Ce document explique comment configurer Cloud Hub.
Le processus de configuration comporte plusieurs étapes principales :
Pour créer des applications App Hub et afficher des données les concernant dans Cloud Hub, configurez la gestion des applications.
Si vous ne configurez pas la gestion des applications, vous pouvez toujours afficher certaines données par projet au lieu de par application dans Cloud Hub.Google Cloud
Activez les API pour les données du projet. Certaines pages de Cloud Hub ne sont pas compatibles avec les données d'application. Vous devez activer les API pour ces pages séparément.
Configurer des vues agrégées des journaux, des métriques et des traces
Accorder l'accès aux utilisateurs Cloud Hub.
Différentes personnes ou équipes peuvent être responsables de différentes étapes du processus de configuration de Cloud Hub.
Configurer la gestion des applications
Cette section décrit les étapes à suivre pour activer la gestion des applications et créer vos applications.
Rôles requis
Pour obtenir les autorisations nécessaires pour configurer un dossier compatible avec les applications, demandez à votre administrateur de vous accorder les rôles IAM suivants :
-
Activez la gestion des applications :
Administrateur de dossier (
roles/resourcemanager.folderAdmin) sur la ressource parente du dossier -
Activez les API :
Administrateur de l'utilisation des services (
roles/serviceusage.serviceUsageAdmin) dans le dossier cible (pour activer les API requises et recommandées) -
Associez un compte de facturation au projet de gestion :
-
Gestionnaire de la facturation du projet (
roles/billing.projectManager) sur le projet de gestion -
Utilisateur de compte de facturation (
roles/billing.user) sur le compte de facturation cible
-
Gestionnaire de la facturation du projet (
-
Attribuez des rôles axés sur les applications aux utilisateurs :
Administrateur IAM du projet (
roles/resourcemanager.projectIamAdmin) sur le projet de gestion -
Configurez le champ d'application de l'observabilité :
-
Éditeur Observabilité (
roles/observability.editor) sur le projet de gestion -
Rédacteur de configuration des journaux (
roles/logging.configWriter) sur le projet de gestion -
Administrateur Monitoring (
roles/monitoring.admin) sur le projet de gestion et sur chaque projet que vous souhaitez ajouter au champ d'application des métriques -
Utilisateur Cloud Trace (
roles/cloudtrace.user) sur le projet de gestion -
Lecteur App Hub (
roles/apphub.viewer) sur le projet de gestion
-
Éditeur Observabilité (
-
Affichez les données au niveau de l'application et du projet dans Cloud Hub :
Opérateur Cloud Hub (
roles/cloudhub.operator) sur le dossier compatible avec les applications.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Activer la gestion des applications
La gestion des applications vous permet de passer des composants d'infrastructure individuels à votre application dans son ensemble.
Lorsque vous activez la gestion des applications dans un dossier, celui-ci est appelé "dossier compatible avec les applications". Voici ce qui se passe alors :
- Un projet est défini comme le projet de gestion dans le dossier.
- Le système active les API requises dans le projet de gestion.
- Le projet de gestion stocke les données d'application, y compris les API activées, la facturation, les quotas et les contrôles d'accès.
Pour activer la gestion des applications dans un dossier, procédez comme suit :
Console
Sélectionnez ou créez le dossier Google Cloud que vous souhaitez configurer en tant que dossier compatible avec les applications. Pour créer un dossier, consultez Créer des dossiers.
Dans la console Google Cloud , ouvrez la page Gérer les ressources.
Dans la liste des projets et des dossiers, recherchez celui que vous souhaitez configurer.
Si un dossier comporte l'icône de dossier compatible avec les applications
, la gestion des applications est déjà activée.Sur la ligne du dossier, ouvrez le menu Actions , puis cliquez sur Paramètres.
Si la gestion des applications n'a pas été activée pour le dossier, le paramètre Gestion des applications affiche Non activée.
Dans la section Activer la gestion des applications, cliquez sur Créer un projet.
Le panneau Créer un projet de gestion et activer les API requises s'ouvre.
Consultez la liste des API requises. Ces API gèrent le cycle de vie de votre application. Pour les API qui entraînent des coûts, cliquez sur leur nom pour en savoir plus sur les tarifs.
Pour activer la gestion des applications, cliquez sur Créer un projet et activer les API.
Le système crée le projet de gestion dans le dossier.
Notez le nom et l'ID du projet de gestion. Vous utiliserez ces valeurs pour accorder l'accès.
