Antes de executar cargas de trabalho de produção no Google Cloud, recomendamos que você configure uma base inicial para dar suporte ao seu trabalho. A configuração do Google Cloud ajuda os administradores a configurar o Google Cloud para cargas de trabalho escalonáveis. O processo de configuração orienta você por um procedimento interativo que ajuda a criar uma arquitetura base com as práticas recomendadas em mente.
Para atender às necessidades da sua empresa, é possível implantar rapidamente uma configuração padrão ou fazer ajustes durante o processo de configuração. Dependendo do fluxo de trabalho de implantação de sua preferência, é possível implantar a configuração diretamente no console ou fazer o download e implantar o Terraform para integrar seu próprio processo de infraestrutura como código (IaC, na sigla em inglês).
Este documento inclui etapas e informações contextuais para ajudar você a concluir o processo de configuração, que também está disponível como um guia interativo no console do Google Cloud:
Acessar a configuração do Google Cloud
O processo de configuração inclui as seguintes fases:
Estabelecer a organização, os administradores e o faturamento: configure o nó de nível superior da hierarquia, crie usuários administradores iniciais e conecte sua forma de pagamento.
Criar uma arquitetura inicial: selecione uma pasta e uma estrutura de projeto iniciais, atribua acesso, configure a geração de registros, aplique configurações de segurança e configure sua rede.
Implantar as configurações: suas escolhas de arquitetura iniciais são compiladas nos arquivos de configuração do Terraform. É possível implantar rapidamente com o console do Google Cloud ou fazer o download dos arquivos para personalizar e iterar usando seu próprio fluxo de trabalho.
Aplicar configurações de monitoramento e compatibilidade: aplique as recomendações de monitoramento e configurações de compatibilidade para reforçar sua arquitetura.
Estabelecer sua organização, administradores e faturamento
Organização
Um recurso de organização no Google Cloud representa sua empresa e atua como o nó de nível superior da hierarquia. Para criar a organização, configure um serviço de identidade do Google e associe-o ao seu domínio. Quando você conclui esse processo, um recurso de organização é criado automaticamente.
Para uma visão geral do recurso da organização, consulte:
- Gerenciar recursos da organização.
- Práticas recomendadas para o planejamento de contas e organizações.
Quem realiza esta tarefa
Os dois administradores a seguir executam essa tarefa:
Um administrador de identidade responsável por atribuir acesso com base em papéis. Você atribui essa pessoa como o superadministrador do Cloud Identity. Para mais informações sobre o usuário superadministrador, consulte Funções de administrador pré-criadas.
Um administrador de domínio com acesso ao host de domínio da empresa. Essa pessoa edita as configurações do domínio, como as configurações de DNS, como parte do processo de verificação de domínio.
O que você fará nesta tarefa
- Configure o Cloud Identity, se ainda não tiver feito isso, em que você cria uma conta de usuário gerenciada para seu usuário superadministrador.
- Vincule o Cloud Identity ao seu domínio (como example.com).
- Verifique seu domínio. Esse processo cria o nó raiz da hierarquia de recursos, conhecida como recurso da organização.
Por que recomendamos realizar esta tarefa
É preciso configurar o seguinte como parte da base do Google Cloud:
- Serviço de identidade do Google para gerenciar identidades de modo centralizado.
- Um recurso da organização para estabelecer a raiz da hierarquia e do controle de acesso.
Opções de serviço de identidade do Google
Você usa um ou ambos os serviços de identidade do Google a seguir para administrar as credenciais de usuários do Google Cloud:
- Cloud Identity: gerencia usuários e grupos de maneira centralizada. É possível federar identidades entre o Google e outros provedores de identidade. Para mais informações, consulte a Visão geral do Cloud Identity.
- Google Workspace: gerencia usuários e grupos e fornece acesso a produtos de produtividade e colaboração, como o Gmail e o Google Drive. Para mais informações, consulte o Google Workspace.
Acesse as informações detalhadas sobre o planejamento de identidade em Como planejar o processo de integração de identidades corporativas.
Antes de começar
Para entender como gerenciar uma conta de superadministrador, consulte Práticas recomendadas para contas de superadministrador.
Configurar um provedor de identidade e verificar seu domínio
As etapas concluídas nesta tarefa dependem de você ser um cliente novo ou atual. Identifique a opção mais adequada às suas necessidades:
Novo cliente: configure o Cloud Identity, verifique seu domínio e crie a organização.
Cliente atual do Google Workspace: use o Google Workspace como seu provedor de identidade para usuários que acessam o Google Workspace e o Google Cloud. Se você planeja criar usuários que acessam apenas o Google Cloud, ative o Cloud Identity.
Cliente atual do Cloud Identity: verifique seu domínio, confirme se a organização foi criada e se o Cloud Identity está ativado.
novo cliente
Novo cliente: configurar o Cloud Identity e criar sua organização
Para criar o recurso da organização, primeiro configure o Cloud Identity, que ajuda a gerenciar usuários e grupos que acessam os recursos do Google Cloud.
Nesta tarefa, você vai configurar a edição gratuita do Cloud Identity.É possível ativar o Cloud Identity Premium Edition depois de concluir a configuração inicial. Para mais informações, consulte Comparar recursos e edições do Cloud Identity.
Identifique a pessoa que atua como administrador do Cloud Identity (também conhecido como superadministrador) na sua organização.
Registre o nome de usuário do administrador no seguinte formato: admin-nome@example.com. Por exemplo, admin-maria@example.com. Especifique esse nome de usuário ao criar seu primeiro usuário administrador.
Para concluir o processo de configuração e criar a conta de superadministrador, acesse a página de inscrição do Cloud Identity.
Se você receber um erro ao configurar a conta de administrador, consulte O erro "Conta do Google já existe".
Verificar seu domínio e criar o recurso da organização
O Cloud Identity exige que você confirme que é o proprietário do domínio. Quando a verificação for concluída, o recurso da organização do Google Cloud será criado automaticamente.
Você precisa criar uma conta de superadministrador ao configurar o provedor de identidade.
Verifique seu domínio no Cloud Identity. Ao concluir o processo de verificação, observe o seguinte:
- Quando solicitado, não clique em "Criar novos usuários". Você criará novos usuários em uma tarefa posterior.
- Se você não conseguir inscrever seu domínio, consulte Não consigo inscrever meu domínio em um serviço do Google.
- A verificação pode levar várias horas para ser processada.
Confira as etapas de verificação em Verificar seu domínio.
Ao concluir as etapas de verificação de domínio, clique em Configurar o console do Google Cloud agora.
Faça login no console do Google Cloud como usuário superadministrador usando o endereço de e-mail especificado. Por exemplo, admin-maria@example.com.
Acesse Configuração do Google Cloud: organização. A organização é criada automaticamente.
Escolha a organização na lista suspensa Selecionar de na parte de cima da página.
Solicitar mais licenças de usuário do Cloud Identity
A edição gratuita do Cloud Identity inclui uma cota de licenças de usuário. Para ver as etapas para ver e solicitar licenças, consulte Limite de usuários do Cloud Identity Free Edition.
Cliente do Workspace
Cliente atual do Google Workspace: verificar seu domínio e ativar o Cloud Identity
Se você for um cliente do Google Workspace, verifique seu domínio, verifique se o recurso da organização foi criado automaticamente e, como opção, ative o Cloud Identity.
Para verificar seu domínio no Google Workspace, consulte Verificar seu domínio. Ao concluir o processo de verificação, observe o seguinte:
- Quando solicitado, não clique em "Criar novos usuários". Você criará novos usuários em uma tarefa posterior.
- Se você não conseguir inscrever seu domínio, consulte Não consigo inscrever meu domínio em um serviço do Google.
- A verificação pode levar várias horas para ser processada.
Faça login no console do Google Cloud como usuário superadministrador.
Acesse Configuração do Google Cloud: organização.
Selecione Sou cliente do Google Workspace.
Verifique se o nome da sua organização é exibido na lista Organização.
Se você quiser criar usuários que acessam o Google Cloud, mas não recebem licenças do Google Workspace, faça o seguinte.
No Google Workspace, ative o Cloud Identity.
Ao configurar o Cloud Identity, desative o licenciamento automático do Google Workspace.
