תהליך מודרך להגדרה של Google Cloud

משאב ארגון ב- Google Cloud מייצג את העסק שלכם, והוא משמש כצומת ברמה העליונה של ההיררכיה. כדי ליצור את הארגון, מגדירים שירות זהויות של Google ומקשרים אותו לדומיין. כשמשלימים את התהליך הזה, נוצר באופן אוטומטי משאב ארגוני.

סקירה כללית של משאב הארגון

• ניהול משאבים בארגון.
• שיטות מומלצות לתכנון חשבונות וארגונים

למי המשימה מיועדת?

שני האדמינים הבאים מבצעים את המשימה הזו:

• אדמין לניהול זהויות שאחראי להקצאת גישה מבוססת-תפקיד. אתם מקצים את האדם הזה כסופר-אדמין ב-Cloud Identity. מידע נוסף על משתמש סופר-אדמין זמין במאמר בנושא תפקידי אדמין מוגדרים מראש.

• אדמין בדומיין עם גישה למארח הדומיין של החברה. האדם הזה עורך את הגדרות הדומיין, כמו הגדרות DNS, כחלק מתהליך אימות הדומיין.

מה כוללת המשימה הזו?

• אם עדיין לא עשיתם זאת, אתם צריכים להגדיר את Cloud Identity, שבו אתם יוצרים חשבון משתמש מנוהל למשתמש עם הרשאת סופר-אדמין.
• מקשרים את Cloud Identity לדומיין (למשל, example.com).
• אימות הדומיין שלך. במהלך התהליך הזה נוצר צומת הבסיס (root) של היררכיית המשאבים, שנקרא משאב הארגון.

למה אנחנו ממליצים לבצע את המשימה הזו?

צריך להגדיר את ההגדרות הבאות כחלק מה Google Cloud הבסיס:

• שירות זהויות של Google לניהול מרכזי של זהויות.
• משאב ארגוני כדי להגדיר את הבסיס של ההיררכיה ובקרת הגישה.

אפשרויות של שירותי הזהויות של Google

אתם משתמשים באחד משירותי הזהויות של Google או בשניהם כדי לנהל את פרטי הכניסה של Google Cloud משתמשים:

• ‫Cloud Identity: ניהול מרכזי של משתמשים וקבוצות. אפשר לאחד זהויות בין Google לבין ספקי זהויות אחרים. מידע נוסף זמין במאמר סקירה כללית על Cloud Identity.
• ‫Google Workspace: ניהול משתמשים וקבוצות, וגישה למוצרי פרודוקטיביות ושיתוף פעולה כמו Gmail ו-Google Drive. מידע נוסף זמין במאמר Google Workspace.

מידע מפורט על תכנון הזהויות זמין במאמר בנושא תכנון תהליך ההצטרפות של הזהויות הארגוניות.

לפני שמתחילים

במאמר שיטות מומלצות לניהול חשבון סופר-אדמין מוסבר איך לנהל חשבון סופר-אדמין.

הגדרה של ספק זהויות ואימות הדומיין

השלבים שצריך לבצע במשימה הזו תלויים בשאלה אם אתם לקוחות חדשים או קיימים. בוחרים את האפשרות שהכי מתאימה לצרכים שלכם:

• לקוח חדש: הגדרת Cloud Identity, אימות הדומיין ויצירת הארגון.

• לקוחות קיימים של Google Workspace: אפשר להשתמש ב-Google Workspace כספק הזהויות של משתמשים שיש להם גישה ל-Google Workspace ול- Google Cloud. אם אתם מתכננים ליצור משתמשים שיש להם גישה רק ל- Google Cloud, אתם צריכים להפעיל את Cloud Identity.

• לקוח קיים של Cloud Identity: צריך לאמת את הדומיין, לוודא שהארגון נוצר ולאשר ש-Cloud Identity מופעל.

המאמרים הבאים

איך יוצרים קבוצות ומוסיפים אליהן חברים

במשימה הזו נלמד להגדיר זהויות, משתמשים וקבוצות כדי לנהל את הגישה למשאבים ב-Google Cloud .

מידע נוסף על ניהול הרשאות גישה ב- Google Cloudזמין במאמרים הבאים:

• סקירה כללית על ניהול זהויות והרשאות גישה (IAM)
• שיטות מומלצות לשימוש מאובטח ב-IAM

למי המשימה מיועדת?

כדי לבצע את המשימה הזו, צריך להיות לכם אחד מהדברים הבאים:

• הסופר-אדמין ב-Google Workspace או ב-Cloud Identity שיצרתם במשימה ארגון.
• אחד מתפקידי ה-IAM הבאים:
  • אדמין ארגוני (roles/resourcemanager.organizationAdmin).
  • אדמין במאגר זהויות של כוח עבודה (roles/iam.workforcePoolAdmin).

מה כוללת המשימה הזו?

• מתחברים ל-Cloud Identity או לספק הזהויות החיצוני (IdP).

• ליצור קבוצות ניהוליות ומשתמשים שיבצעו את שארGoogle Cloud שלבי ההגדרה. במשימה מאוחרת יותר תעניקו גישה לקבוצות האלה.

למה אנחנו ממליצים לבצע את המשימה הזו?

המשימה הזו עוזרת לכם ליישם את השיטות המומלצות הבאות בתחום האבטחה:

• העיקרון של הרשאות מינימליות: מתן ההרשאות המינימליות הדרושות למשתמשים כדי לבצע את תפקידם, והסרת ההרשאות שכבר אין בהן צורך.

• בקרת גישה מבוססת-תפקידים (RBAC): הקצאת הרשאות לקבוצות של משתמשים לפי תפקידם. לא מומלץ להוסיף הרשאות לחשבונות משתמשים פרטניים.

אפשר להשתמש בקבוצות כדי להקצות תפקידי IAM למספר משתמשים בצורה יעילה. השיטה הזו עוזרת לפשט את ניהול הגישה.

בחירת ספק זהויות

אפשר להשתמש באחת מהשיטות הבאות כדי לנהל משתמשים וקבוצות ולחבר אותם ל- Google Cloud:

• ‫Google Workspace או Cloud Identity: אתם יוצרים משתמשים וקבוצות ומנהלים אותם ב-Google Workspace או ב-Cloud Identity. אפשר לבחור לסנכרן עם ספק הזהויות החיצוני בהמשך.
• ספק הזהויות החיצוני, כמו Microsoft Entra ID או Okta: אתם יוצרים ומנהלים משתמשים וקבוצות בספק הזהויות החיצוני. לאחר מכן מקשרים את הספק אל Google Cloud כדי להפעיל כניסה יחידה.

כדי לבחור את ספק הזהויות:

1. נכנסים למסוף Google Cloud כאחד מהמשתמשים שצוינו בקטע מי מבצע את המשימה הזו.

2. עוברים אל Google Cloud הגדרה: משתמשים וקבוצות.

   עוברים אל 'משתמשים וקבוצות'

3. בודקים את פרטי המשימה ולוחצים על המשך הגדרת הזהות.

4. בדף בחירת ספק הזהויות, בוחרים באחת מהאפשרויות הבאות כדי להתחיל בהגדרה מודרכת:

   • שימוש ב-Google לניהול מרכזי של Google Cloud משתמשים: אפשר להשתמש ב-Google Workspace או ב-Cloud Identity כדי להקצות משתמשים וקבוצות ולנהל אותם כסופר-אדמינים של הדומיין המאומת. אפשר לסנכרן עם ספק הזהויות החיצוני בשלב מאוחר יותר.
   • ‫Microsoft Entra ID ‏ (Azure AD): אפשר להשתמש ב-OpenID Connect כדי להגדיר חיבור ל-Microsoft Entra ID.
   • ‫Okta: משתמשים ב-OpenID Connect כדי להגדיר חיבור ל-Okta.
   • ‫OpenID Connect: שימוש בפרוטוקול OpenID כדי להתחבר לספק זהויות תואם.
   • ‫SAML: שימוש בפרוטוקול SAML כדי להתחבר לספק זהויות תואם.
   • דילוג על הגדרת ספק זהויות חיצוני בשלב הזה: אם יש לכם ספק זהויות חיצוני ואתם לא מוכנים לחבר אותו אל Google Cloud, אתם יכולים ליצור משתמשים וקבוצות ב-Google Workspace או ב-Cloud Identity.

5. לוחצים על Continue.

6. לשלבים הבאים, אפשר לעיין באחד מהמאמרים הבאים:

   • יצירת משתמשים וקבוצות ב-Cloud Identity
   • חיבור ספק הזהויות החיצוני אל Google Cloud

יצירת משתמשים וקבוצות ב-Cloud Identity

אם אין לכם ספק זהויות קיים, או אם אתם לא מוכנים לקשר את ספק הזהויות שלכם אל Google Cloud, אתם יכולים ליצור ולנהל משתמשים וקבוצות ב-Cloud Identity או ב-Google Workspace. כדי ליצור משתמשים וקבוצות:

• יוצרים קבוצה לכל פונקציית אדמין מומלצת, כולל אדמין ארגוני, אדמין של חשבון לחיוב ואדמין של רשת.
• יוצרים חשבונות של משתמשים מנוהלים לאדמינים.
• הקצאת משתמשים לקבוצות אדמין שתואמות לאחריות שלהם.

לפני שמתחילים

• חיפוש והעברה של משתמשים שכבר יש להם חשבונות Google. מידע מפורט זמין במאמר בנושא הוספת משתמשים עם חשבונות לא מנוהלים.

