Menyiapkan project dan resource tenant

Panduan ini menjelaskan cara menggunakan tenant App Lifecycle Manager untuk mengatur unit yang di-deploy dan cara men-deploy resource ke dalam project tenant terpisah untuk mengisolasi dan mengelola resource Anda.

Untuk mengetahui ringkasan tenant dan project tenant, lihat Tenant dan project tenant.

Sebelum memulai

Sebelum Anda membuat project atau resource tenant:

Buat konfigurasi Terraform, repositori Artifact Registry, dan buat artefak yang berisi aplikasi SaaS di project produser Anda. Lihat men-deploy instance layanan dengan App Lifecycle Manager untuk mempelajari cara menyiapkan penawaran SaaS.
Aktifkan API yang diperlukan oleh App Lifecycle Manager.

Peran yang diperlukan untuk mengaktifkan API
Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.
Aktifkan API
Pastikan Anda memiliki akun layanan dan peran Identity and Access Management yang diperlukan yang diberikan dalam project produser. Hal ini mencakup akun layanan yang dibuat pengguna dan izin yang diberikan ke akun service-PROJECT-NUMBER@gcp-sa-saasservicemgmt.iam.gserviceaccount.com di project produsen.

Menyiapkan project tenant

Saat Anda menyediakan resource tenant ke dalam project terpisah, resource, kebijakan IAM, kuota, dan konfigurasi jaringan Anda akan dipisahkan untuk setiap tenant, sehingga mengurangi kemungkinan pelanggaran atau kesalahan konfigurasi pada satu tenant memengaruhi tenant lainnya.

Anda akan memerlukan:

satu project produser, dan
satu project tenant untuk setiap tenant Anda.

Konsol

Untuk menyiapkan project tenant dan produser menggunakan konsol Google Cloud :

Buat project produsen dan project tenant untuk setiap tenant Anda.
Aktifkan penagihan di project tenant dan produser Anda.
Aktifkan API yang diperlukan oleh App Lifecycle Manager di project tenant Anda.

Peran yang diperlukan untuk mengaktifkan API
Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.
Aktifkan API
Pastikan project tenant Anda memiliki akun layanan aktuasi dengan izin yang diperlukan.

Untuk mengetahui detailnya, lihat Akun layanan App Lifecycle Manager.

Anda telah berhasil menyiapkan project tenant dan produser. Setelah membuat dan mengaktifkan penagihan untuk project produsen dan tenant, Anda dapat membuat resource tenant dan mengaitkan unit dengan tenant.

gcloud

Untuk menyiapkan project produsen dan project tenant menggunakan Google Cloud CLI:

Buat project produsen dan project tenant untuk setiap tenant Anda:

gcloud projects create PRODUCER_PROJECT_ID --name="SaaS producer project" [--folder=folder-id]
gcloud projects create TENANT_PROJECT_ID --name="SaaS tenant A project" [--folder=folder-id]

Ganti:

PRODUCER_PROJECT_ID: ID string yang mewakili ID project produsen.
TENANT_PROJECT_ID: ID string yang mewakili ID project tenant.

Aktifkan penagihan untuk project produser dan tenant Anda:
```
 gcloud beta billing projects link PRODUCER_PROJECT_ID --billing-account=BILLING_ACCOUNT_ID
 gcloud beta billing projects link TENANT_PROJECT_ID --billing-account=BILLING_ACCOUNT_ID
```
Ganti:
- PRODUCER_PROJECT_ID: ID string yang mewakili ID project produsen.
- TENANT_PROJECT_ID: ID string yang mewakili ID project tenant.
- BILLING_ACCOUNT_ID: ID akun penagihan yang ingin Anda kaitkan dengan project tertentu.
Catatan: Anda harus menautkan setiap project tenant dengan perintah gcloud beta billing projects link.
Beri akun layanan aktuasi peran Identity and Access Management yang diperlukan untuk setiap project tenant:
```
 gcloud projects add-iam-policy-binding TENANT_PROJECT_ID \
 --member='serviceAccount:SERVICE_ACCOUNT@PRODUCER_PROJECT_ID.iam.gserviceaccount.com' \
 --role=ROLE
```
Ganti:
- TENANT_PROJECT_ID: ID string yang mewakili ID project tenant.
- PRODUCER_PROJECT_ID: ID string yang mewakili ID project produsen.
- SERVICE_ACCOUNT: Akun layanan yang ingin Anda beri peran dalam project yang ditentukan.
- ROLE: Peran Identity and Access Management yang akan diberikan.
  
