Ce document explique comment configurer Cloud Hub.
Le processus de configuration comporte plusieurs étapes principales :
Pour créer des applications App Hub et afficher des données les concernant dans Cloud Hub, configurez la gestion des applications.
Si vous ne configurez pas la gestion des applications, vous pouvez toujours afficher certaines données par projet au lieu de par application dans Cloud Hub.Google Cloud
Activez les API pour les données du projet. Certaines pages de Cloud Hub ne sont pas compatibles avec les données d'application. Vous devez activer les API pour ces pages séparément.
Configurer des vues agrégées des journaux, des métriques et des traces
Accorder l'accès aux utilisateurs Cloud Hub.
Différentes personnes ou équipes peuvent être responsables de différentes étapes du processus de configuration de Cloud Hub.
Configurer la gestion des applications
Cette section décrit les étapes à suivre pour activer la gestion des applications et créer vos applications.
Rôles requis
Pour obtenir les autorisations nécessaires pour configurer un dossier compatible avec les applications, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Activez la gestion des applications :
Administrateur de dossier (
roles/resourcemanager.folderAdmin) sur la ressource parente du dossier -
Associez un compte de facturation au projet de gestion :
-
Gestionnaire de la facturation du projet (
roles/billing.projectManager) sur le projet de gestion -
Utilisateur de compte de facturation (
roles/billing.user) sur le compte de facturation cible
-
Gestionnaire de la facturation du projet (
-
Activez les API recommandées :
Administrateur Service Usage (
roles/serviceusage.serviceUsageAdmin) sur le projet de gestion, uniquement si vous souhaitez activer des services supplémentaires. -
Attribuez des rôles axés sur les applications aux utilisateurs :
Administrateur IAM du projet (
roles/resourcemanager.projectIamAdmin) sur le projet de gestion -
Configurez le champ d'application de l'observabilité :
-
Éditeur Observabilité (
roles/observability.editor) sur le projet de gestion -
Rédacteur de configuration des journaux (
roles/logging.configWriter) sur le projet de gestion -
Administrateur Monitoring (
roles/monitoring.admin) sur le projet de gestion et sur chaque projet que vous souhaitez ajouter au champ d'application des métriques -
Utilisateur Cloud Trace (
roles/cloudtrace.user) sur le projet de gestion -
Lecteur App Hub (
roles/apphub.viewer) sur le projet de gestion
-
Éditeur Observabilité (
-
Affichez les données au niveau de l'application et du projet dans Cloud Hub :
Opérateur Cloud Hub (
roles/cloudhub.operator) sur le dossier compatible avec les applications.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Activer la gestion des applications
La gestion des applications vous permet de passer des composants d'infrastructure individuels à votre application dans son ensemble.
Lorsque vous activez la gestion des applications dans un dossier, celui-ci est appelé "dossier compatible avec les applications". Voici ce qui se passe :
- Un projet est défini comme le projet de gestion dans le dossier.
- Le système active les API requises dans le projet de gestion.
- Le projet de gestion stocke les données d'application, y compris les API activées, la facturation, les quotas et les contrôles d'accès.
Pour activer la gestion des applications dans un dossier, procédez comme suit :
Console
Sélectionnez ou créez le dossier Google Cloud que vous souhaitez configurer en tant que dossier compatible avec les applications. Pour créer un dossier, consultez Créer des dossiers.
Dans la console Google Cloud , ouvrez la page Gérer les ressources.
Dans la liste des projets et des dossiers, recherchez celui que vous souhaitez configurer.
Si un dossier comporte l'icône de dossier compatible avec les applications
, la gestion des applications est déjà activée.Sur la ligne du dossier, ouvrez le menu Actions , puis cliquez sur Paramètres.
Si la gestion des applications n'a pas été activée pour le dossier, le paramètre Gestion des applications affiche Non activée.
Dans la section Activer la gestion des applications, cliquez sur Créer un projet.
Le panneau Créer un projet de gestion et activer les API requises s'ouvre.
Consultez la liste des API requises. Ces API gèrent le cycle de vie de votre application. Pour les API qui entraînent des coûts, cliquez sur leur nom pour en savoir plus sur les tarifs.
