תהליך מודרך להגדרה של Google Cloud

משאב ארגון ב- Google Cloud מייצג את העסק שלכם, והוא משמש כצומת ברמה העליונה של ההיררכיה. כדי ליצור את הארגון, מגדירים שירות זהויות של Google ומקשרים אותו לדומיין. כשמשלימים את התהליך הזה, נוצר באופן אוטומטי משאב ארגוני.

סקירה כללית של משאב הארגון

• ניהול משאבים בארגון.
• שיטות מומלצות לתכנון חשבונות וארגונים

למי המשימה מיועדת?

שני האדמינים הבאים יכולים לבצע את המשימה הזו:

• אדמין לניהול זהויות שאחראי להקצאת גישה מבוססת-תפקיד. אתם מקצים את המשתמש הזה כסופר-אדמין ב-Cloud Identity. מידע נוסף על משתמש סופר-אדמין זמין במאמר בנושא תפקידי אדמין מוגדרים מראש.

• אדמין בדומיין עם גישה למארח הדומיין של החברה. האדם הזה עורך את הגדרות הדומיין, כמו הגדרות DNS, כחלק מתהליך אימות הדומיין.

מה כוללת המשימה הזו?

• אם עדיין לא עשיתם זאת, צריך להגדיר את Cloud Identity, שבו יוצרים חשבון משתמש מנוהל למשתמש עם הרשאת סופר-אדמין.
• מקשרים את Cloud Identity לדומיין (למשל, example.com).
• אימות הדומיין שלך. במהלך התהליך הזה נוצר הצומת הבסיסי (root) של היררכיית המשאבים, שנקרא משאב הארגון.

למה אנחנו ממליצים לבצע את המשימה הזו?

צריך להגדיר את ההגדרות הבאות כחלק מה Google Cloud בסיס:

• שירות זהויות של Google לניהול מרכזי של זהויות.
• משאב ארגוני להגדרת הבסיס של ההיררכיה ובקרת הגישה.

אפשרויות של שירותי הזהויות של Google

אתם משתמשים באחד משירותי הזהויות של Google או בשניהם כדי לנהל את פרטי הכניסה של משתמשי Google Cloud :

• ‫Cloud Identity: ניהול מרכזי של משתמשים וקבוצות. אפשר לאחד זהויות בין Google לבין ספקי זהויות אחרים. מידע נוסף זמין במאמר סקירה כללית על Cloud Identity.
• ‫Google Workspace: ניהול משתמשים וקבוצות, וגישה למוצרי פרודוקטיביות ושיתוף פעולה כמו Gmail ו-Google Drive. מידע נוסף זמין במאמר Google Workspace.

מידע מפורט על תכנון הזהויות זמין במאמר תכנון תהליך ההצטרפות של הזהויות הארגוניות.

לפני שמתחילים

במאמר שיטות מומלצות לניהול חשבון סופר-אדמין מוסבר איך לנהל חשבון סופר-אדמין.

הגדרה של ספק זהויות ואימות הדומיין

השלבים שצריך לבצע במשימה הזו תלויים בשאלה אם אתם לקוחות חדשים או קיימים. בוחרים את האפשרות שמתאימה לצרכים שלכם:

• לקוח חדש: הגדרת Cloud Identity, אימות הדומיין ויצירת הארגון.

• לקוחות קיימים של Google Workspace: אפשר להשתמש ב-Google Workspace כספק הזהויות שלכם למשתמשים שיש להם גישה ל-Google Workspace ול- Google Cloud. אם אתם מתכננים ליצור משתמשים שיש להם גישה רק ל- Google Cloud, אתם צריכים להפעיל את Cloud Identity.

• לקוח קיים של Cloud Identity: צריך לאמת את הדומיין, לוודא שהארגון נוצר ולאשר ש-Cloud Identity מופעל.

המאמרים הבאים

איך יוצרים קבוצות ומוסיפים אליהן חברים

במשימה הזו נלמד להגדיר זהויות, משתמשים וקבוצות כדי לנהל את הגישה למשאבים ב-Google Cloud .

מידע נוסף על ניהול הרשאות גישה ב- Google Cloudזמין במאמרים הבאים:

• סקירה כללית על ניהול זהויות והרשאות גישה (IAM)
• שיטות מומלצות לשימוש מאובטח ב-IAM

למי המשימה מיועדת?

כדי לבצע את המשימה הזו, צריך להיות לכם אחד מהדברים הבאים:

• חשבון הסופר-אדמין ב-Google Workspace או ב-Cloud Identity שיצרתם במשימה ארגון.
• אחד מהתפקידים הבאים ב-IAM:
  • אדמין ארגוני (roles/resourcemanager.organizationAdmin).
  • אדמין של מאגר זהויות של כוח עבודה (roles/iam.workforcePoolAdmin).

מה כוללת המשימה הזו?

• מתחברים ל-Cloud Identity או לספק הזהויות החיצוני (IdP).

• ליצור קבוצות ניהוליות ומשתמשים שיבצעו את שארGoogle Cloud שלבי ההגדרה. במשימה מאוחרת יותר תעניקו גישה לקבוצות האלה.

למה אנחנו ממליצים לבצע את המשימה הזו?

המשימה הזו עוזרת לכם ליישם את השיטות המומלצות הבאות בתחום האבטחה:

• העיקרון של הרשאות מינימליות: מתן ההרשאות המינימליות הדרושות למשתמשים כדי לבצע את תפקידם, והסרת ההרשאות שכבר אין בהן צורך.

• בקרת גישה מבוססת-תפקידים (RBAC): הקצאת הרשאות לקבוצות של משתמשים לפי תפקידם. לא מומלץ להוסיף הרשאות לחשבונות משתמשים פרטניים.

אפשר להשתמש בקבוצות כדי להקצות תפקידי IAM לקבוצת משתמשים בצורה יעילה. השיטה הזו עוזרת לפשט את ניהול הגישה.

בחירת ספק זהויות

אפשר להשתמש באחת מהשיטות הבאות כדי לנהל משתמשים וקבוצות ולחבר אותם ל- Google Cloud:

• ‫Google Workspace או Cloud Identity: אתם יוצרים משתמשים וקבוצות ומנהלים אותם ב-Google Workspace או ב-Cloud Identity. אפשר לסנכרן עם ספק הזהויות החיצוני בהמשך.
• ספק הזהויות החיצוני, כמו Microsoft Entra ID או Okta: אתם יוצרים ומנהלים משתמשים וקבוצות בספק הזהויות החיצוני. לאחר מכן מקשרים את הספק אל Google Cloud כדי להפעיל כניסה יחידה.

כדי לבחור את ספק הזהויות:

1. נכנסים למסוף Google Cloud כאחד מהמשתמשים שצוינו בקטע מי מבצע את המשימה הזו.

2. עוברים אל Google Cloud הגדרה: משתמשים וקבוצות.

   עוברים אל 'משתמשים וקבוצות'

3. בודקים את פרטי המשימה ולוחצים על המשך הגדרת הזהות.

4. בדף בחירת ספק הזהויות, בוחרים באחת מהאפשרויות הבאות כדי להתחיל בתהליך הגדרה מודרך:

   • שימוש ב-Google לניהול מרכזי של Google Cloud משתמשים: אפשר להשתמש ב-Google Workspace או ב-Cloud Identity כדי להקצות משתמשים וקבוצות ולנהל אותם כסופר-אדמין של הדומיין המאומת. אפשר לסנכרן עם ספק הזהויות החיצוני בשלב מאוחר יותר.
   • ‫Microsoft Entra ID ‏ (Azure AD): אפשר להשתמש ב-OpenID Connect כדי להגדיר חיבור ל-Microsoft Entra ID.
   • ‫Okta: אפשר להשתמש ב-OpenID Connect כדי להגדיר חיבור ל-Okta.
   • ‫OpenID Connect: שימוש בפרוטוקול OpenID כדי להתחבר לספק זהויות תואם.
   • ‫SAML: שימוש בפרוטוקול SAML כדי להתחבר לספק זהויות תואם.
   • דילוג על הגדרת ספק זהויות חיצוני בשלב הזה: אם יש לכם ספק זהויות חיצוני ואתם לא מוכנים לחבר אותו אל Google Cloud, אתם יכולים ליצור משתמשים וקבוצות ב-Google Workspace או ב-Cloud Identity.

5. לוחצים על Continue.

6. לשלבים הבאים, אפשר לעיין באחד מהמאמרים הבאים:

   • יצירת משתמשים וקבוצות ב-Cloud Identity
   • חיבור ספק הזהויות החיצוני אל Google Cloud

יצירת משתמשים וקבוצות ב-Cloud Identity

אם אין לכם ספק זהויות קיים, או אם אתם לא מוכנים לקשר את ספק הזהויות שלכם אל Google Cloud, אתם יכולים ליצור ולנהל משתמשים וקבוצות ב-Cloud Identity או ב-Google Workspace. כדי ליצור משתמשים וקבוצות:

• יוצרים קבוצה לכל פונקציית אדמין מומלצת, כולל אדמין ארגוני, אדמין של חשבון לחיוב ואדמין של רשת.
• יוצרים חשבונות מנוהלים לאדמינים.
• הקצאת משתמשים לקבוצות אדמין שמתאימות לאחריות שלהם.

לפני שמתחילים

• חיפוש והעברה של משתמשים שכבר יש להם חשבונות Google. מידע מפורט זמין במאמר בנושא הוספת משתמשים עם חשבונות לא מנוהלים.

