他雲端收集及處理記錄。建議您使用 Cloud Logging 將記錄合併至單一記錄值區。
如要瞭解詳情,請參考下列資源:
如要將記錄資料儲存在中央記錄 bucket 中,請按照下列步驟操作:
以「誰會執行這項工作」一節中識別的使用者身分登入 Google Cloud 控制台。
在頁面頂端的「可用的選項」下拉式選單中,選取您的機構。
前往「設定:集中化記錄與監控功能」Google Cloud 。
前往集中記錄與監控功能
詳閱工作總覽,然後按一下「開始設定集中化記錄與監控功能」。
查看工作詳細資料。
如要將記錄檔轉送至中央記錄檔值區,請務必選取「將機構層級的稽核記錄儲存在記錄檔值區中」。
展開「將記錄檔轉送至 Logging 記錄檔值區」,然後執行下列步驟:
在「記錄值區名稱」欄位中,輸入中央記錄值區的名稱。
從「記錄檔 bucket 區域」清單中,選取儲存記錄資料的區域。
詳情請參閱「記錄值區位置」。
記錄檔預設會保留 30 天。建議大型企業將記錄檔保留 365 天。如要自訂保留期限,請在「保留期限」欄位中輸入天數。
記錄儲存超過 30 天後,就會產生保留費用。詳情請參閱 Cloud Logging 定價摘要。
將記錄檔匯出至 Google Cloud以外的位置
如要將記錄檔匯出至 Google Cloud以外的目的地,可以使用 Pub/Sub 匯出。舉例來說,如果您使用多個雲端服務供應商,可能會決定將每個雲端服務供應商的記錄資料匯出至第三方工具。
您可以篩選匯出的記錄,滿足自身需求。
舉例來說,您可以選擇限制匯出的記錄類型,以控管費用或減少資料中的干擾。
如要進一步瞭解如何匯出記錄,請參閱下列文章:
如要匯出記錄,請按照下列步驟操作:
按一下「將記錄檔串流至其他應用程式、其他存放區或第三方服務」。
在「Pub/Sub 主題 ID」欄位中,輸入包含匯出記錄的主題 ID。如要瞭解如何訂閱主題,請參閱「提取訂閱項目」。
如要選取要匯出的記錄,請按照下列步驟操作:
如要瞭解各記錄類型,請參閱「瞭解 Cloud 稽核記錄」。
如要避免匯出下列任一建議記錄,請按一下「包含篩選器」清單,然後取消勾選記錄的核取方塊:
- Cloud Audit Logs:管理員活動:修改資源設定或中繼資料的 API 呼叫或動作。
- Cloud 稽核記錄:系統事件: Google Cloud 修改資源設定的動作。
- 資料存取透明化控管機制:Google 人員存取客戶內容時執行的操作。
選取下列其他記錄檔即可匯出:
- Cloud Audit Logs:資料存取:讀取資源設定或中繼資料的 API 呼叫,以及建立、修改或讀取使用者提供資源資料的使用者驅動 API 呼叫。
- Cloud 稽核記錄:政策遭拒: Google Cloud 根據違反安全政策的行為,拒絕使用者或服務帳戶存取服務。
只有在專案或資源中啟用所選記錄時,系統才會匯出這些記錄。如需在部署設定後變更專案和資源的記錄篩選器,請參閱「納入篩選器」一文。
按一下 [確定]。
按一下「繼續前往監控」。
設定集中化監控功能
集中式監控功能可協助您分析多個專案的系統健康狀態、效能和安全性。在這項工作中,您會將在「階層結構與存取權」工作期間建立的專案新增至範圍界定專案。然後,您就可以從範圍界定專案監控這些專案。完成 Cloud 設定後,您可以設定其他專案,讓範圍專案監控這些專案。
詳情請參閱「指標範圍總覽」。
如要設定集中化監控功能,請按照下列步驟操作:
如要設定在 Google Cloud 設定期間建立的專案,以進行集中監控,請務必選取「使用集中監控」。
在 Google Cloud 設定期間建立的專案會新增至所列範圍專案的指標範圍。
Cloud Monitoring 提供每月免費配額。詳情請參閱 Cloud Monitoring 定價摘要。
如要瞭解如何設定在「設定」 Google Cloud 以外建立的專案,請參閱下列文章:
完成設定程序
如要完成記錄及監控工作,請執行下列操作:
按一下「確認設定」。
