Google Cloud 设置引导式流程
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
在 Google Cloud上运行工作负载之前,我们建议管理员使用 Google Cloud 设置来配置基础。基础包含有助于您整理、管理和维护Google Cloud 资源的基本设置。
使用 Google Cloud 设置中的交互式指南,您可以快速部署默认配置,也可以根据业务需求进行调整:
前往 Google Cloud 设置
本文档概述了帮助您完成设置过程的步骤和背景信息,包括以下阶段:
选择基础架构选项:根据您要支持的工作负载,选择概念验证、生产或增强型安全基础。
建立组织、管理员和结算:设置层次结构的顶级节点,创建初始管理员用户并分配访问权限,并关联支付方式。
创建初始架构:选择初始文件夹和项目结构,应用安全设置,配置日志记录和监控,并设置网络。
部署设置:在 Terraform 配置文件中编译初始架构选项。您可以通过 Google Cloud 控制台快速部署,也可以下载文件以使用您自己的工作流进行自定义和迭代。部署后,选择支持方案。
选择 Google Cloud 设置基础选项
如需开始使用 Google Cloud 设置,您可以根据您的组织需求选择以下基础选项之一:
概念验证:在兼顾基本安全性的情况下为概念验证工作负载提供支持。此选项会引导您完成组织和结算任务。例如,您可以选择此选项,在做出更大的承诺之前先试用 Google Cloud。
生产:在兼顾安全性和可伸缩性的情况下为可用于生产用途的工作负载提供支持。此选项包括本文档中的所有 Google Cloud 设置任务。例如,您可以选择此选项为组织配置安全且可扩缩的基础。
增强型安全:包含生产基础中的所有任务,以及安全任务中的其他安全选项。例如,如果您的组织受到严格的安全要求约束,您可以选择此选项。
如需选择基础选项,请执行以下操作:
前往Google Cloud 设置:基础。
前往“基础”
点击以下任一选项下的开始:
执行下列其中一项操作:
创建概念验证基础
概念验证基础可帮助您执行以下操作:
- 组织和结算任务。
- 通过控制台进行轻量级部署,其中包含以下内容:
- 概念验证文件夹和项目。
- 组织和结算管理员群组。
- 建议的组织政策。
如需创建概念验证基础,请执行以下操作:
完成组织任务。
配置身份提供方,验证您的域名,然后生成组织。
以您在组织任务中创建的超级用户身份登录控制台。
选择概念验证基础选项。
确保选择您创建的组织,然后点击继续进行结算设置。
系统会创建 gcp-organization-admins 和 gcp-billing-admins 群组,并将您添加为每个群组的成员。
选择或创建一个结算账号。如需了解详情,请参阅结算任务。
点击继续查看和部署基础。
在查看和部署配置界面中,查看以下草稿配置:
点击部署。概念验证基础已部署。
如需了解如何进行试验和构建,请参阅构建 Google Cloud 架构。
建立组织、管理员和结算
组织
Google Cloud 中的组织资源代表您的企业,是层次结构的顶级节点。如需创建组织,您需要设置 Google Identity 服务,并将其与您的域名关联。完成此过程后,系统会自动创建组织资源。
如需大致了解组织资源,请参阅以下内容:
以下两个管理员执行此任务:
您在此任务中执行的操作
- 设置 Cloud Identity,为超级用户创建受管用户账号(如果您尚未设置)。
- 将 Cloud Identity 关联到您的网域(例如 example.com)。example.com
- 验证域名。此过程会创建资源层次结构的根节点,称为组织资源。
我们为何建议执行此任务
您必须在 Google Cloud 基础中配置以下内容:
- 用于集中管理身份的 Google Identity 服务。
- 用于建立层次结构的根节点和访问权限控制的组织资源。
Google Identity 服务选项
您可以使用以下任一 Google Identity 服务或同时使用两者来管理 Google Cloud 用户的凭据:
- Cloud Identity:集中管理用户和群组。您可以在 Google 与其他身份提供方之间联合身份。如需了解详情,请参阅 Cloud Identity 概览。
- Google Workspace:管理用户和群组,并提供对效率和协作产品(如 Gmail 和 Google 云端硬盘)的访问权限。如需了解详情,请参阅 Google Workspace。
如需详细了解身份规划,请参阅为公司身份规划新手入门流程。
准备工作
如需了解如何管理超级用户账号,请参阅超级用户账号最佳实践。
您在此任务中需要完成的步骤取决于您是新客户还是现有客户。确定符合您需求的选项:
新客户:设置 Cloud Identity,验证您的域名并创建组织。
现有 Google Workspace 客户:将 Google Workspace 用作访问 Google Workspace 和 Google Cloud的用户的身份提供方。如果您打算创建仅访问 Google Cloud的用户,请启用 Cloud Identity。
现有 Cloud Identity 客户:验证您的域名,确保您的组织已创建,并确认 Cloud Identity 已启用。
新客户
新客户:设置 Cloud Identity 并创建组织
如需创建组织资源,请先设置 Cloud Identity,它可帮助您管理访问 Google Cloud 资源的用户和群组。
在此任务中,您将设置 Cloud Identity 免费版。您可以在完成初始设置后启用 Cloud Identity 专业版。如需了解详情,请参阅比较 Cloud Identity 功能和版本。
确定在您的组织中担任 Cloud Identity 管理员(也称为超级用户)的人员
按以下格式记录管理员的用户名:admin-name@example.com。例如 [email protected]。创建第一个管理员用户时,请指定此用户名。
如需完成设置过程并创建超级用户账号,请打开 Cloud Identity 注册页面。
如果您在设置管理员账号时收到错误消息,请参阅“Google 账号已存在”错误。
验证您的域名并创建组织资源
Cloud Identity 要求您验证自己是域名所有者。验证完成后,系统会自动为您创建 Google Cloud 组织资源。
确保您已在配置身份提供方时创建了超级用户账号。
在 Cloud Identity 中验证您的域名。完成验证流程时,请注意以下事项:
如需了解验证域名的步骤,请参阅验证您的域名。
完成域名验证步骤后,点击立即设置 Google Cloud 控制台。