• צריך להיות סופר-אדמינים.

יצירת קבוצות ניהוליות

קבוצה היא אוסף של חשבונות Google וחשבונות שירות, שיש לו שם. לכל קבוצה יש כתובת אימייל ייחודית, כמו gcp-billing-admins@example.com. אתם יוצרים קבוצות כדי לנהל משתמשים ולהחיל תפקידים ב-IAM בהיקף נרחב.

הקבוצות הבאות מומלצות כדי לעזור לכם לנהל את הפונקציות העיקריות של הארגון ולהשלים את תהליך ההגדרה. Google Cloud

כדי ליצור קבוצות ניהוליות:

1. בוחרים ב-Google כספק.

2. בדף Create Groups (יצירת קבוצות), בודקים את רשימת הקבוצות המומלצות לניהול, ואז מבצעים אחת מהפעולות הבאות:

   • כדי ליצור את כל הקבוצות המומלצות, לוחצים על יצירת כל הקבוצות.
   • אם רוצים ליצור קבוצת משנה של הקבוצות המומלצות, לוחצים על יצירה בשורות שנבחרו.

3. לוחצים על Continue.

יצירת משתמשים עם הרשאות אדמין

מומלץ להוסיף בהתחלה משתמשים שמשלימים הליכי הגדרה ארגוניים, של רשתות, של חיוב ושל הגדרות אחרות. אפשר להוסיף משתמשים אחרים אחרי שמסיימים את Google Cloud תהליך ההגדרה.

כדי להוסיף משתמשים עם הרשאות אדמין שמבצעים Google Cloud משימות הגדרה, צריך לבצע את הפעולות הבאות:

1. העברה של חשבונות פרטיים אל חשבונות משתמשים מנוהלים שנשלטים על ידי Cloud Identity. הוראות מפורטות מופיעות במאמרים הבאים:

   • העברת חשבונות לצרכנים.
   • הוספת משתמשים עם חשבונות לא מנוהלים.

2. נכנסים אל מסוף Google Admin באמצעות חשבון סופר-אדמין.

3. אפשר להוסיף משתמשים באחת מהאפשרויות הבאות:

   • כדי להוסיף משתמשים בכמות גדולה, אפשר לעיין במאמר בנושא הוספה או עדכון של כמה משתמשים מקובץ CSV.
   • כדי להוסיף משתמשים בנפרד, אפשר לעיין במאמר בנושא הוספת חשבון למשתמש חדש.

4. אחרי שמסיימים להוסיף משתמשים, חוזרים אל Google Cloud הגדרה: משתמשים וקבוצות (יצירת משתמשים).

5. לוחצים על Continue.

הוספת משתמשים עם הרשאות אדמין לקבוצות

מוסיפים את המשתמשים שיצרתם לקבוצות אדמין שמתאימות לתפקידים שלהם.

1. מוודאים שיצרתם משתמשים עם הרשאות אדמין.

2. בקטע Google Cloud הגדרה: משתמשים וקבוצות (הוספת משתמשים לקבוצות), בודקים את פרטי השלב.

3. בכל שורה של Group, מבצעים את הפעולות הבאות:

   1. לוחצים על הוספת חברים.
   2. מזינים את כתובת האימייל של המשתמש.

   3. מהרשימה הנפתחת תפקיד בקבוצה, בוחרים את הגדרות ההרשאות של המשתמש בקבוצה. מידע נוסף מופיע במאמר הגדרה של מי יכול להציג, לפרסם ולנהל.

      כל חבר יורש את כל תפקידי ה-IAM שאתם מעניקים לקבוצה, בלי קשר לתפקיד בקבוצה שאתם בוחרים.

   4. כדי להוסיף עוד משתמש לקבוצה, לוחצים על הוספת חבר נוסף וחוזרים על השלבים האלה. מומלץ להוסיף יותר מחבר אחד לכל קבוצה.

   5. כשמסיימים להוסיף משתמשים לקבוצה, לוחצים על שמירה.

4. אחרי שמסיימים לעבור על כל הקבוצות, לוחצים על אישור המשתמשים והקבוצות.

5. אם רוצים לאחד את ספק הזהויות עם Google Cloud, אפשר לעיין במאמרים הבאים:

   • דוגמאות לארכיטקטורות: שימוש בספק זהויות חיצוני
   • כדי להקצות הרשאות למשתמשים ולהפעיל כניסה יחידה (SSO) באופן אוטומטי, אפשר לעיין במאמרים הבאים:
     • איחוד של Cloud Identity עם Active Directory.
     • איחוד של Cloud Identity עם Microsoft Entra ID.
   • כדי לסנכרן משתמשים וקבוצות ב-Active Directory עם Google Cloud, צריך להשתמש ב-Directory Sync או ב-Google Cloud Directory Sync.
     • השוואה בין Directory Sync לבין GCDS

חיבור ספק הזהויות החיצוני אל Google Cloud

אתם יכולים להשתמש בספק הזהויות הקיים כדי ליצור ולנהל קבוצות ומשתמשים. כדי להגדיר כניסה יחידה (SSO) אל Google Cloud , צריך להגדיר איחוד שירותי אימות הזהות של כוח עבודה עם ספק הזהויות החיצוני. מושגים מרכזיים בתהליך הזה מוסברים במאמר איחוד שירותי אימות הזהות של כוח עבודה.

כדי לקשר את ספק הזהויות החיצוני, צריך להשלים הגדרה מודרכת שכוללת את השלבים הבאים:

1. יצירת מאגר כוח עבודה: מאגר זהויות כוח עבודה עוזר לכם לנהל זהויות ואת הגישה שלהן למשאבים. מזינים את הפרטים הבאים בפורמט שנוח לקריאה.
   • מזהה מאגר זהויות של כוח עבודה: מזהה ייחודי גלובלי שמשמש ב-IAM.
   • Provider ID: שם הספק, שהמשתמשים יציינו כשהם ייכנסו ל- Google Cloud.
2. הגדרה Google Cloud בספק: ההגדרה המודרכת כוללת שלבים ספציפיים לספק שלכם.
3. מזינים את פרטי מאגר הזהויות של כוח העבודה של הספק: כדי להוסיף את הספק כרשות מהימנה לאימות זהויות, מאחזרים את הפרטים מהספק ומוסיפים אותם אל Google Cloud:
4. הגדרת קבוצה ראשונית של קבוצות ניהול: תהליך ההגדרה המודרך כולל שלבים ספציפיים לספק שלכם. אתם מקצים קבוצות בספק ומקימים חיבור ל- Google Cloud. תיאור מפורט של כל קבוצה מופיע במאמר יצירת קבוצות אדמיניסטרטיביות.
5. הקצאת משתמשים לכל קבוצה: מומלץ להקצות יותר ממשתמש אחד לכל קבוצה.

למידע נוסף על תהליך הקישור של כל ספק, אפשר לעיין במאמרים הבאים:

• הגדרה של איחוד שירותי אימות הזהות של כוח העבודה באמצעות Azure AD וכניסת משתמשים
• הגדרה של איחוד שירותי אימות הזהות של כוח העבודה באמצעות Okta וכניסת משתמשים
• לספקים אחרים שתומכים ב-OIDC או ב-SAML, אפשר לעיין במאמר הגדרת איחוד שירותי אימות הזהויות של כוח עבודה

המאמרים הבאים

הקצאת הרשאות לקבוצות של מנהלי מערכת

במשימה הזו נשתמש בממשק של ניהול הזהויות והרשאות הגישה (IAM) כדי להקצות אוספים של הרשאות לקבוצות של אדמינים ברמת הארגון. התהליך הזה מעניק לאדמינים הרשאות גישה ושליטה על כל המשאבים בענן ששייכים לארגון.

בסקירה הכללית על IAM תוכלו לקרוא על ניהול זהויות והרשאות גישה ב- Google Cloud.

למי המשימה מיועדת?

כדי לבצע את המשימה הזו, אתם צריכים להיות אחד מהבאים:

• משתמש עם הרשאת סופר-אדמין.
• משתמש עם התפקיד אדמין ארגוני (roles/resourcemanager.organizationAdmin).

מה כוללת המשימה הזו?

• בודקים את רשימת תפקידי ברירת המחדל שהוקצו לכל קבוצת אדמינים שיצרתם במשימה משתמשים וקבוצות.

• כדי להתאים אישית קבוצה, אפשר לבצע את הפעולות הבאות:

  • מוסיפים או מסירים תפקידים.
  • אם אתם לא מתכוונים להשתמש בקבוצה, אתם יכולים למחוק אותה.

למה אנחנו ממליצים לבצע את המשימה הזו?

אתם צריכים להקצות באופן מפורש את כל תפקידי האדמין בארגון שלכם. המשימה הזו עוזרת לכם ליישם את השיטות המומלצות הבאות בתחום האבטחה:

• העיקרון של הרשאות מינימליות: מתן ההרשאות המינימליות הדרושות למשתמשים כדי לבצע את תפקידם, והסרת ההרשאות שכבר אין בהן צורך.

• בקרת גישה מבוססת-תפקידים (RBAC): הקצאת הרשאות לקבוצות של משתמשים לפי התפקידים שלהם. אל תקצו תפקידים לחשבונות משתמשים ספציפיים.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.