查看記錄與監控功能設定的詳細資料。您必須在後續工作中部署設定,設定才會生效。
後續步驟
設定初始網路設定。
虛擬私有雲網路
您將在這項工作中進行初始網路設定,並可視需求調整規模。
虛擬私有雲架構
虛擬私有雲 (VPC) 網路是實體網路的虛擬版本,建構於 Google 的正式環境網路之內。VPC 網路是全域資源,由區域子網路組成。
虛擬私有雲網路可為 Compute Engine 虛擬機器執行個體、GKE 容器和 App Engine 彈性環境執行個體等 Google Cloud 資源提供網路功能。
共用虛擬私有雲可將多個專案的資源連線至通用虛擬私有雲網路,讓這些資源可以使用網路的內部 IP 位址相互通訊。下圖顯示共用虛擬私有雲網路的基本架構,以及附加的服務專案。
使用共用虛擬私有雲時,您要先指派一個主專案,然後再附加一或多個服務專案。主專案中的虛擬私有雲網路稱為共用虛擬私有雲網路。
範例圖表包含正式和非正式環境的主專案,每個專案都包含共用虛擬私有雲網路。您可以使用主機專案集中管理下列項目:
服務專案是指任何附加至主專案的專案。您可以在主專案和服務專案之間共用子網路,包括次要範圍。
在這個架構中,每個共用虛擬私有雲網路都包含公開和私人子網路:
- 公開子網路可用於連結網際網路的執行個體,以提供外部連線。
- 私人子網路可用於未獲指派公開 IP 位址的內部執行個體。
在這項工作中,您會根據範例圖表建立初始網路設定。
如要執行這項工作,您必須具備下列其中一項條件:
roles/compute.networkAdmin 角色。- 加入您在「使用者和群組」工作建立的
gcp-network-admins@YOUR_DOMAIN 群組。
這項工作的待辦事項
建立初始網路設定,包括:
- 建立多個主專案,反映您的開發環境。
- 在每個主專案中建立共用 VPC 網路,允許不同資源共用相同網路。
- 在每個共用虛擬私有雲網路中建立不同的子網路,為服務專案提供網路存取權。
我們建議這項工作的原因
不同的團隊可以使用共用虛擬私有雲,連線到集中代管的共同虛擬私有雲網路。
事前準備
完成下列工作:
- 在「Organization」(機構) 工作建立超級管理員使用者和貴機構。
- 在「使用者和群組」工作新增使用者並建立群組。
- 在「管理存取權」工作將 IAM 角色指派給群組。
- 在「帳單」工作建立或連結帳單帳戶。
- 在「階層結構與存取權」工作設定階層結構並指派存取權。
建立初始網路設定,並使用兩個主機專案區隔非正式環境和正式環境工作負載。每個主專案都包含一個共用虛擬私有雲網路,可供多個服務專案使用。您將在後續工作中設定網路詳細資料,然後部署設定檔。
如要設定初始網路,請按照下列步驟操作。
使用您在「使用者和群組」工作建立的 Google Cloud 群組gcp-organization-admins@YOUR_DOMAIN使用者身分登入控制台。
在頁面頂端的「選取機構」下拉式選單中,選取您的機構。
前往「設定:網路」Google Cloud 。
前往「Networking」(網路)
查看預設網路架構。
如要編輯網路名稱,請按照下列步驟操作:
- 按一下「動作」more_vert
- 選取「編輯網路名稱」。
- 在「網路名稱」欄位中,輸入小寫字母、數字或連字號。網路名稱不得超過 25 個字元。
- 按一下 [儲存]。
修改防火牆詳細資料
主專案的預設防火牆規則是根據建議的最佳做法設定。您可以選擇停用一或多個預設防火牆規則。
如需防火牆規則的一般資訊,請參閱 VPC 防火牆規則。
如要修改防火牆設定,請按照下列步驟操作:
按一下「動作」more_vert。
選取「編輯防火牆規則」。
如要詳細瞭解各項預設防火牆規則,請參閱預設網路中預先填入的規則。
如要停用防火牆規則,請取消勾選對應的核取方塊。
如要停用「防火牆規則記錄」,請按一下「關閉」。
根據預設,系統會記錄 Compute Engine 執行個體的來回流量,以供稽核。這項程序會產生費用。詳情請參閱「防火牆規則記錄」。
按一下 [儲存]。
修改子網路詳細資料
