00:03

Bonjour, je suis Philipp Maier.

00:05
Et moi, Mylene Biddle.
00:06
Nous concevons des cours pour Google Cloud et vous souhaitons la bienvenue dans
cette série intitulée "Architecting with Compute Engine".

00:13
Avant d'utiliser les différents services offerts par Google Cloud Platform, ou GCP,
commençons par présenter GCP.

00:22
Google Cloud fait partie d'un écosystème très vaste.

00:27
Cet écosystème se compose de logiciels Open Source, de fournisseurs, de
partenaires, de développeurs, de logiciels tiers et d'autres fournisseurs cloud.

00:36
Google est d'ailleurs un fervent défenseur des logiciels Open Source.

00:39
Exact.
00:40
Google Cloud comprend Chrome, les appareils Google, Google Maps, Gmail, Google
Analytics, Google Workspace, la recherche Google et Google Cloud Platform.

00:50
GCP est une plate-forme de solutions de calcul qui englobe trois fonctionnalités
principales : l'infrastructure, la plate-forme et le logiciel.

00:59
Cette carte représente l'infrastructure mondiale de GCP.

01:02
Au moment de cet enregistrement, le vaste réseau mondial de GCP connecte plus de 60
zones

01:07
à plus de 130 "points of presence" via un réseau mondial de câbles à fibres
optiques.

01:14
Google ne cesse d'investir dans ce réseau en ajoutant des régions, des points of
presence et des câbles sous-marins.

01:21
De plus, GCP exploite les meilleures technologies de réseau défini par logiciel et
de systèmes distribués pour héberger et offrir vos services dans le monde entier.

01:32
Ces technologies sont proposées via un nombre croissant de produits et services
basés sur le cloud.

01:38
Il est important de comprendre qu'il y a généralement plus d'une solution pour une
tâche ou une application dans GCP.
01:45
Pour mieux le comprendre, examinons le continuum des solutions.

01:49
Google Cloud Platform propose des solutions allant de l'Infrastructure as a Service
au Software as a Service.

01:57
Vous pouvez y créer des applications Web ou mobiles à l'échelle mondiale, dotées de
technologies d'autoscaling et d'assistance, et qui fournissent des services dont
l'infrastructure est invisible pour l'utilisateur.
02:08

Google n'a pas seulement ouvert l'infrastructure sur laquelle reposent la recherche
Google, Gmail, Google Maps et Google Workspace.

02:16
Google a ouvert et empaqueté les services qui vous permettent d'utiliser ces
produits.

02:21
D'autres solutions sont possibles.

02:23
Vous pouvez démarrer votre propre VM dans Google Compute Engine, y installer le
logiciel Open Source

02:29
MySQL et l'exécuter comme une base de données MySQL sur votre ordinateur dans un
centre de données.

02:35
Vous pouvez aussi utiliser le service Cloud SQL, qui fournit une instance MySQL et
gère pour vous les tâches

02:41
opérationnelles, comme les sauvegardes et les correctifs de sécurité, grâce aux
services que Google utilise pour automatiser ces processus.

02:49
Vous pouvez même opter pour une base de données NoSQL, avec autoscaling et sans
serveur, pour ne

02:54
plus devoir ajouter d'instances de serveur ou modifier le design pour répondre à
vos nouveaux besoins en capacité.

03:01
Cette série de cours porte principalement sur l'infrastructure.

03:05
Une infrastructure IT est semblable à une infrastructure urbaine.

03:09
L'infrastructure est la base sur laquelle reposent des installations et des
services essentiels tels que les transports, les communications, l'électricité,
l'eau et le carburant.
03:20
Les habitants de la ville représentent les utilisateurs, et les voitures, vélos et
bâtiments sont les applications.

03:28
Tout ce qui sert à développer et gérer les applications pour les utilisateurs est
dans l'infrastructure.

03:34
L'objectif de ce cours est d'explorer aussi efficacement et clairement que possible
les services d'infrastructure fournis par GCP.

03:42
Vous en apprendrez assez sur ces services pour savoir ce qu'ils font et comment les
utiliser.

03:49
Nous n'étudierons pas d'applications verticales spécifiques de façon approfondie
mais nous vous fournirons ce dont vous avez besoin pour créer votre solution.
03:59

GCP propose aujourd'hui une large gamme de services de calcul.

