設定主動模式

設定主動模式,讓 Gemini Cloud Assist 在背景自動執行,持續調查警告並分析費用異常狀況。

啟用主動模式後,系統會為 Gemini Cloud Assist 佈建專屬服務帳戶。設定這個帳戶後,Gemini Cloud Assist 就能取得所需存取權,分析您環境的遙測資料和記錄,不必主動介入。

啟用必用的 API。

確認專案已啟用下列 API:

  • Gemini Cloud Assist:geminicloudassist.googleapis.com
  • App Optimize API:appoptimize.googleapis.com

如要進一步瞭解如何啟用這些 API,請參閱「設定 Gemini Cloud Assist」和「啟用 App Optimize API」的說明。

如要生成主動式成本洞察資料,Gemini Cloud Assist 會依據帳單產生的成本異常警報。所有專案預設都會啟用這些快訊。

啟用主動模式

專案管理員必須明確啟用主動模式。啟用主動模式後,Gemini Cloud Assist 會自動佈建專屬服務帳戶,稱為代理程式身分。

  1. 在 Google Cloud 控制台中,前往「Cloud Assist」聊天面板中的「Cloud Assist Settings」
  2. 在「主動式代理程式」部分,選取「啟用主動式代理程式」,然後按一下「授予存取權」
  3. 按一下「授予存取權」面板上的「儲存」
  4. 按一下「管理 Gemini Cloud Assist」面板底部的「儲存」

設定權限

如要設定主動模式,您需要將 IAM 角色授予使用者和代理程式身分。

代理身分角色

當代理在背景自主執行時,會使用代理身分。啟用主動模式時,系統會自動佈建代理程式身分,因此您不需要建立代理程式身分。不過,您必須授予這個代理程式身分執行背景工作所需的 IAM 角色;Gemini Cloud Assist 只會存取您透過授予代理程式身分的 IAM 角色明確授權的資料。

這僅限於 Cloud Monitoring、Cloud Logging 和 Cloud Asset Inventory 等服務的唯讀存取權。除非您明確授予權限,否則無法存取資料庫或儲存空間 bucket 中的資料。

為提供可解釋性,Gemini Cloud Assist 生成的每項深入分析都會附上引文,連結回來源資料,例如警告或特定記錄。

代理程式身分主體的格式如下:

agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud

其中 ORG_NUMBER 是Google Cloud 機構PROJECT_NUMBER的數字 ID, Google Cloud 則是專案的數字 ID。

代理程式身分所需的權限,取決於您打算使用的 Proactive Mode 功能。以下角色是根據您的用途提供的良好起點,但您可能需要根據環境的具體情況,以及您希望主動模式執行的工作,授予其他角色。

如要進一步瞭解特定工作適用的角色,請參閱「工作職能的角色」。如需 Gemini Cloud Assist 權限和角色的其他指引,請參閱「IAM 需求」。

根據用途,將下列角色授予代理程式身分主體:

  • 主動疑難排解:授予支援使用者 (roles/iam.supportUser) 和服務使用情形消費者 (roles/serviceusage.serviceUsageConsumer)。
  • 主動式成本最佳化:除了主動式疑難排解的角色外,請授予下列角色:
    • Cloud Hub 操作人員 (roles/cloudhub.operator) 存取資源費用。
    • App Optimize 管理員 (roles/appoptimize.admin) 產生成本最佳化研究。

您可以使用 Google Cloud CLI 授予這些角色。如要安裝及初始化 gcloud CLI,以便搭配主動模式使用,請參閱「安裝 Google Cloud CLI」。

執行下列 gcloud CLI 指令,授予代理程式身分角色:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role='roles/iam.supportUser' \
    --member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
gcloud projects add-iam-policy-binding PROJECT_ID \
    --role='roles/cloudhub.operator' \
    --member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
gcloud projects add-iam-policy-binding PROJECT_ID \
    --role='roles/appoptimize.admin' \
    --member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'
gcloud projects add-iam-policy-binding PROJECT_ID \
    --role='roles/serviceusage.serviceUsageConsumer' \
    --member='principal://agents.global.org-ORG_NUMBER.system.id.goog/resources/geminicloudassist/projects/PROJECT_NUMBER/locations/global/agents/cloud'

更改下列內容:

  • PROJECT_ID: Google Cloud 專案的 ID。
  • ORG_NUMBER:Google Cloud 組織的數字 ID。
  • PROJECT_NUMBER:Google Cloud 專案的數值 ID。

這些 ID 可在Google Cloud 控制台中取得。

使用者角色

與主動顯示結果互動的使用者必須具備下列角色:

  • roles/geminicloudassist.user (與服務專員即時通訊)
  • roles/geminicloudassist.viewer (查看主動調查和成本最佳化研究)。

使用下列 gcloud CLI 指令授予這些角色:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role='roles/geminicloudassist.user' \
    --member='user:EMAIL_ADDRESS'
gcloud projects add-iam-policy-binding PROJECT_ID \
    --role='roles/geminicloudassist.viewer' \
    --member='user:EMAIL_ADDRESS'

EMAIL_ADDRESS 替換為需要與服務專員聊天,以及查看主動調查結果的使用者電子郵件地址。

後續步驟