每個 VPC 網路都至少包含一個子網路,這是與 IP 位址範圍相關聯的區域資源。在這項多區域設定中,您必須至少有兩個 IP 範圍不重疊的子網路。
詳情請參閱「子網路」。
每個子網路都採用建議的最佳做法進行設定。如要自訂每個子網路,請按照下列步驟操作:
- 按一下「動作」more_vert
- 選取「編輯子網路」。
- 在「名稱」欄位中,輸入小寫英文字母、數字或連字號。
子網路名稱不得超過 25 個字元。
從「Region」(區域) 下拉式選單中,選取鄰近貴公司服務據點的區域。
建議您為每個子網路選擇不同區域。設定部署完成後,就無法變更區域。如要瞭解如何選擇區域,請參閱「區域資源」。
在「IP 位址範圍」欄位中,以 CIDR 標記法輸入範圍,例如 10.0.0.0/24。
輸入的範圍不得與這個網路中的其他子網路重疊。如要瞭解有效範圍,請參閱「IPv4 子網路範圍」。
針對子網路 2 重複上述步驟。
如要在這個網路中設定其他子網路,請按一下「新增子網路」,然後重複上述步驟。
按一下 [儲存]。
系統會根據最佳做法自動設定子網路。如要修改設定,請在「設定:虛擬私有雲網路」Google Cloud 頁面中執行下列操作:
如要關閉虛擬私有雲流量記錄,請在「流量記錄」欄中選取「關閉」。
開啟流程記錄檔後,每個子網路都會記錄網路流程,供您分析安全性、支出最佳化等用途。詳情請參閱「使用虛擬私有雲流量記錄檔」一文。
虛擬私有雲流量記錄會產生費用。詳情請參閱虛擬私有雲定價。
如要關閉私人 Google 存取權,請在「私人存取權」欄中選取「關閉」。
啟用私人 Google 存取權後,沒有外部 IP 位址的 VM 執行個體就能連上 Google API 和服務。詳情請參閱私人 Google 存取權。
如要開啟 Cloud NAT,請在「Cloud NAT」欄中選取「開啟」。
啟用 Cloud NAT 後,特定資源即可建立連至網際網路的傳出連線。詳情請參閱「Cloud NAT 總覽」一文。
Cloud NAT 會產生費用。詳情請參閱虛擬私有雲定價。
按一下「繼續連結服務專案」。
將服務專案連結至主專案
服務專案是指附加至主專案的專案,這個附加動作能讓服務專案加入共用虛擬私有雲。各個服務專案可由不同部門或團隊運作及管理,以劃分職責。
如要進一步瞭解如何將多個專案連線至共同的虛擬私有雲網路,請參閱共用虛擬私有雲總覽。
如要將服務專案連結至主專案並完成設定,請按照下列步驟操作:
在「共用虛擬私有雲網路」表格中,為每個子網路選取要連線的服務專案。如要這麼做,請從「服務專案」欄的「選取專案」
下拉式選單中選取。
您可以將服務專案連線至多個子網路。
按一下「繼續查看」。
檢查設定並進行變更。
部署設定檔前,您都可以進行編輯。
按一下「確認草稿設定」。網路設定會新增至設定檔。
您必須在後續工作中部署設定檔,網路才會部署完成。
後續步驟
設定混合式連線,將地端部署伺服器或其他雲端服務供應商連線至 Google Cloud。
混合式連線
在這項工作中,您將在對等互連 (地端部署或其他雲端) 網路與 Google Cloud 網路之間建立連線,如下圖所示。
這個程序會建立高可用性 VPN,也就是高可用性 (HA) 解決方案,可供您快速建立,透過公開網際網路傳輸資料。
部署 Google Cloud 設定後,建議使用 Cloud Interconnect 建立更穩固的連線。
如要進一步瞭解對等互連網路和 Google Cloud之間的連線,請參閱下列內容:
您必須具備機構管理員角色 (roles/resourcemanager.organizationAdmin)。
這項工作的待辦事項
在虛擬私有雲網路與地端或其他雲端網路之間,建立低延遲、高可用性的連線。您會設定下列元件:
- Google Cloud 高可用性 VPN 閘道:具備兩個介面的區域性資源,每個介面都有專屬的 IP 位址。您可以指定 IP 堆疊類型,決定連線是否支援 IPv6 流量。如需背景資訊,請參閱高可用性 VPN。