04:03
Le service le plus connu des nouveaux utilisateurs est Compute Engine, qui vous
permet d'exécuter des VM à la demande dans le cloud.
04:11

C'est la solution Infrastructure as a Service de Google Cloud.

04:15

Elle offre une flexibilité maximale à ceux qui préfèrent gérer eux-mêmes les
instances de serveur.
04:20

Google Kubernetes Engine vous permet d'exécuter des applications conteneurisées

dans un environnement cloud que Google gère pour vous sous votre contrôle
administratif.
04:30

Considérez la conteneurisation comme un moyen d'empaqueter du code conçu pour être

hautement portable et d'utiliser les ressources efficacement et Kubernetes comme un
moyen d'orchestrer le code en conteneurs.
04:41
App Engine est le framework Platform as a Service entièrement géré de GCP.
04:46

Il permet donc d'exécuter du code dans le cloud sans avoir à se soucier de

l'infrastructure.
04:51

Vous vous concentrez sur le code, et Google se charge du provisionnement et de la

gestion des ressources.
04:57

Vous en apprendrez plus sur App Engine dans la série de cours "Developing
Applications with GCP".

05:04

Cloud Functions est un environnement d'exécution sans serveur ou Functions as a

Service.
05:09

Il exécute votre code en réponse à des événements, qu'ils se produisent une fois
par jour ou plusieurs fois par seconde.
05:16

Google adapte les ressources selon les besoins, mais le service n'est facturé que
pendant l'exécution de votre code.
05:21

La série de cours "Developing Applications with Google Cloud" traite également de

Cloud Functions.
05:27

Cloud Run est une plate-forme de calcul gérée pour l'exécution de conteneurs sans
état via des requêtes Web ou des événements Pub/Sub.
05:33

Cloud Run est sans serveur.

05:35

Il vous permet de ne pas avoir à gérer l'infrastructure et de vous concentrer sur

le développement d'applications.
05:41
Il repose sur Knative, une API ouverte et un environnement d'exécution basé sur
Kubernetes, et permet de déplacer vos charges de travail sur divers environnements
et plates-formes.
05:50

Il peut être entièrement géré sur Google Cloud, Google Kubernetes Engine, ou
partout où Knative s'exécute.
05:57

Cloud Run est rapide.

05:58
Il évolue à la hausse ou à la baisse à partir de zéro et quasi instantanément.

06:03
Seules les ressources que vous utilisez sont facturées, calculées aux 100
millisecondes près.
06:09

Vous ne payez donc pas pour vos ressources surprovisionnées.

06:13
Dans ce cours, nous allons nous concentrer sur Compute Engine.

06:18
Les cours "Architecting with Google Compute Engine" font partie du parcours de
formation Cloud Infrastructure.

06:23
Ce parcours s'adresse aux professionnels de l'IT chargés de mettre en œuvre, de
déployer, de migrer et de gérer des applications dans le cloud.
06:32

Vous devez auparavant avoir suivi le cours "Google Cloud Platform Fundamentals:
Core Infrastructure", que vous trouverez dans la section "Liens" de cette vidéo.
06:42
La série "Architecting with Google Compute Engine" se compose de trois cours.
06:48