הענקת גישה לקבוצות אדמינים

כדי להעניק גישה מתאימה לכל קבוצת אדמינים שיצרתם במשימה משתמשים וקבוצות, כדאי לבדוק את תפקידי ברירת המחדל שמוקצים לכל קבוצה. אתם יכולים להוסיף או להסיר תפקידים כדי להתאים אישית את הגישה של כל קבוצה.

1. מוודאים שאתם מחוברים למסוף Google Cloud כמשתמש סופר-אדמין.

   אפשרות אחרת היא להיכנס לחשבון משתמש עם התפקיד אדמין ארגוני (roles/resourcemanager.organizationAdmin).

2. עוברים אל Google Cloud הגדרה: גישת אדמין.

   כניסה לדף 'הרשאת אדמין'

3. בוחרים את שם הארגון מהתפריט הנפתח Select from בחלק העליון של הדף.

4. קוראים את סקירת המשימה ולוחצים על המשך הגישה לאדמין.

5. בודקים את הקבוצות בעמודה קבוצה (גורם ראשי) שיצרתם במשימה משתמשים וקבוצות.

6. לכל קבוצה, בודקים את תפקידי IAM שמוגדרים כברירת מחדל. אתם יכולים להוסיף או להסיר תפקידים שמוקצים לכל קבוצה כדי להתאים לצרכים הייחודיים של הארגון.

   כל תפקיד מכיל כמה הרשאות שמאפשרות למשתמשים לבצע משימות רלוונטיות. במאמר תפקידים בסיסיים ומוגדרים מראש ב-IAM מפורטות ההרשאות בכל תפקיד.

7. כשמוכנים להקצות תפקידים לכל קבוצה, לוחצים על שמירה והענקת גישה.

המאמרים הבאים

מגדירים חיוב.

במשימה הזו תגדירו חשבון לחיוב כדי לשלם על המשאבים. Google Cloud כדי לעשות זאת, משייכים לארגון אחת מהאפשרויות הבאות.

• חשבון לחיוב ב-Cloud קיים. אם אין לכם גישה לחשבון, אתם יכולים לבקש גישה מהאדמין של חשבון החיוב.

• חשבון חדש לחיוב ב-Cloud.

מידע נוסף על חיוב זמין במאמרי העזרה בנושא חיוב ב-Cloud.

למי המשימה מיועדת?

אדם בקבוצה gcp-billing-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

מה כוללת המשימה הזו?

• יוצרים חשבון לחיוב ב-Cloud בניהול עצמי או משתמשים בחשבון קיים.
• החלטה אם לעבור מחשבון בניהול עצמי לחשבון לחיוב באמצעות חשבוניות.
• מגדירים חשבון לחיוב ב-Cloud ואמצעי תשלום.

למה אנחנו ממליצים לבצע את המשימה הזו?

חשבונות לחיוב ב-Cloud מקושרים לפרויקט אחד או יותר ב- Google Cloud , ודרכם אפשר לשלם על המשאבים שנמצאים בשימוש, כמו מכונות וירטואליות, רשתות ואחסון.

קביעת סוג החשבון לחיוב

חשבון החיוב שמשייכים לארגון הוא אחד מהסוגים הבאים.

• בניהול עצמי (אונליין): נרשמים אונליין ומשלמים בכרטיס אשראי או בכרטיס חיוב מיידי. אנחנו ממליצים לבחור באפשרות הזו אם אתם עסק קטן או אדם פרטי. כשנרשמים אונליין לחשבון לחיוב, סוג החשבון מוגדר באופן אוטומטי כחשבון בניהול עצמי.

• חשבון שמחויב בחשבונית (אופליין). אם כבר יש לכם חשבון עם חיוב בניהול עצמי, יכול להיות שתוכלו להגיש בקשה לחיוב בחשבונית חודשית אם העסק שלכם עומד בדרישות הסף.

אי אפשר ליצור חשבון לחיוב באמצעות חשבוניות אונליין, אבל אפשר להגיש בקשה להמרה של חשבון בשירות עצמי לחשבון לחיוב באמצעות חשבוניות.

מידע נוסף זמין במאמר סוגים של חשבונות לחיוב ב-Cloud.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.

הגדרה של חשבון לחיוב

אחרי שבוחרים סוג של חשבון לחיוב, משייכים את החשבון לחיוב לארגון. אחרי שתשלימו את התהליך הזה, תוכלו להשתמש בחשבון לחיוב כדי לשלם על משאבים. Google Cloud

1. נכנסים למסוף Google Cloud כמשתמשים בקבוצה gcp-billing-admins@YOUR_DOMAIN.

2. עוברים אל Google Cloud הגדרה: חיוב.

   לדף החיוב

3. בודקים את סקירת המשימה ולוחצים על המשך החיוב.

4. בוחרים באחת מהאפשרויות הבאות של חשבון לחיוב:

   יצירת חשבון חדש

   אם לארגון שלכם אין חשבון קיים, אתם יכולים ליצור חשבון חדש.

   1. בוחרים באפשרות אני רוצה ליצור חשבון חיוב חדש.
   2. לוחצים על Continue.

   3. בוחרים את סוג החשבון לחיוב שרוצים ליצור. הוראות מפורטות מופיעות במאמרים הבאים:

      • כדי ליצור חשבון חדש בשירות עצמי, אפשר לקרוא את המאמר יצירת חשבון חדש לחיוב ב-Cloud בשירות עצמי.
      • כדי להעביר חשבון קיים בניהול עצמי לחיוב בחשבונית, קראו את המאמר בנושא שליחת בקשה לחיוב בחשבונית חודשית.

   4. מוודאים שחשבון החיוב נוצר:

      1. אם יצרתם חשבון עם חיוב חודשי, תצטרכו לחכות עד 5 ימי עסקים כדי לקבל אישור באימייל.

      2. עוברים אל דף החיוב.

      3. בוחרים את הארגון שלכם מהרשימה Select from בחלק העליון של הדף. אם החשבון נוצר בהצלחה, הוא יופיע ברשימת החשבונות לחיוב.

   שימוש בחשבון הקיים שלי

   אם יש לכם חשבון קיים לחיוב, אתם יכולים לשייך אותו לארגון.

   1. בוחרים באפשרות זיהיתי ברשימה הזו חשבון לחיוב שבו אני רוצה להשתמש כדי להשלים את שלבי ההגדרה.
   2. בתפריט הנפתח חיוב, בוחרים את החשבון שרוצים לשייך לארגון.
   3. לוחצים על Continue.
   4. בודקים את הפרטים ולוחצים על אישור החשבון לחיוב.

   שימוש בחשבון של משתמש אחר

   אם למשתמש אחר יש גישה לחשבון חיוב קיים, אפשר לבקש ממנו לשייך את חשבון החיוב לארגון שלכם, או שהוא יכול לתת לכם גישה כדי להשלים את השיוך.

   1. בוחרים באפשרות I want to use a billing account that's managed by another Google user account (אני רוצה להשתמש בחשבון לחיוב שמנוהל על ידי חשבון משתמש אחר ב-Google).
   2. לוחצים על Continue.
   3. מזינים את כתובת האימייל של האדמין בחשבון לחיוב.
   4. לוחצים על פנייה לאדמין.
   5. צריך לחכות שהאדמין של החשבון לחיוב ייצור איתכם קשר עם הוראות נוספות.

המאמרים הבאים

יצירת היררכיית משאבים והקצאת גישה

במשימה הזו תגדירו את היררכיית המשאבים על ידי יצירה של המשאבים הבאים והקצאת גישה אליהם:

תיקיות

מספקות מנגנון קיבוץ וגבולות בידוד בין פרויקטים. לדוגמה, תיקיות יכולות לייצג מחלקות בארגון שלכם, כמו כספים או קמעונאות.

תיקיות הסביבה, כמו Production, בהיררכיית המשאבים מוגדרות לניהול אפליקציות. אתם יכולים להגדיר ולנהל אפליקציות בתיקיות האלה.

פרויקטים

מכילים את Google Cloud המשאבים, כמו מכונות וירטואליות, מסדי נתונים וקטגוריות אחסון. כל אחת מהתיקיות של הסביבה מכילה גם פרויקט ניהול, שעוזר לכם לנהל את הגישה, החיוב, יכולת הצפייה ופונקציות ניהוליות אחרות של האפליקציות.

במאמר בחירה של היררכיית משאבים לאזור הנחיתה ב- Google Cloud תוכלו לקרוא על שיטות מומלצות לארגון המשאבים בפרויקטים ושיקולי עיצוב שכדאי להתחשב בהם.

למי המשימה מיועדת?

אדם בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות יכול לבצע את המשימה הזו.

מה כוללת המשימה הזו?

• יצירה של מבנה ההיררכיה הראשוני באמצעות תיקיות ופרויקטים.
• הגדרת מדיניות IAM כדי לשלוט בגישה לתיקיות ולפרויקטים.

למה אנחנו ממליצים לבצע את המשימה הזו?

יצירת מבנה לתיקיות ולפרויקטים עוזרת לכם לנהלGoogle Cloud משאבים ואפליקציות. אתם יכולים להשתמש במבנה כדי להקצות גישה על סמך אופן הפעולה של הארגון. לדוגמה, אתם יכולים לארגן את הגישה ולספק אותה על סמך אוסף ייחודי של אזורים גיאוגרפיים, מבני חברות-בת או מסגרות אחריות של הארגון.