- 對等互連 VPN 閘道:對等互連網路上的閘道,高可用性 VPN 閘道會連線至該閘道。 Google Cloud輸入對等互連閘道用於連線至 Google Cloud的外部 IP 位址。如需背景資訊,請參閱設定對等互連 VPN 閘道。
- Cloud Router:使用邊界閘道通訊協定 (BGP),在虛擬私有雲 (VPC) 和對等互連網路之間動態交換路徑。您會指派自治系統編號 (ASN) 做為 Cloud Router 的 ID,並指定對等路由器使用的 ASN。如需背景資訊,請參閱「建立雲端路由器,將虛擬私有雲網路連線至對等互連網路」。
- VPN 通道:將 Google Cloud 閘道連線至對等互連閘道。您要指定用來建立通道的網際網路金鑰交換 (IKE) 通訊協定。您可以輸入先前產生的 IKE 金鑰,或是產生並複製新的金鑰。如需背景資訊,請參閱「設定 IKE」。
我們建議這項工作的原因
高可用性 VPN 可在現有基礎架構與 Google Cloud之間建立安全且高可用性的連線。
事前準備
完成下列工作:
- 在「Organization」(機構) 工作建立超級管理員使用者和貴機構。
- 在「使用者和群組」工作新增使用者並建立群組。
- 在「管理存取權」工作將 IAM 角色指派給群組。
- 在「帳單」工作建立或連結帳單帳戶。
- 在「階層結構與存取權」工作設定階層結構並指派存取權。
- 在「虛擬私有雲網路」工作設定網路。
請向對等互連網路管理員索取下列資訊:
- 對等互連 VPN 閘道名稱:Cloud VPN 連線的閘道。
- 對等互連介面 IP 位址 0:對等互連網路閘道的外部 IP 位址。
- 對等互連介面 IP 位址 1:第二個外部位址,如果對等互連網路只有一個外部 IP 位址,也可以重複使用 IP 位址 0。
- 對等互連自治系統編號 (ASN):指派給對等互連網路路由器的不重複 ID。
- Cloud Router ASN:您將指派給 Cloud Router 的專屬 ID。
- 網際網路金鑰交換 (IKE) 金鑰:用來與對等互連 VPN 閘道建立兩個 VPN 通道的金鑰。如果沒有現有金鑰,您可以在設定期間產生金鑰,然後套用至對等閘道。
如要將虛擬私有雲網路連線至對等互連網路,請按照下列步驟操作:
以具備機構管理員角色的使用者身分登入。
在頁面頂端的「可用的選項」下拉式選單中,選取您的機構。
前往「Google Cloud 設定:混合式連線」。
前往混合式連線
如要查看工作詳細資料,請按照下列步驟操作:
查看工作總覽,然後按一下「啟動混合式連線」。
按一下各個分頁標籤即可瞭解混合式連線,然後按一下「繼續」。
查看每個工作步驟的預期結果,然後按一下「繼續」。
查看需要收集的對等互連閘道設定資訊,然後按一下「繼續」。
在「混合式連線」區域中,根據業務需求找出要連線的 VPC 網路。
在您選擇的第一個聯播網資料列中,按一下「設定」。
在「Configuration overview」(設定總覽) 區域中,閱讀說明並按一下「Next」(下一步)。
在「高可用性 VPN 閘道」Google Cloud 區域中,執行下列操作:
在「Cloud VPN gateway name」(Cloud VPN 閘道名稱) 欄位中,輸入最多 60 個字元,可使用小寫字母、數字和連字號。
在「VPN tunnel inner IP stack type」(VPN 通道內部 IP 堆疊類型) 區域中,選取下列其中一種堆疊類型:
- IPv4 和 IPv6 (建議):可同時支援 IPv4 和 IPv6 流量。如果您打算允許通道中的 IPv6 流量,建議使用這項設定。
- IPv4:僅支援 IPv4 流量。
堆疊類型會決定虛擬私有雲網路與對等互連網路之間的通道允許的流量類型。閘道建立完成後,您就無法修改堆疊類型。如需背景資訊,請參閱下列文章:
點選「下一步」。
在「對等互連 VPN 閘道」區域中,執行下列操作:
在「對等互連 VPN 閘道名稱」欄位中,輸入對等互連網路管理員提供的名稱。最多可輸入 60 個字元,且只能使用小寫字母、數字和連字號。