• צריך להיות סופר-אדמינים.

יצירת קבוצות ניהוליות

קבוצה היא אוסף של חשבונות Google וחשבונות שירות, שיש לו שם. לכל קבוצה יש כתובת אימייל ייחודית, כמו gcp-billing-admins@example.com. אתם יוצרים קבוצות כדי לנהל משתמשים ולהחיל תפקידים ב-IAM בהיקף נרחב.

הקבוצות הבאות מומלצות כדי לעזור לכם לנהל את הפונקציות העיקריות של הארגון ולהשלים את תהליך ההגדרה. Google Cloud

כדי ליצור קבוצות ניהוליות:

1. בוחרים ב-Google כספק.

2. בדף Create Groups (יצירת קבוצות), בודקים את רשימת הקבוצות המומלצות לניהול, ואז מבצעים אחת מהפעולות הבאות:

   • כדי ליצור את כל הקבוצות המומלצות, לוחצים על יצירת כל הקבוצות.
   • אם רוצים ליצור קבוצת משנה של הקבוצות המומלצות, לוחצים על יצירה בשורות שנבחרו.

3. לוחצים על Continue.

יצירת משתמשים עם הרשאות אדמין

מומלץ להוסיף בהתחלה משתמשים שמשלימים הליכי הגדרה ארגוניים, של רשתות, של חיוב ושל הגדרות אחרות. אפשר להוסיף משתמשים אחרים אחרי שמסיימים את Google Cloud תהליך ההגדרה.

כדי להוסיף משתמשים עם הרשאות אדמין שמבצעים Google Cloud משימות הגדרה, צריך לבצע את הפעולות הבאות:

1. העברה של חשבונות פרטיים אל חשבונות מנוהלים שנשלטים על ידי Cloud Identity. הוראות מפורטות מופיעות במאמרים הבאים:

   • העברת חשבונות לצרכנים.
   • הוספת משתמשים עם חשבונות לא מנוהלים.

2. נכנסים אל מסוף Google Admin באמצעות חשבון סופר-אדמין.

3. אפשר להוסיף משתמשים באחת מהאפשרויות הבאות:

   • כדי להוסיף משתמשים בכמות גדולה, אפשר לעיין במאמר בנושא הוספה או עדכון של כמה משתמשים מקובץ CSV.
   • כדי להוסיף משתמשים בנפרד, אפשר לעיין במאמר איך להוסיף חשבון למשתמש חדש.

4. אחרי שמסיימים להוסיף משתמשים, חוזרים אל Google Cloud הגדרה: משתמשים וקבוצות (יצירת משתמשים).

5. לוחצים על Continue.

הוספת משתמשים עם הרשאות אדמין לקבוצות

מוסיפים את המשתמשים שיצרתם לקבוצות אדמין שמתאימות לתפקידים שלהם.

1. מוודאים שיצרתם משתמשים עם הרשאות אדמין.

2. בקטע Google Cloud הגדרה: משתמשים וקבוצות (הוספת משתמשים לקבוצות), בודקים את פרטי השלב.

3. בכל שורה של Group, מבצעים את הפעולות הבאות:

   1. לוחצים על הוספת חברים.
   2. מזינים את כתובת האימייל של המשתמש.

   3. מהרשימה הנפתחת תפקיד בקבוצה, בוחרים את הגדרות ההרשאות של המשתמש בקבוצה. מידע נוסף מופיע במאמר בנושא הגדרת התפקידים של חברי הקבוצה.

      כל חבר יורש את כל תפקידי ה-IAM שאתם מעניקים לקבוצה, בלי קשר לתפקיד בקבוצה שאתם בוחרים.

   4. כדי להוסיף עוד משתמש לקבוצה, לוחצים על הוספת חבר נוסף וחוזרים על השלבים האלה. מומלץ להוסיף יותר מחבר אחד לכל קבוצה.

   5. כשמסיימים להוסיף משתמשים לקבוצה, לוחצים על שמירה.

4. כשמסיימים לעבוד עם כל הקבוצות, לוחצים על אישור המשתמשים והקבוצות.

5. אם רוצים לאחד את ספק הזהויות עם Google Cloud, אפשר לעיין במאמרים הבאים:

   • דוגמאות לארכיטקטורות: שימוש ב-IdP חיצוני
   • כדי להקצות הרשאות למשתמשים ולהפעיל כניסה יחידה (SSO) באופן אוטומטי, אפשר לעיין במאמרים הבאים:
     • איחוד של Cloud Identity עם Active Directory.
     • איחוד של Cloud Identity עם Microsoft Entra ID.
   • כדי לסנכרן משתמשים וקבוצות ב-Active Directory עם Google Cloud, צריך להשתמש ב-Directory Sync או ב-Google Cloud Directory Sync.
     • השוואה בין Directory Sync לבין GCDS

חיבור ספק הזהויות החיצוני אל Google Cloud

אתם יכולים להשתמש בספק הזהויות הקיים כדי ליצור ולנהל קבוצות ומשתמשים. כדי להגדיר כניסה יחידה ל- Google Cloud , צריך להגדיר איחוד שירותי אימות הזהות של כוח העבודה עם ספק הזהויות החיצוני. מידע על מושגי מפתח בתהליך הזה זמין במאמר איחוד שירותי אימות הזהות של כוח עבודה.

כדי לקשר את ספק הזהויות החיצוני, צריך להשלים תהליך הגדרה מודרך שכולל את השלבים הבאים:

1. יצירת מאגר כוח עבודה: מאגר זהויות של כוח עבודה עוזר לכם לנהל זהויות ואת הגישה שלהן למשאבים. מזינים את הפרטים הבאים בפורמט שנוח לקריאה.
   • ‫Workforce pool ID: מזהה ייחודי גלובלי שמשמש ב-IAM.
   • Provider ID: שם הספק, שהמשתמשים יציינו כשהם ייכנסו ל- Google Cloud.
2. הגדרה Google Cloud בספק: ההגדרה המודרכת כוללת שלבים ספציפיים לספק שלכם.
3. מזינים את פרטי מאגר הזהויות של כוח העבודה של הספק: כדי להוסיף את הספק כרשות מהימנה לאימות זהויות, מאחזרים את הפרטים מהספק ומוסיפים אותם אל Google Cloud:
4. הגדרת קבוצות ניהול ראשוניות: ההגדרה המודרכת כוללת שלבים ספציפיים לספק שלכם. אתם מקצים קבוצות אצל הספק ומקימים חיבור ל- Google Cloud. תיאור מפורט של כל קבוצה זמין במאמר יצירת קבוצות אדמיניסטרטיביות.
5. הקצאת משתמשים לכל קבוצה: מומלץ להקצות יותר ממשתמש אחד לכל קבוצה.

למידע נוסף על תהליך הקישור של כל ספק, אפשר לעיין במאמרים הבאים:

• הגדרה של איחוד שירותי אימות הזהות של כוח העבודה באמצעות Azure AD וכניסת משתמשים
• הגדרה של איחוד שירותי אימות הזהות של כוח העבודה באמצעות Okta וכניסת משתמשים
• לספקים אחרים שתומכים ב-OIDC או ב-SAML, אפשר לעיין במאמר הגדרת איחוד שירותי אימות הזהויות של כוח עבודה

המאמרים הבאים

הקצאת הרשאות לקבוצות האדמינים

במשימה הזו נשתמש בממשק של ניהול הזהויות והרשאות הגישה (IAM) כדי להקצות אוספים של הרשאות לקבוצות של אדמינים ברמת הארגון. התהליך הזה מעניק לאדמינים הרשאות גישה ושליטה על כל המשאבים בענן ששייכים לארגון.

סקירה כללית על ניהול זהויות והרשאות גישה ב- Google Cloudמופיעה במאמר סקירה כללית על IAM.

למי המשימה מיועדת?

כדי לבצע את המשימה הזו, אתם צריכים להיות אחד מהבאים:

• משתמש עם הרשאת סופר-אדמין.
• משתמש עם התפקיד אדמין ארגוני (roles/resourcemanager.organizationAdmin).

מה כוללת המשימה הזו?

• בודקים את רשימת תפקידי ברירת המחדל שהוקצו לכל קבוצת אדמינים שיצרתם במשימה משתמשים וקבוצות.

• כדי להתאים אישית קבוצה, אפשר לבצע את הפעולות הבאות:

  • מוסיפים או מסירים תפקידים.
  • אם אתם לא מתכננים להשתמש בקבוצה, אתם יכולים למחוק אותה.

למה אנחנו ממליצים לבצע את המשימה הזו?

אתם צריכים להקצות באופן מפורש את כל תפקידי האדמין בארגון שלכם. המשימה הזו עוזרת לכם ליישם את השיטות המומלצות הבאות בתחום האבטחה:

• העיקרון של הרשאות מינימליות: מתן ההרשאות המינימליות הדרושות למשתמשים כדי לבצע את תפקידם, והסרת ההרשאות שכבר אין בהן צורך.

• בקרת גישה מבוססת-תפקידים (RBAC): הקצאת הרשאות לקבוצות של משתמשים לפי התפקידים שלהם. אל תקצו תפקידים לחשבונות משתמשים ספציפיים.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.