使用您指定的邮箱以超级用户身份登录 Google Cloud 控制台。例如,[email protected]。
前往Google Cloud 设置:组织。您的组织会自动创建。
进入“组织”
从页面顶部的请选择下拉列表中选择您的组织。
申请更多 Cloud Identity 用户许可
Cloud Identity 免费版具有用户许可配额。如需了解查看和申请许可的步骤,请参阅 Cloud Identity 免费版的用户数上限。
Workspace 客户
现有 Google Workspace 客户:验证您的域名并启用 Cloud Identity
如果您是现有 Google Workspace 客户,请验证您的域名,确保组织资源已自动创建,并视情况启用 Cloud Identity。
如需在 Google Workspace 中验证您的域名,请参阅验证您的域名。完成验证流程时,请注意以下事项:
以超级用户身份登录 Google Cloud 控制台。
前往Google Cloud 设置:组织。
进入“组织”
选择我已经是 Google Workspace 客户。
确保您的组织名称显示在组织列表中。
如果您要创建访问 Google Cloud的用户,但未收到 Google Workspace 许可,请执行以下操作。
在 Google Workspace 中,启用 Cloud Identity。
设置 Cloud Identity 时,请停用自动分配 Google Workspace 许可的功能。
Cloud Identity 客户
现有 Cloud Identity 客户:验证您的域名
如果您是现有 Cloud Identity 客户,请确保您已验证您的域名,并且组织资源已自动创建。
如需确保您已验证域名,请参阅验证您的域名。完成验证流程时,请注意以下事项:
以超级用户身份登录 Google Cloud 控制台。
前往Google Cloud 设置:组织。
进入“组织”
选择我已经是 Cloud Identity 客户。
确保您的组织名称显示在组织列表中。
确保已在 Google 管理控制台:订阅中启用 Cloud Identity。以超级用户身份登录。
后续步骤
创建群组并添加成员。
用户和群组
在此任务中,您将设置身份、用户和群组,以管理对Google Cloud 资源的访问权限。
如需详细了解 Google Cloud上的访问权限管理,请参阅以下内容:
如果您拥有以下项之一,则可以执行此任务:
- 您在组织任务中创建的 Google Workspace 或 Cloud Identity 超级用户。
- 拥有以下 IAM 角色之一:
- Organization Administrator (
roles/resourcemanager.organizationAdmin).
- Workforce Identity Pool Admin (
roles/iam.workforcePoolAdmin)。
您在此任务中执行的操作
我们为何建议执行此任务
此任务可帮助您实现以下安全最佳实践:
您可以使用群组高效地将 IAM 角色应用于一组用户。这种做法可帮助您简化访问管理。
选择身份提供方
您可以使用以下选项之一管理用户和群组,并将其连接到 Google Cloud:
- Google Workspace 或 Cloud Identity:您可以在 Google Workspace 或 Cloud Identity 中创建和管理用户及群组。您可以稍后选择与外部身份提供方同步。
- 外部身份提供方(例如 Microsoft Entra ID 或 Okta):您可以在外部身份提供方中创建和管理用户及群组。然后,将提供方连接到 Google Cloud 以启用单点登录。
如需选择身份提供方,请执行以下操作:
以您在执行此任务的人员中标识的某个用户身份登录 Google Cloud 控制台。
前往Google Cloud 设置:用户和群组。
进入“用户和群组”
查看任务详细信息,然后点击继续设置身份。
在选择您的身份提供方页面上,选择以下选项之一以开始引导式设置:
- 通过 Google 集中管理 Google Cloud 用户:使用 Google Workspace 或 Cloud Identity 以经过验证的网域的超级用户身份预配和管理用户及群组。您稍后可以与外部身份提供方同步。
- Microsoft Entra ID (Azure AD):使用 OpenID Connect 配置与 Microsoft Entra ID 的连接。
- Okta:使用 OpenID Connect 配置与 Okta 的连接。
- OpenID Connect:使用 OpenID 协议连接到兼容的身份提供方。
- SAML:使用 SAML 协议连接到兼容的身份提供方。
- 暂不设置外部 IdP:如果您拥有外部身份提供方,但还没有准备好将其连接到 Google Cloud,则可以在 Google Workspace 或 Cloud Identity 中创建用户和群组。
点击继续。
如需了解后续步骤,请参阅以下内容之一:
在 Cloud Identity 中创建用户和群组
如果您还没有身份提供方,或者尚未准备好将身份提供方连接到 Google Cloud,则可以在 Cloud Identity 或 Google Workspace 中创建和管理用户及群组。如需创建用户和群组,请执行以下操作:
- 为每个建议的管理功能(包括组织、结算和网络管理)创建一个群组。
- 为管理员创建受管理的用户账号。
- 将用户分配到与其职责相对应的管理员群组。
准备工作
创建管理员群组
群组是 Google 账号和服务账号的指定集合。每个群组都有一个唯一的电子邮件地址,例如 [email protected][email protected]。您可以创建群组来管理用户和大规模应用 IAM 角色。
建议您使用以下群组来帮助管理组织的核心功能并完成 Google Cloud 设置过程。
| 组
|
说明 |
gcp-organization-admins
|
管理所有组织资源。请仅将此角色分配给最受信任的用户。
|
gcp-billing-admins
|
设置结算账号并监控使用情况。
|
gcp-network-admins
|
创建 Virtual Private Cloud 网络、子网和防火墙规则。 |
gcp-hybrid-connectivity-admins
|
创建网络设备,例如 Cloud VPN 实例和 Cloud Router 路由器。 |
gcp-logging-monitoring-admins
|
使用所有 Cloud Logging 和 Cloud Monitoring 功能。