在「對等互連介面 IP 位址 0」欄位中,輸入對等互連閘道介面的外部 IP 位址,該位址由對等互連網路管理員提供。
在「對等互連介面 IP 位址 1」欄位中,執行下列其中一項操作:
- 如果對等互連閘道有第二個介面,請輸入其 IP 位址。
- 如果對等互連閘道只有一個介面,請輸入與「對等互連介面 IP 位址 0」相同的位址。
如需背景資訊,請參閱「設定對等互連 VPN 閘道」。
點選「下一步」。
在「Cloud Router」區域中,執行下列操作:
在「Cloud Router ASN」欄位中,輸入要指派給 Cloud Router 的自治系統編號,該編號由對等互連網路管理員提供。如需背景資訊,請參閱「建立 Cloud Router」。
在「對等路由器 ASN」欄位中,輸入對等網路管理員提供的對等網路路由器自治系統編號。
在「VPN 通道 0」區域中,執行下列操作:
在「通道 0 名稱」欄位中,輸入最多 60 個字元,可使用小寫字母、數字和連字號。
在「IKE version」(IKE 版本) 區域中,選取下列其中一項:
- IKEv2 (建議選項):支援 IPv6 流量。
- IKEv1:如果您不打算允許通道中的 IPv6 流量,請使用這項設定。
如需背景資訊,請參閱「設定 VPN 通道」。
在「IKE pre-shared key」欄位中,輸入您在對等互連閘道設定中使用的金鑰,該金鑰由對等互連網路管理員提供。如果沒有現有金鑰,可以按一下「產生並複製」,然後將金鑰提供給同層網路管理員。
在「VPN 通道 1」區域中,重複上一個步驟,為第二個通道套用設定。您可設定這個通道,以提高備援能力和額外輸送量。
按一下 [儲存]。
如要連線至對等互連網路,請針對其他虛擬私有雲網路重複執行上述步驟。
部署後
部署 Google Cloud 設定設定後,請完成下列步驟,確保網路連線正常運作:
請與對等互連網路管理員合作,根據混合式連線設定調整對等互連網路。部署完成後,系統會提供對等互連網路的具體操作說明,包括:
驗證您建立的網路連線。舉例來說,您可以使用 Network Intelligence Center 檢查網路之間的連線。詳情請參閱連線能力測試總覽。
如果貴商家需要更穩定的連線,請使用 Cloud Interconnect。詳情請參閱「選擇網路連線產品」。
後續步驟
部署設定,包括階層結構和存取權、記錄、網路和混合式連線的設定。
部署設定
部署或下載
完成 Google Cloud 設定程序後,下列工作中的設定會編譯成 Terraform 設定檔:
如要套用設定,請檢查所選項目,然後選擇部署方法。
在「使用者與群組」工作建立的gcp-organization-admins@YOUR_DOMAIN群組成員。
這項工作的待辦事項
部署設定檔,套用設定。
我們建議這項工作的原因
您必須部署設定檔,才能套用所選設定。
事前準備
您必須完成下列工作:
- 在「Organization」(機構) 工作建立超級管理員使用者和貴機構。
- 在「使用者和群組」工作新增使用者並建立群組。
- 在「管理存取權」工作將 IAM 角色指派給群組。
- 在「帳單」工作建立或連結帳單帳戶。
- 在「階層結構與存取權」工作設定階層結構並指派存取權。
建議您執行下列工作:
- 在「安全性」工作設定免費服務,強化安全防護機制。
- 在單一位置彙整記錄資料,並在「集中化記錄與監控」工作中的單一專案中監控所有專案。
- 在「虛擬私有雲網路」工作設定初始網路。
- 在「混合式連線」工作,將對等互連網路連線至 Google Cloud 。
查看設定詳細資料
請執行下列操作,確保設定完整無缺:
使用您在「使用者和群組」工作建立的 Google Cloud 群組gcp-organization-admins@YOUR_DOMAIN使用者身分登入控制台。
在頁面頂端的「可用的選項」下拉式選單中,選取您的機構。
前往「設定:部署或下載」Google Cloud 。
前往「部署」或「下載」