Cliente do Cloud Identity
Cliente atual do Cloud Identity: verificar seu domínio
Se você for um cliente do Cloud Identity, confirme se você verificou o domínio e se o recurso da organização foi criado automaticamente.
Para saber se você verificou o domínio, consulte Verificar seu domínio. Ao concluir o processo de verificação, observe o seguinte:
- Quando solicitado, não clique em "Criar novos usuários". Você criará novos usuários em uma tarefa posterior.
- Se você não conseguir inscrever o domínio, consulte Não consigo inscrever meu domínio em um serviço do Google.
- A verificação pode levar várias horas para ser processada.
Faça login no console do Google Cloud como usuário superadministrador.
Acesse Configuração do Google Cloud: organização.
Selecione Já sou cliente do Cloud Identity.
Verifique se o nome da sua organização é exibido na lista Organização.
Verifique se o Cloud Identity está ativado no Google Admin Console: assinaturas. Faça login como usuário superadministrador.
A seguir
Usuários e grupos
Nesta tarefa, você configura identidades, usuários e grupos para gerenciar o acesso aos recursos do Google Cloud.
Para mais informações sobre o gerenciamento de acesso no Google Cloud, consulte:
- Visão geral do Identity and Access Management (IAM).
- Acesse as práticas recomendadas em Gerenciar identidade e acesso.
Quem realiza esta tarefa
Você pode realizar esta tarefa se tiver uma das seguintes opções:
- O superadministrador do Google Workspace ou do Cloud Identity que você criou na tarefa Organização.
- Um dos seguintes papéis do IAM:
- Administrador da organização (
roles/resourcemanager.organizationAdmin
) - Administrador de pool de Identidade da força de trabalho (
roles/iam.workforcePoolAdmin
).
- Administrador da organização (
O que você fará nesta tarefa
Conectar ao Cloud Identity ou ao seu provedor de identidade (IdP) externo.
Crie grupos administrativos e usuários que vão realizar o restante das etapas de configuração do Google Cloud. Você vai conceder acesso a esses grupos em uma tarefa posterior.
Por que recomendamos realizar esta tarefa
Esta tarefa ajuda você a implementar as seguintes práticas recomendadas de segurança:
Princípio de privilégio mínimo: conceda aos usuários as permissões mínimas necessárias para exercerem o papel e remova o acesso assim que ele não for mais necessário.
Controle de acesso baseado em função (RBAC, na sigla em inglês): atribua permissões a grupos de usuários de acordo com a função deles. Não adicione permissões a contas de usuário individuais.
É possível usar grupos para aplicar com eficiência os papéis do IAM a uma coleção de usuários. Essa prática ajuda a simplificar o gerenciamento de acesso.
Selecionar um provedor de identidade
É possível usar uma das opções a seguir para gerenciar usuários e grupos e conectá-los ao Google Cloud:
- Google Workspace ou Cloud Identity: você cria e gerencia usuários e grupos no Google Workspace ou no Cloud Identity. Você pode sincronizar com o provedor de identidade externo mais tarde.
- Seu provedor de identidade externo, como o Microsoft Entra ID ou o Okta: você cria e gerencia usuários e grupos no provedor de identidade externo. Em seguida, conecte seu provedor ao Google Cloud para ativar o Logon único.
Para selecionar o provedor de identidade, faça o seguinte:
Faça login no console do Google Cloud como um dos usuários identificados em Quem realiza essa tarefa.
Acesse Configuração do Google Cloud: usuários e grupos.
Revise os detalhes da tarefa e clique em Continuar configuração de identidade.
Na página Selecionar seu provedor de identidade, selecione uma das opções a seguir para iniciar uma configuração guiada:
- Usar o Google para gerenciar centralmente os usuários do Google Cloud: use o Google Workspace ou o Cloud Identity para provisionar e gerenciar usuários e grupos como superadministrador do seu domínio verificado. Depois, você pode sincronizar com o provedor de identidade externo.
- ID do Microsoft Entra (Azure AD): use o OpenID Connect para configurar uma conexão com o ID do Microsoft Entra.
- Okta: use o OpenID Connect para configurar uma conexão com o Okta.
- OpenID Connect: use o protocolo OpenID para se conectar a um provedor de identidade compatível.
- SAML: use o protocolo SAML para se conectar a um provedor de identidade compatível.
- Pular a configuração de um IdP externo por enquanto: se você tiver um provedor de identidade externo e não estiver com tudo pronto para conectá-lo ao Google Cloud, crie usuários e grupos no Google Workspace ou no Cloud Identity.
Clique em Continuar.
Confira uma das opções a seguir para saber o que fazer em seguida:
Criar usuários e grupos no Cloud Identity
Se você não tiver um provedor de identidade ou não estiver pronto para conectar o provedor ao Google Cloud, crie e gerencie usuários e grupos no Cloud Identity ou no Google Workspace. Para criar usuários e grupos, faça o seguinte:
- Crie um grupo para cada função administrativa recomendada, incluindo organização, faturamento e administração de rede.
- Crie contas de usuário gerenciado para administradores.
- Atribua usuários a grupos administrativos que correspondam às responsabilidades deles.
Antes de começar
Encontre e migre usuários que já têm Contas do Google. Para informações detalhadas, consulte Adicionar usuários com contas não gerenciadas.
Você precisa ser um superadministrador.
Criar grupos administrativos
Um grupo é uma coleção nomeada de Contas do Google e de serviço. Cada grupo tem um endereço de e-mail exclusivo, como gcp-billing-admins@example.com. Você cria grupos para gerenciar usuários e aplicar papéis do IAM em grande escala.
Os grupos a seguir são recomendados para ajudar você a administrar as principais funções da sua organização e concluir o processo de configuração do Google Cloud.
Grupo | Descrição |
gcp-organization-admins
|
Administrar todos os recursos da organização. Atribua essa função apenas aos seus usuários mais confiáveis. |
gcp-billing-admins
|
Configure contas de faturamento e monitore o uso. |
gcp-network-admins
|
Criar redes, sub-redes e regras de firewall de nuvem privada virtual. |
gcp-hybrid-connectivity-admins
|
Criar dispositivos de rede, como instâncias do Cloud VPN e o Cloud Router. |
gcp-logging-admins
|
Use todos os recursos do Cloud Logging. |
gcp-logging-viewers
|
Acesso somente leitura a um subconjunto de registros. |
gcp-monitoring-admins
|
Os administradores de monitoramento têm acesso a todos os recursos do Cloud Monitoring. |
gcp-security-admins |
Estabelecimento e gerenciamento de políticas de segurança para toda a organização, incluindo o gerenciamento de acesso e as políticas de restrição da organização. Confira o Blueprint de bases empresariais do Google Cloud para mais informações sobre como planejar sua infraestrutura de segurança do Google Cloud. |
gcp-developers
|
Projetar, codificar e testar aplicativos. |
gcp-devops
|
Crie ou gerencie pipelines completos compatíveis com integração e entrega contínuas, monitoramento e provisionamento de sistemas. |
Para criar grupos administrativos, faça o seguinte:
Na página Criar grupos, analise a lista de grupos administrativos recomendados e siga um destes procedimentos:
- Para criar todos os grupos recomendados, clique em Criar todos os grupos.
- Se você quiser criar um subconjunto dos grupos recomendados, clique em Criar nas linhas escolhidas.
Clique em Continuar.
Criar usuários administrativos
Recomendamos que você adicione inicialmente usuários que concluam procedimentos de configuração organizacional, de rede, de faturamento e outros. É possível adicionar outros usuários depois de concluir o processo de configuração do Google Cloud.
Para adicionar usuários administrativos que executam tarefas de configuração do Google Cloud, faça o seguinte:
Migre contas pessoais para contas de usuário gerenciadas controladas pelo Cloud Identity. Para conferir as etapas detalhadas, consulte estes recursos:
Faça login no Admin Console do Google Workspace usando uma conta de superadministrador.
Use uma das seguintes opções para adicionar usuários:
- Para adicionar usuários em massa, consulte Adicionar ou atualizar vários usuários com um arquivo CSV.
- Para adicionar usuários individualmente, consulte Adicionar uma conta para um novo usuário.
Quando terminar de adicionar usuários, volte para Configuração do Google Cloud: usuários e grupos (criar usuários).
Clique em Continuar.