|
gcp-logging-monitoring-viewers
|
拥有部分日志和监控数据的只读权限。
|
gcp-security-admins
|
建立和管理整个组织的安全策略,包括访问权限管理和组织限制政策。
如需详细了解如何规划 Google Cloud 安全基础设施,请参阅 Google Cloud 企业基础蓝图。 |
gcp-developers
|
设计应用、编写代码和测试应用。
|
gcp-devops
|
创建或管理支持持续集成和交付、监控和系统预配的端到端流水线。
|
如需创建管理员群组,请执行以下操作:
选择 Google 作为您的提供方。
在创建群组页面上,查看建议的管理员群组列表,然后执行以下操作之一:
- 如需创建所有建议的群组,请点击创建所有群组。
- 如果您想创建一部分建议的群组,请点击所选行中的创建。
点击继续。
创建管理员用户
我们建议您首先添加完成组织、网络、结算和其他设置过程的用户。您可以在完成 Google Cloud 设置过程后添加其他用户。
如需添加执行 Google Cloud 设置任务的管理员用户,请执行以下操作:
将消费者账号迁移到由 Cloud Identity 控制的受管理的用户账号。如需了解详细步骤,请参阅以下内容:
使用超级用户账号登录 Google 管理控制台。
使用以下任一选项添加用户:
添加完用户后,返回到Google Cloud 设置:用户和群组(创建用户)。
点击继续。
将管理员用户添加到群组
将您创建的用户添加到与其职责对应的管理员群组。
- 确保您已创建管理员用户。
在Google Cloud 设置:用户和群组(将用户添加到群组)中,查看步骤详细信息。
在每个群组行中,执行以下操作:
- 点击添加成员。
- 输入用户的电子邮件地址。
从群组角色下拉列表中,选择用户的群组权限设置。如需了解详情,请参阅设置哪些人拥有查看、发帖和审核权限。
无论您选择哪个群组角色,每个成员都会继承您授予群组的所有 IAM 角色。
如需向此群组添加其他用户,请点击添加其他成员,然后重复这些步骤。 我们建议您在每个群组中添加多个成员。
向此群组添加完用户后,点击保存。
向所有群组添加完用户后,点击确认用户和群组。
如果您想将身份提供方与 Google Cloud联合,请参阅以下内容:
将外部身份提供方连接到 Google Cloud
您可以使用现有的身份提供方创建和管理群组及用户。您可以通过设置与外部身份提供方的员工身份联合来配置 Google Cloud 单点登录。如需了解此流程的主要概念,请参阅员工身份联合。
如需连接外部身份提供方,您需要完成引导式设置,其中包括以下步骤:
- 创建员工池:员工身份池可帮助您管理身份及其对资源的访问权限。您需要以人类可读的格式输入以下详细信息。
- 员工池 ID:IAM 中使用的全局唯一标识符。
- 提供方 ID:提供方的名称,即用户在登录 Google Cloud时指定的名称。
- 在提供方中配置 Google Cloud :引导式设置包含针对您的提供方的具体步骤。
- 输入提供方的员工池详细信息:如需将提供方添加为受信任的授权机构以声明身份,请从提供方检索详细信息并将其添加到 Google Cloud:
- 配置一组初始管理员群组:引导式设置包含针对您的提供方的具体步骤。您需要在提供方中分配群组,并建立与 Google Cloud的连接。如需详细了解每个群组,请参阅创建管理员群组。
- 为每个群组分配用户:我们建议您为每个群组分配多个用户。
如需了解每个提供方的连接流程的背景信息,请参阅以下内容:
后续步骤
为管理员群组分配权限。
管理员权限
在本任务中,您将使用 Identity and Access Management (IAM) 在组织级层为管理员群组分配权限集合。此过程使管理员可以集中查看和控制属于您组织的每个云资源。
如需大致了解 Google Cloud中的 Identity and Access Management,请参阅 IAM 概览。
如需执行此任务,您必须具有以下任一身份:
- 超级用户。
- 具有 Organization Administrator 角色 (
roles/resourcemanager.organizationAdmin) 的用户。
您在此任务中执行的操作
我们为何建议执行此任务
您必须为组织明确授予所有管理员角色。此任务可帮助您实现以下安全最佳实践:
准备工作
完成以下任务:
- 在组织任务中创建超级用户和您的组织。
- 在用户和群组任务中添加用户并创建群组。
向管理员群组授予访问权限
如需向在用户和群组任务中创建的每个管理员群组授予适当的访问权限,请查看分配给每个群组的默认角色。您可以添加或移除角色以自定义每个组的访问权限。
确保您以超级用户身份登录 Google Cloud 控制台。
或者,您也可以使用具有 Organization Administrator 角色 (roles/resourcemanager.organizationAdmin) 的用户身份登录。
前往Google Cloud 设置:管理员权限。
进入“管理员权限”
从页面顶部的请选择下拉列表中选择您的组织名称。
查看任务概览,然后点击继续设置管理员权限。
在群组(主账号)列中,查看您在用户和群组任务中创建的群组。
对于每个群组,查看默认的 IAM 角色。您可以添加或移除分配给每个群组的角色,以满足组织的独特需求。
每个角色都包含允许用户执行相关任务的多个权限。如需详细了解每个角色的权限,请参阅 IAM 基本角色和预定义角色参考文档。
准备好为每个群组分配角色后,点击保存并授予访问权限。
后续步骤
设置结算。
结算
在此任务中,您将设置一个结算账号来支付 Google Cloud资源的费用。为此,请将以下账号之一与您的组织关联。
如需详细了解结算,请参阅 Cloud Billing 文档。
您在用户和群组任务中创建的 gcp-billing-admins@YOUR_DOMAIN 群组中的人员。
您在此任务中执行的操作
- 创建或使用现有的自助 Cloud Billing 账号。
- 决定是否从自助账号转换为账单结算账号。
- 设置 Cloud Billing 账号和付款方式。
我们为何建议执行此任务
Cloud Billing 账号与一个或多个 Google Cloud 项目相关联,且用于支付您使用的资源(如虚拟机、网络和存储空间)的费用。
确定您的结算账号类型
您关联到组织的结算账号为以下类型之一。
您无法在线创建账单结算账号,但可以申请将自助账号转换为账单结算账号。
如需了解详情,请参阅 Cloud Billing 账号类型。
准备工作
完成以下任务:
- 在组织任务中创建超级用户和您的组织。
