Einheiten mit Mietern verknüpfen

In dieser Kurzanleitung ändern Sie Ihr SaaS-Angebot, um die bereitgestellte VM-Einheit einer Mandantenressource zuzuordnen und die VM in einem dedizierten Mandantenprojekt bereitzustellen, das Ihrem Mandanten gehört.

Dieser Ansatz verbessert die Ressourcenisolation, sodass Sie Ressourcen für jeden Mandanten separat verwalten und für Ihr SaaS-Angebot eine bessere Sicherheit und Compliance bieten können.

Wir bauen auf dem Szenario aus dem Schnellstart: VM mit App Lifecycle Manager bereitstellen auf und ändern es so, dass die bereitgestellte VM-Einheit einer Mandantenressource zugeordnet und die VM in einem dedizierten Projekt bereitgestellt wird, das dem Mandanten gehört:

  1. Erstellen Sie eine Mandantenressource in App Lifecycle Manager.
  2. Ordnen Sie eine VM der Mandantenressource zu.
  3. Konfigurieren Sie App Lifecycle Manager und Ihre Terraform-Konfiguration, um Ressourcen in einem separaten Mandantenprojekt bereitzustellen.
  4. Häufige Probleme mit Berechtigungen und der API-Aktivierung bei der projektübergreifenden Bereitstellung beheben

Am Ende dieser Kurzanleitung haben Sie die Grundlage für ein SaaS-Angebot mit mehreren Mandanten geschaffen, mit dem Sie Konfigurationen und Richtlinien auf Mandantenebene festlegen können, indem Sie Mandanten erstellen und sie mit Einheiten verknüpfen.

Hinweis

Bevor Sie Mandanten erstellen oder sie mit Einheiten verknüpfen, sollten Sie sich mit den Grundlagen des App Lifecycle Manager-Ökosystems vertraut machen und ein SaaS-Angebot erstellen.

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    Verify that billing is enabled for your Google Cloud project.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    Verify that billing is enabled for your Google Cloud project.

  2. VM mit App Lifecycle Manager bereitstellen, einschließlich Erstellen einer Terraform-Konfiguration, eines Artifact Registry-Repositorys, eines SaaS-Angebots, eines Einheitentyps, einer Einheit und von Komponenten (einschließlich terraform-files.zip).

    • Prüfen Sie, ob die im Schnellstart im Abschnitt Vorbereitung aufgeführten APIs in Ihrem Erstellerprojekt aktiviert sind.
    • Prüfen Sie, ob Sie die erforderlichen Dienstkonten und IAM-Rollen im Producer-Projekt haben. Dazu gehören das vom Nutzer erstellte Dienstkonto und die Berechtigungen, die dem Konto service-PROJECT-NUMBER@gcp-sa-saasservicemgmt.iam.gserviceaccount.com im Erstellerprojekt gewährt wurden.

  3. Ihr Erstellerprojekt und alle Mandantenprojekte müssen erstellt werden, bevor Sie Ihre Mandantenressourcen erstellen und zuordnen. Weitere Informationen finden Sie unter Mandantenprojekt einrichten.

Mandantenressource erstellen und zuordnen

Mit Mandanten können Sie Einheitenressourcen gruppieren. Erstellen Sie eine tenant-Ressource im SaaS-Angebot Ihres Erstellerprojekts, um Ihren Kunden zu repräsentieren:

  1. Rufen Sie in der Google Cloud Console App Lifecycle Manager > Tenants auf.

    Zu Mandanten

  2. Klicken Sie auf Erstellen.

  3. Geben Sie auf der Seite Mandant erstellen im Feld Mandantenname den Wert vm-quickstart-tenant ein.

  4. Wählen Sie im Feld SaaS-Angebot die Option vm-quickstart-saas-offering aus.

  5. Wählen Sie im Drop-down-Menü Region die Option us-central1 aus.

  6. Klicken Sie auf Einheit hinzufügen. Der Abschnitt Neue Einheit wird angezeigt.

  7. Wählen Sie im Drop-down-Menü Einheit die Einheit projects/YOUR-PROJECT-NAME/locations/us-central1/units/vm-quickstart-unit aus.

  8. Klicken Sie auf Fertig, um die vm-quickstart-unit-Ressource mit der vm-quickstart-tenant-Ressource zu verknüpfen.

  9. Klicken Sie auf Erstellen, um die Mandantenressource zu erstellen. Sie haben die Ressource vm-quickstart-tenant erstellt und der Ressource vm-quickstart-unit zugeordnet. Diese Zuordnung dient in erster Linie als organisatorisches Tag in derGoogle Cloud -Konsole, damit Sie erkennen können, welche Einheiten zu welchem Mandanten gehören.