Adicionar usuários administrativos aos grupos
Adicione os usuários criados a grupos administrativos que correspondem às tarefas deles.
- Verifique se você criou usuários administrativos.
Em Configuração do Google Cloud: usuários e grupos (adicionar usuários a grupos), analise os detalhes da etapa.
Em cada linha Group, faça o seguinte:
- Clique em Adicionar participantes.
- Insira o endereço de e-mail do usuário.
Na lista suspensa Função do grupo, selecione as configurações de permissão do usuário. Para mais informações, consulte Definir quem pode ver, postar e moderar (em inglês).
Cada membro herda todos os papéis do IAM que você concede a um grupo, independentemente do papel do grupo selecionado.
Para adicionar outro usuário a esse grupo, clique em Adicionar outro membro e repita essas etapas. Recomendamos que você adicione mais de um membro a cada grupo.
Quando terminar de adicionar usuários ao grupo, clique em Salvar.
Quando terminar de adicionar todos os grupos, clique em Confirmar usuários e grupos.
Se você quiser federar seu provedor de identidade no Google Cloud, consulte o seguinte:
- Arquiteturas de referência: como usar um IdP externo
- Para provisionar usuários automaticamente e ativar o Logon único, consulte:
- Para sincronizar usuários e grupos do Active Directory com o Google Cloud, use o Directory Sync ou o Google Cloud Directory Sync.
- Para uma comparação, consulte Comparar o Directory Sync com o GCDS.
Conectar seu provedor de identidade externo ao Google Cloud
Você pode usar seu provedor de identidade atual para criar e gerenciar grupos e usuários. Para configurar o Logon único no Google Cloud, defina a federação de identidade da força de trabalho com seu provedor de identidade externo. Para conferir os principais conceitos desse processo, consulte Federação de identidade de colaboradores.
Para conectar o provedor de identidade externo, conclua uma configuração guiada que inclui as seguintes etapas:
- Criar um pool de colaboradores: um pool de identidade de colaboradores ajuda a gerenciar
identidades e o acesso delas aos recursos. Você insere os seguintes detalhes em um
formato legível por humanos.
- ID do pool de força de trabalho: um identificador globalmente exclusivo usado no IAM.
- ID do provedor: um nome para seu provedor, que os usuários especificam ao fazer login no Google Cloud.
- Configurar o Google Cloud no seu provedor: a configuração guiada inclui etapas específicas para o provedor.
- Digite os detalhes do pool de força de trabalho do provedor: para adicionar o provedor como uma autoridade confiável para declarar identidades, extraia os detalhes do provedor e adicione-os ao Google Cloud:
- Configurar um conjunto inicial de grupos administrativos: a configuração guiada inclui etapas específicas para seu provedor. Você atribui grupos no seu provedor e estabelece uma conexão com o Google Cloud. Para uma descrição detalhada de cada grupo, consulte Criar grupos administrativos.
- Atribuir usuários a cada grupo: recomendamos que você atribua mais de um usuário a cada grupo.
Para informações básicas sobre o processo de conexão de cada provedor, consulte o seguinte:
- Configurar a federação de identidade da força de trabalho com o Azure AD e fazer login dos usuários
- Configurar a federação de identidade da força de trabalho com o Okta e fazer login de usuários
- Para outros provedores compatíveis com OIDC ou SAML, consulte Configurar a federação de identidade da força de trabalho.
A seguir
Acesso administrativo
Nesta tarefa, você usará o Identity and Access Management (IAM) para atribuir coleções de permissões a grupos de administradores no nível da organização. Esse processo oferece aos administradores visibilidade e controle centralizados sobre todos os recursos da nuvem que pertencem à organização.
Para uma visão geral do Identity and Access Management no Google Cloud, consulte Visão geral do IAM.
Quem realiza esta tarefa
Para executar essa tarefa, é preciso seguir um destes procedimentos:
- Um usuário superadministrador.
- Um usuário com o papel de administrador da organização (
roles/resourcemanager.organizationAdmin
).
O que você fará nesta tarefa
Analise uma lista de papéis padrão atribuídos a cada grupo de administradores criado na tarefa Usuários e grupos.
Se quiser personalizar um grupo, você pode fazer o seguinte:
- Adicione ou remova papéis.
- Você pode excluir um grupo se não pretende usá-lo.
Por que recomendamos realizar esta tarefa
Você precisa conceder explicitamente todos os papéis administrativos da sua organização. Essa tarefa ajuda a implementar as seguintes práticas recomendadas de segurança:
Princípio de privilégio mínimo: conceda aos usuários as permissões mínimas necessárias para executar os jobs e remova o acesso quando não for mais necessário.
Controle de acesso baseado em função (RBAC, na sigla em inglês): atribua permissões a grupos de usuários de acordo com os respectivos jobs. Não atribua papéis a contas de usuário individuais.
Antes de começar
Realize as tarefas a seguir:
- Crie um usuário superadministrador e sua organização na tarefa Organização.
- Adicione usuários e crie grupos na tarefa Usuários e grupos.
Conceder acesso a grupos de administradores
Para conceder o acesso apropriado a cada grupo de administradores criado na tarefa Usuários e grupos, revise os papéis padrão atribuídos a cada grupo. É possível adicionar ou remover papéis para personalizar o acesso de cada grupo.
Verifique se você fez login no console do Google Cloud como usuário de superadministrador.
Se preferir, faça login como usuário com a função de administrador da organização (
roles/resourcemanager.organizationAdmin
).Acesse Configuração do Google Cloud: acesso administrativo.
Escolha o nome da sua organização na lista suspensa Selecionar de na parte superior da página.
Analise a visão geral da tarefa e clique em Continuar acesso administrativo.
Revise os grupos na coluna Grupo (Principal) que você criou na tarefa Usuários e grupos.
Para cada grupo, revise os papéis do IAM padrão. É possível adicionar ou remover papéis atribuídos a cada grupo para atender às necessidades exclusivas da sua organização.
Cada papel contém várias permissões que autorizam os usuários a executar tarefas relevantes. Para mais informações sobre as permissões em cada papel, consulte a Referência de papéis básicos e predefinidos do IAM.
Quando você estiver pronto para atribuir papéis a cada grupo, clique em Salvar e conceder acesso.
A seguir
Configure o faturamento.
Faturamento
Nesta tarefa, você vai configurar uma conta de faturamento para pagar recursos do Google Cloud. Para fazer isso, associe uma das seguintes opções à sua organização.
Uma conta do Cloud Billing atual. Se você não tiver acesso à conta, solicite acesso ao administrador da conta de faturamento.
Uma nova conta do Cloud Billing.
Para mais informações sobre faturamento, consulte a documentação do Cloud Billing.
Quem realiza esta tarefa
Uma pessoa no grupo
gcp-billing-admins@YOUR_DOMAIN
que você criou na tarefa Usuários e grupos.
O que você fará nesta tarefa
- Crie ou use uma conta de autoatendimento atual do Cloud Billing.
- Decida se fará a transição de uma conta de autoatendimento para uma conta com fatura.
- Configure uma conta e uma forma de pagamento do Cloud Billing.
Por que recomendamos realizar esta tarefa
As contas do Cloud Billing são vinculadas a um ou mais projetos do Google Cloud e são usadas para pagar pelos recursos que você usa, como máquinas virtuais, rede e armazenamento.
Determinar o tipo de conta de faturamento
A conta de faturamento associada à sua organização é um dos tipos a seguir.
Autoatendimento (ou on-line): faça a inscrição on-line usando um cartão de crédito ou débito. Recomendamos essa opção se você é uma pequena empresa ou uma pessoa física. Quando você se inscreve on-line em uma conta de faturamento, sua conta é configurada automaticamente como conta de autoatendimento.
Com fatura (ou off-line). Se você já tiver uma conta de faturamento por autoatendimento, poderá se qualificar para a cobrança por fatura se sua empresa atender aos requisitos de qualificação.
Não é possível criar uma conta com fatura on-line, mas você pode se inscrever para converter uma conta de autoatendimento em uma conta com fatura.
Para mais informações, consulte os Tipos de conta do Cloud Billing.
Antes de começar
Realize as tarefas a seguir:
- Crie um usuário superadministrador e sua organização na tarefa Organização.
- Adicione usuários e crie grupos na tarefa Usuários e grupos.
- Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
Configurar a conta de faturamento
Agora que você escolheu um tipo de conta de faturamento, associe-a à sua organização. Ao concluir esse processo, use sua conta de faturamento para pagar pelos recursos do Google Cloud.
Faça login no console do Google Cloud como um usuário do grupo
gcp-billing-admins@YOUR_DOMAIN
.Acesse Configuração do Google Cloud: faturamento.
Analise a visão geral da tarefa e clique em Continuar faturamento.
Selecione uma das seguintes opções de conta de faturamento:
Criar uma nova conta
Caso sua organização não tenha uma conta, crie uma nova.
- Selecione Quero criar uma nova conta de faturamento..
- Clique em Continuar.
Selecione o tipo de conta de faturamento que você quer criar. Para conferir as etapas detalhadas, consulte:
- Para criar uma conta de autoatendimento, consulte Criar uma nova conta de autoatendimento do Cloud Billing.
- Para fazer a transição de uma conta de autoatendimento atual para a cobrança com fatura, consulte Inscrever-se para a cobrança com fatura mensal.
Verifique se a conta de faturamento foi criada:
Se você criou uma conta com fatura, aguarde até cinco dias úteis para receber a confirmação por e-mail.
Acesse a página de faturamento.
Escolha a organização na lista Selecionar de na parte de cima da página. Se a conta tiver sido criada com êxito, ela será exibida na lista de contas de faturamento.
Usar minha conta atual
Se você já tiver uma conta de faturamento, será possível associá-la à sua organização.
- Selecione Identifiquei uma conta de faturamento na lista que gostaria de usar para concluir as etapas de configuração..
- Na lista suspensa Faturamento, selecione a conta que você quer associar à organização.
- Clique em Continuar.
- Revise os detalhes e clique em Confirmar conta de faturamento.
Usar a conta de outro usuário
Se outro usuário tiver acesso a uma conta de faturamento atual, solicite que ele a associe à sua organização ou conceda acesso para concluir a associação.
- Selecione Quero usar uma conta de faturamento gerenciada por outra conta de usuário do Google.
- Clique em Continuar.
- Digite o endereço de e-mail do administrador da conta de faturamento.
- Clique em Entrar em contato com o administrador.
- Aguarde o administrador da conta de faturamento entrar em contato com você com mais instruções.
A seguir
Criar uma arquitetura inicial
Hierarquia e acesso
Nesta tarefa, você vai configurar a hierarquia de recursos criando e atribuindo acesso aos seguintes recursos:
- Pastas
- Fornecem um mecanismo de agrupamento e isolamento entre projetos. Por exemplo, as pastas podem representar os principais departamentos da organização, como finanças ou varejo, ou ambientes, como produção ou não produção.
- Projetos
- Contém os recursos do Google Cloud, como máquinas virtuais, bancos de dados e buckets de armazenamento.
Para considerações de design e práticas recomendadas para organizar seus recursos em projetos, consulte Decidir uma hierarquia de recursos para sua zona de destino do Google Cloud.
Quem realiza esta tarefa
Uma pessoa no grupo gcp-organization-admins@YOUR_DOMAIN
que você criou na tarefa Usuários e grupos pode
realizar essa tarefa.
O que você fará nesta tarefa
- Crie uma estrutura de hierarquia inicial que inclua pastas e projetos.
- Defina políticas do IAM para controlar o acesso a pastas e projetos.
Por que recomendamos realizar esta tarefa
Criar uma estrutura para pastas e projetos ajuda a gerenciar os recursos do Google Cloud e atribuir acesso com base na maneira como sua organização opera. Por exemplo, é possível organizar e fornecer acesso a recursos com base na coleção exclusiva de regiões geográficas, estruturas de subsidiárias ou frameworks de responsabilidade da sua organização.
Planejar a hierarquia de recursos
A hierarquia de recursos ajuda a criar limites e compartilhar recursos em toda a organização para tarefas comuns. Você cria a hierarquia usando uma das seguintes configurações iniciais, com base na estrutura organizacional:
Voltado simplesmente para o ambiente:
- Isolar ambientes, como
Non-production
eProduction
. - Implemente políticas, requisitos regulatórios e controles de acesso distintos em cada pasta do ambiente.
- Recomendado para pequenas empresas com ambientes centralizados.
- Isolar ambientes, como
Simples voltado para equipe:
- Isole equipes como
Development
eQA
. - Isolar o acesso a recursos usando pastas do ambiente filho em cada pasta da equipe.
- Recomendado para pequenas empresas com equipes autônomas.
- Isole equipes como
Voltado para o ambiente:
- Priorize o isolamento de ambientes, como
Non-production
eProduction
. - Em cada pasta do ambiente, isole as unidades de negócios.
- Em cada unidade de negócios, isole as equipes.
- Recomendado para grandes empresas com ambientes centralizados.
- Priorize o isolamento de ambientes, como
Foco na unidade de negócios:
- Priorize o isolamento de unidades de negócios, como
Human Resources
eEngineering
, para garantir que os usuários possam acessar apenas os recursos e dados de que precisam. - Em cada unidade de negócios, isole as equipes.
- Em cada equipe, isole os ambientes.
- Recomendado para grandes empresas com equipes autônomas.
- Priorize o isolamento de unidades de negócios, como
Cada configuração tem uma pasta Common
para projetos que contêm recursos
compartilhados. Isso pode incluir projetos de geração de registros e monitoramento.
Antes de começar
Realize as tarefas a seguir:
- Crie um usuário superadministrador e sua organização na tarefa Organização.
- Adicione usuários e crie grupos na tarefa Usuários e grupos.
- Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
- Crie ou vincule uma conta de faturamento na tarefa Faturamento.
Configurar pastas e projetos iniciais
Selecione a hierarquia de recursos que representa a estrutura da sua organização.
Para configurar pastas e projetos iniciais, faça o seguinte:
Faça login no console do Google Cloud com um usuário do grupo
gcp-organization-admins@YOUR_DOMAIN
que você criou na tarefa Usuários e grupos.Escolha a organização na lista suspensa Selecionar de na parte de cima da página.
Acesse Configuração do Google Cloud: hierarquia e acesso.
Analise a visão geral da tarefa e clique em Iniciar ao lado de Hierarquia de recursos.
Selecione uma configuração inicial.
Clique em Continuar e configurar.
Personalize a hierarquia de recursos para refletir sua estrutura organizacional. Por exemplo, você pode personalizar o seguinte:
- Nomes das pastas
Projetos de serviço para cada equipe. Para conceder acesso a projetos de serviço, crie o seguinte:
- Um grupo para cada projeto de serviço.
- Usuários em cada grupo.
Para uma visão geral dos projetos de serviço, consulte VPC compartilhada.
Projetos necessários para monitoramento, geração de registros e rede.
Projetos personalizados.
Clique em Continuar.
Conceder acesso a pastas e projetos
Na tarefa Acesso administrativo, você concedeu acesso administrativo a grupos no nível da organização. Nesta tarefa, você configura o acesso a grupos que interagem com suas pastas e projetos recém-configurados.
.Projetos, pastas e organizações têm as próprias políticas do IAM, que são herdadas por meio da hierarquia de recursos:
- Organização: as políticas se aplicam a todas as pastas e projetos na organização.
- Pasta: as políticas se aplicam a projetos e outras pastas na pasta.
- Projeto: as políticas se aplicam apenas ao projeto e aos recursos dele.
Atualize as políticas do IAM para suas pastas e projetos:
Na seção Configurar controle de acesso de Hierarquia e acesso, conceda aos seus grupos acesso às suas pastas e projetos:
Na tabela, revise a lista de papéis recomendados do IAM concedidos a cada grupo para cada recurso.
Se você quiser modificar os papéis atribuídos a cada grupo, clique em Editar na linha desejada.
Para mais informações sobre cada papel, consulte Papéis básicos e predefinidos do IAM.
Clique em Continuar.
Confira as mudanças e clique em Confirmar configuração de rascunho.
A seguir
Configure um local central para armazenar e analisar dados de registro.
Centralizar a geração de registros
Nesta tarefa, você vai configurar a geração de registros para toda a organização, incluindo os projetos criados em uma tarefa anterior.