- 在用户和群组任务中添加用户并创建群组。
- 在管理员权限任务中,将 IAM 角色分配给群组。
设置结算账号
现在您已经选择了结算账号类型,接下来请将结算账号与您的组织相关联。完成此过程后,您便可以使用结算账号支付 Google Cloud 资源的费用。
以 gcp-billing-admins@YOUR_DOMAIN 群组中的用户身份登录 Google Cloud 控制台。
前往Google Cloud 设置:结算。
前往“结算”
查看任务概览,然后点击继续结算。
选择以下结算账号选项之一:
创建新账号
如果您的组织还没有账号,请创建一个新账号。
- 选择我要创建新的结算账号。
- 点击继续。
选择要创建的结算账号类型。如需了解详细步骤,请参阅以下内容:
验证您的结算账号已创建:
如果您创建了账单结算账号,最多可能需要等待 5 个工作日才会收到电子邮件确认。
打开“结算”页面。
从页面顶部的请选择列表中选择您的组织。如果账号已成功创建,则会显示在结算账号列表中。
使用我的现有账号
如果您已有结算账号,则可以将其与组织关联。
- 选择我从此列表中找到了我想要用于完成设置步骤的结算账号。
- 从结算下拉列表中,选择要与组织关联的账号。
- 点击继续。
- 查看详细信息,然后点击确认结算账号。
使用其他用户的账号
如果其他用户具有现有结算账号的访问权限,您可以请该用户将结算账号与您的组织关联,或者该用户可为您提供权限来完成关联操作。
- 选择我想使用由其他 Google 用户账号管理的结算账号。
- 点击继续。
- 输入结算账号管理员的电子邮件地址。
- 点击联系管理员。
- 等待结算账号管理员与您联系并提供进一步指示。
后续步骤
创建资源层次结构并分配访问权限。
创建初始架构
层次结构和访问权限
在此任务中,您将通过创建和分配对以下资源的访问权限来设置资源层次结构:
- 文件夹
- 在项目之间提供分组机制和隔离边界。例如,文件夹可代表您组织中的主要部门(例如财务或零售),也可代表环境(例如生产或非生产)。
- 项目
- 包含 Google Cloud 资源,例如虚拟机、数据库和存储桶。
如需了解在项目中组织资源的设计注意事项和最佳实践,请参阅确定 Google Cloud 着陆区的资源层次结构。
您在用户和群组任务中创建的 gcp-organization-admins@YOUR_DOMAIN 群组中的人员可以执行此任务。
您在此任务中执行的操作
- 创建包含文件夹和项目的初始层次结构。
- 设置 IAM 政策以控制对文件夹和项目的访问权限。
我们为何建议执行此任务
为文件夹和项目创建结构可帮助您管理Google Cloud 资源,并根据组织的运营方式分配访问权限。例如,您可以根据组织独特的地理区域、子公司结构或责任框架来整理和提供资源的访问权限。
规划资源层次结构
资源层次结构可帮助您创建边界,并在整个组织中共享常见任务的资源。根据您的组织结构,您可以使用以下初始配置之一创建层次结构:
以环境为中心的简单层次结构:
- 隔离不同的环境,例如
Non-production 和 Production。
- 在每个环境文件夹中实施不同的政策、监管要求和访问权限控制。
- 适合采用集中式环境的小型公司。
以团队为中心的简单层次结构:
- 隔离不同的团队,例如
Development 和 QA。
- 使用每个团队文件夹下的子环境文件夹隔离对资源的访问权限。
- 适合拥有多个自主团队的小型公司。
以环境为中心的层次结构:
- 优先隔离环境,例如
Non-production 和 Production。
- 在每个环境文件夹下,隔离业务部门。
- 在每个业务部门下,隔离团队。
- 适合采用集中式环境的大型公司。
以业务部门为中心的层次结构:
- 优先隔离业务部门(例如
Human Resources 和 Engineering),以确保用户只能访问自己需要的资源和数据。
- 在每个业务部门下,隔离团队。
- 在每个团队下,隔离环境。
- 适合拥有多个自主团队的大型公司。
每种配置都有一个 Common 文件夹,用于包含共享资源的项目。这可能包括日志记录和监控项目。
准备工作
完成以下任务:
- 在组织任务中创建超级用户和您的组织。
- 在用户和群组任务中添加用户并创建群组。
- 在管理员权限任务中,将 IAM 角色分配给群组。
- 在结算任务中创建或关联结算账号。
配置初始文件夹和项目
选择代表您的组织结构的资源层次结构。
如需配置初始文件夹和项目,请执行以下操作:
以您在用户和群组任务中创建的 gcp-organization-admins@YOUR_DOMAIN 群组中的用户身份登录 Google Cloud 控制台。
从页面顶部的请选择下拉列表中选择您的组织。
前往Google Cloud 设置:层次结构和访问权限。
进入“层次结构和访问权限”
查看任务概览,然后点击资源层次结构旁边的开始。
选择起始配置。
点击继续并配置。
自定义资源层次结构以反映您的组织结构。例如,您可以自定义以下内容:
点击继续。
授予对文件夹和项目的访问权限。
在管理员权限任务中,您在组织级层向管理员授予了对群组的访问权限。在此任务中,您将配置与新配置的文件夹和项目交互的群组的访问权限。
项目、文件夹和组织都有自己的 IAM 政策,这些政策通过资源层次结构继承:
- 组织:政策适用于组织中的所有文件夹和项目。
- 文件夹:政策适用于项目中的项目和其他文件夹。
- 项目:政策仅适用于该项目及其资源。
更新文件夹和项目的 IAM 政策:
在层次结构和访问权限的配置访问权限控制部分,向群组授予对文件夹和项目的访问权限:
在表格中,查看为每个群组授予的每个资源的建议 IAM 角色列表。
如果要修改分配给每个群组的角色,请点击所需行中的修改。
如需详细了解每个角色,请参阅 IAM 基本角色和预定义角色。
点击继续。
检查您的更改,然后点击确认草稿配置。
后续步骤
配置安全设置。
安全性
在此任务中,您将配置安全设置和产品,以帮助保护您的组织。
您必须满足以下条件之一才能完成此任务:
- Organization Administrator 角色 (
roles/resourcemanager.organizationAdmin)。
- 您在用户和群组任务中创建的以下某个群组的成员:
gcp-organization-admins@.comgcp-security-admins@.com
您在此任务中执行的操作
根据以下类别应用建议的组织政策:
- 访问权限管理。
- 服务账号行为。
- VPC 网络配置。
- Cloud KMS with Autokey - 仅适用于增强型安全选项(预览版)。
您还可以通过 Security Command Center 集中管理漏洞和威胁报告。