Pour activer la gestion des applications, cliquez sur Créer un projet et activer les API.
Le système crée le projet de gestion dans le dossier.
Notez le nom et l'ID du projet de gestion. Vous utiliserez ces valeurs pour accorder l'accès.
Vous pouvez également utiliser la commande Google Cloud CLI suivante pour obtenir l'ID du projet de gestion :
gcloud resource-manager folders describe FOLDER_ID --format="value(managementProject.split('/').slice(-1))"Remplacez
FOLDER_IDpar l'ID du dossier compatible avec les applications.Pour en savoir plus, consultez Trouver le nom, le numéro et l'ID du projet.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Assurez-vous que la dernière version de Google Cloud CLI est installée :
gcloud components updatePour activer la gestion des applications dans un dossier spécifique, utilisez la commande
gcloud resource-manager capabilities updateavec l'option--enable.gcloud resource-manager capabilities update folders/FOLDER_ID/capabilities/app-management \ --enableRemplacez
FOLDER_IDpar l'ID du dossier.Cette commande active la fonctionnalité de gestion des applications sur le dossier spécifié et provisionne automatiquement un nouveau projet Google Cloud dans ce dossier pour servir de projet de gestion.
Si vous le souhaitez, pour activer les API recommandées dans le projet de gestion, suivez les instructions pour activer les services Google Cloud dans un projet.
Terraform
Pour activer la gestion des applications dans un dossier à l'aide de Terraform, utilisez la ressource google_resource_manager_capability, par exemple :
resource "google_folder" "folder" {
display_name = "my-folder"
parent = "organizations/123456789"
deletion_protection = false
}
resource "time_sleep" "wait_60s" {
depends_on = [google_folder.folder]
create_duration = "60s"
}
resource "google_resource_manager_capability" "capability" {
value = true
parent = "${google_folder.folder.name}"
capability_name = "app-management"
depends_on = [time_sleep.wait_60s]
}
Cette commande active la fonctionnalité de gestion des applications sur le dossier spécifié et provisionne automatiquement un nouveau projet Google Cloud dans ce dossier pour servir de projet de gestion. Pour activer la liste des API recommandées dans le projet de gestion, suivez les instructions pour activer un service d'API dans un projet Google Cloud .
Associer un compte de facturation au projet de gestion
Pour utiliser les fonctionnalités Google Cloud avancées axées sur les applications, vous devez associer un compte de facturation actif au projet de gestion. Par exemple, un compte de facturation associé vous permet d'effectuer les opérations suivantes :
- Gérez les charges de travail qui dépassent les quotas de ressources App Hub.
- Utilisez App Design Center pour créer des modèles et déployer des applications.
Pour obtenir un aperçu des coûts potentiels associés à la gestion des applications et aux API activées, consultez Comprendre les coûts.
Pour associer un compte de facturation actif à votre projet de gestion :
Console
Vérifiez que le compte de facturation que vous souhaitez utiliser pour la gestion des applications existe. Pour créer un compte de facturation, consultez Créer un compte de facturation Cloud en libre-service.
Dans la console Google Cloud , ouvrez la page Facturation.
Dans l'onglet Mes projets, recherchez le projet de gestion.
Sur la ligne du projet, ouvrez le menu Actions, sélectionnez Modifier la facturation, puis choisissez le compte de facturation Cloud.
Pour en savoir plus sur l'activation de la facturation pour un projet, consultez Activer la facturation pour un projet.
gcloud
gcloud billing projects link PROJECT_ID \
--billing-account ACCOUNT_ID
Remplacez les éléments suivants :
PROJECT_ID: ID du projet de gestion.ACCOUNT_ID: ID du compte de facturation. Les ID de compte de facturation sont au format0X0X0X-0X0X0X-0X0X0X.
Configurer les champs d'application de l'observabilité
Le champ d'application de l'observabilité détermine l'emplacement où la console Google Cloud recherche les données télémétriques à afficher. Chaque projet Google Cloud possède un seul champ d'application de l'observabilité, qui identifie les champs d'application par défaut des journaux et des traces. Pour les données de métriques, le champ d'application des métriques du projet détermine où la consoleGoogle Cloud recherche les données.