"Essential Cloud Infrastructure : Foundation" est le premier cours de la série

"Architecting with Compute Engine".
06:54
Dans ce cours, nous présenterons tout d'abord GCP et la façon d'interagir avec la
console GCP et Cloud Shell.
07:02
Nous aborderons ensuite les réseaux virtuels et la création de réseaux VPC et
d'autres objets en réseau.
07:07
Enfin, nous verrons en détail les machines virtuelles et la création de VM à l'aide
de Compute Engine.
07:13
"Essential Cloud Infrastructure : Core Services" est le deuxième cours de cette
série.
07:18
Dans ce cours, nous aborderons d'abord Cloud IAM et la gestion de
l'authentification et des accès pour des ressources.
07:25
Nous parlerons ensuite des services de stockage de données dans GCP et vous
implémenterez certains de ces services.
07:31
Puis nous étudierons la gestion des ressources, et vous gérerez et examinerez la
facturation des ressources GCP.
07:37
Nous terminerons avec la surveillance des ressources, et vous surveillerez des
ressources GCP à l'aide des services Stackdriver.
07:44
"Elastic Cloud Infrastructure : Scaling and Automation" est le dernier cours de la
série.
07:49
Nous passerons en revue les différentes méthodes d'interconnexion des réseaux pour
vous permettre de connecter votre infrastructure à GCP.
07:57
Nous parlerons des services d'équilibrage de charge et d'autoscaling de GCP, que
vous pourrez tester vous-même.
08:04
Nous parlerons des services d'automatisation d'infrastructures tels que Terraform
pour apprendre à automatiser le développement des services d'infrastructure GCP.
08:11
Enfin, nous parlerons d'autres services gérés qui peuvent vous être utiles dans
GCP.
08:17
L'objectif est pour vous d'acquérir une bonne compréhension des différents services
et fonctionnalités de GCP, en plus de
08:23
mettre en pratique vos connaissances, d'analyser les besoins, d'évaluer les
différentes options et de créer vos propres services.
08:30
C'est pourquoi ces cours incluent des ateliers pratiques interactifs sur la plate-
forme Qwiklabs.
08:35
Qwiklabs fournit un compte et des identifiants Google pour vous permettre d'accéder
sans frais à la console GCP pour chaque atelier....

Dans ce module, nous aborderons Cloud Identity and Access Management ou Cloud IAM.

00:05
Ce système avancé est basé sur des noms d'adresses semblables à des adresses e-
mail, des rôles de types de tâches et des autorisations précises.
00:13
Si vous avez déjà utilisé IAM dans d'autres implémentations, cherchez les
différences que Google a mises en œuvre pour simplifier l'administration d'IAM et
en améliorer la sécurité.
00:23
Je commencerai par présenter Cloud IAM dans les grandes lignes.
00:28
Puis, nous examinerons chacun de ses composants : les organisations, les rôles, les
membres et les comptes de service.
00:36
Nous verrons ensuite des bonnes pratiques qui vous aideront à appliquer ces
concepts au quotidien.
00:42
Enfin, vous pourrez vous entraîner à utiliser Cloud IAM lors d'un atelier.

00:48

Commençons par une présentation de Cloud Identity and Access Management.

Qu'est-ce qu'Identity and Access Management ?

00:04

C'est un moyen d'identifier qui peut faire quoi sur quelle ressource.
00:08

"Qui" peut désigner une personne, un groupe ou une application.

00:12

"Quoi" renvoie à des privilèges ou des actions spécifiques, et la "ressource" peut

être tout service Google Cloud.
00:19

Par exemple, je peux vous accorder le privilège ou rôle Lecteur de Compute.

00:24

Vous disposez ainsi d'un accès en lecture seule pour obtenir et lister les
ressources Compute Engine, mais pas pour lire les données qui y sont stockées.
00:32

Cloud IAM est composé de différents objets, comme indiqué à l'écran.

00:37

Nous verrons chacun d'entre eux.

00:40

Pour mieux comprendre leur fonctionnement, examinons les stratégies Cloud IAM et la
hiérarchie des ressources Cloud IAM.
00:47

Les ressources Google Cloud sont organisées de façon hiérarchique, comme le montre
cette arborescence.
00:53

Le nœud d'organisation est le nœud racine de cette hiérarchie.

00:56
Les dossiers sont les enfants de l'organisation.
01:00

Les projets sont les enfants des dossiers.

01:02

Enfin, les ressources individuelles sont les enfants des projets.

01:06

Chaque ressource a un seul parent.

01:09

La ressource Organisation représente votre entreprise.

01:13

Les rôles Cloud IAM attribués à ce niveau sont hérités par toutes les ressources
relevant de l'organisation.
01:19

La ressource Dossier peut représenter votre service.

01:21

Les rôles Cloud IAM attribués à ce niveau sont hérités par toutes les ressources
dans le dossier.
01:27

Les projets représentent une limite de confiance dans votre entreprise.

01:30

Les services d'un même projet présentent le même niveau de confiance par défaut.

00:00
Explorons maintenant le nœud d'organisation.

00:04

Comme nous l'avons vu, la ressource Organisation est le nœud racine de la

hiérarchie de ressources GCP.
00:09

Ce nœud dispose de nombreux rôles, comme Administrateur d'organisation.