我们为何建议执行此任务
应用推荐的组织政策有助于限制不符合您的安全状况的用户操作。
启用 Security Command Center 可帮助您创建中心位置来分析漏洞和威胁。
通过强制使用和自动化 Cloud KMS with Autokey,您可以始终使用客户管理的加密密钥 (CMEK) 来保护您的资源。
准备工作
完成以下任务:
- 在组织任务中创建超级用户和您的组织。
- 在用户和群组任务中添加用户并创建群组。
- 在管理员权限任务中,将 IAM 角色分配给群组。
启动安全任务
以您在执行此任务的人员中标识的用户身份登录 Google Cloud 控制台。
从页面顶部的请选择下拉列表中选择您的组织。
前往Google Cloud 设置:安全性。
转到“安全”
查看任务概览,然后点击开始设置安全措施。
集中管理漏洞和威胁报告
如需集中漏洞和威胁报告服务,请启用 Security Command Center。
这有助于您强化安全状况并缓解风险。如需了解详情,请参阅 Security Command Center 概览。
在Google Cloud 设置:安全性页面上,确保启用 Security Command Center:标准层级复选框处于启用状态。
此任务会启用免费标准层级。您可以稍后升级到付费版本。如需了解详情,请参阅 Security Command Center 服务层级。
点击应用 Security Command Center 配置。
应用建议的组织政策
组织政策在组织级层应用,并由文件夹和项目继承。在此任务中,请查看并应用建议的政策列表。您可以随时修改组织政策。如需了解详情,请参阅组织政策服务简介。
查看建议的组织政策列表。如果您不想应用建议的政策,请点击其复选框以将其移除。
如需详细了解每个组织政策,请参阅组织政策限制条件。
点击确认组织政策配置。
在后续任务中部署配置时,系统会应用您选择的组织政策。
强制使用并自动管理客户加密密钥
借助 Cloud KMS with Autokey,组织中的开发者可以在需要保护 Google Cloud资源时创建对称加密密钥。
- 查看 Cloud KMS with Autokey 的说明,然后在使用 Cloud KMS with Autokey 并应用组织政策部分点击是(推荐)。
- 点击确认密钥管理配置。
在后续任务中部署配置时,系统会应用以下配置:
- 在层次结构的每个环境文件夹中设置 Autokey 项目。
- 在环境文件夹中启用 Cloud KMS with Autokey。
- 要求对每个环境文件夹中创建的资源使用客户管理的加密密钥 (CMEK)。
- 限制每个文件夹仅在该文件夹的 Autokey 项目中使用 Cloud KMS 密钥。
后续步骤
集中日志记录和监控。
集中日志记录和监控
在此任务中,您将配置以下各项:
- 集中日志记录,可帮助您分析组织中所有项目的日志,并从中获得分析洞见。
- 集中监控,可帮助您直观查看在此设置中创建的所有项目的指标。
如需设置日志记录和监控,您必须具有以下角色之一:
- Logging Admin (
roles/logging.admin) 和 Monitoring Admin (roles/monitoring.admin) 角色。
- 您在用户和群组任务中创建的以下某个群组的成员资格:
gcp-organization-admins@YOUR_DOMAINgcp-security-admins@YOUR_DOMAINgcp-logging-monitoring-admins@YOUR_DOMAIN
您在此任务中执行的操作
在此任务中,您将执行以下操作:
- 集中整理整个组织的各个项目中创建的日志,以便满足安全性、审核和合规性需求。
- 配置一个集中监控项目,使其有权访问您在此设置中创建的各个项目的监控指标。
我们为何建议执行此任务
日志存储和保留可简化分析并保留审核跟踪记录。
集中监控可让您在一个位置查看指标。
准备工作
完成以下任务:
集中管理日志记录
借助 Cloud Logging,您可以存储、搜索、分析、监控 Google Cloud中的日志数据和事件,并根据这些数据和事件发出提醒。您还可以从应用、本地资源和其他云平台收集日志并进行处理。我们建议您使用 Cloud Logging 将日志整合到单个日志存储桶中。
详情请参阅以下内容:
如需将日志数据存储在中央日志存储桶中,请执行以下操作:
以您在执行此任务的人员中标识的用户身份登录 Google Cloud 控制台。
从页面顶部的请选择下拉列表中选择您的组织。
前往Google Cloud 设置:集中日志记录和监控。
前往“集中日志记录和监控”
查看任务概览,然后点击开始集中日志记录和监控流程。
查看任务的详细信息。
如需将日志路由到中央日志存储桶,请确保选择将组织级审核日志存储到日志存储桶中。
展开将日志路由到 Logging 日志存储桶,然后执行以下操作:
在日志存储桶名称字段中,输入中央日志存储桶的名称。
从日志存储桶区域列表中,选择存储日志数据的区域。
如需了解详情,请参阅记录存储桶位置。
默认情况下,日志会存储 30 天。我们建议大型企业将日志存储 365 天。如需自定义保留期限,请在保留期限字段中输入天数。
存储时间超过 30 天的日志会产生保留费用。如需了解详情,请参阅 Cloud Logging 价格摘要。
将日志导出到 Google Cloud之外
如果要将日志导出到 Google Cloud之外的目标位置,则可以使用 Pub/Sub 导出。例如,如果您使用多个云服务提供商,则可能会决定将每个云服务提供商的日志数据导出到第三方工具。
您可以过滤导出的日志,以满足您的独特需求和要求。例如,您可以选择限制导出的日志类型,以控制费用或减少数据中的噪声。
如需详细了解如何导出日志,请参阅以下内容:
如需导出日志,请执行以下操作:
点击将日志流式传输到其他应用、其他存储库或第三方。
在 Pub/Sub 主题 ID 字段中,输入包含所导出日志的主题的标识符。如需了解如何订阅主题,请参阅拉取订阅。
如需选择要导出的日志,请执行以下操作:
如需了解每种日志类型,请参阅了解 Cloud Audit Logs。
如需阻止导出以下推荐的某个日志,请点击包含项过滤条件列表,然后清除相应日志的复选框:
- Cloud Audit Logs:管理员活动:修改资源配置或元数据的 API 调用或操作。
- Cloud Audit Logs:系统事件:修改资源配置的 Google Cloud 操作。
- Access Transparency:Google 员工在访问客户内容时所执行的操作。
选择以下其他日志以导出它们:
