设置主动模式,以允许 Gemini Cloud Assist 在后台自主运行,持续调查提醒和分析费用异常情况。
启用主动模式会为 Gemini Cloud Assist 预配专用服务账号。通过配置此账号,您可以授予 Gemini Cloud Assist 分析环境遥测数据和日志所需的访问权限,而无需用户主动干预。
启用所需的 API
确保您的项目已启用以下 API:
- Gemini Cloud Assist:
geminicloudassist.googleapis.com - App Optimize API:
appoptimize.googleapis.com
如需详细了解如何启用这些 API,请参阅设置 Gemini Cloud Assist 和启用 App Optimize API。
为了主动生成费用分析洞见,Gemini Cloud Assist 依赖于结算生成的费用异常提醒。默认情况下,系统会为所有项目启用这些提醒。
启用主动模式
项目管理员需要明确启用主动模式。启用主动模式后,Gemini Cloud Assist 会自动预配一个名为代理身份的专用服务账号。
- 在 Google Cloud 控制台中,前往 Cloud Assist 聊天面板中的 Cloud Assist 设置。
- 在主动式代理部分中,选择启用主动式代理,然后点击授予访问权限。
- 在授予访问权限面板中点击保存。
- 点击管理 Gemini Cloud Assist 面板底部的保存。
配置权限
如需设置主动模式,您需要向用户和代理身份授予 IAM 角色。
代理身份角色
当代理在后台自主运行时,它会使用代理身份。当您启用主动模式时,系统会自动预配代理身份,因此您无需执行任何操作来创建代理身份。不过,您必须向此代理身份授予执行后台任务所需的 IAM 角色;Gemini Cloud Assist 仅会访问您通过授予其代理身份的 IAM 角色明确授权的数据。
此权限仅限于对 Cloud Monitoring、Cloud Logging 和 Cloud Asset Inventory 等服务的只读访问权限。除非您明确授予这些权限,否则它无法访问数据库或存储分区中的数据。
为了提高可解释性,Gemini Cloud Assist 生成的每条数据洞见都包含指向源数据(例如提醒或特定日志)的引用。
代理身份主账号的格式如下:
agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud
其中,ORG_NUMBER 是您的Google Cloud 组织的数字标识符,PROJECT_NUMBER 是您的 Google Cloud 项目的数字标识符。
代理身份所需的权限取决于您计划使用哪些主动模式功能。以下角色可作为良好的起点,具体取决于您的使用情形,但您可能需要授予其他角色,具体取决于您的环境和您希望主动模式执行的任务。
如需有关特定任务角色的更多指导,请参阅工作职能角色。 如需有关 Gemini Cloud Assist 权限和角色的更多指导,请参阅 IAM 要求。
根据您的应用场景,向代理身份正文授予以下角色:
- 主动问题排查:授予支持用户 (
roles/iam.supportUser) 和 Service Usage Consumer (roles/serviceusage.serviceUsageConsumer) 角色。 - 主动进行费用优化:除了用于主动进行问题排查的角色之外,还需授予以下角色:
- Cloud Hub Operator (
roles/cloudhub.operator) 角色,以便访问资源费用。 - App Optimize Admin (
roles/appoptimize.admin) 生成费用优化研究。
- Cloud Hub Operator (
您可以使用 Google Cloud CLI 授予这些角色。如需安装并初始化 gcloud CLI 以便将其与主动模式搭配使用,请参阅安装 Google Cloud CLI。
运行以下 gcloud CLI 命令以授予代理身份角色:
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/iam.supportUser' \
--member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/cloudhub.operator' \
--member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/appoptimize.admin' \
--member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/serviceusage.serviceUsageConsumer' \
--member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
替换以下内容:
PROJECT_ID:您的 Google Cloud 项目的 ID。ORG_NUMBER:您的Google Cloud 组织的数字标识符。PROJECT_NUMBER:您的Google Cloud 项目的数字标识符。
您可以通过 Google Cloud 控制台获取这些标识符。
用户角色
与主动显示的结果互动的用户需要具备以下角色:
roles/geminicloudassist.user(与代理聊天)roles/geminicloudassist.viewer(查看主动调查和费用优化研究)。
使用以下 gcloud CLI 命令授予这些角色:
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/geminicloudassist.user' \
--member='user:EMAIL_ADDRESS'
gcloud projects add-iam-policy-binding PROJECT_ID \
--role='roles/geminicloudassist.viewer' \
--member='user:EMAIL_ADDRESS'
将 EMAIL_ADDRESS 替换为需要获得与代理聊天和查看主动调查结果权限的用户的电子邮件地址。
后续步骤
- 了解代理身份。
- 了解如何使用主动模式进行问题排查。
- 了解如何使用主动模式优化费用。