Vous pouvez également utiliser la commande Google Cloud CLI suivante pour obtenir l'ID du projet de gestion :
gcloud resource-manager folders describe FOLDER_ID --format="value(managementProject.split('/').slice(-1))"Remplacez
FOLDER_IDpar l'ID du dossier compatible avec les applications.Pour en savoir plus, consultez Trouver le nom, le numéro et l'ID du projet.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Assurez-vous que la dernière version de Google Cloud CLI est installée :
gcloud components updatePour activer la gestion des applications dans un dossier spécifique, utilisez la commande
gcloud resource-manager capabilities updateavec l'option--enable.gcloud resource-manager capabilities update folders/FOLDER_ID/capabilities/app-management \ --enableRemplacez
FOLDER_IDpar l'ID du dossier.Cette commande active la fonctionnalité de gestion des applications sur le dossier spécifié et provisionne automatiquement un nouveau projet Google Cloud dans ce dossier pour servir de projet de gestion.
Si vous le souhaitez, pour activer les API recommandées dans le projet de gestion, suivez les instructions pour activer les services Google Cloud dans un projet.
Terraform
Pour activer la gestion des applications dans un dossier à l'aide de Terraform, utilisez la ressource google_resource_manager_capability, par exemple :
resource "google_folder" "folder" {
display_name = "my-folder"
parent = "organizations/123456789"
deletion_protection = false
}
resource "time_sleep" "wait_60s" {
depends_on = [google_folder.folder]
create_duration = "60s"
}
resource "google_resource_manager_capability" "capability" {
value = true
parent = "${google_folder.folder.name}"
capability_name = "app-management"
depends_on = [time_sleep.wait_60s]
}
Cette commande active la fonctionnalité de gestion des applications sur le dossier spécifié et provisionne automatiquement un nouveau projet Google Cloud dans ce dossier pour servir de projet de gestion. Pour activer la liste des API recommandées dans le projet de gestion, suivez les instructions pour activer un service d'API dans un projet Google Cloud .
Associer un compte de facturation au projet de gestion
Pour utiliser les fonctionnalités Google Cloud avancées axées sur les applications, vous devez associer un compte de facturation actif au projet de gestion. Par exemple, un compte de facturation associé vous permet d'effectuer les opérations suivantes :
- Gérez les charges de travail qui dépassent les quotas de ressources App Hub.
- Utilisez App Design Center pour créer des modèles et déployer des applications.
Pour obtenir un aperçu des coûts potentiels associés à la gestion des applications et aux API activées, consultez Comprendre les coûts.
Pour associer un compte de facturation actif à votre projet de gestion :
Console
Vérifiez que le compte de facturation que vous souhaitez utiliser pour la gestion des applications existe. Pour créer un compte de facturation, consultez Créer un compte de facturation Cloud en libre-service.
Dans la console Google Cloud , ouvrez la page Facturation.
Dans l'onglet Mes projets, recherchez le projet de gestion.
Sur la ligne du projet, ouvrez le menu Actions, sélectionnez Modifier la facturation, puis choisissez le compte de facturation Cloud.
Pour en savoir plus sur l'activation de la facturation pour un projet, consultez Activer la facturation pour un projet.
gcloud
gcloud billing projects link PROJECT_ID \
--billing-account ACCOUNT_ID
Remplacez les éléments suivants :
PROJECT_ID: ID du projet de gestion.ACCOUNT_ID: ID du compte de facturation. Les ID de compte de facturation sont au format0X0X0X-0X0X0X-0X0X0X.
Configurer les champs d'application de l'observabilité
Le champ d'application de l'observabilité détermine l'emplacement où la console Google Cloud recherche les données télémétriques à afficher. Chaque projet Google Cloud possède un seul champ d'application de l'observabilité, qui identifie les champs d'application par défaut des journaux et des traces. Pour les données de métriques, le champ d'application des métriques du projet détermine où la consoleGoogle Cloud recherche les données.
Pour afficher ou analyser toutes les données de télémétrie de votre application, configurez le champ d'application de l'observabilité et le champ d'application des métriques pour le projet de gestion. En configurant ces champs d'application, Cloud Hub et d'autres services peuvent trouver et afficher les données de journaux, de métriques et de trace de votre application, même si ces données sont stockées dans plusieurs projets.