- Cloud Audit Logs:数据访问:读取资源配置或元数据的 API 调用,以及用户进行的创建、修改或读取用户所提供资源数据的 API 调用。
- Cloud Audit Logs:政策拒绝:基于安全政策违规的针对用户或服务账号的 Google Cloud 服务访问拒绝。
仅当在项目或资源中启用了您在此步骤中选择的日志时,系统才会导出这些日志。如需了解在部署配置后为项目和资源更改日志过滤条件的步骤,请参阅包含项过滤条件。
点击确定。
点击继续监控。
设置集中监控
集中监控可帮助您分析多个项目的系统健康状况、性能和安全性。在此任务中,您将在层次结构和访问权限任务中创建的项目添加到范围限定项目中。然后,您可以从范围限定项目监控这些项目。完成 Cloud 设置后,您可以将其他项目配置为由范围限定项目进行监控。
如需了解详情,请参阅指标范围概览。
如需设置集中监控,请执行以下操作:
如需将 Google Cloud 设置期间创建的项目配置为进行集中监控,请确保选择使用集中监控。
您在 Google Cloud 设置期间创建的项目会添加到列出的范围限定项目的指标范围。
Cloud Monitoring 每个月有免费的配额。如需了解详情,请参阅 Cloud Monitoring 价格摘要。
如需了解如何配置在 Google Cloud 设置之外创建的项目的步骤,请参阅以下内容:
完成配置
如需完成日志记录和监控任务,请执行以下操作:
点击确认配置。
查看日志记录和监控配置的详细信息。在后续任务中部署设置之前,您的配置不会部署。
后续步骤
设置初始网络配置。
VPC 网络
在此任务中,您将设置初始网络配置,并且您可以根据需要对其进行调整。
Virtual Private Cloud 架构
Virtual Private Cloud (VPC) 网络是物理网络的虚拟版本,在 Google 的生产网络内部实现。VPC 网络是一种全球性资源,由区域性子网组成。
VPC 网络可为 Google Cloud 资源(例如 Compute Engine 虚拟机实例、GKE 容器和 App Engine 柔性环境实例)提供网络功能。
共享 VPC 可将多个项目中的资源连接到一个公用 VPC 网络,让它们能够使用该网络的内部 IP 地址相互通信。下图展示了关联了服务项目的共享 VPC 网络的基本架构。
在使用共享 VPC 时,您需要指定一个宿主项目,并将一个或多个服务项目关联到该项目。宿主项目中的 Virtual Private Cloud 网络称为共享 VPC 网络。
示例图中有生产和非生产宿主项目,每个项目都包含一个共享 VPC 网络。您可以使用宿主项目来集中管理以下各项:
服务项目是关联到宿主项目的任何项目。您可以在宿主项目和服务项目之间共享子网,包括次要范围。
在此架构中,每个共享 VPC 网络都包含公共和专用子网:
- 公共子网可供面向互联网的实例用于外部连接。
- 专用子网可供未分配公共 IP 地址的面向内部的实例使用。
在此任务中,您将根据示例图创建初始网络配置。
如需执行此任务,您需要具有以下身份之一:
roles/compute.networkAdmin 角色。- 您在用户和群组任务中创建的
gcp-network-admins@YOUR_DOMAIN 群组中的成员。
您在此任务中执行的操作
创建初始网络配置,包括以下内容:
- 创建多个宿主项目以反映您的开发环境。
- 在每个宿主项目中创建一个共享 VPC 网络,以允许不同的资源共享同一网络。
- 在每个共享 VPC 网络中创建不同的子网,以向服务项目提供网络访问权限。
我们为何建议执行此任务
不同的团队可以使用共享 VPC 连接到一个集中管理的公用 VPC 网络。
准备工作
完成以下任务:
创建包含两个宿主项目的初始网络配置,以划分非生产和生产工作负载。每个宿主项目包含一个共享 VPC 网络,以供多个服务项目使用。您可以配置网络详细信息,然后在后续任务中部署配置文件。
如需配置初始网络,请执行以下操作:
以您在用户和群组任务中创建的 gcp-organization-admins@YOUR_DOMAIN 群组中的用户身份登录 Google Cloud 控制台。
从页面顶部的选择组织下拉列表中选择您的组织。
前往Google Cloud 设置:网络。
进入“网络”
查看默认网络架构。
如需修改网络名称,请执行以下操作:
- 点击 more_vert 操作
- 选择修改网络名称。
- 在网络名称字段中,输入小写字母、数字或连字符。网络名称不能超过 25 个字符。
- 点击保存。
修改防火墙详情
宿主项目上的默认防火墙规则基于推荐的最佳实践。您可以选择停用一个或多个默认防火墙规则。如需了解有关防火墙规则的一般信息,请参阅 VPC 防火墙规则。
如需修改防火墙设置,请执行以下操作:
点击 more_vert 操作。
选择修改防火墙规则。
如需详细了解每个默认防火墙规则,请参阅默认网络中的预填充规则。
如需停用防火墙规则,请清除其对应的复选框。
如需停用防火墙规则日志记录,请点击关闭。
默认情况下,系统会出于审核目的记录进出 Compute Engine 实例的流量。此过程会产生费用。如需了解详情,请参阅防火墙规则日志记录。
点击保存。
修改子网详情
每个 VPC 网络至少包含一个子网,该子网是具有关联 IP 地址范围的区域级资源。在此多区域配置中,您必须至少有两个具有非重叠 IP 范围的子网。
如需了解详情,请参阅子网。
每个子网均使用建议的最佳实践进行配置。如果您想要自定义每个子网,请执行以下操作:
- 点击 more_vert 操作
- 选择修改子网。
- 在名称字段中,输入小写字母、数字或连字符。子网名称不能超过 25 个字符。
从区域下拉列表中,选择一个靠近您的服务点的区域。
我们建议为每个子网选择不同的区域。部署配置后,您将无法更改区域。如需了解如何选择区域,请参阅区域资源。
在 IP 地址范围字段中,输入采用 CIDR 表示法的范围,例如 10.0.0.0/24。
您输入的范围不得与此网络中的其他子网重叠。如需了解有效范围,请参阅 IPv4 子网范围。
对子网 2 重复上述步骤。
如需配置此网络中的其他子网,请点击添加子网,然后重复这些步骤。
点击保存。
您的子网会根据最佳实践自动进行配置。如果要修改配置,请在 Google Cloud 设置:VPC 网络页面中执行以下操作:
如需关闭 VPC 流日志,请从流日志列中选择关闭。
开启流日志后,每个子网都会记录网络流。您可以对网络流进行分析,以用于安全性、费用优化和其他用途。如需了解详情,请参阅使用 VPC 流日志。
VPC 流日志会产生费用。如需了解详情,请参阅 Virtual Private Cloud 价格。
如需关闭专用 Google 访问通道,请从专用访问通道列中选择关闭。