תכנון של היררכיית המשאבים

היררכיית המשאבים עוזרת לכם ליצור גבולות ולשתף משאבים בארגון למשימות נפוצות. יוצרים את ההיררכיה באמצעות אחת מההגדרות הראשוניות הבאות, בהתאם למבנה הארגוני:

• פשוטה ומבוססת על הסביבה:

  • בידוד סביבות כמו Non-production ו-Production.
  • הטמעה של כללי מדיניות שונים, דרישות רגולטוריות ובקרות גישה בכל תיקיית סביבה.
  • מתאים לחברות קטנות עם סביבות ריכוזיות.

• פשוטה ומיועדת לעבודת צוות:

  • בידוד צוותים כמו Development ו-QA.
  • כדי לבודד את הגישה למשאבים, אפשר להשתמש בתיקיות של סביבות צאצא מתחת לכל תיקייה של צוות.
  • מתאים לחברות קטנות עם צוותים אוטונומיים.

• מכוונת לסביבה:

  • חשוב לתת עדיפות לבידוד של סביבות כמו Non-production ו-Production.
  • בכל תיקיית סביבה, מבודדים את היחידות העסקיות.
  • מבודדים את הצוותים בכל יחידה עסקית.
  • מתאים לחברות גדולות עם סביבות ריכוזיות.

• ממוקד ביחידה עסקית:

  • חשוב לתת עדיפות לבידוד של יחידות עסקיות כמו Human Resources ו-Engineering, כדי להבטיח שהמשתמשים יוכלו לגשת רק למשאבים ולנתונים שהם צריכים.
  • מבודדים את הצוותים בכל יחידה עסקית.
  • בכל צוות, מבודדים את הסביבות.
  • מתאים לחברות גדולות עם צוותים אוטונומיים.

לכל הגדרה יש תיקייה Common לפרויקטים שמכילים משאבים משותפים. זה יכול לכלול פרויקטים של רישום ביומן ומעקב.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• ליצור משתמש סופר-אדמין ואת הארגון שלכם במשימה Organization.
• במשימה משתמשים וקבוצות מוסיפים משתמשים ויוצרים קבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.
• יוצרים או מקשרים חשבון לחיוב במשימה חיוב.

הגדרת תיקיות ופרויקטים ראשוניים

בוחרים את ההיררכיה של המשאבים שמייצגת את המבנה הארגוני.

כדי להגדיר תיקיות ופרויקטים ראשוניים:

1. נכנסים ל Google Cloud מסוף כמשתמשים בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

2. בוחרים את הארגון מהרשימה הנפתחת Select from (בחירה מתוך) בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: היררכיה וגישה.

   מעבר אל Hierarchy & access

4. בודקים את סקירת המשימה ולוחצים על התחלה לצד היררכיית משאבים.

5. בוחרים הגדרת התחלה.

6. לוחצים על המשך והגדרה.

7. התאמה אישית של היררכיית המשאבים כדי לשקף את המבנה הארגוני. לדוגמה, אתם יכולים להתאים אישית את ההגדרות הבאות:

   • שמות התיקיות.

   • פרויקטים של שירות לכל צוות. כדי להעניק גישה לפרויקטים של שירותים, אפשר ליצור את הפריטים הבאים:

     • קבוצה לכל פרויקט שירות.
     • משתמשים בכל קבוצה.

     סקירה כללית של פרויקטים של שירות זמינה במאמר VPC משותף.

   • פרויקטים שנדרשים למעקב, לרישום ביומן ולרשת.

   • פרויקטים בהתאמה אישית.

8. לוחצים על Continue.

9. הענקת גישה לתיקיות ולפרויקטים

הענקת גישה לתיקיות ולפרויקטים

במשימה הרשאת אדמין, הענקתם הרשאת אדמין לקבוצות ברמת הארגון. במשימה הזו, אתם מגדירים גישה לקבוצות שפועלות בתיקיות ובפרויקטים שהגדרתם.

לכל פרויקט, תיקייה וארגון יש כללי מדיניות משלהם לניהול זהויות והרשאות גישה, שעוברים בירושה דרך היררכיית המשאבים:

• ארגון: המדיניות חלה על כל התיקיות והפרויקטים בארגון.
• תיקייה: כללי המדיניות חלים על פרויקטים ותיקיות אחרות בתוך התיקייה.
• פרויקט: המדיניות חלה רק על הפרויקט הזה ועל המשאבים שלו.

מעדכנים את מדיניות ה-IAM של התיקיות והפרויקטים:

1. בקטע Configure access control (הגדרת בקרת גישה) של Hierarchy & access (היררכיה וגישה), נותנים לקבוצות גישה לתיקיות ולפרויקטים:

   1. בטבלה, בודקים את רשימת התפקידים המומלצים ב-IAM שהוקצו לכל קבוצה עבור כל משאב.

   2. אם רוצים לשנות את התפקידים שהוקצו לכל קבוצה, לוחצים על עריכה בשורה הרצויה.

      מידע נוסף על כל תפקיד זמין במאמר תפקידים בסיסיים ומוגדרים מראש ב-IAM.

2. לוחצים על Continue.

3. בודקים את השינויים ולוחצים על אישור הגדרת הטיוטה.

הגדרת חיוב לפרויקטים לניהול

אחרי שפורסים את ההגדרה, צריך להגדיר חיוב לכל פרויקט ניהול. החשבון לחיוב נדרש כדי לשלם על ממשקי API שיש להם עלויות משויכות. מידע נוסף זמין במאמר קישור חשבון לחיוב לפרויקט הניהול.

המאמרים הבאים

קביעת הגדרות אבטחה

במשימה הזו תגדירו מוצרי אבטחה והגדרות אבטחה שיעזרו להגן על הארגון שלכם.

למי המשימה מיועדת?

כדי להשלים את המשימה הזו, צריך להיות לכם אחד מהדברים הבאים:

• התפקיד אדמין ארגוני (roles/resourcemanager.organizationAdmin).
• חברות באחת מהקבוצות הבאות שיצרתם במשימה משתמשים וקבוצות:
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

מה כוללת המשימה הזו?

החלת מדיניות ארגונית מומלצת על סמך הקטגוריות הבאות:

• ניהול הרשאות גישה.
• התנהגות של חשבון שירות.
• הגדרת רשת VPC.
• ‫Cloud KMS עם Autokey – זמין רק באפשרות הבסיסית אבטחה משופרת.

אתם גם מפעילים את Security Command Center כדי לרכז את הדיווח על נקודות חולשה ואיומים.

בנוסף, מומלץ להגדיר אנשי קשר חיוניים כדי שצוותי האבטחה והתפעול יקבלו התראות קריטיות.

למה אנחנו ממליצים לבצע את המשימה הזו?

החלת מדיניות ארגונית מומלצת עוזרת להגביל פעולות של משתמשים שלא תואמות למצב האבטחה שלכם.

הפעלת Security Command Center עוזרת לכם ליצור מיקום מרכזי לניתוח נקודות חולשה ואיומים.

האכיפה והאוטומציה של Cloud KMS באמצעות Autokey עוזרות לכם להשתמש באופן עקבי במפתחות הצפנה בניהול הלקוח (CMEK) כדי להגן על המשאבים שלכם.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.

התחלת משימת האבטחה

1. נכנסים למסוף Google Cloud באמצעות משתמש שצוין בקטע מי מבצע את המשימה הזו.

2. בוחרים את הארגון מהתפריט הנפתח בחירה מתוך בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: אבטחה.

   מעבר אל "אבטחה"

4. בודקים את סקירת המשימה ולוחצים על התחלת האבטחה.

ריכוז הדיווח על נקודות חולשה ואיומים

כדי לרכז את שירותי הדיווח על נקודות חולשה ואיומים, צריך להפעיל את Security Command Center. כך תוכלו לשפר את רמת האבטחה ולצמצם את הסיכונים. מידע נוסף זמין במאמר סקירה כללית של Security Command Center.

1. בדף Google Cloud הגדרה: אבטחה, מוודאים שתיבת הסימון הפעלת Security Command Center: Standard מסומנת.

   הפעולה הזו מאפשרת להפעיל את התוכנית הרגילה בחינם. אפשר לשדרג לגרסת Premium במועד מאוחר יותר. מידע נוסף זמין במאמר בנושא מסלולי שירות של Security Command Center.

2. לוחצים על החלת הגדרות SCC.

החלת מדיניות ארגון מומלצת

מדיניות הארגון חלה ברמת הארגון ועוברת בירושה לתיקיות ולפרויקטים. במשימה הזו, בודקים ומיישמים את רשימת המדיניות המומלצת. אפשר לשנות את מדיניות הארגון בכל שלב. מידע נוסף זמין במאמר מבוא לשירות Organization Policy.

1. בודקים את רשימת ההמלצות למדיניות הארגון. אם לא רוצים להחיל מדיניות מומלצת, לוחצים על תיבת הסימון שלה כדי להסיר אותה.

   הסבר מפורט על כל כלל מדיניות של הארגון מופיע במאמר מגבלות שקשורות למדיניות הארגון.

2. לוחצים על אישור הגדרות מדיניות הארגון.

מדיניות הארגון שתבחרו תוחל כשתפרסו את ההגדרה במשימה מאוחרת יותר.

אכיפה ואוטומציה של מפתחות הצפנה בניהול הלקוח

‫Cloud KMS עם Autokey מאפשר למפתחים בארגון ליצור מפתחות הצפנה סימטריים כשנדרש להגן על משאבי Google Cloud. אם בחרתם באפשרות אבטחה משופרת, תוכלו להגדיר את Cloud KMS עם Autokey.