Quem realiza esta tarefa
Você precisa ter um dos seguintes papéis:
- O papel de administrador do Logging (
roles/logging.admin
). - Associação ao grupo
gcp-logging-admins@YOUR_DOMAIN
que você criou na tarefa Usuários e grupos.
O que você fará nesta tarefa
Organize de maneira centralizada os registros criados em projetos em toda a organização para ajudar na segurança, na auditoria e na conformidade.
Por que recomendamos realizar esta tarefa
O armazenamento e a retenção de registros simplificam a análise e preservam a trilha de auditoria.
Antes de começar
Realize as tarefas a seguir:
- Crie um usuário superadministrador e sua organização na tarefa Organização.
- Adicione usuários e crie grupos na tarefa Usuários e grupos.
- Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
- Crie ou vincule uma conta de faturamento na tarefa Faturamento.
- Configure sua hierarquia e atribua acesso na tarefa Hierarquia e acesso.
Organizar a geração de registros de modo centralizado
O Cloud Logging ajuda você a armazenar, pesquisar, analisar, monitorar e criar alertas sobre dados e eventos de registros do Google Cloud. Também é possível coletar e processar registros de seus aplicativos, recursos locais e outras nuvens. Recomendamos que você use o Cloud Logging para consolidar registros em um único bucket.
Para ver mais informações, consulte os seguintes tópicos:
- Para uma visão geral, consulte Visão geral de roteamento e armazenamento.
- Para informações sobre como registrar recursos no local, consulte Como gerar registros de recursos no local com o BindPlane.
- Para saber como mudar o filtro de registro depois de implantar a configuração, consulte Filtros de inclusão.
Para armazenar dados de registro em um bucket de registros central, faça o seguinte:
Faça login no console do Google Cloud como um usuário identificado em Quem realiza essa tarefa.
Escolha a organização na lista suspensa Selecionar de na parte de cima da página.
Acesse Configuração do Google Cloud: Centralizar a geração de registros.
Leia a visão geral da tarefa e clique em Iniciar configuração da geração de registros.
Revise os detalhes da tarefa.
Para rotear registros para um bucket de registros central, verifique se a opção Armazenar registros de auditoria de atividade do administrador no nível da organização em um bucket de registros está selecionada.
Expanda Rotear registros para um bucket de registros do Logging e faça o seguinte:
No campo Nome do bucket de registros, insira o nome do bucket de registros central.
Na lista Região do bucket de registros, selecione a região onde os dados de registro são armazenados.
Para mais informações, consulte Locais de buckets de registros.
Recomendamos armazenar os registros por 365 dias. Para personalizar o período de armazenamento, insira o número de dias no campo Período de armazenamento.
Os registros armazenados por mais de 30 dias geram custo de retenção. Para mais informações, consulte o Resumo de preços do Cloud Logging.
Exportar registros fora do Google Cloud
Se você quiser exportar registros para um destino fora do Google Cloud, use o Pub/Sub. Por exemplo, se você usa vários provedores de nuvem, pode exportar dados de registro de cada provedor para uma ferramenta de terceiros.
Você pode filtrar os registros exportados para atender às suas necessidades e requisitos. Por exemplo, você pode limitar os tipos de registros exportados para controlar custos ou reduzir o ruído nos dados.
Para mais informações sobre como exportar registros, consulte:
- Para uma visão geral, consulte O que é o Pub/Sub?
- Para informações sobre preços, consulte:
- Para saber como fazer streaming para o Splunk, consulte Implantar o streaming de registros do Google Cloud no Splunk.
Para exportar registros, faça o seguinte:
Clique em Transmitir os registros para outros aplicativos, outros repositórios ou terceiros.
No campo ID do tópico do Pub/Sub, insira um identificador para o tópico que contém os registros exportados. Para mais informações sobre como se inscrever em um tópico, consulte Assinaturas de pull.
Para impedir que um dos seguintes registros recomendados seja exportado, desmarque a caixa de seleção:
- Registros de auditoria do Cloud: atividade do administrador: chamadas de API ou ações que modificam a configuração ou os metadados de recursos.
- Registros de auditoria do Cloud: evento do sistema: ações do Google Cloud que modificam a configuração do recurso.
- Transparência no acesso: ações realizadas pela equipe do Google ao acessar o conteúdo do cliente.
Selecione os seguintes registros para exportá-los:
- Registros de auditoria do Cloud: acesso a dados: chamadas de API que leem a configuração ou os metadados dos recursos, além de chamadas de API orientadas pelo usuário que criam, modificam ou leem os dados dos recursos fornecidos pelo usuário.
- Registros de auditoria do Cloud: política negada: negações de acesso a serviços do Google Cloud a contas de usuário ou de serviço com base em violações da política de segurança.
Para informações sobre cada tipo de registro, consulte Entender os registros de auditoria do Cloud.
Concluir a configuração de geração de registros
Para concluir a tarefa de registro, faça o seguinte:
Clique em Continuar.
Revise os detalhes da configuração de geração de registros e clique em Confirmar configuração de rascunho.
A configuração da geração de registros não será implantada até que você a implante em uma tarefa posterior.
A seguir
Segurança
Nesta tarefa, você vai definir as configurações de segurança e os produtos para proteger sua organização.
Quem realiza esta tarefa
Você precisa ter uma das seguintes opções para concluir esta tarefa:
- Papel de administrador da organização (
roles/resourcemanager.organizationAdmin
). - A associação a um dos seguintes grupos que você criou na tarefa
Usuários e grupos.
gcp-organization-admins@<your-domain>.com
gcp-security-admins@<your-domain>.com
O que você fará nesta tarefa
Aplique as políticas da organização recomendadas com base nestas categorias:
- Gerenciamento de acesso.
- Comportamento da conta de serviço.
- Configuração da rede VPC.
Você também ativa o Security Command Center para centralizar os relatórios de vulnerabilidade e ameaças.
Por que recomendamos realizar esta tarefa
A aplicação das políticas da organização recomendadas ajuda a limitar as ações do usuário que não estão alinhadas à sua postura de segurança.
Ativar o Security Command Center ajuda a criar um local central para analisar vulnerabilidades e ameaças.
Antes de começar
Realize as tarefas a seguir:
- Crie um usuário superadministrador e sua organização na tarefa Organização.
- Adicione usuários e crie grupos na tarefa Usuários e grupos.
- Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
Iniciar a tarefa de segurança
Faça login no console do Google Cloud com um usuário identificado em Quem realiza essa tarefa.
Escolha a organização no menu suspenso Selecionar de na parte de cima da página.
Acesse Configuração do Google Cloud: segurança.
Analise a visão geral da tarefa e clique em Iniciar segurança.
Centralize relatórios de vulnerabilidade e ameaças
Para centralizar os serviços de relatórios de vulnerabilidades e ameaças, ative o Security Command Center. Isso ajuda a fortalecer sua postura de segurança e reduzir riscos. Para mais informações, consulte Visão geral do Security Command Center.
Na página Configuração do Google Cloud: segurança, verifique se a caixa de seleção Ativar o Security Command Center: padrão está marcada.
Essa tarefa ativa o nível Standard gratuito. Você poderá fazer upgrade para a versão Premium quando quiser. Para mais informações, consulte Níveis de serviço do Security Command Center.
Clique em Aplicar configurações do Security Command Center.
Aplicar as políticas recomendadas da organização
As políticas da organização são aplicadas no nível da organização e herdadas por pastas e projetos. Nesta tarefa, você vai analisar e aplicar a lista de políticas recomendadas. As políticas da organização podem ser modificadas a qualquer momento. Para mais informações, consulte Introdução ao serviço de políticas da organização.
Analise a lista de políticas recomendadas da organização. Se você não quiser aplicar uma política recomendada, clique na caixa de seleção para removê-la.
Para uma explicação detalhada de cada política da organização, consulte Restrições da política da organização.
Clique em Confirmar configurações de políticas da organização.
As políticas da organização selecionadas são aplicadas quando você implanta a configuração em uma tarefa posterior.
A seguir
Redes VPC
Nesta tarefa, você definirá sua configuração de rede inicial, que pode ser escalonada conforme suas necessidades mudam.
Arquitetura de nuvem privada virtual
Uma rede de nuvem privada virtual (VPC) é uma versão virtual de uma rede física implementada dentro da rede de produção do Google. Uma rede VPC é um recurso global que consiste em sub-redes regionais.