Pour afficher ou analyser toutes les données de télémétrie de votre application, configurez le champ d'application de l'observabilité et le champ d'application des métriques pour le projet de gestion. En configurant ces champs d'application, Cloud Hub et d'autres services peuvent trouver et afficher les données de journaux, de métriques et de trace de votre application, même si ces données sont stockées dans plusieurs projets.
Cette section résume la configuration requise. Pour obtenir des instructions détaillées, consultez Configurer la surveillance des applications. Le tableau suivant présente les niveaux de configuration requis.
| Composant "Champ d'application" | Scénario de configuration | Actions et points clés à prendre en compte |
|---|---|---|
| Champ d'application du journal | Vous utilisez un récepteur agrégé pour acheminer tous les journaux de l'organisation vers un bucket de journaux central. |
|
| Vous ne disposez pas d'un récepteur agrégé au niveau de l'organisation et le dossier compatible avec les applications ne comporte pas de dossiers imbriqués. |
|
|
| Vous ne souhaitez pas utiliser de récepteur agrégé. | Configurez le champ d'application des journaux par défaut dans le projet de gestion pour lister les emplacements de stockage des données de journaux de votre application. | |
| Champ d'application des métriques | Vous avez configuré un dossier compatible avec les applications contenant tous les projets qui stockent les données de métriques que vous souhaitez afficher. | Google Cloud Observability tente de synchroniser la liste des projets dans votre dossier compatible avec les applications avec la liste des projets dans le champ d'application des métriques. Tant que le nombre de projets dans le dossier compatible avec les applications ne dépasse pas votre quota de champ d'application des métriques, Google Cloud Observability peut tenir à jour la liste des projets dans le champ d'application des métriques lorsque vous ajoutez ou supprimez des projets dans le dossier compatible avec les applications. |
| Champ d'application de Trace | Vous souhaitez surveiller les données de trace d'application dans plusieurs projets. |
|
Créer des applications
Une fois que vous avez activé la gestion des applications, vous pouvez créer vos applications. Vous disposez des options suivantes pour créer vos applications :
- Utilisez App Hub pour créer des applications à partir de ressourcesGoogle Cloud existantes. Consultez Créer une application.
- Utilisez Application Design Center pour concevoir et déployer de nouvelles ressourcesGoogle Cloud , qui provisionnent automatiquement les applications App Hub. Vous utilisez des modèles d'application pour définir la conception, puis vous déployez des instances d'application basées sur les modèles.
Activer les API pour les données du projet
La plupart des pages de Cloud Hub affichent à la fois les données d'application et les données de projet. Toutefois, certaines pages n'acceptent que les vues de données par projet.
Lorsque vous configurez la gestion des applications, les API permettant d'afficher les données d'application dans Cloud Hub sont activées dans le projet de gestion.
Pour afficher les données des ressources dans des projets individuels, vous devez activer les API requises dans ces projets. Certaines API requises, telles que Cloud Logging et Cloud Monitoring, sont activées par défaut lorsque vous créez un projet.
Rôles requis
Pour obtenir les autorisations nécessaires pour activer les API, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Pour utiliser Gemini Cloud Assist et obtenir de l'aide pour des tâches telles que le dépannage ou l'optimisation des coûts, configurez Gemini Cloud Assist afin d'activer les API requises. Cette configuration est distincte de l'activation des API dans Cloud Hub.
Le tableau suivant récapitule les API requises pour chaque page Cloud Hub.