1. קוראים את התיאור של Cloud KMS עם Autokey, ואז לוחצים על כן (מומלץ) באפשרות שימוש ב-Cloud KMS עם Autokey והחלת מדיניות ארגונית.
2. לוחצים על אישור ההגדרה של ניהול המפתחות.

ההגדרות הבאות מופעלות כשמפעילים את ההגדרות במשימה מאוחרת יותר:

• מגדירים פרויקט Autokey בכל תיקיית סביבה בהיררכיה.
• מפעילים את Cloud KMS עם Autokey בתיקיות הסביבה.
• דרישה לשימוש במפתחות הצפנה בניהול הלקוח (CMEK) למשאבים שנוצרו בכל תיקיית סביבה.
• להגביל כל תיקייה כך שיוכלו להשתמש בה רק במפתחות Cloud KMS בפרויקט Autokey של התיקייה.

הגדרת אנשי קשר לקבלת התראות בארגון

אתם יכולים להגדיר אנשי קשר לקבלת התראות ארגוניות כדי לוודא שהתראות אבטחה ותפעול יגיעו לצוות הנכון.

כדי שהצוותים המתאימים יקבלו את ההתראות הקריטיות האלה בהקדם, צריך להגדיר אנשי קשר בהתאמה אישית באמצעות Essential Contacts.

המאמרים הבאים

רישום ביומן ומעקב באופן מרוכז.

במשימה הזו, תקבעו את ההגדרות הבאות:

• ריכוז יומנים במקום אחד כדי שתוכלו לנתח אותם ולקבל מהם תובנות לגבי כל הפרויקטים בארגון.
• מעקב מרכזי שעוזר לכם להמחיש את המדדים בכל הפרויקטים שנוצרו בהגדרה הזו.

למי המשימה מיועדת?

כדי להגדיר רישום ביומן ומעקב, צריך אחד מהדברים הבאים:

• התפקידים Logging Admin (אדמין של רישום ביומן) (roles/logging.admin) ו-Monitoring Admin (אדמין של מעקב) (roles/monitoring.admin).
• חברות באחת מהקבוצות הבאות שיצרתם במשימה משתמשים וקבוצות:
  • gcp-organization-admins@YOUR_DOMAIN
  • gcp-security-admins@YOUR_DOMAIN
  • gcp-logging-monitoring-admins@YOUR_DOMAIN

מה כוללת המשימה הזו?

במשימה הזו תבצעו את הפעולות הבאות:

• ארגון מרכזי של יומנים שנוצרו בפרויקטים בארגון, כדי לעזור באבטחה, בביקורת ובתאימות.
• הגדרת פרויקט מרכזי למעקב כדי שתהיה לו גישה למדדי מעקב בכל הפרויקטים שיצרתם בהגדרה הזו.

למה אנחנו ממליצים לבצע את המשימה הזו?

אחסון ושמירה של יומנים מפשטים את הניתוח ושומרים על נתיב הביקורת. ניטור מרכזי מאפשר לכם לראות את המדדים במקום אחד.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.
• יוצרים או מקשרים חשבון לחיוב במשימה חיוב.
• מגדירים את ההיררכיה ומקצים גישה במשימה היררכיה וגישה.

ארגון רישום ביומן באופן מרכזי

בעזרת Cloud Logging תוכלו לאחסן, לחפש, לנתח ולנטר את נתוני היומן והאירועים מ- Google Cloud, וגם לקבל התראות לגביהם. אפשר גם לאסוף ולעבד יומנים מהאפליקציות, מהמשאבים המקומיים ומעננים אחרים. מומלץ להשתמש ב-Cloud Logging כדי לאחד את היומנים לקטגוריה ביומן אחת.

למידע נוסף, קראו את המאמרים הבאים:

• סקירה כללית זמינה במאמר סקירה כללית על ניתוב ואחסון.
• מידע על רישום ביומן של משאבים מקומיים זמין במאמר רישום ביומן של משאבים מקומיים באמצעות BindPlane.
• הוראות לשינוי מסנן היומן אחרי פריסת ההגדרה מופיעות במאמר בנושא מסנני הכללה.

כדי לאחסן את נתוני היומן בקטגוריית יומנים מרכזית, מבצעים את הפעולות הבאות:

1. נכנסים למסוף Google Cloud כמשתמש שצוין בקטע מי מבצע את המשימה הזו.

2. בוחרים את הארגון מהרשימה הנפתחת Select from (בחירה מתוך) בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: רישום ביומן ומעקב באופן מרוכז.

   מעבר לרישום ביומן ולמעקב באופן מרוכז

4. מעיינים בסקירת המשימה ולוחצים על התחלת רישום ביומן ומעקב באופן מרוכז.

5. בודקים את פרטי המשימה.

6. כדי להעביר יומנים לקטגוריית יומנים מרכזית, מוודאים שהאפשרות Store organization-level audit logs in a logs bucket (אחסון יומני ביקורת ברמת הארגון בקטגוריית יומנים) מסומנת.

7. מרחיבים את האפשרות Route logs to a Logging log bucket (ניתוב יומנים לקטגוריה ביומן ב-Logging) ומבצעים את הפעולות הבאות:

   1. בשדה Log bucket name, מזינים שם לקטגוריית היומן המרכזית.

   2. ברשימה Log bucket region, בוחרים את האזור שבו מאוחסנים נתוני קטגוריה ביומן.

      מידע נוסף זמין במאמר מיקומים של קטגוריות ביומן.

   3. כברירת מחדל, היומנים מאוחסנים למשך 30 ימים. מומלץ לחברות גדולות לאחסן את היומנים למשך 365 ימים. כדי להתאים אישית את תקופת השמירה, מזינים את מספר הימים בשדה תקופת השמירה.

      שמירת יומנים למשך יותר מ-30 יום כרוכה בעלות שמירה. מידע נוסף זמין במאמר סיכום התמחור של Cloud Logging.

ייצוא יומנים מחוץ ל- Google Cloud

אם רוצים לייצא יומנים ליעד מחוץ ל- Google Cloud, אפשר לייצא באמצעות Pub/Sub. לדוגמה, אם אתם משתמשים בכמה ספקי שירותי ענן, יכול להיות שתחליטו לייצא נתוני יומן מכל ספק שירותי ענן לכלי של צד שלישי.

אתם יכולים לסנן את היומנים שאתם מייצאים כדי להתאים אותם לצרכים ולדרישות הייחודיים שלכם. לדוגמה, אתם יכולים להגביל את סוגי היומנים שאתם מייצאים כדי לשלוט בעלויות או כדי לצמצם את הרעשים בנתונים.

מידע נוסף על ייצוא יומנים:

• סקירה כללית, במאמר מה זה Pub/Sub?
• למידע על מחירים אפשר לעיין במקורות הבאים:
  • מחירון Pub/Sub
  • שיטות מומלצות לשימוש ביומני ביקורת של Cloud: תמחור.
• מידע על סטרימינג אל Splunk זמין במאמר סטרימינג של יומנים מ- Google Cloud אל Splunk.

כדי לייצא יומנים:

1. לוחצים על הזרמת היומנים לאפליקציות אחרות, למאגרים אחרים או לצדדים שלישיים.

2. בשדה Pub/Sub topic ID (מזהה נושא Pub/Sub), מזינים מזהה לנושא שמכיל את היומנים המיוצאים. למידע על הרשמה לנושא, ראו מינויי Pull.

3. כדי לבחור יומנים לייצוא:

   1. מידע על כל סוג יומן זמין במאמר הסבר על יומני ביקורת בענן.

   2. כדי למנוע ייצוא של אחד מהיומנים המומלצים הבאים, לוחצים על רשימת מסנני ההכללה ומבטלים את הסימון של התיבה לצד היומן:

      • יומני ביקורת של Cloud: פעילות אדמין: קריאות ל-API או פעולות שמשנות את ההגדרות או את המטא-נתונים של משאב.
      • יומני הביקורת של Cloud: System Event: Google Cloud פעולות שמשנות את הגדרות המשאבים.
      • Access Transparency: פעולות שהצוות של Google מבצע כשהוא ניגש לתוכן של לקוחות.

   3. בוחרים את היומנים הנוספים הבאים כדי לייצא אותם:

      • יומני ביקורת של Cloud: Data Access: קריאות ל-API שקוראות את ההגדרות או את המטא-נתונים של משאבים, וקריאות ל-API שמבוצעות על ידי משתמשים ויוצרות, משנות או קוראות נתוני משאבים שסופקו על ידי משתמשים.
      • יומני ביקורת של Cloud: Policy Denied: Google Cloud דחיות של גישה לשירותים למשתמשים או לחשבונות שירות, על סמך הפרות של מדיניות האבטחה.

   4. היומן שתבחרו בשלב הזה ייוצא רק אם הוא מופעל בפרויקטים או במשאבים שלכם. במסנני הכללה מוסבר איך לשנות את מסנן היומן של הפרויקטים והמשאבים אחרי פריסת ההגדרה.

   5. לוחצים על OK.

4. לוחצים על המשך למעקב.