Cette section résume la configuration requise. Pour obtenir des instructions détaillées, consultez Configurer la surveillance des applications. Le tableau suivant présente les niveaux de configuration requis.
| Composant "Champ d'application" | Scénario de configuration | Actions et points à prendre en compte |
|---|---|---|
| Champ d'application du journal | Vous utilisez un récepteur agrégé pour acheminer tous les journaux de l'organisation vers un bucket de journaux central. |
|
| Vous ne disposez pas d'un récepteur agrégé au niveau de l'organisation, et le dossier compatible avec les applications ne comporte pas de dossiers imbriqués. |
|
|
| Vous ne souhaitez pas utiliser de récepteur agrégé. | Configurez le champ d'application des journaux par défaut dans le projet de gestion pour lister les emplacements de stockage des données de journaux de votre application. | |
| Champ d'application des métriques | Vous avez configuré un dossier compatible avec les applications contenant tous les projets qui stockent les données de métriques que vous souhaitez afficher. | Google Cloud Observability tente de synchroniser la liste des projets dans votre dossier compatible avec les applications avec la liste des projets dans le champ d'application des métriques. Tant que le nombre de projets dans le dossier compatible avec les applications ne dépasse pas votre quota de champ d'application des métriques, Google Cloud Observability peut tenir à jour la liste des projets dans le champ d'application des métriques lorsque vous ajoutez ou supprimez des projets dans le dossier compatible avec les applications. |
| Champ d'application de Trace | Vous souhaitez surveiller les données de trace d'application dans plusieurs projets. |
|
Créer des applications
Une fois que vous avez activé la gestion des applications, vous pouvez créer vos applications. Vous disposez des options suivantes pour créer vos applications :
- Utilisez App Hub pour créer des applications à partir de ressourcesGoogle Cloud existantes. Consultez Créer une application.
- Utilisez Application Design Center pour concevoir et déployer de nouvelles ressourcesGoogle Cloud , qui provisionnent automatiquement les applications App Hub. Vous utilisez des modèles d'application pour définir la conception, puis vous déployez des instances d'application basées sur les modèles.
Activer les API pour Cloud Hub
Cloud Hub ne possède pas sa propre API. Au lieu de cela, il appelle d'autres API qui fournissent des données à Cloud Hub.
Le tableau suivant répertorie les API utilisées par Cloud Hub. Certaines de ces API sont associées à des coûts ou ont des dépendances avec des coûts. Pour en savoir plus, consultez les liens vers les tarifs.
| API | Utilisation dans Cloud Hub | Tarifs |
|---|---|---|
|
API App Hub Stocke les métadonnées de toutes les applications enregistrées. Vous permet d'organiser les ressources existantes dans des applications. |
Obligatoire pour afficher les données d'application dans Cloud Hub. En savoir plus sur App Hub |
Tarifs d'App Hub |
|
API App Design Center Concevoir, déployer et mettre à jour des applications |
Obligatoire pour afficher les déploiements d'applications dans Cloud Hub. |
Tarifs |
|
API App Optimize Obtenez des données sur les coûts et l'utilisation pour vous aider à optimiser les coûts. |
Obligatoire pour afficher les données sur la page Optimisation de Cloud Hub. |
Aucuns frais supplémentaires ne sont facturés pour cette API. L'API récupère les données de Cloud Billing et de Cloud Monitoring . |
|
API Capacity Planner Affichez les données sur les coûts et l'utilisation pour vous aider à optimiser les coûts. |
Nécessaire pour afficher les données d'utilisation et de prévision dans Cloud Hub. |
Tarifs du planificateur de capacité |
|
API Compute Engine Provisionnez des instances de machines virtuelles (VM) autogérées et des instances Bare Metal. |
Obligatoire pour afficher les données de réservation dans Cloud Hub. |
Informations de facturation pour les réservations futures |
| API Cloud Logging ( logging.googleapis.com)
Gestion des journaux en temps réel. |
Fournit la journalisation pour les services Google Cloud . Obligatoire pour la page État et dépannage dans Cloud Hub. |
Tarifs de l'observabilité |
| API Cloud Monitoring ( monitoring.googleapis.com) |
Fournit des métriques et des alertes pour les services Google Cloud . Obligatoire pour les données d'alerte et de télémétrie sur la page État et dépannage de Cloud Hub. |
Tarifs de l'observabilité |
| API Service Health ( servicehealth.googleapis.com)
Identifier les Google Cloud interruptions de service qui affectent vos applications |
Obligatoire pour afficher les incidents Google Cloud sur les pages État et dépannage et Assistance de Cloud Hub. |
Tarifs de Personalized Service Health |
| API Recommender ( recommender.googleapis.com)
Générez des recommandations et des insights Active Assist pour vous aider à optimiser vos ressources Google Cloud . |
Obligatoire pour afficher les recommandations d'optimisation des coûts dans Cloud Hub |
Tarifs de l'outil de recommandation |
| API Gemini Cloud Assist ( geminicloudassist.googleapis.com)
Produit du portefeuille Gemini pour Google Cloud qui offre une assistance optimisée par l'IA pour simplifier le cycle de vie des applications dans Google Cloud. |
Utilisez Gemini Cloud Assist pour obtenir de l'aide sur des tâches telles que l'optimisation des coûts et le dépannage. |
Tarifs de Gemini Cloud Assist |
| API Cloud Quotas ( cloudquotas.googleapis.com)
Affichez et gérez les quotas. |
Obligatoire pour afficher les quotas et les limites système dans Cloud Hub. |
Tarifs de Cloud Quotas |
| API Unified Maintenance ( maintenance.googleapis.com)
Gérez la maintenance planifiée dans les services Google Cloud . |
Obligatoire pour afficher les activités de maintenance dans Cloud Hub |
Tarifs de la maintenance unifiée |
| API Service Usage ( serviceusage.googleapis.com)
Répertoriez et gérez les API et les services dans vos projets Google Cloud . |
Obligatoire pour afficher les quotas et les limites système dans Cloud Hub. |
Tarifs de Service Usage |
Une fois la gestion des applications configurée, la plupart des API qui fournissent des données à Cloud Hub sont activées dans le projet de gestion en tant qu'API requises.