הענקת גישה לקבוצות אדמינים

כדי להעניק גישה מתאימה לכל קבוצת אדמינים שיצרתם במשימה משתמשים וקבוצות, בודקים את תפקידי ברירת המחדל שהוקצו לכל קבוצה. אתם יכולים להוסיף או להסיר תפקידים כדי להתאים אישית את הגישה של כל קבוצה.

1. מוודאים שאתם מחוברים למסוף Google Cloud כמשתמש סופר-אדמין.

   אפשרות אחרת היא להיכנס לחשבון משתמש עם התפקיד אדמין ארגוני (roles/resourcemanager.organizationAdmin).

2. עוברים אל Google Cloud הגדרה: הרשאת אדמין.

   מעבר אל 'הרשאת אדמין'

3. בוחרים את שם הארגון מהתפריט הנפתח Select from בחלק העליון של הדף.

4. קוראים את סקירת המשימה ולוחצים על המשך הגישה לאדמין.

5. בודקים את הקבוצות בעמודה Group (Principal) שיצרתם במשימה Users & groups.

6. לכל קבוצה, בודקים את התפקידים ב-IAM שמוגדרים כברירת מחדל. אתם יכולים להוסיף או להסיר תפקידים שמוקצים לכל קבוצה כדי להתאים לצרכים הייחודיים של הארגון.

   כל תפקיד מכיל כמה הרשאות שמאפשרות למשתמשים לבצע משימות רלוונטיות. במאמר תפקידים בסיסיים ומוגדרים מראש ב-IAM מפורטות ההרשאות בכל תפקיד.

7. כשמוכנים להקצות תפקידים לכל קבוצה, לוחצים על שמירה והענקת גישה.

המאמרים הבאים

מגדירים חיוב.

במשימה הזו תגדירו חשבון לחיוב כדי לשלם על משאבים ב- Google Cloud. כדי לעשות זאת, משייכים לארגון אחת מהאפשרויות הבאות.

• חשבון לחיוב ב-Cloud קיים. אם אין לכם גישה לחשבון, אתם יכולים לבקש גישה מהאדמין של חשבון החיוב.

• חשבון חדש לחיוב ב-Cloud.

מידע נוסף על חיוב זמין במאמרי העזרה בנושא חיוב ב-Cloud.

למי המשימה מיועדת?

אדם בקבוצה gcp-billing-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

מה כוללת המשימה הזו?

• יוצרים חשבון לחיוב ב-Cloud בניהול עצמי או משתמשים בחשבון קיים.
• החלטה אם לעבור מחשבון בניהול עצמי לחשבון לחיוב באמצעות חשבוניות.
• מגדירים חשבון לחיוב ב-Cloud ואמצעי תשלום.

למה אנחנו ממליצים לבצע את המשימה הזו?

חשבונות לחיוב ב-Cloud מקושרים לפרויקט אחד או יותר ב- Google Cloud , ודרכם אפשר לשלם על המשאבים שנמצאים בשימוש, כמו מכונות וירטואליות, רשתות ואחסון.

קביעת סוג החשבון לחיוב

חשבון החיוב שמשייכים לארגון הוא אחד מהסוגים הבאים.

• בניהול עצמי (או אונליין): נרשמים אונליין ומשלמים בכרטיס אשראי או בכרטיס חיוב מיידי. אנחנו ממליצים לבחור באפשרות הזו אם אתם עסק קטן או אדם פרטי. כשנרשמים אונליין לחשבון לחיוב, סוג החשבון מוגדר באופן אוטומטי כחשבון בניהול עצמי.

• חשבון שמחויב בחשבונית (אופליין). אם כבר יש לכם חשבון עם חיוב בניהול עצמי, יכול להיות שהעסק שלכם עומד בדרישות הסף לחיוב בחשבונית.

אי אפשר ליצור חשבון לחיוב באמצעות חשבוניות אונליין, אבל אפשר להגיש בקשה להמרה של חשבון בשירות עצמי לחשבון לחיוב באמצעות חשבוניות.

מידע נוסף זמין במאמר סוגים של חשבונות לחיוב ב-Cloud.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.

הגדרה של חשבון לחיוב

אחרי שבוחרים סוג של חשבון לחיוב, משייכים את החשבון לחיוב לארגון. אחרי שתשלימו את התהליך הזה, תוכלו להשתמש בחשבון לחיוב כדי לשלם על משאבים. Google Cloud

1. נכנסים למסוף Google Cloud כמשתמשים בקבוצה gcp-billing-admins@YOUR_DOMAIN.

2. עוברים אל Google Cloud הגדרה: חיוב.

   לדף החיוב

3. בודקים את סקירת המשימה ולוחצים על המשך החיוב.

4. בוחרים אחת מהאפשרויות הבאות של חשבון לחיוב:

   יצירת חשבון חדש

   אם לארגון שלכם אין חשבון קיים, אתם יכולים ליצור חשבון חדש.

   1. בוחרים באפשרות אני רוצה ליצור חשבון חיוב חדש.
   2. לוחצים על Continue.

   3. בוחרים את סוג החשבון לחיוב שרוצים ליצור. הוראות מפורטות זמינות במאמרים הבאים:

      • כדי ליצור חשבון חדש בניהול עצמי, אפשר לקרוא את המאמר יצירת חשבון חדש לחיוב ב-Cloud בשירות עצמי.
      • כדי להעביר חשבון קיים בניהול עצמי לחיוב בחשבונית, קראו את המאמר בנושא שליחת בקשה לחיוב בחשבונית חודשית.

   4. מוודאים שחשבון החיוב נוצר:

      1. אם יצרתם חשבון עם חיוב חודשי, צריך לחכות עד 5 ימי עסקים כדי לקבל אישור באימייל.

      2. עוברים אל דף החיוב.

      3. בוחרים את הארגון שלכם מהרשימה Select from (בחירה מתוך) בחלק העליון של הדף. אם החשבון נוצר בהצלחה, הוא יופיע ברשימת החשבונות לחיוב.

   שימוש בחשבון הקיים שלי

   אם יש לכם חשבון לחיוב, אתם יכולים לשייך אותו לארגון.

   1. בוחרים באפשרות זיהיתי ברשימה הזו חשבון לחיוב שבו אני רוצה להשתמש כדי להשלים את שלבי ההגדרה.
   2. בתפריט הנפתח חיוב, בוחרים את החשבון שרוצים לשייך לארגון.
   3. לוחצים על Continue.
   4. בודקים את הפרטים ולוחצים על אישור החשבון לחיוב.

   שימוש בחשבון של משתמש אחר

   אם למשתמש אחר יש גישה לחשבון חיוב קיים, אפשר לבקש ממנו לשייך את חשבון החיוב לארגון שלכם, או שהוא יכול לתת לכם גישה כדי להשלים את השיוך.

   1. בוחרים באפשרות I want to use a billing account that's managed by another Google user account (אני רוצה להשתמש בחשבון לחיוב שמנוהל על ידי חשבון משתמש אחר ב-Google).
   2. לוחצים על Continue.
   3. מזינים את כתובת האימייל של האדמין בחשבון לחיוב.
   4. לוחצים על פנייה לאדמין.
   5. צריך לחכות שהאדמין של החשבון לחיוב ייצור איתכם קשר עם הוראות נוספות.

המאמרים הבאים

יצירת היררכיית משאבים והקצאת גישה

במשימה הזו תגדירו את היררכיית המשאבים על ידי יצירה של המשאבים הבאים והקצאת גישה אליהם:

תיקיות

מספקות מנגנון קיבוץ וגבולות בידוד בין פרויקטים. לדוגמה, תיקיות יכולות לייצג מחלקות בארגון שלכם, כמו כספים או קמעונאות.

תיקיות הסביבה, כמו Production, בהיררכיית המשאבים מוגדרות לניהול אפליקציות. אתם יכולים להגדיר ולנהל אפליקציות בתיקיות האלה.

פרויקטים

מכילים את Google Cloud המשאבים, כמו מכונות וירטואליות, מסדי נתונים וקטגוריות אחסון. כל אחת מהתיקיות של הסביבה מכילה גם פרויקט ניהול, שעוזר לכם לנהל את הגישה, החיוב, יכולת הצפייה ופונקציות אדמיניסטרטיביות אחרות של האפליקציות.

במאמר בחירה של היררכיית משאבים לאזור הנחיתה ב- Google Cloud תוכלו לקרוא על שיטות מומלצות לארגון המשאבים בפרויקטים ושיקולי עיצוב שכדאי להתחשב בהם.

למי המשימה מיועדת?

אדם בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות יכול לבצע את המשימה הזו.

מה כוללת המשימה הזו?

• יצירה של מבנה ההיררכיה הראשוני באמצעות תיקיות ופרויקטים.
• הגדרת מדיניות IAM כדי לשלוט בגישה לתיקיות ולפרויקטים.

למה אנחנו ממליצים לבצע את המשימה הזו?

יצירת מבנה לתיקיות ולפרויקטים עוזרת לכם לנהלGoogle Cloud משאבים ואפליקציות. אתם יכולים להשתמש במבנה כדי להקצות גישה על סמך אופן הפעולה של הארגון. לדוגמה, אתם יכולים לארגן את הגישה ולספק אותה על סמך אוסף ייחודי של אזורים גיאוגרפיים, מבני חברות-בנות או מסגרות אחריות של הארגון.

