Panduan ini menjelaskan cara menggunakan tenant SaaS Runtime untuk mengatur unit yang di-deploy dan cara men-deploy resource ke project tenant terpisah untuk mengisolasi dan mengelola resource Anda.
Untuk mengetahui ringkasan tenant dan project tenant, lihat Tenant dan project tenant.
Sebelum memulai
Sebelum Anda membuat project atau resource tenant:
- Buat konfigurasi Terraform, repositori Artifact Registry, dan buat artefak yang berisi aplikasi SaaS di project produser Anda. Lihat men-deploy instance layanan dengan Runtime SaaS untuk mempelajari cara menyiapkan penawaran SaaS.
Aktifkan API yang diperlukan oleh SaaS Runtime.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.Pastikan Anda memiliki akun layanan dan peran Identity and Access Management yang diperlukan yang diberikan dalam project produsen. Hal ini mencakup akun layanan yang dibuat pengguna dan izin yang diberikan ke akun
service-PROJECT-NUMBER@gcp-sa-saasservicemgmt.iam.gserviceaccount.comdi project produsen.
Menyiapkan project tenant
Saat Anda menyediakan resource tenant ke dalam project terpisah, resource, kebijakan IAM, kuota, dan konfigurasi jaringan Anda akan dipisahkan untuk setiap tenant, sehingga mengurangi kemungkinan pelanggaran atau kesalahan konfigurasi pada satu tenant memengaruhi tenant lainnya.
Anda akan memerlukan:
- satu project produser, dan
satu project tenant untuk setiap tenant Anda.
Konsol
Untuk menyiapkan project tenant dan produser menggunakan konsol Google Cloud :
- Buat project produsen dan project tenant untuk setiap tenant Anda.
- Aktifkan penagihan di project tenant dan produser Anda.
Aktifkan API yang diperlukan oleh SaaS Runtime di project tenant Anda.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.Pastikan project tenant Anda memiliki akun layanan aktuasi dengan izin yang diperlukan.
Untuk mengetahui detailnya, lihat Akun layanan SaaS Runtime.
Anda telah berhasil menyiapkan project tenant dan produser. Setelah membuat dan mengaktifkan penagihan untuk project produsen dan tenant, Anda dapat membuat resource tenant dan mengaitkan unit dengan tenant.
gcloud
Untuk menyiapkan project produsen dan tenant menggunakan Google Cloud CLI:
Buat project produsen dan project tenant untuk setiap tenant Anda:
gcloud projects create PRODUCER_PROJECT_ID --name="SaaS producer project" [--folder=folder-id] gcloud projects create TENANT_PROJECT_ID --name="SaaS tenant A project" [--folder=folder-id]Ganti:
PRODUCER_PROJECT_ID: ID string yang mewakili ID project produsen.TENANT_PROJECT_ID: ID string yang mewakili project ID tenant.
Aktifkan penagihan untuk project tenant dan produser Anda:
gcloud beta billing projects link PRODUCER_PROJECT_ID --billing-account=BILLING_ACCOUNT_ID gcloud beta billing projects link TENANT_PROJECT_ID --billing-account=BILLING_ACCOUNT_IDGanti:
PRODUCER_PROJECT_ID: ID string yang mewakili ID project produsen.TENANT_PROJECT_ID: ID string yang mewakili project ID tenant.BILLING_ACCOUNT_ID: ID akun penagihan yang ingin Anda kaitkan dengan project tertentu.
Beri akun layanan aktuasi peran Identity and Access Management yang diperlukan untuk setiap project tenant:
gcloud projects add-iam-policy-binding TENANT_PROJECT_ID \ --member='serviceAccount:SERVICE_ACCOUNT@PRODUCER_PROJECT_ID.iam.gserviceaccount.com' \ --role=ROLEGanti:
TENANT_PROJECT_ID: ID string yang mewakili project ID tenant.PRODUCER_PROJECT_ID: ID string yang mewakili ID project produsen.SERVICE_ACCOUNT: Akun layanan yang ingin Anda beri peran dalam project yang ditentukan.ROLE: Peran Identity and Access Management yang akan diberikan.Anda harus menjalankan
gcloud projects add-iam-policy-bindinguntuk setiap peran yang ingin Anda berikan ke akun layanan tertentu (--role='roles/compute.admin', misalnya).
Anda telah berhasil menyiapkan project tenant dan produser. Setelah membuat dan mengaktifkan penagihan untuk project produsen dan tenant, Anda dapat membuat resource tenant dan mengaitkan unit dengan tenant.