As redes VPC fornecem recursos de rede para seus recursos do Google Cloud, como instâncias de máquina virtual do Compute Engine, contêineres do GKE e instâncias de ambiente flexível do App Engine.
A VPC compartilhada conecta recursos de vários projetos a uma rede VPC comum para que eles possam se comunicar usando os endereços IP internos da rede. No diagrama a seguir, mostramos a arquitetura básica de uma rede VPC compartilhada com projetos de serviço anexados.
Ao usar a VPC compartilhada, você designa um projeto host e anexa um ou mais projetos de serviço a ele. As redes de nuvem privada virtual no projeto host são chamadas de redes VPC compartilhadas.
O diagrama de exemplo tem projetos host de produção e não produção, cada um contendo uma rede VPC compartilhada. Use um projeto host para gerenciar centralmente o seguinte:
- Rotas
- Firewalls
- Conexões VPN
- Sub-redes
Um projeto de serviço é qualquer um que foi anexado a um projeto host. É possível compartilhar sub-redes, incluindo intervalos secundários, entre projetos host e de serviço.
Nesta arquitetura, cada rede VPC compartilhada contém sub-redes públicas e privadas:
- A sub-rede pública pode ser usada por instâncias voltadas para a Internet para conectividade externa.
- A sub-rede privada pode ser usada por instâncias internas que não são endereços IP públicos alocados.
Nesta tarefa, você vai criar uma configuração de rede inicial com base no diagrama de exemplo.
Quem realiza esta tarefa
Você precisa de uma das seguintes opções para executar a tarefa:
- O papel
roles/compute.networkAdmin
. - Inclusão ao grupo
gcp-network-admins@YOUR_DOMAIN
que você criou na tarefa Usuários e grupos.
O que você fará nesta tarefa
Crie uma configuração de rede inicial, incluindo o seguinte:
- Crie vários projetos host para refletir seus ambientes de desenvolvimento.
- Crie uma rede VPC compartilhada em cada projeto host para permitir que recursos diferentes compartilhem a mesma rede.
- Crie sub-redes distintas em cada rede VPC compartilhada para fornecer acesso de rede aos projetos de serviço.
Por que recomendamos realizar esta tarefa
Equipes distintas podem usar a VPC compartilhada para se conectar a uma rede VPC comum gerenciada centralmente.
Antes de começar
Realize as tarefas a seguir:
- Crie um usuário superadministrador e sua organização na tarefa Organização.
- Adicione usuários e crie grupos na tarefa Usuários e grupos.
- Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
- Crie ou vincule uma conta de faturamento na tarefa Faturamento.
- Configure sua hierarquia e atribua acesso na tarefa Hierarquia e acesso.
Configurar a arquitetura de rede
Crie sua configuração de rede inicial com dois projetos host para segmentar cargas de trabalho de produção e de não produção. Cada projeto host contém uma rede VPC compartilhada, que pode ser usada por vários projetos de serviço. Você configura detalhes da rede e, em seguida, implanta um arquivo de configuração em uma tarefa posterior.
Para configurar a rede inicial, faça o seguinte:
Faça login no console do Google Cloud como um usuário do grupo
gcp-organization-admins@YOUR_DOMAIN
que você criou na tarefa Usuários e grupos.Escolha a organização na lista suspensa Selecionar uma organização na parte superior da página.
Acesse Configuração do Google Cloud: rede.
Revisar a arquitetura de rede padrão.
Para editar o nome da rede, faça o seguinte:
- Clique em more_vert Ações
- Selecione Editar nome da rede.
- No campo Nome da rede, digite letras minúsculas, números ou hifens. O nome da rede não pode ter mais de 25 caracteres.
- Clique em Salvar.
Modificar detalhes do firewall
As regras de firewall padrão no projeto host são baseadas nas práticas recomendadas. É possível desativar uma ou mais regras de firewall padrão. Para informações gerais sobre regras de firewall, consulte Regras de firewall de VPC.
Para modificar as configurações de firewall, faça o seguinte:
Clique em more_vert Ações.
Selecione Editar regras de firewall.
Para informações detalhadas sobre cada regra de firewall padrão, consulte Regras pré-preenchidas na rede padrão.
Para desativar uma regra de firewall, desmarque a caixa de seleção correspondente.
Para desativar a Geração de registros de regras de firewall, clique em Desativado.
Por padrão, o tráfego de e para instâncias do Compute Engine é registrado para fins de auditoria. Esse processo gera custos. Para mais informações, consulte Geração de registros de regras de firewall.
Clique em Salvar.
Modificar detalhes da sub-rede
Cada rede VPC contém pelo menos uma sub-rede, que é um recurso regional com um intervalo de endereços IP associado. Nesta configuração multirregional, é preciso ter pelo menos duas sub-redes com intervalos de IP não sobrepostos.
Para mais informações, consulte Sub-redes.
Cada sub-rede é configurada usando as práticas recomendadas. Se você quiser personalizar cada sub-rede, faça o seguinte:
- Clique em more_vert Ações
- Selecione Editar sub-redes.
- No campo Nome, digite letras minúsculas, números ou hifens. O nome da sub-rede não pode ter mais de 25 caracteres.
No menu suspenso Região, selecione uma região próxima ao seu ponto de serviço.
Recomendamos uma região diferente para cada sub-rede. Não é possível alterar a região depois de implantar a configuração. Para mais informações sobre como escolher uma região, consulte Recursos regionais.
No campo Intervalo de endereços IP, insira um intervalo na notação CIDR, por exemplo, 10.0.0.0/24.
O intervalo inserido não pode se sobrepor a outras sub-redes nessa rede. Para informações sobre intervalos válidos, consulte Intervalos de sub-rede IPv4.
Repita essas etapas para a sub-rede 2.
Para configurar mais sub-redes nessa rede, clique em Adicionar sub-rede e repita essas etapas.
Clique em Salvar.
As sub-redes são configuradas automaticamente de acordo com as práticas recomendadas. Se você quiser modificar a configuração, na página Configuração do Google Cloud: redes VPC, faça o seguinte:
Para desativar os registros de fluxo de VPC, na coluna Registros de fluxo, selecione Desativado.
Quando os registros de fluxo estão ativados, cada sub-rede registra fluxos de rede que podem ser analisados para fins de segurança, otimização de despesas e outras finalidades. Para mais informações, consulte Usar registros de fluxo de VPC.
Os registros de fluxo de VPC geram custos. Para mais informações, consulte Preços da nuvem privada virtual.
Para desativar o Acesso privado do Google, selecione Desativado na coluna Acesso privado.
Quando o Acesso privado do Google está ativado, as instâncias de VM sem endereços IP externos podem acessar as APIs e serviços do Google. Para mais informações, consulte Acesso privado do Google.
Para ativar o Cloud NAT, na coluna Cloud NAT, selecione Ativado.
Quando o Cloud NAT está ativado, determinados recursos podem criar conexões de saída com a Internet. Para mais informações, consulte Visão geral do Cloud NAT.
O Cloud NAT gera custos. Para mais informações, consulte Preços da nuvem privada virtual.
Clique em Continuar para vincular projetos de serviço.
Vincular projetos de serviço aos seus projetos host
Um projeto de serviço é qualquer um que tenha sido anexado a um projeto host. Esse anexo permite que o projeto de serviço participe da VPC compartilhada. Cada projeto de serviço pode ser operado e administrado por diferentes departamentos ou equipes para criar uma separação de responsabilidades.
Para mais informações sobre como conectar vários projetos a uma rede VPC comum, consulte Visão geral da VPC compartilhada.
Para vincular projetos de serviço aos projetos host e concluir a configuração, faça o seguinte:
Para cada sub-rede na tabela Redes VPC compartilhadas, selecione um projeto de serviço para se conectar. Para fazer isso, selecione um projeto no menu suspenso Selecionar um projeto na coluna Projeto de serviço.
É possível conectar um projeto de serviço a várias sub-redes.
Clique em Continuar a revisar.
Revise a configuração e faça alterações.
É possível fazer edições até implantar o arquivo de configuração.
Clique em Confirmar configuração de rascunho. A configuração de rede será adicionada ao arquivo de configuração.
A rede só será implantada depois que você implantar o arquivo de configuração em uma tarefa posterior.