Mandantenrelease erstellen

  1. Rufen Sie in der Google Cloud Console App Lifecycle Manager > Releases auf.

    Zu Releases

  2. Klicken Sie auf der Seite Releases auf Erstellen.

  3. Geben Sie auf der Seite Release erstellen im Feld Releasename vm-quickstart-tenant-release ein.

  4. Wählen Sie im Feld Einheitentyp die Option vm-quickstart-unit-kind aus. Klicken Sie auf Weiter.

  5. Klicken Sie im Schritt Entwurf auswählen auf den Schalter Vorhandenes Image aus Artifact Registry auswählen.

  6. Klicken Sie im Schritt Store Blueprint auf Durchsuchen und wählen Sie das Artefakt aus, das mit vm-quickstart-tenant-blueprint verknüpft ist. Klicken Sie auf Weiter.

  7. Klicken Sie auf Erstellen. Sie haben die Ressource vm-quickstart-tenant-release erstellt.

Mandantenprojekt erstellen und Einheit bereitstellen

Im Schnellstart: VM mit App Lifecycle Manager bereitstellen stellen Sie App Lifecycle Manager-Ressourcen im selben Projekt bereit, das Ihre SaaS-Angebotkonfiguration enthält.

In dieser Kurzanleitung leiten Sie die Bereitstellung der Ressourcen in das Mandantenprojekt anstelle des Erstellerprojekts weiter.

Bei der Gerätebereitstellung müssen Sie die geänderten Variablen tenant_project_id und tenant_project_number übergeben.

  1. Erstellen Sie ein Mandantenprojekt, in dem Sie die terraform-vm.zip-Dateien bereitstellen:

    gcloud projects create quickstart-tenant-project --name="SaaS Tenant A Project"

  2. Aktivieren Sie APIs und gewähren Sie IAM-Rollen für das Mandantenprojekt. Wenn Sie Einheiten in Ihrem Mandantenprojekt bereitstellen möchten, müssen Sie die Compute Engine API aktivieren und IAM-Rollen für Ihr Mandantenprojekt zuweisen.

APIs in Ihrem Mandantenprojekt aktivieren

Aktivieren Sie die Compute Engine API im Mandantenprojekt über die Google Cloud Konsole:

  1. Rufen Sie die Projektauswahl auf.

    Zur Projektauswahl

  2. Klicken Sie auf Projekt auswählen.

  3. Wählen Sie quickstart-tenant-project aus.

  4. Aktivieren Sie die Compute Engine API.

    Rollen, die zum Aktivieren von APIs erforderlich sind

    Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

    API aktivieren

  5. Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: roles/compute.admin

    Rollen prüfen

    1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.

    3. Suchen Sie in der Spalte Hauptkonto nach allen Zeilen, in denen Sie oder eine Gruppe, zu der Sie gehören, angegeben sind. Fragen Sie Ihren Administrator, zu welchen Gruppen Sie gehören.

    4. Prüfen Sie in allen Zeilen, in denen Sie angegeben oder enthalten sind, die Spalte Rolle, um zu sehen, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriffsrechte erteilen.

    4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.

    5. Klicken Sie auf Rolle auswählen und suchen Sie nach der Rolle.
    6. Klicken Sie auf Weitere Rolle hinzufügen, wenn Sie weitere Rollen zuweisen möchten.
    7. Klicken Sie auf Speichern.

Einheit mit Variablen für Mandantenprojekt bereitstellen

Stellen Sie in Ihrem Producer-Projekt eine neue Einheit mit den Eingabevariablen Ihres Mandantenprojekts bereit:

  1. Rufen Sie die Projektauswahl auf.

    Zur Projektauswahl

  2. Klicken Sie auf Projekt auswählen.

  3. Wählen Sie Ihr Producer-Projekt aus.

  4. Rufen Sie in der Google Cloud -Konsole App Lifecycle Manager > Einheiten auf.

    Zu Einheiten

  5. Wählen Sie die vm-quickstart-unit-Ressource aus.

  6. Klicken Sie auf Bereitstellen.

  7. Wählen Sie die Ressource vm-quickstart-tenant-release aus.

  8. Wählen Sie das Actuation-Dienstkonto aus, dem Sie Berechtigungen im Mandantenprojekt gewährt haben.

  9. Im Bereich Eingabevariablen:

    • Die Variable tenant_project_id wird so aufgeführt, wie Sie sie in variables.tf definiert haben.
    • Geben Sie in das Feld Tenant Project ID (Projekt-ID des Mandanten) quickstart-tenant-project ein.

  10. Klicken Sie auf Bereitstellen.

App Lifecycle Manager löst Infrastructure Manager mit dem angegebenen Dienstkonto aus. Infrastructure Manager liest die Variable tenant_project_id und erstellt die VM in diesem Mandantenprojekt.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud -Konto die auf dieser Seite verwendeten Ressourcen in Rechnung gestellt werden:

  1. Wechseln Sie in der Google Cloud -Console zur Seite Ressourcen verwalten.

    Zu „Ressourcen verwalten“

  2. Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie auf Löschen.
  3. Geben Sie an der Eingabeaufforderung die Projekt-ID ein und klicken Sie auf Beenden.

Nächste Schritte