启用专用 Google 访问通道后,没有外部 IP 地址的虚拟机实例可以访问 Google API 和服务。如需了解详情,请参阅专用 Google 访问通道。
如需开启 Cloud NAT,请从 Cloud NAT 列中选择开启。
开启 Cloud NAT 后,某些资源可以创建与互联网的出站连接。如需了解详情,请参阅 Cloud NAT 概览。
Cloud NAT 会产生费用。如需了解详情,请参阅 Virtual Private Cloud 价格。
点击继续关联服务项目。
将服务项目关联到宿主项目
服务项目是关联到宿主项目的任何项目。此连接可让服务项目参与共享 VPC。每个服务项目可以由不同部门或团队运营和管理,以实现职责分离。
如需详细了解如何将多个项目连接到一个公用 VPC 网络,请参阅共享 VPC 概览。
如需将服务项目关联到宿主项目并完成配置,请执行以下操作:
对于共享 VPC 网络表格中的每个子网,选择一个要连接的服务项目。为此,请从服务项目列中的选择项目下拉列表中进行选择。
您可以将一个服务项目连接到多个子网。
点击继续审核。
查看您的配置并进行更改。
您可以在部署配置文件之前进行修改。
点击确认草稿配置。您的网络配置将添加到您的配置文件中。
在后续任务中部署配置文件之前,您的网络不会部署。
后续步骤
设置混合连接,这有助于您将本地服务器或其他云服务提供商连接到 Google Cloud。
混合连接
在此任务中,您需要在对等(本地或其他云)网络和 Google Cloud 网络之间建立连接,如下图所示。
此流程会创建高可用性 VPN,这是一种高可用性 (HA) 解决方案,您可以快速创建该解决方案,以通过公共互联网传输数据。
部署 Google Cloud 配置后,建议您使用 Cloud Interconnect 创建更稳健的连接。
如需详细了解对等网络与 Google Cloud之间的连接,请参阅以下内容:
您必须拥有 Organization Administrator 角色 (roles/resourcemanager.organizationAdmin)。
您在此任务中执行的操作
在 VPC 网络与本地网络或其他云网络之间创建低延迟、高可用性的连接。您可以配置以下组件:
- Google Cloud 高可用性 VPN 网关:一个具有两个接口的区域级资源,每个接口都有自己的 IP 地址。您需要指定 IP 栈类型,用于确定您的连接是否支持 IPv6 流量。如需了解相关背景信息,请参阅高可用性 VPN。
- 对等 VPN 网关:对等网络上的网关, Google Cloud高可用性 VPN 网关会连接到该网关。您需要输入对等网关用来连接到 Google Cloud的外部 IP 地址。如需了解相关背景信息,请参阅配置对等 VPN 网关。
- Cloud Router 路由器:使用边界网关协议 (BGP) 在 VPC 与对等网络之间动态交换路由。您需要分配一个自治系统编号 (ASN) 作为 Cloud Router 路由器的标识符,并指定对等路由器使用的 ASN。如需了解相关背景信息,请参阅创建 Cloud Router 路由器以将 VPC 网络连接到对等网络。
- VPN 隧道:将 Google Cloud 网关连接到对等网关。您需要指定用于建立隧道的互联网密钥交换 (IKE) 协议。您可以输入自己之前生成的 IKE 密钥,也可以生成并复制新密钥。如需了解相关背景信息,请参阅配置 IKE。
我们为何建议执行此任务
高可用性 VPN 可在您的现有基础架构与 Google Cloud之间提供高可用性的安全连接。
准备工作
完成以下任务:
请从您的对等网络管理员处收集以下信息:
- 您的对等 VPN 网关名称:您的 Cloud VPN 所连接的网关。
- 对等接口 IP 地址 0:您的对等网络网关上的外部 IP 地址。
- 对等接口 IP 地址 1:另一个外部地址;但如果您的对等网络只有一个外部 IP 地址,也可以重复使用 IP 地址 0。
- 对等自治系统编号 (ASN):分配给您的对等网络路由器的唯一标识符。
- Cloud Router 路由器 ASN:您将分配给 Cloud Router 路由器的唯一标识符。
- 互联网密钥交换 (IKE) 密钥:用于与对等 VPN 网关建立两个 VPN 隧道的密钥。如果您还没有密钥,则可以在此设置过程中生成这些密钥,然后将其应用于您的对等网关。
如需将 VPC 网络连接到对等网络,请执行以下操作:
以拥有 Organization Administrator 角色的用户身份登录。
从页面顶部的请选择下拉列表中选择您的组织。
前往Google Cloud 设置:混合连接。
前往“混合连接”
执行以下操作,以查看任务详情:
查看任务概览,然后点击开始混合连接。
点击每个标签页了解混合连接的各项内容,然后点击继续。
查看每个任务步骤的预期目标,然后点击继续。
查看您需要收集的对等网关配置信息,然后点击继续。
在混合连接区域,根据您的业务需求确定您要连接的 VPC 网络。
在您选择的第一个网络对应的行中,点击配置。
在配置概览区域,阅读相关说明,然后点击下一步。
在 Google Cloud 对等 VPN 网关区域,执行以下操作:
在 Cloud VPN 网关名称字段中,输入网关名称,可以使用小写字母、数字和连字符,且不得超过 60 个字符。
在 VPN 隧道内部 IP 栈类型区域,选择以下栈类型之一:
- IPv4 和 IPv6(推荐):可以同时支持 IPv4 和 IPv6 流量。如果您打算允许在隧道中传输 IPv6 流量,建议您使用此设置。
- IPv4:只能支持 IPv4 流量。
栈类型决定了 VPC 网络与对等网络之间的隧道中允许传输的流量类型。创建网关后,无法再修改栈类型。如需了解相关背景信息,请参阅以下内容:
点击下一步。
在对等 VPN 网关区域,执行以下操作:
在对等 VPN 网关名称字段中,输入您的对等网络管理员提供的名称。该名称可以使用小写字母、数字和连字符,且不得超过 60 个字符。
在对等接口 IP 地址 0 字段中,输入您的对等网络管理员提供的对等网关接口外部 IP 地址。
在对等接口 IP 地址 1 字段中,执行以下操作之一:
- 如果您的对等网关有另一个接口,则输入其 IP 地址。
- 如果您的对等网关只有一个接口,则输入您在对等接口 IP 地址 0 中输入的地址。
如需了解相关背景信息,请参阅配置对等 VPN 网关。
点击下一步。
在 Cloud Router 路由器区域,执行以下操作:
在 Cloud Router 路由器 ASN 字段中,输入您的对等网络管理员提供的要分配给 Cloud Router 路由器的自治系统编号。如需了解相关背景信息,请参阅创建 Cloud Router 路由器。
