导言:

与亚马逊AWS和微软Azure类似,谷歌还以谷歌云平台(GCP)的名义提供了一套云计算服务。GCP运行在谷歌用于其终端用户产品的相同基础设施上,如谷歌搜索、Gmail、文件存储和YouTube。谷歌云平台提供基础设施即服务、平台即服务和无服务器计算环境。

在本博客中,我们将详细介绍为您的组织设置云基础设施平台所涉及的步骤。GCP提供了一个完整的清单,帮助您为可扩展、可生产的企业工作负载配置Google云。尽管GCP为其客户提供了大量的云服务,但我们只专注于构建可扩展基础设施、生产就绪的GCP所需的基本服务。

配置GCP的先决条件

  1. 用户应具有具有超级管理员凭据的GCP订阅
  2. 用户应该已经创建了一个有效的组织&一个在GCP中使用GCP服务的项目
  3. 用户应具有适当的计算、网络和存储概念知识
  4. 了解公司网络组件的完整列表,以及公司需要的GCP服务的需求清单金宝搏体育下载

为您的组织设置谷歌Cloud

使用订阅管理员用户凭据登录到Google云控制台。您可以使用URLhttps://console.cloud.google.com/。根据需要创建组织和项目。在本博客中,我们没有介绍如何创建组织或项目。在我们的例子中,我们创建了组织testvembudesk.com(通常是公司名称或域名),默认项目“我的第一个项目:下面的屏幕截图显示了这些详细信息。建议用户在该组织下创建一个新项目。金宝搏体育下载

GCP

在入门页面上,您将看到以下清单和可用的GCP服务。单击“转到检查表”按钮,以获取显示各种基本GCP服务的检查表的更多详细信息。

下载横幅

GCP

用于设置Google云平台的可用检查表

此清单可帮助您为可伸缩的、生产就绪的企业工作负载设置谷歌Cloud。该清单是为那些受信任能够完全控制公司谷歌云资源的管理员设计的。金宝搏体育下载这个清单包括10个有步骤的任务。有些任务可以用多种方式完成;一般来说,我们描述的方式将有助于最大数量的用户

  1. 设置您的组织资源
  2. 向组织中添加用户和组
  3. 设置对组织的管理员访问权限
  4. 设置帐单
  5. 设置资源层次结构
  6. 为资源层次结构设置访问控制
  7. 建立支持
  8. 设置网络配置
  9. 设置日志记录和监视
  10. 为应用程序和数据配置安全设置

下面的屏幕截图显示了这10个检查表。单击每个检查表,用户可能需要设置其组织资源以有效使用GCP服务。

GCP

检查表1:设置组织资源

另外,配置此清单将建立云标识,以集中组织资源和用户。在这第一步中,当您设置您的谷歌身份帐户时,创建了一个名为管理员帐户的谷歌云身份。您可以在此步骤中创建其他管理员帐户,也可以声明与此检查表关联的任务已完成,然后继续下一步。

要使用谷歌云,您必须使用谷歌身份服务(云身份或工作区)来管理谷歌云资源用户的凭据。云标识和工作区都提供身份验证凭据,允许其他人访问您的云资源。Workspace提供额外的消费者服务,如Gmail、Google Drive和其他服务。

如果您的组织同时使用谷歌cloud和谷歌Workspace,您可能需要设置一个云标识并验证您的域。下面的截图显示了这一信息。完成此任务后,点击“将任务标记为已完成”按钮

GCP

完成第一个检查表后,其他检查表将“打开”以供使用。您可以验证列出的检查表是否已从“审阅”状态更改为“打开”状态。

清单2:向组织中添加用户和组

在这个任务中,你是

  • 在云身份或工作空间中创建帐号,用于帮助使用此清单建立谷歌云基础的人
  • 创建一组Google组来管理组织内的核心职能
  • 将参与清单任务的用户添加到谷歌Groups中

从这里,您可以使用超级管理员帐户登录谷歌管理员控制台,并可以创建用户和组。创建这些用户帐户和谷歌组是分配Cloud Identity and Access Management (Cloud IAM)角色的先决条件,后续任务需要这些角色。

GCP

完成此任务后,将指针移到右侧,在顶部标记任务已完成,以继续下一步。

清单3:设置对组织的管理员访问权限

在这个任务中,您要将您创建的一些用户提升为管理员或管理员组(如果需要的话),以启用中央可见性并控制谷歌Cloud组织中的每个资源。

在此,您可以将管理角色分配给特定管理员,并添加管理权限,使您能够执行检查表中的后续任务。此外,还可以在组织级别向组授予角色。

GCP

完成本任务后,点击“将任务标记为已完成”按钮,移动到下一个检查表任务。

清单4:设置计费

在本任务中,您将设置一个支付谷歌Cloud资源的计费帐户,并为您的计费帐户设置管理员访问权限。

云计费帐户链接到一个或多个谷歌云项目,用于支付您使用的资源,如虚拟机、网络和存储。云身份和访问管理(Cloud IAM)角色控制对云计费帐户的访问。

分配了计费帐户管理员和计费帐户创建者IAM角色的团队成员可以完成诸如管理付款和发票、设置预算、创建计费帐户以及将项目与计费帐户关联等任务。这些角色不允许团队成员查看项目的内容。