查看所選的設定。點選下列各個分頁標籤,然後檢查設定:
- 資源階層結構與存取權
- 安全性
- 記錄與監控
- 虛擬私人雲端網路
- 混合式連線
部署您的設定
現在您已檢查設定詳細資料,請使用下列任一選項:
使用下列其中一個選項進行部署:
直接部署
如果您沒有現有的 Terraform 工作流程,且只需要簡單的一次性部署,可以直接從控制台部署。
按一下「直接部署」。
請稍候幾分鐘,等待部署作業完成。
如果部署作業失敗,請採取下列做法:
- 如要重新嘗試部署,請按一下「重新執行程序」。
- 如果多次嘗試部署都失敗,請向管理員尋求協助。如要這麼做,請按一下「聯絡機構管理員」。
下載及部署
如要使用 Terraform 部署工作流程疊代部署作業,請下載並部署設定檔。
如要下載設定檔,請按一下「以 Terraform 形式下載」。
下載的套件包含 Terraform 設定檔,這些檔案是根據您在下列工作選取的設定產生:
- 階層結構與存取權
- 安全性
- 集中記錄與監控
- 虛擬私人雲端網路
- 混合式連線
如果您只想部署與職責相關的設定檔,可以避免下載不相關的檔案。如要這麼做,請取消勾選不需要的設定檔核取方塊。
按一下「下載」。系統會將包含所選檔案的 terraform.tar.gz 套件下載至本機檔案系統。
如需詳細部署步驟,請參閱「使用從控制台下載的 Terraform 部署基礎」。
後續步驟
選擇支援方案。
支援
在這項工作中,您會選擇符合業務需求的支援方案。
在「使用者與群組」工作建立的gcp-organization-admins@YOUR_DOMAIN群組成員。
這項工作的待辦事項
根據貴公司需求選擇合適的支援方案。
我們建議這項工作的原因
Premium 支援服務方案能提供重要的業務支援,讓 Google Cloud的專家協助您迅速解決問題。
選擇支援選項
您會自動取得免費的基本支援服務,包括存取下列資源:
我們建議企業客戶申請 Premium 支援服務,這樣便能享有 Google 支援工程師提供的一對一技術支援服務。如要比較支援方案,請參閱Google Cloud 客戶服務。
事前準備
完成下列工作:
- 在「Organization」(機構) 工作建立超級管理員使用者和貴機構。
- 在「使用者和群組」工作新增使用者並建立群組。
- 在「管理存取權」工作將 IAM 角色指派給群組。
啟用支援
找出並選取支援選項。
查看並選取支援方案。詳情請參閱「Google Cloud Customer Care」。
使用您在「使用者和群組」工作建立的 gcp-organization-admins@<your-domain>.com 群組使用者身分登入 Google Cloud 控制台。
前往「設定:支援」Google Cloud 。
前往支援頁面
查看工作詳細資料,然後按一下「查看支援服務」,選取支援選項。
設定支援選項後,請返回「設定:支援」Google Cloud 頁面,然後按一下「將工作標示為完成」。
後續步驟
您已完成 Google Cloud 設定,現在可以擴充初始設定、部署預先建構的解決方案,以及遷移現有工作流程。詳情請參閱「擴充初始設定並開始建構」。
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-07-09 (世界標準時間)。
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["難以理解","hardToUnderstand","thumb-down"],["資訊或程式碼範例有誤","incorrectInformationOrSampleCode","thumb-down"],["缺少我需要的資訊/範例","missingTheInformationSamplesINeed","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-07-09 (世界標準時間)。"],[],[]]