  Anda harus menjalankan gcloud projects add-iam-policy-binding untuk setiap peran yang ingin Anda berikan ke akun layanan tertentu (--role='roles/compute.admin', misalnya).

Membuat resource tenant

Buat resource tenant di penawaran SaaS Anda untuk merepresentasikan pelanggan Anda:

Di Google Cloud konsol, buka App Lifecycle Manager > Tenants.

Buka Tenant
Klik Create.
Di kotak Tenant name, masukkan nama untuk resource tenant Anda.
Opsional: Di kotak Customer resource, berikan resource konsumen dengan setelan yang ditentukan konsumen untuk integrasi.
Di kotak Penawaran SaaS, pilih penawaran SaaS yang ingin Anda kaitkan dengan tenant Anda.
Di drop-down Region, pilih region tempat metadata tenant akan disimpan.
Opsional: Klik Tambahkan label untuk menambahkan label pasangan nilai kunci ke tenant Anda.
Klik Create untuk membuat resource tenant.

Anda telah berhasil membuat resource tenant.

Mengaitkan unit dengan penyewa

Setelah membuat tenant dan men-deploy unit, Anda dapat menautkannya satu sama lain. Asosiasi ini terutama berfungsi sebagai tag organisasi yang membantu Anda mengatur unit mana yang termasuk dalam tenant mana.

Untuk mengetahui informasi selengkapnya tentang men-deploy unit, lihat Men-deploy VM dengan App Lifecycle Manager.

Untuk mengaitkan unit dengan penyewa:

Di Google Cloud konsol, buka App Lifecycle Manager > Tenants.

Buka Tenant
Klik nama penyewa yang ingin Anda kaitkan dengan unit.
Klik Edit.
Di bagian Unit terkait, klik Tambahkan Unit.
Pilih unit yang ingin Anda kaitkan dengan penyewa ini.
Klik Done.
Klik Simpan.

Unit yang dipilih dikaitkan dengan penyewa yang ditunjukkan.

Menyediakan unit baru dengan variabel project tenant

Saat menyediakan unit yang terkait dengan tenant, Anda harus memberikan variabel tenant_project_id.

Buka App Lifecycle Manager > Units di konsol Google Cloud .

Buka Unit
Buat unit baru yang terkait dengan jenis unit Anda.
Klik Provision.
Pilih Rilis yang akan disediakan untuk unit tenant Anda.
Pilih akun layanan Actuation yang Anda beri izin di project tenant. Anda harus mengikuti prinsip hak istimewa terendah dan hanya memberikan peran yang diperlukan untuk resource yang dikelola.
Di bagian Variabel Input:
1. Pastikan variabel tenant_project_id tercantum seperti yang Anda tentukan di file variables.tf konfigurasi Terraform Anda.
2. Di kotak Tenant Project ID, berikan nama project tenant Anda.
3. Memberikan variabel input yang ditentukan dalam konfigurasi Terraform Anda. Jika Anda belum menentukan variabel lain dalam konfigurasi Terraform, lewati langkah ini.
Klik Provision.

App Lifecycle Manager memicu Infrastructure Manager menggunakan akun layanan pengaktifan yang ditentukan. Infrastructure Manager membaca variabel tenant_project_id dan membuat VM di dalam project tenant tersebut.

Menyediakan ulang unit dengan rilis baru

Saat mem-provision ulang unit yang ada dengan rilis baru, Anda harus memberikan variabel tenant_project_id.

Buka App Lifecycle Manager > Units di konsol Google Cloud .

Buka Unit
Pilih unit yang terkait dengan jenis unit Anda.
Klik Edit Provisioning.
Pilih Rilis yang Anda buat dengan konfigurasi Terraform yang diperbarui.
Pilih akun layanan Actuation yang Anda beri izin di project tenant. Anda harus mengikuti prinsip hak istimewa terendah dan hanya memberikan peran yang diperlukan untuk resource yang dikelola.
Di bagian Variabel Input:
1. Pastikan variabel tenant_project_id tercantum seperti yang Anda tentukan di file variables.tf konfigurasi Terraform Anda.
2. Di kotak Tenant Project ID, berikan nama project tenant Anda.
3. Memberikan variabel input yang ditentukan dalam konfigurasi Terraform Anda. Jika Anda belum menentukan variabel lain dalam konfigurasi Terraform, lewati langkah ini.
Klik Update.

Langkah berikutnya

Pelajari cara mengelola dependensi antar-unit.
Pelajari lebih lanjut cara menggunakan variabel dan pemetaan variabel.
Tinjau izin yang diperlukan untuk akun layanan.