תכנון של היררכיית המשאבים

היררכיית המשאבים עוזרת לכם ליצור גבולות ולשתף משאבים בארגון למשימות נפוצות. אתם יוצרים את ההיררכיה באמצעות אחת מההגדרות הראשוניות הבאות, בהתאם למבנה הארגוני שלכם:

• פשוטה ומבוססת על הסביבה:

  • בידוד סביבות כמו Non-production ו-Production.
  • להטמיע כללי מדיניות נפרדים, דרישות רגולטוריות ואמצעי בקרת גישה בכל תיקיית סביבה.
  • מתאים לחברות קטנות עם סביבות ריכוזיות.

• פשוטה ומיועדת לעבודת צוות:

  • בידוד צוותים כמו Development ו-QA.
  • בידוד הגישה למשאבים באמצעות תיקיות של סביבות צאצא מתחת לכל תיקייה של צוות.
  • מתאים לחברות קטנות עם צוותים אוטונומיים.

• מכוונת לסביבה:

  • חשוב לתת עדיפות לבידוד של סביבות כמו Non-production ו-Production.
  • בכל תיקיית סביבה, מבודדים את היחידות העסקיות.
  • מבודדים את הצוותים בכל יחידה עסקית.
  • מתאים לחברות גדולות עם סביבות ריכוזיות.

• ממוקד ביחידה עסקית:

  • חשוב לתת עדיפות לבידוד של יחידות עסקיות כמו Human Resources ו-Engineering כדי להבטיח שהמשתמשים יוכלו לגשת רק למשאבים ולנתונים שהם צריכים.
  • מבודדים את הצוותים בכל יחידה עסקית.
  • בכל צוות, מבודדים את הסביבות.
  • מתאים לחברות גדולות עם צוותים אוטונומיים.

לכל הגדרה יש תיקייה Common לפרויקטים שמכילים משאבים משותפים. זה יכול לכלול פרויקטים של רישום ביומן ומעקב.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.
• יוצרים או מקשרים חשבון לחיוב במשימה Billing.

הגדרת תיקיות ופרויקטים ראשוניים

בוחרים את ההיררכיה של המשאבים שמייצגת את המבנה הארגוני.

כדי להגדיר תיקיות ופרויקטים ראשוניים:

1. נכנסים למסוף Google Cloud כמשתמשים בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

2. בוחרים את הארגון מהרשימה הנפתחת Select from (בחירה מתוך) בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: היררכיה וגישה.

   מעבר אל Hierarchy & access

4. בודקים את סקירת המשימה ולוחצים על התחלה לצד היררכיית משאבים.

5. בוחרים הגדרת התחלה.

6. לוחצים על המשך והגדרה.

7. התאמה אישית של היררכיית המשאבים כך שתשקף את המבנה הארגוני. לדוגמה, אתם יכולים להתאים אישית את ההגדרות הבאות:

   • שמות התיקיות.

   • פרויקטים של שירות לכל צוות. כדי להעניק גישה לפרויקטים של שירות, אפשר ליצור את הפריטים הבאים:

     • קבוצה לכל פרויקט שירות.
     • המשתמשים בכל קבוצה.

     סקירה כללית של פרויקטים של שירות זמינה במאמר VPC משותף.

   • פרויקטים שנדרשים למעקב, לרישום ביומן ולרשת.

   • פרויקטים בהתאמה אישית.

8. לוחצים על Continue.

9. איך מעניקים גישה לתיקיות ולפרויקטים

מתן גישה לתיקיות ולפרויקטים

במשימה הרשאת אדמין, הענקתם הרשאת אדמין לקבוצות ברמת הארגון. במשימה הזו, אתם מגדירים גישה לקבוצות שפועלות בתיקיות ובפרויקטים שהגדרתם.

לכל פרויקט, תיקייה וארגון יש כללי מדיניות משלהם לניהול הזהויות והרשאות הגישה, שעוברים בירושה דרך היררכיית המשאבים:

• ארגון: המדיניות חלה על כל התיקיות והפרויקטים בארגון.
• תיקייה: כללי המדיניות חלים על פרויקטים ותיקיות אחרות בתוך התיקייה.
• פרויקט: המדיניות חלה רק על הפרויקט הזה ועל המשאבים שלו.

מעדכנים את מדיניות ה-IAM של התיקיות והפרויקטים:

1. בקטע Configure access control (הגדרת בקרת גישה) שבHierarchy & access (היררכיה וגישה), מעניקים לקבוצות גישה לתיקיות ולפרויקטים:

   1. בטבלה, בודקים את רשימת התפקידים המומלצים ב-IAM שהוקצו לכל קבוצה עבור כל משאב.

   2. אם רוצים לשנות את התפקידים שהוקצו לכל קבוצה, לוחצים על עריכה בשורה הרצויה.

      מידע נוסף על כל תפקיד זמין במאמר תפקידים בסיסיים ומוגדרים מראש ב-IAM.

2. לוחצים על Continue.

3. בודקים את השינויים ולוחצים על אישור הגדרת הטיוטה.

הגדרת חיוב לפרויקטים לניהול

אחרי שמבצעים פריסה של ההגדרה, צריך להגדיר חיוב לכל פרויקט ניהול. החשבון לחיוב נדרש כדי לשלם על ממשקי API שיש להם עלויות משויכות. מידע נוסף זמין במאמר קישור חשבון לחיוב לפרויקט הניהול.

המאמרים הבאים

קביעת הגדרות אבטחה

במשימה הזו תגדירו הגדרות אבטחה ומוצרים שיעזרו להגן על הארגון שלכם.

למי המשימה מיועדת?

כדי להשלים את המשימה הזו, צריך להיות לכם אחד מהדברים הבאים:

• התפקיד אדמין ארגוני (roles/resourcemanager.organizationAdmin).
• חברות באחת מהקבוצות הבאות שיצרתם במשימה משתמשים וקבוצות:
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

מה כוללת המשימה הזו?

אפשר להחיל מדיניות ארגונית מומלצת על סמך הקטגוריות הבאות:

• ניהול הרשאות גישה.
• התנהגות של חשבון שירות.
• הגדרת רשת VPC.
• ‫Cloud KMS עם Autokey – זמין רק באפשרות הבסיסית אבטחה משופרת.

אתם גם מפעילים את Security Command Center כדי לרכז את הדיווח על נקודות חולשה ואיומים.

למה אנחנו ממליצים לבצע את המשימה הזו?

החלת מדיניות ארגונית מומלצת עוזרת להגביל פעולות של משתמשים שלא תואמות למצב האבטחה שלכם.

הפעלת Security Command Center עוזרת לכם ליצור מיקום מרכזי לניתוח נקודות חולשה ואיומים.

האכיפה והאוטומציה של Cloud KMS באמצעות Autokey עוזרות לכם להשתמש באופן עקבי במפתחות הצפנה בניהול הלקוח (CMEK) כדי להגן על המשאבים שלכם.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה Administrative access (גישת אדמין).

התחלת משימת האבטחה

1. נכנסים למסוף Google Cloud באמצעות משתמש שצוין בקטע מי מבצע את המשימה הזו.

2. בוחרים את הארגון מהתפריט הנפתח בחירה מתוך בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: אבטחה.

   מעבר אל "אבטחה"

4. בודקים את סקירת המשימה ולוחצים על התחלת האבטחה.

ריכוז הדיווח על נקודות חולשה ואיומים

כדי לרכז את שירותי הדיווח על נקודות חולשה ואיומים, צריך להפעיל את Security Command Center. כך תוכלו לשפר את רמת האבטחה ולצמצם את הסיכונים. מידע נוסף זמין במאמר סקירה כללית של Security Command Center.

1. בדף Google Cloud הגדרה: אבטחה, מוודאים שתיבת הסימון הפעלת Security Command Center: Standard מסומנת.

   הפעולה הזו מאפשרת להפעיל את תוכנית Standard בחינם. אפשר לשדרג לגרסת Premium במועד מאוחר יותר. מידע נוסף זמין במאמר בנושא מסלולי שירות של Security Command Center.

2. לוחצים על החלת הגדרות SCC.

החלת מדיניות ארגון מומלצת

מדיניות הארגון חלה ברמת הארגון ועוברת בירושה לתיקיות ולפרויקטים. במשימה הזו, בודקים את רשימת המדיניות המומלצת ומיישמים אותה. אפשר לשנות את מדיניות הארגון בכל שלב. מידע נוסף זמין במאמר מבוא לשירות Organization Policy.

1. בודקים את רשימת מדיניות הארגון המומלצת. אם לא רוצים להחיל מדיניות מומלצת, לוחצים על תיבת הסימון שלה כדי להסיר אותה.

   הסבר מפורט על כל מדיניות ארגונית מופיע במאמר מגבלות שקשורות למדיניות הארגון.

2. לוחצים על אישור הגדרות מדיניות הארגון.

מדיניות הארגון שתבחרו תוחל כשתפרסו את ההגדרה במשימה מאוחרת יותר.

אכיפה ואוטומציה של מפתחות הצפנה בניהול הלקוח

‫Cloud KMS עם Autokey מאפשר למפתחים בארגון ליצור מפתחות הצפנה סימטריים כשנדרש להגן על משאבי Google Cloud. אפשר להגדיר את Cloud KMS עם Autokey אם בחרתם באפשרות אבטחה משופרת.

1. קוראים את התיאור של Cloud KMS עם Autokey, ואז בקטע Use Cloud KMS with Autokey and apply organizational policies (שימוש ב-Cloud KMS עם Autokey והחלת מדיניות ארגונית), לוחצים על Yes (recommended) (כן (מומלץ)).
2. לוחצים על אישור ההגדרה של ניהול המפתחות.