您可以使用在线计费帐户或基于发票的计费设置计费选项。您可以使用这两个选项中的任何一个,也可以使用已经设置好的现有计费帐户。分配Billing Account Administrator后,您可以将任务标记为已完成,以便继续执行下一个清单。下面的截图显示了这些细节。

GCP

清单5:设置资源层次结构

在本任务中,将为资源层次结构中的文件夹和项目创建基本结构。
文件夹提供了组机制和项目之间的隔离。项目是层次结构的最低级别。它们包含您的任何云资源,如虚拟机、数据库和存储桶。创建结构是后续任务的一项要求,在该任务中,您可以设置IAM策略以控制资源层次结构不同级别的访问。设置资源层次结构后,您可以标记任务已完成以继续下一个检查表

清单6:为资源层次结构设置访问控制

在本任务中,通过向资源添加云IAM策略,为资源层次结构设置访问控制。云IAM策略是定义谁具有何种访问类型的语句的集合。策略附加到资源,用于在访问该资源时强制执行访问控制。

要设置权限,可以执行相同的基本过程,但可以对层次结构不同级别(组织、文件夹和项目)的资源执行此操作。我们建议您使用最小权限原则,并为每个级别的资源授予最少的访问权限。在组织、文件夹和项目级别上设置IAM策略后,您可以标记任务已完成以继续下一个检查表

清单7:安装支持

根据公司的需要选择一个支持计划。金宝搏体育下载谷歌提供四个层面的支撑。在这个清单中,您可以选择组织需要的支持级别。

基本支持-包含在您的谷歌云订阅。案件,电话,和聊天支持的账单问题
标准支持-启动您的云之旅,无限访问技术支持,以帮助您排除故障、测试和探索。

增强的支持—通过高质量、强大的支持优化您的云体验。快速响应时间和运行云的附加服务,提高生产力和效率。

高级支持–高级支持提供了主动参与和更高的运营效率。

您还可以启用基于角色的支持。选择支持选项后,您可以将任务标记为已完成,以继续进行下一个检查清单

GCP

清单8:设置网络配置

在本任务中,您将设置初始网络配置。通常情况下,你需要做以下事情:

  • 设计、创建和配置虚拟私有云架构
  • 如果您有本地网络或其他云提供商中的网络,请配置该提供商与谷歌云之间的连接
  • 为外部出口设置通道
  • 实施网络安全控制,如防火墙规则
  • 为托管在云上的服务选择首选入口流量选项

通常,这些网络配置包括六个步骤,即,

  1. 虚拟私有云架构
  2. 创建共享VPC网络
  3. 配置外部提供程序和GCP之间的连接
  4. 设置外部出口流量的路径
  5. 实施网络安全控制
  6. 选择入口流量选项

在这个博客中,我们并没有涵盖上面提到的每一个步骤。提供了网络架构的概述,根据本组织的要求,在建立GCP时应考虑到网络架构。完成上述步骤后,您可以将任务标记为已完成,以便继续进行下一个检查表

检查表9:设置日志记录和监控

在本任务中,您将使用GCP中的云记录和云监控服务设置基本的日志和监控功能

全面的日志记录和监控是在云环境中维护可观察性的关键。从一开始就配置适当的日志保留允许您构建并确信审计跟踪被保留,同时设置集中监视将为您的团队提供一个中央仪表板来查看您的环境。

GCP

在完成监视和日志记录的设置之后,可以将任务标记为已完成,然后继续执行最后的检查表

清单10:配置应用程序和数据的安全设置

在本任务中,您将配置Google云产品以帮助保护您的组织。这包括建立两个GCP产品,即安全指挥中心和组织政策服务

安全指挥中心-这个全面的安全管理和数据风险平台使您能够监控您的云资产,扫描存储系统的敏感数据,检测常见的web漏洞,并审查关键资源的访问权限。

组织策略服务——该服务为您提供对组织云资源的集中和程序化控制。

下面的屏幕截图显示了根据谷歌建议配置的这两个服务。

GCP

结论:

许多组织选择谷歌云而不是其他竞争对手,因为他们在各个方面都有更多的优势。对于任何IT管理员或DevOps管理员来说,构建具有高安全性的Google云平台并消除构建和维护完整GCP环境的复杂性是至关重要的。GCP提供了一个完整而全面的最佳实践清单,帮助像您这样的企业客户实现谷歌云。该清单并非建议的详尽清单。相反,它的目标是帮助企业架构师和技术涉众理解活动的范围并相应地进行规划。每个部分都提供关键操作,并包含进一步配置的链接,以便以低成本有效地使用其服务。

跟着我们推特脸谱网新版本、更新、有见地的文章等的提要。