Activer les API
Pour activer des API pour des projets, procédez comme suit :
| Page | Données acceptées | API requises | Fonctionnalités optionnelles |
|---|---|---|---|
| Accueil | Application ou projet | La page d'accueil affiche des données récapitulatives provenant des autres pages Cloud Hub. | |
| Déploiements | Application | App Hub et Application Design Center | |
| État et dépannage | Application ou projet | Assistance App Hub pour les données d'application Cloud Logging, Cloud Monitoring, Error Reporting, Personalized Service Health et inventaire des éléments cloud pour les données sur l'état |
Configurez Gemini Cloud Assist pour créer et afficher des investigations. |
| Optimisation | Application ou projet | Assistance App Hub pour les données d'application Cloud Monitoring et App Optimize pour les données sur les coûts et l'utilisation |
Configurez Gemini Cloud Assist pour obtenir de l'aide concernant l'optimisation des coûts. |
| Maintenance | Projet uniquement | Unified Maintenance | |
| Quotas et réservations | Projet uniquement | Cloud Quotas pour les données de quota Compute Engine et le planificateur de capacité pour les utilisateurs de la version Preview privée du planificateur de capacité |
|
| Assistance | Projet uniquement | Cloud Customer Care |
Console
Sur la page d'accueil de Cloud Hub, vous pouvez afficher la liste des API qui ne sont pas activées pour Cloud Hub et les activer.
Dans la console Google Cloud , accédez à la page Accueil.
Dans le sélecteur de projets, sélectionnez le projet que vous souhaitez afficher.
À côté de "Activer les API recommandées", cliquez sur Afficher les API. Une boîte de dialogue affiche les API à activer.
Pour activer les API, cliquez sur Activer.
gcloud
Vous pouvez utiliser Google Cloud CLI pour activer une ou plusieurs API spécifiques.
Définissez le projet par défaut sur celui dans lequel vous souhaitez activer l'API.
gcloud config set project PROJECT_ID
Remplacez
PROJECT_IDpar l'ID du projet.Obtenez la liste des services que vous pouvez activer dans votre projet, en utilisant la commande suivante :
gcloud services list --availableSi l'API ne figure pas dans la liste, cela signifie que l'accès à cette API ne vous a pas été accordé.
Activez les services que vous souhaitez utiliser dans le projet. Vous pouvez activer plusieurs API en fournissant une liste de noms de services.
gcloud services enable SERVICE_NAME1 SERVICE_NAME2
Accorder l'accès aux utilisateurs Cloud Hub
Le rôle d'opérateur Cloud Hub inclut les autorisations permettant d'afficher la plupart des données dans Cloud Hub. Vous devez accorder l'accès à l'affichage des coûts des ressources sur la page "Optimisation" et aux investigations Gemini Cloud Assist séparément.
En fonction des responsabilités spécifiques de vos utilisateurs, vous devrez peut-être leur accorder d'autres rôles afin qu'ils puissent agir sur les données qu'ils consultent dans Cloud Hub.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer l'accès à un projet ou un dossier, demandez à votre administrateur de vous accorder les rôles IAM suivants sur la ressource dont vous souhaitez gérer l'accès (projet ou dossier) :
-
Pour gérer l'accès à un projet :
Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin) -
Pour gérer l'accès à un dossier :
Administrateur de dossier (
roles/resourcemanager.folderAdmin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Accorder l'accès aux données d'application
Console
Dans la console Google Cloud , accédez à la page IAM.
Dans le sélecteur de projet, choisissez le dossier compatible avec les applications.
Sur la page IAM, cliquez sur Accorder l'accès. Le volet Accorder l'accès s'ouvre.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail d'un utilisateur Cloud Hub.
Cliquez sur Sélectionner un rôle, puis saisissez Cloud Hub dans le champ Filtre.
Sélectionnez le rôle Opérateur Cloud Hub, puis cliquez sur Enregistrer. Le rôle est accordé à la personne pour tous les projets et sous-dossiers du dossier compatible avec les applications.
Dans le sélecteur de projets, choisissez le projet de gestion.
Pour accorder des rôles pour les coûts et les investigations liés aux ressources, accordez les rôles requis sur le projet de gestion.
- Sur la page IAM, cliquez sur Accorder l'accès. Le volet Accorder l'accès s'ouvre.