ההגדרות הבאות מופעלות כשמפעילים את ההגדרות במשימה מאוחרת יותר:

• מגדירים פרויקט Autokey בכל תיקיית סביבה בהיררכיה.
• מפעילים את Cloud KMS עם Autokey בתיקיות הסביבה.
• דרישה לשימוש במפתחות הצפנה בניהול הלקוח (CMEK) למשאבים שנוצרו בכל תיקיית סביבה.
• להגביל כל תיקייה לשימוש רק במפתחות Cloud KMS בפרויקט Autokey של אותה תיקייה.

המאמרים הבאים

רישום ביומן ומעקב באופן מרוכז.

במשימה הזו, תקבעו את ההגדרות הבאות:

• ריכוז של יומני רישום כדי לעזור לכם לנתח את היומנים מכל הפרויקטים בארגון ולקבל מהם תובנות.
• מעקב מרכזי שעוזר לכם לראות את המדדים בכל הפרויקטים שנוצרו בהגדרה הזו.

למי המשימה מיועדת?

כדי להגדיר רישום ביומן ומעקב, צריך אחד מהפריטים הבאים:

• התפקידים Logging Admin (אדמין של רישום ביומן) (roles/logging.admin) ו-Monitoring Admin (אדמין של מעקב) (roles/monitoring.admin).
• חברות באחת מהקבוצות הבאות שיצרתם במשימה משתמשים וקבוצות:
  • gcp-organization-admins@YOUR_DOMAIN
  • gcp-security-admins@YOUR_DOMAIN
  • gcp-logging-monitoring-admins@YOUR_DOMAIN

מה כוללת המשימה הזו?

במשימה הזו תבצעו את הפעולות הבאות:

• ארגון מרכזי של יומנים שנוצרים בפרויקטים בארגון עוזר לשמור על האבטחה, לבצע ביקורת ולעמוד בדרישות התאימות.
• הגדרת פרויקט מרכזי למעקב כדי שתהיה לו גישה למדדי מעקב בכל הפרויקטים שיצרתם בהגדרה הזו.

למה אנחנו ממליצים לבצע את המשימה הזו?

אחסון ושמירה של יומנים מפשטים את הניתוח ושומרים על נתיב הביקורת. ניטור מרכזי מאפשר לכם לראות את המדדים במקום אחד.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.
• יוצרים או מקשרים חשבון לחיוב במשימה Billing.
• מגדירים את ההיררכיה ומקצים גישה במשימה היררכיה וגישה.

ארגון רישום ביומן באופן מרכזי

בעזרת Cloud Logging תוכלו לאחסן את נתוני היומן והאירועים מ- Google Cloud, לחפש אותם, לעקוב אחריהם, להתריע עליהם ולנתח אותם. אפשר גם לאסוף ולעבד יומנים מהאפליקציות, מהמשאבים המקומיים ומעננים אחרים. מומלץ להשתמש ב-Cloud Logging כדי לאחד את היומנים לקטגוריה ביומן אחת.

למידע נוסף, קראו את המאמרים הבאים:

• סקירה כללית זמינה במאמר סקירה כללית על ניתוב ואחסון.
• למידע על רישום ביומן של משאבים מקומיים, אפשר לעיין במאמר רישום ביומן של משאבים מקומיים באמצעות BindPlane.
• הוראות לשינוי מסנן היומן אחרי פריסת ההגדרה מופיעות במאמר בנושא מסנני הכללה.

כדי לאחסן את נתוני היומן בקטגוריית יומנים מרכזית, מבצעים את הפעולות הבאות:

1. נכנסים למסוף Google Cloud כמשתמש שצוין בקטע מי מבצע את המשימה הזו.

2. בוחרים את הארגון מהרשימה הנפתחת Select from (בחירה מתוך) בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: רישום ביומן ומעקב באופן מרוכז.

   מעבר לרישום ביומן ולמעקב באופן מרוכז

4. מעיינים בסקירת המשימה ולוחצים על התחלת רישום ביומן ומעקב באופן מרוכז.

5. בודקים את פרטי המשימה.

6. כדי להעביר יומנים לקטגוריית יומנים מרכזית, מוודאים שהאפשרות Store organization-level audit logs in a logs bucket (אחסון יומני ביקורת ברמת הארגון בקטגוריית יומנים) מסומנת.

7. מרחיבים את האפשרות Route logs to a Logging log bucket (ניתוב יומנים לקטגוריה ביומן ב-Logging) ומבצעים את הפעולות הבאות:

   1. בשדה Log bucket name, מזינים שם לקטגוריית היומן המרכזית.

   2. ברשימה Log bucket region, בוחרים את האזור שבו מאוחסנים נתוני היומן.

      מידע נוסף זמין במאמר בנושא מיקומי קטגוריות ביומן.

   3. כברירת מחדל, היומנים מאוחסנים למשך 30 ימים. מומלץ לחברות גדולות לאחסן את היומנים למשך 365 ימים. כדי להתאים אישית את תקופת השמירה, מזינים את מספר הימים בשדה תקופת שמירה.

      שמירת יומנים למשך יותר מ-30 ימים כרוכה בעלות שמירה. מידע נוסף זמין במאמר סיכום התמחור של Cloud Logging.

ייצוא יומנים מחוץ ל- Google Cloud

אם רוצים לייצא יומנים ליעד מחוץ ל- Google Cloud, אפשר לייצא באמצעות Pub/Sub. לדוגמה, אם אתם משתמשים בכמה ספקי שירותי ענן, יכול להיות שתחליטו לייצא נתוני יומן מכל ספק שירותי ענן לכלי של צד שלישי.

אתם יכולים לסנן את היומנים שאתם מייצאים כדי להתאים אותם לצרכים ולדרישות הייחודיים שלכם. לדוגמה, אתם יכולים להגביל את סוגי היומנים שאתם מייצאים כדי לשלוט בעלויות או כדי לצמצם את הרעשים בנתונים.

מידע נוסף על ייצוא יומנים זמין במאמרים הבאים:

• סקירה כללית, במאמר מה זה Pub/Sub?
• למידע על מחירים אפשר לעיין במקורות הבאים:
  • מחירון Pub/Sub
  • שיטות מומלצות לשימוש ביומני ביקורת של Cloud: תמחור.
• מידע על סטרימינג אל Splunk זמין במאמר סטרימינג של יומנים מ- Google Cloud אל Splunk.

כדי לייצא יומנים:

1. לוחצים על הזרמת היומנים לאפליקציות אחרות, למאגרים אחרים או לצדדים שלישיים.

2. בשדה Pub/Sub topic ID (מזהה נושא Pub/Sub), מזינים מזהה של הנושא שמכיל את היומנים המיוצאים. למידע על הרשמה לנושא, ראו מינויי Pull.

3. כדי לבחור יומנים לייצוא:

   1. מידע על כל סוג יומן זמין במאמר הסבר על יומני ביקורת בענן.

   2. כדי למנוע ייצוא של אחד מהיומנים המומלצים הבאים, לוחצים על רשימת מסנני ההכללה ומבטלים את הסימון של התיבה לצד היומן:

      • יומני ביקורת של Cloud: פעילות אדמין: קריאות ל-API או פעולות שמשנות את ההגדרות או את המטא-נתונים של משאב.
      • יומני הביקורת של Cloud: System Event: Google Cloud פעולות שמשנות את הגדרות המשאבים.
      • Access Transparency: פעולות שאנשי Google מבצעים כשהם ניגשים לתוכן של לקוחות.

   3. בוחרים את היומנים הנוספים הבאים כדי לייצא אותם:

      • יומני ביקורת של Cloud: גישה לנתונים: קריאות ל-API שקוראות את ההגדרות או את המטא-נתונים של משאבים, וקריאות ל-API שמבוצעות על ידי משתמשים ויוצרות, משנות או קוראות נתוני משאבים שסופקו על ידי משתמשים.
      • יומני ביקורת של Cloud: מדיניות – נדחתה: Google Cloud דחיות של גישה לשירותים לחשבונות משתמשים או לחשבונות שירות, על סמך הפרות של מדיניות האבטחה.

   4. היומן שתבחרו בשלב הזה ייוצא רק אם הוא מופעל בפרויקטים או במשאבים שלכם. במסנני הכללה מוסבר איך לשנות את מסנן היומן של הפרויקטים והמשאבים אחרי פריסת ההגדרה.

   5. לוחצים על OK.

4. לוחצים על המשך ל-Monitoring.

הגדרה של מעקב מרכזי

בעזרת מעקב מרכזי תוכלו לנתח את תקינות המערכת, הביצועים והאבטחה של כמה פרויקטים. במשימה הזו מוסיפים לפרויקט ההיקף את הפרויקטים שיצרתם במהלך המשימה היררכיה וגישה. אחרי מכן תוכלו לעקוב אחרי הפרויקטים האלה מפרויקט ההיקף. אחרי שתשלימו את ההגדרה של Cloud, תוכלו להגדיר פרויקטים אחרים למעקב על ידי פרויקט ההיקף.

מידע נוסף זמין במאמר סקירה כללית על היקף המדדים.

כדי להגדיר ניטור מרכזי:

1. כדי להגדיר פרויקטים שנוצרו במהלך Google Cloud ההגדרה למעקב מרכזי, מוודאים שהאפשרות שימוש במעקב מרכזי מסומנת.