00:13
Avec ce rôle, un utilisateur tel que Bob peut administrer toutes les ressources de
son organisation, ce qui est utile pour les audits.
00:22

Avec le rôle Créateur de projet, une utilisatrice comme Alice peut créer des
projets dans son organisation.
00:28

Je montre le rôle Créateur de projet, car il s'applique aussi au niveau de

l'organisation, et tous les projets de l'organisation en hériteront.
00:38

Une ressource Organisation est étroitement associée à un compte G Suite ou Cloud

Identity.
00:43

Quand l'utilisateur d'un compte G Suite ou Cloud Identity crée un projet GCP, une
ressource Organisation est automatiquement provisionnée.
00:51

Google Cloud communique ensuite sa disponibilité aux super-administrateurs G Suite

ou Cloud Identity.
00:57

Il faut utiliser ces comptes de super-administrateur avec précaution, car ils

exercent un contrôle important sur l'organisation et les ressources qu'elle
contient.
01:06

Les super-administrateurs G Suite ou Cloud Identity et l'administrateur

d'organisation GCP sont des rôles clés pour configurer et contrôler le cycle de vie
de la ressource Organisation.
01:17

Ces deux rôles sont souvent octroyés à des utilisateurs ou groupes différents, en
fonction de la structure et des besoins de l'organisation.
01:23

Pour la configuration de l'organisation GCP, les super-administrateurs G Suite ou

Cloud Identity sont chargés : d'attribuer le rôle Administrateur d'organisation ;
d'être un point de
01:33

contact en cas de problème de récupération ; de contrôler le cycle de vie du compte

G Suite ou Cloud Identity et de la ressource Organisation.
01:42...
L'Administrateur d'organisation est chargé : de définir les stratégies IAM ; de
déterminer la structure de la hiérarchie de ressources ; de
01:51

déléguer les responsabilités sur des composants critiques comme la mise en réseau,
la facturation et la hiérarchie de ressources via les rôles IAM.
02:00

Suivant le principe du moindre privilège, ce rôle n'inclut pas l'autorisation

d'effectuer d'autres actions comme la création de dossiers.
02:07

Pour obtenir ces autorisations, un administrateur d'organisation doit ajouter

d'autres rôles à son compte.
02:12

Parlons des dossiers, qui sont comme des sous-organisations de l'organisation.

02:19

Les dossiers sont un mécanisme de regroupement qui isole les projets les uns des
autres.
02:24

Ils peuvent servir à modéliser les entités légales, services et équipes d'une
entreprise.
02:30

Un dossier de premier niveau peut par exemple représenter les principaux services
d'une organisation, par exemple les services X et Y. Comme un dossier peut contenir
des projets et d'autres
02:40

dossiers, il peut contenir des sous-dossiers représentant différentes équipes,

comme les équipes A et B.
02:48

Chaque dossier d'équipe peut contenir d'autres sous-dossiers pour différentes

applications, comme les produits 1 et 2.
02:56

Un dossier permet de déléguer les droits d'administration.

02:59

Chaque responsable de service peut par exemple obtenir la pleine propriété de

toutes les ressources GCP appartenant à son service.
03:07

Un dossier peut aussi servir à limiter l'accès aux ressources, ce qui autorise les
utilisateurs d'un service à ne créer et utiliser les ressources GCP que dans ce
dossier.
03:17

Explorons d'autres rôles de gestion des ressources, sans oublier que les stratégies
sont héritées de haut en bas.
03:23

Le nœud d'organisation compte aussi un rôle Lecteur, qui offre un accès en lecture
aux ressources d'une organisation.
03:29

Le nœud de dossier possède des rôles reflétant ceux de l'organisation, mais ils
sont appliqués au niveau des dossiers.
03:36

Le rôle Administrateur offre un contrôle total sur les dossiers, le rôle Créateur
permet de parcourir la
03:40

hiérarchie et de créer des dossiers, et le rôle Lecteur affiche les dossiers et

projets d'une ressource.
03:48

Pour les projets aussi, le rôle Créateur permet à un utilisateur de créer des
projets, dont il est automatiquement le propriétaire.
03:56

Enfin, le rôle Suppresseur de projets octroie des droits de suppression sur les
projets.