הגדרה של מעקב מרכזי

בעזרת מעקב מרכזי תוכלו לנתח את תקינות המערכת, הביצועים והאבטחה של כמה פרויקטים. במשימה הזו, מוסיפים לפרויקט היקף את הפרויקטים שיצרתם במהלך המשימה היררכיה וגישה. אחרי זה תוכלו לעקוב אחרי הפרויקטים האלה מהפרויקט המרכזי. אחרי שתשלימו את הגדרת הענן, תוכלו להגדיר פרויקטים אחרים למעקב על ידי פרויקט ההיקף.

מידע נוסף זמין במאמר סקירה כללית על היקף המדדים.

כדי להגדיר ניטור מרכזי:

1. כדי להגדיר פרויקטים שנוצרו במהלך Google Cloud ההגדרה של מעקב מרכזי, מוודאים שהאפשרות שימוש במעקב מרכזי מסומנת.

   פרויקטים שיצרתם במהלך Google Cloud ההגדרה מתווספים להיקף המדדים של פרויקט ההיקף שמופיע ברשימה.

2. ‫Cloud Monitoring כולל מכסה חודשית בחינם. מידע נוסף מופיע במאמר סיכום התמחור של Cloud Monitoring.

3. הוראות להגדרת פרויקטים שיוצרים מחוץ ל Google Cloud הגדרה מפורטות במאמרים הבאים:

   • הגדרת היקף המדדים בפרויקט.
   • מגבלות על פרויקטים במעקב.

השלמת ההגדרה

כדי להשלים את המשימה של רישום ביומן ומעקב, מבצעים את הפעולות הבאות:

1. לוחצים על אישור ההגדרה.

2. בודקים את פרטי ההגדרה של רישום ביומן ומעקב. ההגדרה לא נפרסת עד שפורסים את ההגדרות במשימה מאוחרת יותר.

המאמרים הבאים

הגדרת ההגדרות הראשוניות לרשתות.

במשימה הזו תבחרו את ההגדרות הראשוניות לרשתות, שאפשר לשנות בהתאם לצרכים.

ארכיטקטורה של ענן וירטואלי פרטי (VPC)

רשת ענן וירטואלי פרטי (VPC) היא גרסה וירטואלית של רשת פיזית שמוטמעת בתוך רשת הייצור של Google. רשת VPC היא משאב גלובלי שמורכב מתת-רשתות אזוריות.

רשתות VPC מספקות יכולות רשת למשאבים שלכם Google Cloud , כמו מכונות וירטואליות של Compute Engine, קונטיינרים של GKE ומכונות עם סביבה גמישה של App Engine.

VPC משותף מחבר משאבים מכמה פרויקטים לרשת VPC משותפת, כך שהם יכולים לתקשר ביניהם באמצעות כתובות ה-IP הפנימיות של הרשת. בתרשים הבא מוצגת הארכיטקטורה הבסיסית של רשת VPC משותפת עם פרויקטים של שירותים שמצורפים אליה.

כשמשתמשים ב-VPC משותף, מגדירים פרויקט מארח ומצרפים אליו פרויקט שירות אחד או יותר. רשתות של ענן וירטואלי פרטי (VPC) בפרויקט המארח נקראות רשתות VPC משותפות.

בתרשים לדוגמה יש פרויקטים מארחים של סביבת ייצור וסביבה ללא ייצור, וכל אחד מהם מכיל רשת VPC משותפת. אתם יכולים להשתמש בפרויקט מארח כדי לנהל באופן מרכזי את הדברים הבאים:

• מסלולים
• חומות אש
• חיבורי VPN
• תת-רשתות

פרויקט שירות הוא כל פרויקט שמצורף לפרויקט מארח. אפשר לשתף רשתות משנה, כולל טווחים משניים, בין פרויקטים מארחים לפרויקטים של שירותים.

בארכיטקטורה הזו, כל רשת VPC משותפת מכילה תת-רשתות ציבוריות ופרטיות:

• אפשר להשתמש בתת-הרשת הציבורית למכונות שמיועדות לאינטרנט כדי לספק קישוריות חיצונית.
• אפשר להשתמש בתת-הרשת הפרטית למכונות שמיועדות לשימוש פנימי בלבד – מבלי להקצות לה כתובות IP ציבוריות.

במשימה הזו תיצרו הגדרות ראשוניות לרשת על סמך התרשים לדוגמה.

למי המשימה מיועדת?

כדי לבצע את המשימה הזו, צריך את אחד מהדברים הבאים:

• התפקיד roles/compute.networkAdmin.
• הכללה בקבוצה gcp-network-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

מה כוללת המשימה הזו?

יצירת הגדרות ראשוניות לרשת, כולל:

• יוצרים כמה פרויקטים של מארחים כדי לשקף את סביבות הפיתוח.
• יוצרים רשת VPC משותפת בכל פרויקט מארח כדי לאפשר למשאבים שונים לשתף את אותה רשת.
• יוצרים תת-רשתות נפרדות בכל רשת VPC משותפת כדי לספק גישה לרשת לפרויקטים של שירותים.

למה אנחנו ממליצים לבצע את המשימה הזו?

צוותים שונים יכולים להשתמש ב-VPC משותף כדי להתחבר לרשת VPC משותפת שמנוהלת באופן מרכזי.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.
• יוצרים או מקשרים חשבון לחיוב במשימה חיוב.
• מגדירים את ההיררכיה ומקצים גישה במשימה היררכיה וגישה.

הגדרת ארכיטקטורת הרשת

יוצרים את הגדרות הרשת הראשוניות עם שני פרויקטים של מארחים כדי לפלח עומסי עבודה של סביבת ייצור ועומסי עבודה שאינם של סביבת ייצור. כל פרויקט מארח מכיל רשת VPC משותפת, שיכולה לשמש כמה פרויקטים של שירותים. מגדירים את פרטי הרשת ואז פורסים קובץ הגדרות במשימה מאוחרת יותר.

כדי להגדיר את הרשת הראשונית:

1. נכנסים ל Google Cloud מסוף כמשתמשים בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

2. בוחרים את הארגון מהרשימה הנפתחת Select an organization בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: רשת.

   מעבר אל 'רשתות'

4. בודקים את ארכיטקטורת הרשת שמוגדרת כברירת מחדל.

5. כדי לערוך את שם הרשת:

   1. לוחצים על more_vert פעולות.
   2. לוחצים על עריכת שם הרשת.
   3. בשדה Network name, מזינים אותיות קטנות, מספרים או מקפים. שם הרשת לא יכול להיות ארוך מ-25 תווים.
   4. לוחצים על Save.

שינוי פרטי חומת האש

כללי חומת האש שמוגדרים כברירת מחדל בפרויקט המארח מבוססים על שיטות מומלצות. אתם יכולים להשבית כלל חומת אש אחד או יותר מברירת המחדל. מידע כללי על כללים של חומת אש זמין במאמר כללים של חומת אש ב-VPC.

כדי לשנות את הגדרות חומת האש:

1. לוחצים על more_vert פעולות.

2. בוחרים באפשרות עריכת כללי חומת האש.

3. למידע מפורט על כל כלל ברירת מחדל של חומת האש, אפשר לעיין במאמר בנושא כללים שמולאו מראש ברשת ברירת המחדל.

4. כדי להשבית כלל חומת אש, מבטלים את הסימון בתיבה המתאימה.

5. כדי להשבית את ניהול כללי חומת האש, לוחצים על מושבת.

   כברירת מחדל, התעבורה אל מכונות Compute Engine וממכונות Compute Engine נרשמת לצורכי ביקורת. התהליך הזה כרוך בעלויות. מידע נוסף זמין במאמר סקירה כללית על רישום ביומן של כללים של חומת אש ב-VPC.

6. לוחצים על Save.

שינוי פרטי רשת המשנה

כל רשת VPC מכילה לפחות תת-רשת אחת, שהיא משאב אזורי עם טווח כתובות IP משויך. בהגדרה רב-אזורית, צריכים להיות לפחות שני תתי-רשתות עם טווחי כתובות IP שלא חופפים.

מידע נוסף זמין במאמר בנושא רשתות משנה.

כל רשת משנה מוגדרת באמצעות שיטות מומלצות. כדי להתאים אישית כל רשת משנה, מבצעים את הפעולות הבאות:

1. לוחצים על more_vert פעולות.
2. בוחרים באפשרות עריכת רשתות משנה.
3. בשדה Name, מזינים אותיות קטנות, מספרים או מקפים. שם רשת המשנה לא יכול להכיל יותר מ-25 תווים.

4. בתפריט הנפתח Region, בוחרים אזור שקרוב לנקודת השירות.

   מומלץ להשתמש באזור אחר לכל תת-רשת. אי אפשר לשנות את האזור אחרי פריסת ההגדרה. מידע על בחירת אזור זמין במאמר משאבים אזוריים.

5. בשדה טווח כתובות IP מזינים טווח בסימון CIDR – לדוגמה, 10.0.0.0/24.

   הטווח שמזינים לא יכול לחפוף לרשתות משנה אחרות ברשת הזו. מידע על טווחים תקינים זמין במאמר טווחים של תת-רשתות IPv4.

6. חוזרים על השלבים האלה עבור רשת המשנה 2.

7. כדי להגדיר עוד תת-רשתות ברשת הזו, לוחצים על הוספת תת-רשת וחוזרים על השלבים האלה.

8. לוחצים על Save.

רשתות המשנה מוגדרות באופן אוטומטי בהתאם לשיטות המומלצות. אם רוצים לשנות את ההגדרה, בדף Google Cloud הגדרה: רשתות VPC, מבצעים את הפעולות הבאות:

1. כדי להשבית את יומני הזרימה של VPC, בעמודה Flow logs (יומני זרימה), בוחרים באפשרות Off (מושבת).