   פרויקטים שיצרתם במהלך Google Cloud ההגדרה מתווספים להיקף המדדים של פרויקט ההיקף שמופיע ברשימה.

2. ‫Cloud Monitoring כולל מכסה חודשית בחינם. מידע נוסף מופיע במאמר סיכום התמחור של Cloud Monitoring.

3. הוראות להגדרת פרויקטים שיוצרים מחוץ ל Google Cloud הגדרה מפורטות במאמרים הבאים:

   • הגדרת היקף של מדדים.
   • מגבלות על פרויקטים במעקב.

השלמת ההגדרה

כדי להשלים את המשימה של רישום ביומן ומעקב, מבצעים את הפעולות הבאות:

1. לוחצים על אישור ההגדרה.

2. בודקים את פרטי ההגדרה של רישום ביומן ומעקב. ההגדרה לא נפרסת עד שפורסים את ההגדרות במשימה מאוחרת יותר.

המאמרים הבאים

בחירת הגדרות ראשוניות לרשתות.

במשימה הזו תבחרו את ההגדרות הראשוניות לרשתות, שאפשר לשנות בהתאם לצרכים.

ארכיטקטורה של ענן וירטואלי פרטי (VPC)

רשת ענן וירטואלי פרטי (VPC) היא גרסה וירטואלית של רשת פיזית שמוטמעת בתוך רשת הייצור של Google. רשת VPC היא משאב גלובלי שמורכב מתת-רשתות (subnets) אזוריות.

רשתות VPC מספקות יכולות רשת למשאבים Google Cloud , כמו מכונות וירטואליות של Compute Engine, קונטיינרים ב-GKE ומכונות עם סביבה גמישה של App Engine.

VPC משותף מחבר משאבים מכמה פרויקטים לרשת VPC משותפת, כך שהם יכולים לתקשר ביניהם באמצעות כתובות ה-IP הפנימיות של הרשת. בתרשים הבא מוצגת הארכיטקטורה הבסיסית של רשת VPC משותפת עם פרויקטים של שירותים שמצורפים אליה.

כשמשתמשים ב-VPC משותף, מגדירים פרויקט מארח ומצרפים אליו פרויקט שירות אחד או יותר. רשתות של ענן וירטואלי פרטי (VPC) בפרויקט המארח נקראות רשתות VPC משותפות.

בתרשים לדוגמה יש פרויקטים מארחים של סביבת ייצור וסביבה ללא ייצור, שכל אחד מהם מכיל רשת VPC משותפת. אתם יכולים להשתמש בפרויקט מארח כדי לנהל באופן מרכזי את הפריטים הבאים:

• מסלולים
• חומות אש
• חיבורי VPN
• תת-רשתות

פרויקט שירות הוא כל פרויקט שמצורף לפרויקט מארח. אפשר לשתף רשתות משנה, כולל טווחים משניים, בין פרויקטים מארחים לפרויקטים של שירותים.

בארכיטקטורה הזו, כל רשת VPC משותפת מכילה תת-רשתות ציבוריות ופרטיות:

• אפשר להשתמש בתת-הרשת הציבורית למכונות שמיועדות לאינטרנט כדי לספק קישוריות חיצונית.
• אפשר להשתמש בתת-הרשת הפרטית למכונות שמיועדות לשימוש פנימי בלבד – מבלי להקצות לה כתובות IP ציבוריות.

במשימה הזו תיצרו הגדרות ראשוניות לרשת על סמך התרשים לדוגמה.

למי המשימה מיועדת?

כדי לבצע את המשימה הזו, צריך את אחד מהדברים הבאים:

• התפקיד roles/compute.networkAdmin.
• הכללה בקבוצה gcp-network-admins@YOUR_DOMAIN שיצרתם במשימה משתמשים וקבוצות.

מה כוללת המשימה הזו?

יצירת הגדרות רשת ראשוניות, כולל:

• יוצרים כמה פרויקטים של מארחים כדי לשקף את סביבות הפיתוח.
• יוצרים רשת VPC משותפת בכל פרויקט מארח כדי לאפשר למשאבים שונים לשתף את אותה רשת.
• יוצרים תת-רשתות נפרדות בכל רשת VPC משותפת כדי לספק גישה לרשת לפרויקטים של שירותים.

למה אנחנו ממליצים לבצע את המשימה הזו?

צוותים שונים יכולים להשתמש ב-VPC משותף כדי להתחבר לרשת VPC משותפת שמנוהלת באופן מרכזי.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.
• יוצרים או מקשרים חשבון לחיוב במשימה Billing.
• מגדירים את ההיררכיה ומקצים גישה במשימה היררכיה וגישה.

הגדרת ארכיטקטורת הרשת

יצירת הגדרות רשת ראשוניות עם שני פרויקטים של מארחים כדי לפלח עומסי עבודה שאינם בסביבת ייצור ועומסי עבודה בסביבת ייצור. כל פרויקט מארח מכיל רשת VPC משותפת, שיכולה לשמש כמה פרויקטים של שירותים. מגדירים את פרטי הרשת ואז פורסים קובץ תצורה במשימה מאוחרת יותר.

כדי להגדיר את הרשת הראשונית:

1. נכנסים ל Google Cloud מסוף כמשתמשים בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

2. בוחרים את הארגון מהרשימה הנפתחת Select an organization בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: רשת.

   מעבר אל 'רשתות'

4. בודקים את ארכיטקטורת הרשת שמוגדרת כברירת מחדל.

5. כדי לערוך את שם הרשת:

   1. לוחצים על more_vert פעולות.
   2. לוחצים על עריכת שם הרשת.
   3. בשדה Network name (שם הרשת), מזינים אותיות קטנות, מספרים או מקפים. שם הרשת לא יכול להכיל יותר מ-25 תווים.
   4. לוחצים על Save.

שינוי פרטי חומת האש

כללי חומת האש שמוגדרים כברירת מחדל בפרויקט המארח מבוססים על שיטות מומלצות. אתם יכולים להשבית כלל חומת אש אחד או יותר מברירת המחדל. מידע כללי על כללים של חומת אש זמין במאמר כללים של חומת אש ב-VPC.

כדי לשנות את הגדרות חומת האש:

1. לוחצים על more_vert פעולות.

2. בוחרים באפשרות עריכת כללי חומת האש.

3. למידע מפורט על כל כלל חומת אש שמוגדר כברירת מחדל, אפשר לעיין במאמר בנושא כללים שמולאו מראש ברשת ברירת המחדל.

4. כדי להשבית כלל חומת אש, מבטלים את הסימון בתיבה המתאימה.

5. כדי להשבית את ניהול כללי חומת האש, לוחצים על Off (מושבת).

   כברירת מחדל, התעבורה אל מכונות Compute Engine וממכונות Compute Engine נרשמת לצורכי ביקורת. התהליך הזה כרוך בעלויות. מידע נוסף זמין במאמר בנושא ניהול כללי חומת אש.

6. לוחצים על Save.

שינוי פרטי רשת המשנה

כל רשת VPC מכילה לפחות תת-רשת אחת, שהיא משאב אזורי עם טווח כתובות IP משויך. בהגדרה רב-אזורית, צריכים להיות לפחות שני תתי-רשתות עם טווחי כתובות IP שלא חופפים.

מידע נוסף זמין במאמר בנושא רשתות משנה.

כל רשת משנה מוגדרת באמצעות שיטות מומלצות. אם רוצים להתאים אישית כל רשת משנה, צריך לבצע את הפעולות הבאות:

1. לוחצים על more_vert פעולות.
2. בוחרים באפשרות עריכת רשתות משנה.
3. בשדה Name, מזינים אותיות קטנות, מספרים או מקפים. שם רשת המשנה לא יכול להכיל יותר מ-25 תווים.

4. בתפריט הנפתח Region, בוחרים אזור שקרוב לנקודת השירות.

   מומלץ להשתמש באזור אחר לכל רשת משנה. אי אפשר לשנות את האזור אחרי פריסת ההגדרה. מידע על בחירת אזור זמין במאמר משאבים אזוריים.

5. בשדה טווח כתובות IP, מזינים טווח בסימון CIDR – לדוגמה, 10.0.0.0/24.

   הטווח שאתם מזינים לא יכול לחפוף לרשתות משנה אחרות ברשת הזו. מידע על טווחים תקינים זמין במאמר טווחים של תת-רשתות IPv4.

6. חוזרים על השלבים האלה עבור רשת המשנה 2.

7. כדי להגדיר עוד תת-רשתות ברשת הזו, לוחצים על הוספת תת-רשת וחוזרים על השלבים האלה.

8. לוחצים על Save.

רשתות המשנה מוגדרות באופן אוטומטי בהתאם לשיטות המומלצות. אם רוצים לשנות את ההגדרה, בדף Google Cloud הגדרה: רשתות VPC, מבצעים את הפעולות הבאות:

1. כדי להשבית את התכונה VPC Flow Logs, בעמודה Flow logs, בוחרים באפשרות Off.

   כשיומני זרימת התנועה מופעלים, כל רשת משנה מתעדת את זרימות התנועה ברשת, ואפשר לנתח אותן לצורך אבטחה, אופטימיזציה של ההוצאות ומטרות אחרות. מידע נוסף זמין במאמר שימוש ב-VPC Flow Logs.

   יש עלויות לשימוש ב-VPC Flow Logs. מידע נוסף זמין במאמר בנושא תמחור של ענן וירטואלי פרטי (VPC).