Toutefois, certaines API utilisées par Cloud Hub ne fournissent des données que pour les projets ou ne sont pas automatiquement activées en tant qu'API requises dans un projet de gestion.
Suivez les instructions de cette section pour activer les API manquantes pour Cloud Hub.
Rôles requis
Pour obtenir les autorisations nécessaires à l'activation des API, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin) sur le projet dans lequel vous souhaitez activer les API. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Activer les API
Pour en savoir plus sur les API utilisées par Cloud Hub, consultez Activer les API pour Cloud Hub.
Console
Sur la page d'accueil de Cloud Hub, vous pouvez afficher la liste des API qui ne sont pas activées pour Cloud Hub et les activer.
Dans la console Google Cloud , accédez à la page Accueil.
Dans le sélecteur de projets, choisissez le projet que vous souhaitez afficher.
À côté de "Activer les API recommandées", cliquez sur Activer les API. Un panneau s'ouvre et affiche les API qui ne sont pas encore activées.
Sélectionnez les API que vous souhaitez activer, puis cliquez sur Activer.
gcloud
Définissez le projet par défaut sur celui dans lequel vous souhaitez activer l'API.
gcloud config set project PROJECT_ID
Remplacez
PROJECT_IDpar l'ID du projet.Obtenez la liste des services que vous pouvez activer dans votre projet, en utilisant la commande suivante :
gcloud services list --availableSi l'API ne figure pas dans la liste, cela signifie que l'accès à cette API ne vous a pas été accordé.
Activez les services que vous souhaitez utiliser dans le projet. Vous pouvez activer plusieurs API en fournissant une liste de noms de services.
gcloud services enable SERVICE_NAME1 SERVICE_NAME2
Accorder l'accès aux utilisateurs Cloud Hub
Le rôle d'opérateur Cloud Hub inclut les autorisations permettant d'afficher la plupart des données dans Cloud Hub. Vous devez accorder l'accès à l'affichage des coûts des ressources sur la page "Optimisation" et aux investigations Gemini Cloud Assist séparément.
En fonction des responsabilités spécifiques de vos utilisateurs, vous devrez peut-être leur accorder d'autres rôles afin qu'ils puissent agir sur les données qu'ils consultent dans Cloud Hub.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer l'accès à un projet ou un dossier, demandez à votre administrateur de vous accorder les rôles IAM suivants sur la ressource dont vous souhaitez gérer l'accès (projet ou dossier) :
-
Pour gérer l'accès à un projet :
Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin) -
Pour gérer l'accès à un dossier :
Administrateur de dossier (
roles/resourcemanager.folderAdmin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Accorder l'accès aux données d'application
Console
Dans la console Google Cloud , accédez à la page IAM.
Dans le sélecteur de projet, choisissez le dossier compatible avec les applications.
Sur la page IAM, cliquez sur Accorder l'accès. Le volet Accorder l'accès s'ouvre.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail d'un utilisateur Cloud Hub.
Cliquez sur Sélectionner un rôle, puis saisissez Cloud Hub dans le champ Filtre.
Sélectionnez le rôle Opérateur Cloud Hub, puis cliquez sur Enregistrer. Le rôle est accordé à la personne pour tous les projets et sous-dossiers du dossier compatible avec les applications.
Dans le sélecteur de projets, choisissez le projet de gestion.
Pour accorder des rôles pour les coûts et les investigations liés aux ressources, accordez les rôles requis sur le projet de gestion.