A seguir
Configure a conectividade híbrida, que ajuda você a se conectar servidores no local ou outros provedores de nuvem para o Google Cloud.
Conectividade híbrida
Nesta tarefa, você vai estabelecer conexões entre pares (no local ou outros, cloud) e suas redes do Google Cloud, como no diagrama a seguir.
Esse processo cria uma VPN de alta disponibilidade, solução de alta disponibilidade (HA) que pode ser criada rapidamente para transmitir dados para o público Internet.
Depois de implantar a configuração do Google Cloud, recomendamos criar uma conexão mais robusta usando o Cloud Interconnect.
Para mais informações sobre conexões entre redes em peering e o Google Cloud, consulte o seguinte:
Quem realiza esta tarefa
É necessário ter o papel Administrador da organização (roles/resourcemanager.organizationAdmin
).
O que você fará nesta tarefa
Criar conexões de baixa latência e alta disponibilidade entre sua VPC do Google e as redes no local ou outras redes na nuvem. Você configura os seguintes componentes:
- Gateway de VPN de alta disponibilidade do Google Cloud: um recurso regional que tem dois cada uma com o próprio endereço IP. Você especifica o tipo de pilha de IP, determina se o tráfego IPv6 tem suporte na sua conexão. Para consulte VPN de alta disponibilidade.
- Gateway de VPN de peering: o gateway na rede de peering, ao qual o Google Cloud O gateway da VPN de alta disponibilidade é conectado. Você insere endereços IP externos que que o gateway de peering usa para se conectar ao Google Cloud. Para mais informações, consulte Configurar o gateway de VPN de peering.
- Cloud Router: usa o protocolo de gateway de borda (BGP) para fazer a troca dinâmica as rotas entre a VPC e as redes em peering. Você atribui um Número de sistema autônomo (ASN, na sigla em inglês) como identificador do Cloud Router especifique o ASN que o roteador de peering usa. Para mais informações em segundo plano, consulte Criar um Cloud Router para conectar uma rede VPC a uma rede com peering.
- Túneis VPN: conecte o gateway do Google Cloud ao gateway de peering. Você especifica o protocolo Internet Key Exchange (IKE) a ser usado para estabelecer o túnel. É possível inserir sua própria chave IKE gerada anteriormente ou gerar e copiar uma nova de dados. Para informações contextuais, consulte Configurar o IKE.
Por que recomendamos realizar esta tarefa
A VPN de alta disponibilidade oferece conexão entre a infraestrutura atual e o Google Cloud.
Antes de começar
Realize as tarefas a seguir:
- Crie um usuário superadministrador e sua organização na tarefa Organização.
- Adicione usuários e crie grupos na tarefa Usuários e grupos.
- Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
- Crie ou vincule uma conta de faturamento na tarefa Faturamento.
- Configure sua hierarquia e atribua acesso na tarefa Hierarquia e acesso.
- Configure sua rede no redes VPC.
Colete as seguintes informações do seu administrador de rede de peering:
- Nome do gateway de VPN de peering: o gateway em que o Cloud VPN se conecta.
- Endereço IP da interface de peering 0: um endereço IP externo na rede de peering gateway de gateway de borda.
- Endereço IP da interface de peering 1: um segundo endereço externo ou reutilize o IP endereço 0 se a rede de peering tiver apenas um endereço IP externo.
- Número de sistema autônomo (ASN, na sigla em inglês): um identificador exclusivo atribuído ao seu de rede de peering.
- ASN do Cloud Router: um identificador exclusivo que você atribuirá aos Cloud Router.
- Chaves da Internet Key Exchange (IKE): chaves usadas para estabelecer dois túneis de VPN. ao gateway de VPN de peering. Se você não tiver chaves, é possível gerar durante a configuração e aplicá-los ao gateway de peering.
Configurar as conexões
Faça o seguinte para conectar suas redes VPC ao peering redes:
Faça login como usuário com a função de administrador da organização.
Escolha a organização na lista suspensa Selecionar de na parte de cima da página.
Acesse Configuração do Google Cloud: conectividade híbrida.
Revise os detalhes da tarefa fazendo o seguinte:
Analise a visão geral da tarefa e clique em Iniciar conectividade híbrida.
Clique em cada guia para saber mais sobre a conectividade híbrida e clique em Continuar.
Veja o que esperar em cada etapa da tarefa e clique em Continuar.
Revise as informações de configuração do gateway de peering que você precisa coletar e clique em Continuar.
Na área Conexões híbridas, identifique as redes VPC. com base nas necessidades da sua empresa.
Na linha da primeira rede escolhida, clique em Configurar.
Na área Visão geral da configuração, leia a descrição e clique em Próxima.
Na área Gateway de VPN de alta disponibilidade do Google Cloud, faça o seguindo:
No campo Nome do gateway do Cloud VPN, digite até 60 caracteres usando letras minúsculas, números e hifens.
Na área Tipo de pilha do IP interno do túnel da VPN, selecione uma das os seguintes tipos de pilha:
- IPv4 e IPv6 (recomendado): oferece suporte ao tráfego IPv4 e IPv6. Recomendamos essa configuração se você planeja permitir o tráfego IPv6 no túnel.
- IPv4: oferece suporte apenas ao tráfego IPv4.
O tipo de pilha determina o tipo de tráfego permitido no entre a rede VPC e a rede de peering. Você não é possível modificar o tipo de pilha após a criação do gateway. Para outras informações básicas, consulte:
Clique em Próxima.
Na área Gateway de VPN de peering, faça o seguinte:
No campo Nome do gateway de VPN de peering, digite o nome fornecido pelo administrador de rede de peering. Você pode inserir até 60 caracteres usando letras minúsculas, números e hifens.
No campo Endereço IP da interface de peering 0, insira o gateway de peering. endereço IP externo da interface fornecido pelo administrador da rede de peering.
No campo Endereço IP da interface de peering 1, siga um destes procedimentos:
- Se o gateway de peering tiver uma segunda interface, insira o endereço IP dela.
- Se o gateway de peering tiver apenas uma interface, insira o mesmo endereço você inseriu em Endereço IP da interface de peering 0.
Para mais informações em segundo plano, consulte Configurar o gateway de VPN de peering.
Clique em Próxima.
Na área do Cloud Router, faça o seguinte:
No campo ASN do Cloud Router, insira o número do sistema autônomo que você quer atribuir ao Cloud Router, conforme fornecido pela rede de peering administrador. Para mais informações em segundo plano, consulte Criar um Cloud Router.
No campo ASN do roteador de peering, insira o nome do roteador. Número de sistema autônomo, conforme fornecido pelo administrador da rede de peering.
Na área do Túnel da VPN 0, faça o seguinte:
No campo Nome do túnel 0, digite até 60 caracteres usando letras minúsculas, números e hifens.
Na área IKE version, selecione uma das seguintes opções:
- IKEv2 – recomendado: oferece suporte ao tráfego IPv6.
- IKEv1: use esta configuração se você não planeja permitir o tráfego IPv6 na pelo túnel.
Para informações contextuais, consulte Configurar túneis de VPN.
No campo Chave pré-compartilhada do IKE, insira a chave que você usa no gateway de peering. configuração da rede, conforme fornecido pelo administrador da rede de peering. Se você não já tem uma chave, clique em Gerar e copiar e atribua chave para o administrador da rede em peering.
Na área do Túnel de VPN 1, repita a etapa anterior para aplicar as configurações ao no segundo túnel. Você configura este túnel para redundância e capacidade de processamento.
Clique em Salvar.
Repita essas etapas para todas as outras redes VPC que você quiser conecte-se à sua rede de peering.
Após a implantação
Depois de implantar a configuração do Google Cloud, faça o seguinte: Siga estas etapas para garantir que a conexão de rede esteja completa:
Trabalhe com seu administrador de redes de peering para alinhar essa rede com às suas configurações de conectividade híbrida. Após a implantação, instruções específicas fornecidos para sua rede de peering, incluindo o seguinte:
- Configurações do túnel.
- Configurações do Firewall.
- Configurações de IKE.
Valide as conexões de rede que você criou. Por exemplo, é possível usar Network Intelligence Center para verificar a conectividade entre as redes. Para mais informações, consulte a visão geral dos testes de conectividade.