2. כדי להשבית את הגישה הפרטית ל-Google, בעמודה גישה פרטית, בוחרים באפשרות מושבתת.

   כשהגישה הפרטית ל-Google מופעלת, מכונות וירטואליות (VM) שאין להן כתובות IP חיצוניות יכולות לגשת לשירותים ולממשקי ה-API של Google. מידע נוסף זמין במאמר גישה פרטית ל-Google.

3. כדי להפעיל את Cloud NAT, בוחרים באפשרות On בעמודה Cloud NAT.

   כש-Cloud NAT מופעל, משאבים מסוימים יכולים ליצור חיבורים יוצאים לאינטרנט. סקירה כללית על Cloud NAT

   השימוש ב-Cloud NAT כרוך בעלויות. מידע נוסף מופיע במאמר בנושא תמחור של ענן וירטואלי פרטי.

4. לוחצים על המשך לקישור פרויקטים של שירותים.

קישור פרויקטי שירות לפרויקטים מארחים

פרויקט שירות הוא כל פרויקט שצורף לפרויקט מארח. החיבור הזה מאפשר לפרויקט השירות להשתתף ב-VPC משותף. כל פרויקט שירות יכול להיות מופעל ומנוהל על ידי מחלקות או צוותים שונים, כדי ליצור הפרדה בין תחומי האחריות.

מידע נוסף על חיבור של כמה פרויקטים לרשת VPC משותפת זמין במאמר סקירה כללית על VPC משותף.

כדי לקשר פרויקטי שירות לפרויקטים מארחים ולהשלים את ההגדרה, צריך לבצע את הפעולות הבאות:

1. בטבלה Shared VPC networks, בוחרים פרויקט שירות לחיבור לכל רשת משנה. כדי לעשות את זה, בוחרים פרויקט מהתפריט הנפתח בחירת פרויקט בעמודה פרויקט שירות.

   אפשר לחבר פרויקט שירות לכמה רשתות משנה.

2. לוחצים על המשך לבדיקה.

3. בודקים את ההגדרות ומבצעים שינויים.

   אפשר לערוך את קובץ התצורה עד לפריסה שלו.

4. לוחצים על אישור הגדרת הטיוטה. הגדרות הרשת יתווספו לקובץ התצורה.

   הרשת שלכם לא נפרסת עד שתפרסו את קובץ התצורה במשימה מאוחרת יותר.

המאמרים הבאים

הגדרת קישוריות היברידית, שתעזור לכם לחבר שרתים מקומיים או ספקים אחרים של שירותי ענן אל Google Cloud.

במשימה הזו תקימו חיבורים בין רשתות עמיתות (בארגון או בענן אחר) לבין רשתות Google Cloud , כמו בתרשים הבא.

התהליך הזה יוצר HA VPN, שהוא פתרון בזמינות גבוהה (HA) שאפשר ליצור במהירות כדי להעביר נתונים דרך האינטרנט הציבורי.

אחרי שפורסים את ההגדרה של Google Cloud , מומלץ ליצור חיבור חזק יותר באמצעות Cloud Interconnect.

מידע נוסף על חיבורים בין רשתות עמיתים לבין Google Cloud

• סקירה כללית על Cloud VPN
• בחירת מוצרים של Network Connectivity

למי המשימה מיועדת?

התפקיד שלכם בארגון צריך להיות אדמין ארגוני (roles/resourcemanager.organizationAdmin).

מה כוללת המשימה הזו?

יצירת חיבורים עם זמן אחזור קצר וזמינות גבוהה בין רשתות ה-VPC לבין הרשתות המקומיות או רשתות ענן אחרות. מגדירים את הרכיבים הבאים:

• Google Cloud שער HA VPN: משאב אזורי עם שני ממשקים, שלכל אחד מהם יש כתובת IP משלו. מציינים את סוג ערימת ה-IP, שקובע אם החיבור תומך בתנועת נתונים בפרוטוקול IPv6. מידע נוסף זמין במאמר בנושא HA VPN.
• שער VPN של רשת שכנה: השער ברשת השכנה שאליו מתחבר שער ה-HA VPN. Google Cloudמזינים כתובות IP חיצוניות ששער העמיתים משתמש בהן כדי להתחבר אל Google Cloud. מידע נוסף זמין במאמר בנושא הגדרת שער VPN של עמית.
• ‫Cloud Router: משתמש בפרוטוקול Border Gateway Protocol ‏ (BGP) כדי להחליף מסלולים באופן דינמי בין ה-VPC לבין רשתות שכנות. אתם מקצים מספר מערכת אוטונומית (ASN) כמזהה ל-Cloud Router, ומציינים את ה-ASN שבו משתמש נתב העמית. מידע נוסף זמין במאמר יצירת Cloud Router לחיבור רשת VPC לרשת שכנה.
• מנהרות VPN: מחברים את שער Google Cloud לשער השכן. מציינים את פרוטוקול Internet Key Exchange ‏ (IKE) שבו רוצים להשתמש כדי ליצור את המנהרה. אפשר להזין מפתח IKE שיצרתם בעבר או ליצור ולהעתיק מפתח חדש. מידע נוסף זמין במאמר בנושא הגדרת IKE.

למה אנחנו ממליצים לבצע את המשימה הזו?

שער HA VPN מספק חיבור מאובטח ועם זמינות גבוהה בין התשתית הקיימת לבין Google Cloud.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.
• יוצרים או מקשרים חשבון לחיוב במשימה Billing.
• מגדירים את ההיררכיה ומקצים גישה במשימה היררכיה וגישה.
• מגדירים את הרשת במשימה VPC networks.

צריך לאסוף את הפרטים הבאים ממנהל הרשת שלכם:

• שם שער ה-VPN השכן: השער שאליו מתחבר Cloud VPN.
• ‫Peer interface IP address 0: כתובת IP חיצונית בשער של רשת ה-peer.
• כתובת IP של ממשק עמית 1: כתובת חיצונית שנייה, או שאפשר להשתמש מחדש בכתובת IP 0 אם לרשת העמיתים יש רק כתובת IP חיצונית אחת.
• ‫Peer Autonomous System Number (ASN): מזהה ייחודי שמוקצה לנתב של רשת עמיתים.
• מספר מערכת אוטונומית (ASN) של Cloud Router: מזהה ייחודי שתקצו ל-Cloud Router.
• מפתחות Internet Key Exchange‏ (IKE): מפתחות שמשמשים ליצירת שתי מנהרות VPN עם שער ה-VPN של העמית. אם אין לכם מפתחות קיימים, תוכלו ליצור אותם במהלך ההגדרה הזו ואז להחיל אותם על שער העמיתים.

הגדרת החיבורים

כדי לחבר את רשתות ה-VPC לרשתות השכנות, מבצעים את הפעולות הבאות:

1. נכנסים לחשבון כמשתמש עם התפקיד אדמין ארגוני.

2. בוחרים את הארגון מהרשימה הנפתחת Select from (בחירה מתוך) בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: קישוריות היברידית.

   כניסה לקישוריות היברידית

4. כדי לבדוק את פרטי המשימה:

   1. בודקים את סקירת המשימה ולוחצים על התחלת קישוריות היברידית.

   2. לוחצים על כל כרטיסייה כדי לקבל מידע על קישוריות היברידית, ואז לוחצים על המשך.

   3. קוראים את ההסבר על כל שלב במשימה ולוחצים על המשך.

   4. בודקים את פרטי ההגדרה של שער העמיתים שצריך לאסוף ולוחצים על המשך.

5. באזור Hybrid connections, מזהים את רשתות ה-VPC שרוצים לחבר, בהתאם לצרכים העסקיים.

6. בשורה של הרשת הראשונה שבחרתם, לוחצים על הגדרה.

7. באזור Configuration overview, קוראים את התיאור ולוחצים על Next.

8. באזור Google Cloud HA VPN gateway:

   1. בשדה Cloud VPN gateway name (שם שער Cloud VPN), מזינים עד 60 תווים של אותיות קטנות, מספרים ומקפים.

   2. באזור VPN tunnel inner IP stack type, בוחרים באחד מסוגי ה-stack הבאים:

      • ‫IPv4 ו-IPv6 (מומלץ): יכול לתמוך בתנועה של IPv4 ו-IPv6. אנחנו ממליצים להשתמש בהגדרה הזו אם אתם מתכננים לאפשר תנועת נתונים ב-IPv6 במנהרה.
      • ‫IPv4: יכול לתמוך רק בתנועת נתונים ב-IPv4.

      סוג ה-stack קובע את סוג התנועה שמותרת במנהרה בין רשת ה-VPC לרשת השכנה. אי אפשר לשנות את סוג המערך אחרי שיוצרים את השער. למידע נוסף, אפשר לעיין במאמרים הבאים:

      • תמיכה ב-IPv6
      • סוגי מחסניות וסשנים של BGP

   3. לוחצים על הבא.

9. באזור Peer VPN gateway:

   1. בשדה שם שער ה-VPN של הרשת העמיתה, מזינים את השם שקיבלתם ממנהל הרשת העמיתה. אפשר להזין עד 60 תווים באמצעות אותיות קטנות, מספרים ומקפים.

   2. בשדה Peer interface IP address 0 (כתובת ה-IP של ממשק ה-Peer מספר 0), מזינים את כתובת ה-IP החיצונית של ממשק שער ה-Peer שקיבלתם ממנהל רשת ה-Peer.