Membuat resource tenant
Buat resource tenant di penawaran SaaS Anda untuk merepresentasikan pelanggan Anda:
Di konsol Google Cloud , buka SaaS Runtime > Tenants.
Klik Create.
Di kotak Tenant name, masukkan nama untuk resource tenant Anda.
Opsional: Di kotak Customer resource, berikan resource konsumen dengan setelan yang ditentukan konsumen untuk integrasi.
Di kotak Penawaran SaaS, pilih penawaran SaaS yang ingin Anda kaitkan dengan tenant Anda.
Di drop-down Region, pilih region tempat metadata tenant akan disimpan.
Opsional: Klik Tambahkan label untuk menambahkan label pasangan nilai kunci ke tenant Anda.
Klik Create untuk membuat resource tenant.
Anda telah berhasil membuat resource tenant.
Mengaitkan unit dengan penyewa
Setelah membuat tenant dan men-deploy unit, Anda dapat menautkannya satu sama lain. Asosiasi ini terutama berfungsi sebagai tag organisasi yang membantu Anda mengatur unit mana yang termasuk dalam tenant mana.
Untuk mengetahui informasi selengkapnya tentang men-deploy unit, lihat Men-deploy VM dengan SaaS Runtime.
Untuk mengaitkan unit dengan penyewa:
Di konsol Google Cloud , buka SaaS Runtime > Tenants.
Klik nama penyewa yang ingin Anda kaitkan dengan unit.
Klik Edit.
Di bagian Unit terkait, klik Tambahkan Unit.
Pilih unit yang ingin Anda kaitkan dengan penyewa ini.
Klik Done.
Klik Simpan.
Unit yang dipilih dikaitkan dengan tenant yang ditunjukkan.
Menyediakan unit baru dengan variabel project tenant
Saat menyediakan unit yang terkait dengan tenant, Anda harus memberikan variabel tenant_project_id.
Buka SaaS Runtime > Units di konsol Google Cloud .
Buat unit baru yang terkait dengan jenis unit Anda.
Klik Provision.
Pilih Rilis yang akan disediakan untuk unit tenant Anda.
Pilih akun layanan Actuation yang Anda beri izin di project tenant. Anda harus mengikuti prinsip hak istimewa terendah dan hanya memberikan peran yang diperlukan untuk resource yang dikelola.
Di bagian Variabel Input:
- Pastikan variabel
tenant_project_idtercantum seperti yang Anda tentukan di filevariables.tfkonfigurasi Terraform Anda. - Di kotak Tenant Project ID, berikan nama project tenant Anda.
- Memberikan variabel input yang ditentukan dalam konfigurasi Terraform Anda. Jika Anda belum menentukan variabel lain dalam konfigurasi Terraform, lewati langkah ini.
- Pastikan variabel
Klik Provision.
Runtime SaaS memicu Infrastructure Manager menggunakan akun layanan
penggerak yang ditentukan. Infrastructure Manager membaca variabel tenant_project_id
dan membuat VM di dalam project tenant tersebut.
Menyediakan ulang unit dengan rilis baru
Saat mem-provision ulang unit yang ada dengan rilis baru, Anda harus memberikan variabel tenant_project_id.
Buka SaaS Runtime > Units di konsol Google Cloud .
Pilih unit yang terkait dengan jenis unit Anda.
Klik Edit Provisioning.
Pilih Rilis yang Anda buat dengan konfigurasi Terraform yang diperbarui.
Pilih akun layanan Actuation yang Anda beri izin di project tenant. Anda harus mengikuti prinsip hak istimewa terendah dan hanya memberikan peran yang diperlukan untuk resource yang dikelola.
Di bagian Variabel Input:
- Pastikan variabel
tenant_project_idtercantum seperti yang Anda tentukan di filevariables.tfkonfigurasi Terraform Anda. - Di kotak Tenant Project ID, berikan nama project tenant Anda.
- Memberikan variabel input yang ditentukan dalam konfigurasi Terraform Anda. Jika Anda belum menentukan variabel lain dalam konfigurasi Terraform, lewati langkah ini.
- Pastikan variabel
Klik Update.
Runtime SaaS memicu Infrastructure Manager menggunakan akun layanan
penggerak yang ditentukan. Infrastructure Manager membaca variabel tenant_project_id
dan membuat VM di dalam project tenant tersebut.
Langkah berikutnya
- Pelajari cara mengelola dependensi antar-unit.
- Pelajari lebih lanjut cara menggunakan variabel dan pemetaan variabel.
- Tinjau izin yang diperlukan untuk akun layanan.