- Attribuez les rôles suivants aux personnes concernées :
- Pour afficher les données de coût sur la page "Optimisation", vous devez disposer du rôle Lecteur (
roles/reader) ou Lecteur (roles/viewer), ou d'un rôle personnalisé contenant l'autorisationbilling.resourceCosts.get. - Pour afficher les investigations Gemini Cloud Assist : lecteur Investigations (
roles/geminicloudassist.investigationViewer)
- Pour afficher les données de coût sur la page "Optimisation", vous devez disposer du rôle Lecteur (
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Assurez-vous que la dernière version de Google Cloud CLI est installée. Exécutez la commande suivante à partir de Cloud Shell :
gcloud components update
Attribuez le rôle d'opérateur Cloud Hub dans le dossier compatible avec les applications aux personnes concernées. Ce rôle est accordé à une personne pour tous les projets et sous-dossiers du dossier compatible avec les applications.
gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \ --member='user:PRINCIPAL' \ --role='roles/cloudhub.operator'Remplacez
FOLDER_IDpar l'ID du dossier. Vous trouverez l'ID de votre dossier compatible avec les applications sur la page Paramètres d'IAM et administration de la console Google Cloud . Pour vous assurer que le dossier est activé pour les applications, la page Paramètres doit afficher l'ID du projet de gestion. Si vous ne trouvez pas l'ID du projet de gestion, il est possible que vous ne soyez pas dans un dossier compatible avec les applications. Dans le sélecteur de projet, sélectionnez votre dossier compatible avec les applications.Accorder l'accès pour afficher les coûts des ressources dans le projet de gestion. L'exemple de commande attribue le rôle Lecteur (
roles/reader). Pour accorder un rôle avec un ensemble d'autorisations plus restreint, créez un rôle personnalisé contenant l'autorisationbilling.resourceCosts.get.gcloud projects add-iam-policy-binding PROJECT-ID \ --member='user:PRINCIPAL' \ --role='roles/reader'Remplacez
PROJECT-IDpar l'ID du projet de gestion. L'ID du projet de gestion d'un dossier est au formatFOLDER-NAME-mp.Accorder l'accès à l'affichage des investigations dans le projet de gestion
gcloud projects add-iam-policy-binding PROJECT-ID \ --member='user:PRINCIPAL' \ --role='roles/geminicloudassist.investigationViewer'
Accorder l'accès aux données de projet
Console
Dans la console Google Cloud , accédez à la page Accueil de Cloud Hub.
Dans le sélecteur de projet, choisissez votre projet.
Cliquez sur Gérer l'accès. Le volet Accorder l'accès s'affiche.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail d'un utilisateur Cloud Hub.
Cliquez sur Sélectionner un rôle, puis saisissez Cloud Hub dans le champ Filtre.
Sélectionnez le rôle Opérateur Cloud Hub, puis cliquez sur Enregistrer.
Suivez les mêmes étapes pour accorder des rôles permettant d'afficher les coûts et les investigations des ressources.
- Pour afficher les données de coût sur la page "Optimisation", vous devez disposer du rôle Lecteur (
roles/reader) ou Lecteur (roles/viewer), ou d'un rôle personnalisé contenant l'autorisationbilling.resourceCosts.get. - Pour afficher les investigations Gemini Cloud Assist : lecteur Investigations (
roles/geminicloudassist.investigationViewer)
- Pour afficher les données de coût sur la page "Optimisation", vous devez disposer du rôle Lecteur (
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Assurez-vous que la dernière version de Google Cloud CLI est installée. Exécutez la commande suivante à partir de Cloud Shell :
gcloud components update
Attribuez le rôle d'opérateur Cloud Hub sur le projet.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member='user:PRINCIPAL' \ --role='roles/cloudhub.operator'Remplacez
PROJECT_IDpar l'ID du projet.Accorder l'accès pour afficher les coûts des ressources dans le projet L'exemple de commande attribue le rôle Lecteur (
roles/reader). Pour accorder un rôle avec un ensemble d'autorisations plus restreint, créez un rôle personnalisé contenant l'autorisationbilling.resourceCosts.get.gcloud projects add-iam-policy-binding PROJECT_ID \ --member='user:PRINCIPAL' \ --role='roles/reader'Accorder l'accès pour afficher les investigations dans le projet
gcloud projects add-iam-policy-binding PROJECT_ID \ --member='user:PRINCIPAL' \ --role='roles/geminicloudassist.investigationViewer'
Étapes suivantes
- Affichez la page Accueil.