   3. בשדה Peer interface IP address 1 (כתובת ה-IP של ממשק העמית 1), מבצעים אחת מהפעולות הבאות:

      • אם לשער העמית יש ממשק שני, מזינים את כתובת ה-IP שלו.
      • אם לשער העמית יש רק ממשק אחד, מזינים את אותה כתובת שהזנתם בכתובת ה-IP של ממשק העמית 0.

      מידע נוסף זמין במאמר בנושא הגדרת שער VPN של עמיתים.

   4. לוחצים על הבא.

10. באזור Cloud Router:

    1. בשדה Cloud router ASN (מספר מערכת אוטונומית של Cloud Router), מזינים את מספר המערכת האוטונומית שרוצים להקצות ל-Cloud Router, כפי שסופק על ידי האדמין של רשת ה-Peer. מידע נוסף זמין במאמר יצירת נתב Cloud.

    2. בשדה מספר מערכת אוטונומית של נתב עמית, מזינים את מספר המערכת האוטונומית של נתב הרשת העמיתה, כפי שסופק על ידי מנהל הרשת העמיתה.

11. באזור VPN tunnel 0:

    1. בשדה Tunnel 0 name (שם מנהרה 0), מזינים עד 60 תווים באמצעות אותיות קטנות, מספרים ומקפים.

    2. באזור IKE version (גרסת IKE), בוחרים באחת מהאפשרויות הבאות:

       • ‫IKEv2 – מומלץ: תומך בתנועת IPv6.
       • ‫IKEv1: משתמשים בהגדרה הזו אם לא מתכננים לאפשר תנועת IPv6 במנהרה.

       מידע נוסף זמין במאמר בנושא הגדרת מנהרות VPN.

    3. בשדה מפתח משותף מראש של IKE, מזינים את המפתח שבו משתמשים בהגדרות של שער העמיתים, כפי שסופק על ידי מנהל רשת העמיתים. אם אין לכם מפתח קיים, אתם יכולים ללחוץ על Generate and copy (יצירה והעתקה) ואז לתת את המפתח לאדמין של רשת העמיתים.

12. באזור VPN tunnel 1, חוזרים על השלב הקודם כדי להחיל הגדרות על המנהרה השנייה. אתם מגדירים את המנהרה הזו ליתירות ולתפוקה נוספת.

13. לוחצים על Save.

14. חוזרים על השלבים האלה לכל רשת VPC אחרת שרוצים לחבר לרשת העמיתים.

אחרי הפריסה

אחרי שפורסים את הגדרת Google Cloud ההגדרה, צריך לבצע את השלבים הבאים כדי לוודא שהחיבור לרשת הושלם:

1. כדאי לעבוד עם מנהל הרשת שלכם כדי להתאים את הרשת להגדרות הקישוריות ההיברידית. אחרי הפריסה, תקבלו הוראות ספציפיות לגבי רשת העמיתים שלכם, כולל:

   • הגדרות המנהרה.
   • הגדרות חומת אש.
   • הגדרות IKE.

2. מאמתים את החיבורים לרשת שיצרתם. לדוגמה, אפשר להשתמש ב-Network Intelligence Center כדי לבדוק את הקישוריות בין רשתות. מידע נוסף זמין במאמר סקירה כללית על בדיקות קישוריות.

3. אם העסק שלכם זקוק לחיבור חזק יותר, תוכלו להשתמש ב-Cloud Interconnect. למידע נוסף, קראו את המאמר בחירת מוצרים של Network Connectivity.

המאמרים הבאים

פריסת ההגדרה, שכוללת הגדרות של ההיררכיה והגישה, הרישום ביומן, הרשת והקישוריות ההיברידית.

במהלך השלמת תהליך ההגדרה של Google Cloud , ההגדרות שלכם מהמשימות הבאות נאספות לקובצי הגדרות של Terraform:

• היררכיה וגישה
• אבטחה
• רישום ביומן ומעקב באופן מרוכז
• רשתות VPC
• קישוריות היברידית

כדי להחיל את ההגדרות, בודקים את הבחירות ובוחרים שיטת פריסה.

למי המשימה מיועדת?

אדם בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

מה כוללת המשימה הזו?

פורסים קובצי תצורה כדי להחיל את הגדרות ההגדרה.

למה אנחנו ממליצים לבצע את המשימה הזו?

כדי להחיל את ההגדרות שבחרתם, צריך לפרוס קובצי הגדרות.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.
• יוצרים או מקשרים חשבון לחיוב במשימה Billing.
• מגדירים את ההיררכיה ומקצים גישה במשימה היררכיה וגישה.

מומלץ לבצע את המשימות הבאות:

• כדי לשפר את מצב האבטחה, אפשר להגדיר שירותים ללא עלות במשימה אבטחה.
• אפשר לאחד את נתוני היומן במיקום אחד ולעקוב אחרי כל הפרויקטים מפרויקט אחד באמצעות המשימה רישום מרכזי ביומן ומעקב.
• מגדירים את הרשת הראשונית במשימה VPC networks (רשתות VPC).
• חיבור רשתות עמיתים אל Google Cloud במשימה קישוריות היברידית.

בדיקת פרטי ההגדרה

כדי לוודא שהגדרתם את כל ההגדרות, צריך לבצע את הפעולות הבאות:

1. נכנסים ל Google Cloud מסוף כמשתמשים בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

2. בוחרים את הארגון מהרשימה הנפתחת Select from (בחירה מתוך) בחלק העליון של הדף.

3. עוברים אל Google Cloud הגדרה: פריסה או הורדה.

   מעבר לפריסה או להורדה

4. בודקים את הגדרות התצורה שבחרתם. לוחצים על כל אחת מהכרטיסיות הבאות ובודקים את ההגדרות:

   • היררכיית המשאבים וגישה
   • אבטחה
   • רישום ביומן ומעקב
   • רשתות VPC
   • קישוריות היברידית

פריסת ההגדרה

אחרי שבודקים את פרטי ההגדרה, בוחרים באחת מהאפשרויות הבאות:

• פריסה ישירות מהמסוף: משתמשים באפשרות הזו אם אין לכם תהליך עבודה קיים לפריסת Terraform, ואתם רוצים שיטת פריסה פשוטה. אפשר להשתמש בשיטה הזו רק פעם אחת.

• הורדה ופריסה של קובץ Terraform: משתמשים באפשרות הזו אם רוצים להפוך את ניהול המשאבים לאוטומטי באמצעות תהליך עבודה של פריסת Terraform. אפשר להוריד ולפרוס באמצעות השיטה הזו כמה פעמים.

מבצעים פריסה באמצעות אחת מהאפשרויות הבאות:

המאמרים הבאים

בוחרים תוכנית תמיכה.

במשימה הזו אתם בוחרים חבילת תמיכה שמתאימה לצרכים העסקיים שלכם.

למי המשימה מיועדת?

אדם בקבוצה gcp-organization-admins@YOUR_DOMAIN שנוצרה במשימה משתמשים וקבוצות.

מה כוללת המשימה הזו?

בחירה בחבילת תמיכה בהתאם לצורכי החברה.

למה אנחנו ממליצים לבצע את המשימה הזו?

חבילה של תמיכת Premium מעניקה תמיכה קריטית לעסקים כדי לפתור בעיות במהירות בעזרת המומחים ב- Google Cloud.

בחירת אפשרות תמיכה

אתם מקבלים באופן אוטומטי תמיכת Basic בחינם, שכוללת גישה למשאבים הבאים:

• מסמכי תיעוד
• תמיכה מהקהילה וקבוצות דיון
• תמיכה בבעיות חיוב

אנחנו ממליצים ללקוחות ארגוניים להירשם לתמיכת Premium, שכוללת תמיכה טכנית אישית ממהנדסי התמיכה של Google. כדי להשוות בין חבילות התמיכה, אפשר לעיין במאמר Google Cloud Customer Care.

לפני שמתחילים

צריך להשלים את המשימות הבאות:

• יוצרים משתמש סופר-אדמין ואת הארגון במשימה Organization.
• מוסיפים משתמשים ויוצרים קבוצות במשימה משתמשים וקבוצות.
• מקצים תפקידי IAM לקבוצות במשימה הרשאת אדמין.

הפעלת התמיכה

מזהים את אפשרות התמיכה הרצויה ובוחרים אותה.

1. בודקים ובוחרים תוכנית תמיכה. מידע נוסף זמין במאמר בנושא Google Cloud Customer Care.

2. נכנסים למסוף Google Cloud באמצעות משתמש מהקבוצה gcp-organization-admins@<your-domain>.com שיצרתם במשימה משתמשים וקבוצות.

3. עוברים אל Google Cloud הגדרה: תמיכה.

   מעבר לדף Support

4. בודקים את פרטי המשימה ולוחצים על View support offerings (הצגת אפשרויות התמיכה) כדי לבחור אפשרות תמיכה.

5. אחרי שמגדירים את אפשרות התמיכה, חוזרים לדף Google Cloud הגדרה: תמיכה ולוחצים על סימון המשימה כהושלמה.

המאמרים הבאים

אחרי שמשלימים את Google Cloud ההגדרה, אפשר להרחיב את ההגדרה הראשונית, לפרוס פתרונות מוכנים מראש ולהעביר את תהליכי העבודה הקיימים. מידע נוסף זמין במאמר הרחבת ההגדרה הראשונית והתחלת הפיתוח.