Se as necessidades da sua empresa exigirem uma conexão mais robusta, use o Cloud Interconnect. Para mais informações, consulte Como escolher um produto de conectividade de rede.
A seguir
Implante sua configuração, que inclui configurações para hierarquia e acesso, geração de registros, rede e conectividade híbrida.
Implantar suas configurações
Implantar ou fazer o download
À medida que você conclui o processo de configuração do Google Cloud, as configurações das tarefas a seguir são compiladas nos arquivos de configuração do Terraform:
Para aplicar as configurações, revise suas escolhas e escolha um método de implantação.
Quem realiza esta tarefa
Uma pessoa no grupo
gcp-organization-admins@YOUR_DOMAIN
que você criou na tarefa Usuários e grupos.
O que você fará nesta tarefa
Implante os arquivos de configuração para aplicar as definições de configuração.
Por que recomendamos realizar esta tarefa
É preciso implantar arquivos de configuração para aplicar as configurações selecionadas.
Antes de começar
Você precisa concluir as seguintes tarefas:
- Crie um usuário superadministrador e sua organização na tarefa Organização.
- Adicione usuários e crie grupos na tarefa Usuários e grupos.
- Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
- Crie ou vincule uma conta de faturamento na tarefa Faturamento.
- Configure sua hierarquia e atribua acesso na tarefa Hierarquia e acesso.
As tarefas a seguir são recomendadas:
- Consolide os dados de registro em um único local na tarefa Centralizar a geração de registros.
- Reforce sua postura de segurança configurando serviços sem custo financeiro na tarefa Segurança.
- Configure sua rede inicial nas redes VPC tarefa.
- Conectar redes de peering ao Google Cloud na conectividade híbrida tarefa.
Revise os detalhes da configuração
Faça o seguinte para verificar se as definições de configuração estão completas:
Faça login no console do Google Cloud como um usuário do grupo
gcp-organization-admins@YOUR_DOMAIN
que você criou na tarefa Usuários e grupos.Escolha a organização na lista suspensa Selecionar de na parte de cima da página.
Acesse Configuração do Google Cloud: implantar ou fazer o download.
Revise as definições de configuração selecionadas. Clique em cada uma das seguintes guias e revise suas configurações:
- Hierarquia e acesso a recursos
- Logging
- Segurança
- Redes VPC
- Conectividade híbrida
Implantar configuração
Agora que você analisou os detalhes de configuração, use uma das seguintes opções:
Implantar diretamente do console: use essa opção se você não tiver um fluxo de trabalho de implantação do Terraform e quiser um método de implantação simples. Só é possível implantar usando esse método uma vez.
Fazer o download e implantar o arquivo do Terraform: use essa opção se você quiser automatizar o gerenciamento de recursos usando um fluxo de trabalho de implantação do Terraform. É possível fazer o download e implantar usando esse método várias vezes.
Implante usando uma das seguintes opções:
Implantar diretamente
Se você não tem um fluxo de trabalho do Terraform e quer uma implantação única simples, faça a implantação diretamente do console.
Clique em Implantar diretamente.
Aguarde alguns minutos até que a implantação seja concluída.
Se a implantação falhar, faça o seguinte:
- Para tentar realizar a implantação de novo, clique em Repetir processo.
- Se a implantação falhar após várias tentativas, entre em contato com um administrador para receber ajuda. Para fazer isso, clique em Entrar em contato com o administrador da organização.
Fazer o download e implantar
Se você quiser iterar sua implantação usando o fluxo de trabalho do Terraform, faça o download e implante os arquivos de configuração.
Para fazer o download do arquivo de configuração, clique em Fazer o download como Terraform.
O pacote contém arquivos de configuração do Terraform com base nas configurações selecionadas nas seguintes tarefas:
- Hierarquia e acesso
- Centralizar a geração de registros
- Segurança
- Redes VPC
- Conectividade híbrida
Se você quiser implantar apenas arquivos de configuração que sejam relevantes para suas responsabilidades, evite o download de arquivos irrelevantes. Para fazer isso, desmarque as caixas de seleção dos arquivos de configuração que não são necessários.
Clique em Fazer download. Um pacote
terraform.tar.gz
que inclui os arquivos selecionados é transferido por download para o sistema de arquivos local.Para conferir as etapas detalhadas de implantação, consulte Implantar a base usando o Terraform salvo no console.
A seguir
Aplicar configurações de compatibilidade e monitoramento
Monitorar
O Cloud Monitoring é configurado automaticamente para seus projetos do Google Cloud. Nesta tarefa, você vai aprender sobre as práticas recomendadas de monitoramento opcional.
Antes de começar
Realize as tarefas a seguir:
- Crie um usuário superadministrador e sua organização na tarefa Organização.
- Adicione usuários e crie grupos na tarefa Usuários e grupos.
- Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
Quem realiza esta tarefa
Uma pessoa no grupo
gcp-monitoring-admins@YOUR_DOMAIN
que você criou na tarefa Usuários e grupos.
O que você fará nesta tarefa
Revise e implemente as práticas recomendadas de monitoramento opcionais.
Por que recomendamos realizar esta tarefa
Implemente práticas recomendadas de monitoramento para:
- Facilite a colaboração entre os usuários que monitoram sua organização.
- Monitore sua infraestrutura do Google Cloud em um só lugar.
- Colete métricas e registros importantes de aplicativos.
Revise e implemente as práticas recomendadas de monitoramento
O Cloud Monitoring coleta métricas, eventos e metadados dos serviços do Google Cloud, monitores sintéticos, instrumentação de aplicativos e outros componentes comuns do aplicativo. O Cloud Monitoring é configurado automaticamente para os projetos do Google Cloud.
Nesta tarefa, é possível implementar as práticas recomendadas a seguir para criar na configuração padrão do Cloud Monitoring.
Para ajudar na colaboração, crie uma política da organização que atribua o papel Leitor do Monitoring a todos os principais da organização para todos os projetos.
Para monitorar sua infraestrutura do Google Cloud em um só lugar, configure um projeto para ler métricas de vários projetos do Google Cloud usando escopos de métricas.
Para coletar métricas e registros de aplicativos para máquinas virtuais, faça o seguinte:
- Para o Compute Engine, instale o Agente de operações.
- No Google Kubernetes Engine (GKE), configure o Google Cloud Managed Service para Prometheus.
A seguir
Suporte
Nesta tarefa, você escolhe um plano de suporte que atenda às necessidades da sua empresa.
Quem realiza esta tarefa
Uma pessoa no grupo gcp-organization-admins@YOUR_DOMAIN
criado na tarefa Usuários e grupos.
O que você fará nesta tarefa
Escolha um plano de suporte com base nas necessidades da sua empresa.
Por que recomendamos realizar esta tarefa
Um plano de Suporte Premium oferece suporte essencial aos negócios para resolver problemas rapidamente com a ajuda de especialistas do Google Cloud.
Escolher uma opção de suporte
Você recebe automaticamente o Suporte Básico gratuito, que inclui acesso aos seguintes recursos:
Recomendamos que clientes corporativos se inscrevam no Suporte Premium, que oferece suporte técnico individual com engenheiros de suporte do Google. Para comparar os planos de suporte, consulte Atendimento ao cliente do Google Cloud.
Antes de começar
Realize as tarefas a seguir:
- Crie um usuário superadministrador e sua organização na tarefa Organização.
- Adicione usuários e crie grupos na tarefa Usuários e grupos.
- Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
Ativar suporte
Identifique e selecione uma opção de suporte.
Analise e selecione um plano de suporte. Para mais informações, consulte Google Cloud Customer Care.
Faça login no console do Google Cloud com um usuário do grupo
gcp-organization-admins@<your-domain>.com
que você criou na tarefa Usuários e grupos.Acesse Configuração do Google Cloud: suporte.
Revise os detalhes da tarefa e clique em Ver opções de suporte para selecionar uma opção.
Depois de configurar a opção de suporte, volte para a página Configuração do Google Cloud: suporte e clique em Marcar tarefa como concluída.
A seguir
Agora que você concluiu a configuração do Google Cloud, está pronto para estender sua configuração inicial, implantar soluções pré-criadas e migrar seus fluxos de trabalho atuais. Para mais informações, consulte Ampliar a configuração inicial e começar a criar.