   כשיומני זרימת התנועה מופעלים, כל רשת משנה מתעדת את זרימות התנועה ברשת, ואפשר לנתח אותן לצורך אבטחה, אופטימיזציה של ההוצאות ומטרות אחרות. מידע נוסף זמין במאמר שימוש ביומני זרימה של VPC.

   יש עלויות לשימוש ב-VPC Flow Logs. מידע נוסף זמין במאמר בנושא תמחור של ענן וירטואלי פרטי (VPC).

2. כדי להשבית את הגישה הפרטית ל-Google, בעמודה גישה פרטית, בוחרים באפשרות מושבתת.

   כשהגישה הפרטית ל-Google מופעלת, מכונות וירטואליות (VM) שאין להן כתובות IP חיצוניות יכולות לגשת לשירותים ולממשקי ה-API של Google. מידע נוסף זמין במאמר גישה פרטית ל-Google.

3. כדי להפעיל את Cloud NAT, בוחרים באפשרות On בעמודה Cloud NAT.

   כש-Cloud NAT מופעל, משאבים מסוימים יכולים ליצור חיבורים יוצאים לאינטרנט. סקירה כללית על Cloud NAT

   יש עלויות לשימוש ב-Cloud NAT. מידע נוסף זמין במאמר בנושא תמחור של ענן וירטואלי פרטי.

4. לוחצים על המשך לקישור פרויקטים של שירותים.

קישור פרויקטי שירות לפרויקטים מארחים

פרויקט שירות הוא כל פרויקט שצורף לפרויקט מארח. החיבור הזה מאפשר לפרויקט השירות להשתתף ב-VPC משותף. כל פרויקט שירות יכול להיות מופעל ומנוהל על ידי מחלקות או צוותים שונים, כדי ליצור הפרדה בין תחומי האחריות.

מידע נוסף על חיבור של כמה פרויקטים לרשת VPC משותפת זמין במאמר סקירה כללית על VPC משותף.

כדי לקשר פרויקטים של שירות לפרויקטים מארחים ולהשלים את ההגדרה:

1. לכל רשת משנה בטבלה Shared VPC networks, בוחרים פרויקט שירות לחיבור. כדי לעשות את זה, בוחרים פרויקט מהתפריט הנפתח בחירת פרויקט בעמודה פרויקט שירות.

   אפשר לקשר פרויקט שירות לכמה רשתות משנה.

2. לוחצים על המשך לבדיקה.

3. בודקים את ההגדרות ומבצעים שינויים.

   אפשר לערוך את קובץ ההגדרות עד לפריסה שלו.

4. לוחצים על אישור הגדרת הטיוטה. הגדרות הרשת יתווספו לקובץ התצורה.

   הרשת לא נפרסת עד שפורסים את קובץ ההגדרות במשימה מאוחרת יותר.

המאמרים הבאים

הגדרת קישוריות היברידית, שתעזור לכם לחבר שרתים מקומיים או ספקים אחרים של שירותי ענן אל Google Cloud.

במשימה הזו תקימו חיבורים בין רשתות העמיתים (בארגון או בענן אחר) לבין הרשתות שלכם, כמו בתרשים הבא. Google Cloud

התהליך הזה יוצר שער HA VPN, שהוא פתרון בזמינות גבוהה (HA) שאפשר ליצור במהירות כדי להעביר נתונים דרך האינטרנט הציבורי.

אחרי שפורסים את ההגדרה של Google Cloud , מומלץ ליצור חיבור חזק יותר באמצעות Cloud Interconnect.

מידע נוסף על חיבורים בין רשתות עמיתים לבין Google Cloud

• סקירה כללית על Cloud VPN
• בחירת מוצר של Network Connectivity

למי המשימה מיועדת?

התפקיד שלכם בארגון צריך להיות אדמין ארגוני (roles/resourcemanager.organizationAdmin).

מה כוללת המשימה הזו?

יצירת חיבורים עם זמן אחזור קצר וזמינות גבוהה בין רשתות ה-VPC לבין הרשתות המקומיות או רשתות ענן אחרות. מגדירים את הרכיבים הבאים:

• Google Cloud שער HA VPN: משאב אזורי עם שני ממשקים, שלכל אחד מהם יש כתובת IP משלו. מציינים את סוג ערימת ה-IP, שקובע אם החיבור תומך בתנועת IPv6. מידע נוסף זמין במאמר בנושא HA VPN.
• שער VPN של רשת שכנה: השער ברשת השכנה שאליו מתחבר שער ה-HA VPN. Google Cloudמזינים כתובות IP חיצוניות ששער העמיתים משתמש בהן כדי להתחבר ל- Google Cloud. מידע נוסף זמין במאמר בנושא הגדרת שער VPN של עמית.
• ‫Cloud Router: משתמש בפרוטוקול Border Gateway Protocol ‏ (BGP) כדי להחליף מסלולים באופן דינמי בין ה-VPC לבין רשתות שכנות. אתם מקצים מספר מערכת אוטונומית (ASN) כמזהה ל-Cloud Router, ומציינים את ה-ASN שבו משתמש נתב העמית. מידע נוסף זמין במאמר יצירת Cloud Router לחיבור רשת VPC לרשת שכנה.
• מנהרות VPN: מחברים את שער Google Cloud לשער השכן. מציינים את פרוטוקול Internet Key Exchange ‏ (IKE) שבו יש להשתמש כדי ליצור את המנהרה. אתם יכולים להזין מפתח IKE שיצרתם בעבר או ליצור מפתח חדש ולהעתיק אותו. מידע נוסף זמין במאמר בנושא הגדרת IKE.

למה אנחנו ממליצים לבצע את המשימה הזו?

שער HA VPN מספק חיבור מאובטח עם זמינות גבוהה בין התשתית הקיימת לבין Google Cloud.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.
• יוצרים או מקשרים חשבון לחיוב במשימה חיוב.
• מגדירים את ההיררכיה ומקצים גישה במשימה היררכיה וגישה.
• מגדירים את הרשת במשימה VPC networks.

צריך לאסוף את הפרטים הבאים ממנהל הרשת שלכם:

• שם שער ה-VPN השכן: השער שאליו מתחבר Cloud VPN.
• כתובת ה-IP של ממשק העמית 0: כתובת IP חיצונית בשער של רשת העמיתים.
• ‫Peer interface IP address 1 (כתובת IP של ממשק עמית 1): כתובת חיצונית שנייה, או שאפשר להשתמש מחדש בכתובת IP 0 אם לרשת העמית יש רק כתובת IP חיצונית אחת.
• ‫Peer Autonomous System Number (ASN): מזהה ייחודי שמוקצה לנתב של רשת עמיתים.
• ‫Cloud Router ASN: מזהה ייחודי שמוקצה ל-Cloud Router.
• מפתחות Internet Key Exchange‏ (IKE): מפתחות שמשמשים ליצירת שתי מנהרות VPN עם שער ה-VPN של העמית. אם אין לכם מפתחות קיימים, תוכלו ליצור אותם במהלך ההגדרה הזו ואז להחיל אותם על שער העמיתים.

הגדרת החיבורים

כדי לחבר את רשתות ה-VPC לרשתות השכנות, מבצעים את הפעולות הבאות:

1. נכנסים לחשבון בתור משתמש עם התפקיד Organization Administrator.

2. בוחרים את הארגון מהרשימה הנפתחת Select from (בחירה מתוך) בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: קישוריות היברידית.

   מעבר אל Hybrid connectivity

4. כדי לבדוק את פרטי המשימה:

   1. בודקים את סקירת המשימה ולוחצים על התחלת קישור היברידי.

   2. לוחצים על כל כרטיסייה כדי לקבל מידע על קישוריות היברידית, ואז לוחצים על המשך.

   3. קוראים את ההסבר על כל שלב במשימה ולוחצים על המשך.

   4. בודקים את פרטי ההגדרה של שער העמיתים שצריך לאסוף ולוחצים על המשך.

5. באזור Hybrid connections, מזהים את רשתות ה-VPC שרוצים לחבר, בהתאם לצרכים העסקיים.

6. בשורה של הרשת הראשונה שבחרתם, לוחצים על הגדרה.

7. באזור Configuration overview, קוראים את התיאור ולוחצים על Next.

8. בקטע Google Cloud שער HA VPN:

   1. בשדה Cloud VPN gateway name (שם שער Cloud VPN), מזינים עד 60 תווים באותיות קטנות, מספרים ומקפים.

   2. באזור VPN tunnel inner IP stack type, בוחרים באחד מסוגי ה-stack הבאים:

      • ‫IPv4 ו-IPv6 (מומלץ): יכול לתמוך בתנועה של IPv4 ו-IPv6. מומלץ להשתמש בהגדרה הזו אם אתם מתכננים לאפשר תנועת IPv6 במנהרה.
      • ‫IPv4: יכול לתמוך רק בתנועת נתונים של IPv4.

      סוג ה-stack קובע את סוג התנועה שמותרת במנהרה בין רשת ה-VPC לרשת השכנה. אי אפשר לשנות את סוג המערך אחרי שיוצרים את השער. למידע נוסף, אפשר לעיין במאמרים הבאים:

      • תמיכה ב-IPv6
      • סוגי מחסניות וסשנים של BGP

   3. לוחצים על הבא.