- Sur la page IAM, cliquez sur Accorder l'accès. Le volet Accorder l'accès s'ouvre.
- Attribuez les rôles suivants aux personnes concernées :
- Pour afficher les données de coût sur la page "Optimisation", vous devez disposer du rôle Lecteur (
roles/reader) ou Lecteur (roles/viewer), ou d'un rôle personnalisé contenant l'autorisationbilling.resourceCosts.get. - Pour afficher les investigations Gemini Cloud Assist : lecteur d'investigations (
roles/geminicloudassist.investigationViewer)
- Pour afficher les données de coût sur la page "Optimisation", vous devez disposer du rôle Lecteur (
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Assurez-vous que la dernière version de Google Cloud CLI est installée. Exécutez la commande suivante à partir de Cloud Shell :
gcloud components update
Attribuez le rôle d'opérateur Cloud Hub dans le dossier compatible avec les applications aux personnes concernées. Ce rôle est accordé à une personne pour tous les projets et sous-dossiers du dossier compatible avec les applications.
gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \ --member='user:PRINCIPAL' \ --role='roles/cloudhub.operator'Remplacez
FOLDER_IDpar l'ID du dossier. Vous trouverez l'ID de votre dossier compatible avec les applications sur la page Paramètres de la console Google Cloud . Pour vous assurer que le dossier est activé pour les applications, la page Paramètres doit afficher l'ID du projet de gestion. Si vous ne trouvez pas l'ID du projet de gestion, il est possible que vous ne vous trouviez pas dans un dossier compatible avec les applications. Dans le sélecteur de projet, sélectionnez votre dossier compatible avec les applications.Accorder l'accès pour afficher les coûts des ressources dans le projet de gestion. L'exemple de commande attribue le rôle Lecteur (
roles/reader). Pour accorder un rôle avec un ensemble d'autorisations plus restreint, créez un rôle personnalisé contenant l'autorisationbilling.resourceCosts.get.gcloud projects add-iam-policy-binding PROJECT-ID \ --member='user:PRINCIPAL' \ --role='roles/reader'Remplacez
PROJECT-IDpar l'ID du projet de gestion. L'ID du projet de gestion d'un dossier est au formatFOLDER-NAME-mp.Accorder l'accès permettant d'afficher les investigations dans le projet de gestion
gcloud projects add-iam-policy-binding PROJECT-ID \ --member='user:PRINCIPAL' \ --role='roles/geminicloudassist.investigationViewer'
Accorder l'accès aux données du projet
Console
Dans la console Google Cloud , accédez à la page Accueil de Cloud Hub.
Dans le sélecteur de projet, choisissez votre projet.
Cliquez sur Gérer l'accès. Le volet Accorder l'accès s'affiche.
Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail d'un utilisateur Cloud Hub.
Cliquez sur Sélectionner un rôle, puis saisissez Cloud Hub dans le champ Filtre.
Sélectionnez le rôle Opérateur Cloud Hub, puis cliquez sur Enregistrer.
Suivez les mêmes étapes pour accorder des rôles permettant d'afficher les coûts et les investigations des ressources.
- Pour afficher les données de coût sur la page "Optimisation", vous devez disposer du rôle Lecteur (
roles/reader) ou Lecteur (roles/viewer), ou d'un rôle personnalisé contenant l'autorisationbilling.resourceCosts.get. - Pour afficher les investigations Gemini Cloud Assist : lecteur d'investigations (
roles/geminicloudassist.investigationViewer)
- Pour afficher les données de coût sur la page "Optimisation", vous devez disposer du rôle Lecteur (
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Assurez-vous que la dernière version de Google Cloud CLI est installée. Exécutez la commande suivante à partir de Cloud Shell :
gcloud components update
Attribuez le rôle d'opérateur Cloud Hub sur le projet.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member='user:PRINCIPAL' \ --role='roles/cloudhub.operator'Remplacez
PROJECT_IDpar l'ID du projet.Accorder l'accès pour afficher les coûts des ressources dans le projet L'exemple de commande attribue le rôle Lecteur (
roles/reader). Pour accorder un rôle avec un ensemble d'autorisations plus restreint, créez un rôle personnalisé contenant l'autorisationbilling.resourceCosts.get.gcloud projects add-iam-policy-binding PROJECT_ID \ --member='user:PRINCIPAL' \ --role='roles/reader'Accorder l'accès pour afficher les investigations dans le projet
gcloud projects add-iam-policy-binding PROJECT_ID \ --member='user:PRINCIPAL' \ --role='roles/geminicloudassist.investigationViewer'
Étapes suivantes
- Affichez la page Accueil.