在对等路由器 ASN 字段中,输入您的对等网络管理员提供的对等网络路由器自治系统编号。
在 VPN 隧道 0 区域,执行以下操作:
在隧道 0 名称字段中,输入一个名称,可以使用小写字母、数字和连字符,且不得超过 60 个字符。
在 IKE 版本区域,选择以下选项之一:
- IKEv2(推荐):支持 IPv6 流量。
- IKEv1:如果您不打算允许在隧道中传输 IPv6 流量,则可使用此设置。
如需了解相关背景信息,请参阅配置 VPN 隧道。
在 IKE 预共享密钥字段中,输入您在对等网关配置中使用的密钥(由您的对等网络管理员提供)。如果您还没有密钥,可以点击生成并复制,然后将生成的密钥提供给您的对等网络管理员。
在 VPN 隧道 1 区域,重复上一步,为另一个隧道应用设置。您可以配置此隧道来实现冗余和额外的吞吐量。
点击保存。
针对您要连接到对等网络的任何其他 VPC 网络,重复这些步骤。
部署后事项
部署 Google Cloud 设置配置后,完成以下步骤以确保您的网络连接已完成:
与您的对等网络管理员协调,让您的对等网络设置与混合连接设置保持一致。部署完成后,系统会提供有关您的对等网络的具体说明,包括以下内容:
验证您创建的网络连接。例如,您可以使用 Network Intelligence Center 检查网络之间的连接。如需了解详情,请参阅 Connectivity Tests 概览。
如果您的业务需要更稳健的连接,不妨使用 Cloud Interconnect。如需了解详情,请参阅选择 Network Connectivity 产品。
后续步骤
部署配置,包括层次结构和访问权限、日志记录、网络和混合连接的设置。
部署设置
部署或下载
完成 Google Cloud 设置过程后,以下任务的设置会编译为 Terraform 配置文件:
如需应用设置,请检查您的选择并选择部署方法。
您在用户和群组任务中创建的 gcp-organization-admins@YOUR_DOMAIN 群组中的人员。
您在此任务中执行的操作
部署配置文件以应用您的设置配置。
我们为何建议执行此任务
您必须部署配置文件才能应用您选择的设置。
准备工作
您必须完成以下任务:
建议执行以下任务:
- 在安全任务中设置免费服务,以增强安全性。
- 在集中日志记录和监控任务中将日志数据整合到单个位置,并监控单个项目中的所有项目。
- 在 VPC 网络任务中,配置初始网络。
- 在混合连接任务中,将对等网络连接到 Google Cloud 。
检查配置详情
执行以下操作,以确保您的配置设置已完成:
以您在用户和群组任务中创建的 gcp-organization-admins@YOUR_DOMAIN 群组中的用户身份登录 Google Cloud 控制台。
从页面顶部的请选择下拉列表中选择您的组织。
前往Google Cloud 设置:部署或下载。
进入“部署或下载”
查看您选择的配置设置。点击以下每个标签页并检查您的设置:
- 资源层次结构和访问权限
- 安全性
- 日志记录和监控
- VPC 网络
- 混合连接
部署配置
检查完配置详情后,请使用以下选项之一:
使用以下选项之一进行部署:
直接部署
如果您还没有 Terraform 工作流,并希望进行简单的一次性部署,则可以直接从控制台进行部署。
点击直接部署。
等待部署完成,这可能需要几分钟时间。
如果部署失败,请执行以下操作:
- 如需重新尝试部署,请点击重试部署过程。
- 如果多次尝试部署后失败,您可以联系管理员寻求帮助。为此,请点击联系组织管理员。
下载并部署
如果您想要使用 Terraform 部署工作流对部署进行迭代,请下载并部署配置文件。
如需下载配置文件,请点击下载为 Terraform。
您下载的文件包包含基于您在以下任务中选择的设置的 Terraform 配置文件:
- 层次结构和访问权限
- 安全性
- 集中日志记录和监控
- VPC 网络
- 混合连接
如果您只想部署与您的职责相关的配置文件,可以避免下载不相关的文件。为此,请清除不需要的配置文件对应的复选框。
点击下载。包含所选文件的 terraform.tar.gz 文件包将下载到本地文件系统中。
如需了解详细的部署步骤,请参阅使用从控制台下载的 Terraform 部署基础。
后续步骤
选择支持服务方案。
支持
在此任务中,您将选择符合您的业务需求的支持方案。
在用户和群组任务中创建的 gcp-organization-admins@YOUR_DOMAIN 群组中的人员。
您在此任务中执行的操作
根据您公司的需求选择支持方案。
我们为何建议执行此任务
高级支持服务方案可提供关键业务支持,让 Google Cloud专家帮助您快速解决问题。
选择支持服务方案
您会自动获得免费的基本支持服务,其中包含对以下资源的访问权限:
我们建议企业客户注册高级支持服务,获享 Google 支持工程师提供的一对一技术支持。如需比较支持方案,请参阅 Google Cloud Customer Care。
准备工作
完成以下任务:
- 在组织任务中创建超级用户和您的组织。
- 在用户和群组任务中添加用户并创建群组。
- 在管理员权限任务中,将 IAM 角色分配给群组。
启用支持
确定并选择支持选项。
查看并选择一个支持方案。如需了解详情,请参阅 Google Cloud Customer Care。
以您在用户和群组任务中创建的 gcp-organization-admins@.com 群组中的用户身份登录 Google Cloud 控制台。
前往Google Cloud 设置:支持。
转到“支持”部分
查看任务详细信息,然后点击查看支持服务以选择支持选项。
设置支持选项后,返回到Google Cloud 设置:支持页面,然后点击将任务标记为已完成。
后续步骤
现在您已完成 Google Cloud 设置,接下来可以扩展初始设置、部署预构建解决方案并迁移现有工作流。如需了解详情,请参阅扩展初始设置并开始构建。
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2025-06-10。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["很难理解","hardToUnderstand","thumb-down"],["信息或示例代码不正确","incorrectInformationOrSampleCode","thumb-down"],["没有我需要的信息/示例","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2025-06-10。"],[],[]]