9. בקטע Peer VPN gateway (שער VPN של עמית):

   1. בשדה שם שער ה-VPN של הרשת העמיתה, מזינים את השם שקיבלתם ממנהל הרשת העמיתה. אפשר להזין עד 60 תווים באמצעות אותיות קטנות, מספרים ומקפים.

   2. בשדה Peer interface IP address 0 (כתובת ה-IP של ממשק ה-Peer מספר 0), מזינים את כתובת ה-IP החיצונית של ממשק שער ה-Peer שסופקה על ידי מנהל רשת ה-Peer.

   3. בשדה Peer interface IP address 1, מבצעים אחת מהפעולות הבאות:

      • אם לשער העמית יש ממשק שני, מזינים את כתובת ה-IP שלו.
      • אם לשער העמית יש רק ממשק אחד, מזינים את אותה כתובת שהזנתם בכתובת ה-IP של ממשק העמית 0.

      מידע נוסף זמין במאמר בנושא הגדרת שער VPN של עמית.

   4. לוחצים על הבא.

10. באזור Cloud Router:

    1. בשדה Cloud router ASN (מספר מערכת אוטונומית של Cloud Router), מזינים את מספר המערכת האוטונומית שרוצים להקצות ל-Cloud Router, כפי שסופק על ידי האדמין של רשת העמיתים. מידע נוסף זמין במאמר יצירת נתב Cloud.

    2. בשדה מספר מערכת אוטונומית של נתב עמית, מזינים את מספר המערכת האוטונומית של נתב הרשת העמיתה, כפי שסופק על ידי האדמין של הרשת העמיתה.

11. באזור VPN tunnel 0:

    1. בשדה Tunnel 0 name (שם מנהרה 0), מזינים עד 60 תווים באמצעות אותיות קטנות, מספרים ומקפים.

    2. באזור IKE version (גרסת IKE), בוחרים באחת מהאפשרויות הבאות:

       • ‫IKEv2 – מומלץ: תומך בתנועת נתונים ב-IPv6.
       • ‫IKEv1: משתמשים בהגדרה הזו אם לא מתכננים לאפשר תנועת IPv6 במנהרה.

       מידע רקע זמין במאמר הגדרת מנהרות VPN.

    3. בשדה מפתח משותף מראש של IKE, מזינים את המפתח שבו משתמשים בהגדרות של שער העמיתים, כפי שסופק על ידי מנהל רשת העמיתים. אם אין לכם מפתח קיים, אתם יכולים ללחוץ על Generate and copy (יצירה והעתקה) ואז לתת את המפתח לאדמין של רשת העמיתים.

12. באזור VPN tunnel 1 (מנהרת VPN 1), חוזרים על השלב הקודם כדי להחיל את ההגדרות על המנהרה השנייה. אתם מגדירים את המנהרה הזו ליתירות ולתפוקה נוספת.

13. לוחצים על Save.

14. חוזרים על השלבים האלה לכל רשת VPC אחרת שרוצים לחבר לרשת העמיתים.

אחרי הפריסה

אחרי שפורסים את הגדרות Google Cloud ההגדרה, צריך לבצע את השלבים הבאים כדי לוודא שהחיבור לרשת הושלם:

1. כדאי לעבוד עם מנהל הרשת שלכם כדי להתאים את הרשת להגדרות הקישוריות ההיברידית. אחרי הפריסה, תקבלו הוראות ספציפיות לגבי רשת העמיתים שלכם, כולל:

   • הגדרות המנהרה.
   • הגדרות חומת אש.
   • הגדרות IKE.

2. מאמתים את החיבורים לרשת שיצרתם. לדוגמה, אפשר להשתמש ב-Network Intelligence Center כדי לבדוק את הקישוריות בין רשתות. מידע נוסף זמין במאמר סקירה כללית על בדיקות קישוריות.

3. אם העסק שלכם זקוק לחיבור חזק יותר, תוכלו להשתמש ב-Cloud Interconnect. למידע נוסף, קראו את המאמר בחירת מוצרים של Network Connectivity.

המאמרים הבאים

פורסים את ההגדרה, שכוללת הגדרות של ההיררכיה והגישה, הרישום ביומן, הרשת והקישוריות ההיברידית.

במהלך השלמת תהליך ההגדרה של Google Cloud , ההגדרות שלכם מהמשימות הבאות נאספות לקובצי הגדרות של Terraform:

• היררכיה וגישה
• אבטחה
• רישום ביומן ומעקב באופן מרוכז
• רשתות VPC
• קישוריות היברידית

כדי להחיל את ההגדרות, בודקים את הבחירות ובוחרים שיטת פריסה.

למי המשימה מיועדת?

אדם בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

מה כוללת המשימה הזו?

פורסים את קובצי ההגדרות כדי להחיל את הגדרות ההתקנה.

למה אנחנו ממליצים לבצע את המשימה הזו?

כדי להחיל את ההגדרות שבחרתם, צריך לפרוס קובצי הגדרה.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.
• יוצרים או מקשרים חשבון לחיוב במשימה חיוב.
• מגדירים את ההיררכיה ומקצים גישה במשימה היררכיה וגישה.

מומלץ לבצע את המשימות הבאות:

• כדי לשפר את מצב האבטחה, אפשר להגדיר שירותים ללא עלות במשימה Security.
• אפשר לאחד את נתוני היומן במיקום אחד ולעקוב אחרי כל הפרויקטים מפרויקט אחד באמצעות המשימה Central logging and monitoring.
• מגדירים את הרשת הראשונית במשימה VPC networks (רשתות VPC).
• חיבור רשתות עמיתות אל Google Cloud במשימה קישוריות היברידית.

בדיקת פרטי ההגדרה

כדי לוודא שהגדרתם את כל ההגדרות, צריך לבצע את הפעולות הבאות:

1. נכנסים ל Google Cloud מסוף כמשתמשים בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

2. בוחרים את הארגון מהרשימה הנפתחת Select from (בחירה מתוך) בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: פריסה או הורדה.

   מעבר לפריסה או להורדה

4. בודקים את הגדרות התצורה שבחרתם. לוחצים על כל אחת מהכרטיסיות הבאות ובודקים את ההגדרות:

   • היררכיית משאבים וגישה
   • אבטחה
   • רישום ביומן ומעקב
   • רשתות VPC
   • קישוריות היברידית

פריסת ההגדרה

אחרי שבודקים את פרטי ההגדרה, בוחרים באחת מהאפשרויות הבאות:

• פריסה ישירות מהמסוף: משתמשים באפשרות הזו אם אין לכם תהליך עבודה קיים לפריסת Terraform, ואתם רוצים שיטת פריסה פשוטה. אפשר להשתמש בשיטה הזו רק פעם אחת.

• הורדה ופריסה של קובץ Terraform: משתמשים באפשרות הזו אם רוצים להפוך את ניהול המשאבים לאוטומטי באמצעות תהליך עבודה של פריסת Terraform. אפשר להוריד ולפרוס באמצעות השיטה הזו כמה פעמים.

מבצעים פריסה באמצעות אחת מהאפשרויות הבאות:

המאמרים הבאים

בוחרים תוכנית תמיכה.

במשימה הזו אתם בוחרים חבילת תמיכה שמתאימה לצרכים העסקיים שלכם.

למי המשימה מיועדת?

אדם בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

מה כוללת המשימה הזו?

בחירה בחבילת תמיכה בהתאם לצורכי החברה.

למה אנחנו ממליצים לבצע את המשימה הזו?

חבילה של תמיכת Premium מעניקה תמיכה קריטית לעסקים כדי לפתור בעיות במהירות בעזרת המומחים ב- Google Cloud.

בחירת אפשרות תמיכה

אתם מקבלים באופן אוטומטי תמיכת Basic בחינם, שכוללת גישה למשאבים הבאים:

• מסמכי תיעוד
• תמיכה מהקהילה וקבוצות דיון
• תמיכה בבעיות חיוב

אנחנו ממליצים ללקוחות ארגוניים להירשם לתמיכת Premium, שכוללת תמיכה טכנית אישית ממהנדסי התמיכה של Google. כדי להשוות בין חבילות התמיכה, אפשר לעיין במאמר בנושא Google Cloud שירות לקוחות.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.

הפעלת התמיכה

מזהים ובוחרים אפשרות תמיכה.

1. בודקים ובוחרים תוכנית תמיכה. מידע נוסף זמין במאמר בנושא Google Cloud Customer Care.

2. נכנסים למסוף Google Cloud באמצעות משתמש מהקבוצה gcp-organization-admins@<your-domain>.com שיצרתם במשימה משתמשים וקבוצות.

3. עוברים אל Google Cloud הגדרה: תמיכה.

   מעבר לדף Support

4. בודקים את פרטי המשימה ולוחצים על View support offerings (הצגת אפשרויות התמיכה) כדי לבחור אפשרות תמיכה.

5. אחרי שמגדירים את אפשרות התמיכה, חוזרים לדף Google Cloud הגדרה: תמיכה ולוחצים על סימון המשימה כהושלמה.

המאמרים הבאים

אחרי שמשלימים את Google Cloud ההגדרה, אפשר להרחיב את ההגדרה הראשונית, לפרוס פתרונות מוכנים מראש ולהעביר את תהליכי העבודה הקיימים. מידע נוסף זמין במאמר הרחבת ההגדרה הראשונית והתחלת הפיתוח.