設定 Cloud Hub

本文說明如何設定 Cloud Hub。

設定程序主要分為幾個步驟:

  1. 如要在 Cloud Hub 建立 App Hub 應用程式並查看相關資料,請設定應用程式管理

    如果未設定應用程式管理功能,您仍可在 Cloud Hub 中依Google Cloud 專案 (而非應用程式) 查看部分資料。

  2. 啟用專案資料的 API。Cloud Hub 的部分頁面不支援應用程式資料。您必須分別為這些頁面啟用 API。

  3. 設定記錄、指標和追蹤記錄的匯總檢視畫面

  4. 授予存取權給 Cloud Hub 使用者。

不同人員或團隊可能負責 Cloud Hub 設定程序中的不同步驟。

設定應用程式管理功能

本節說明啟用應用程式管理功能及建立應用程式的必要步驟。

必要的角色

如要取得設定啟用應用程式的資料夾所需的權限,請要求管理員授予您下列 IAM 角色:

  • 啟用應用程式管理功能: 資料夾的父項資源必須具備資料夾管理員 (roles/resourcemanager.folderAdmin) 角色
  • 啟用 API: 目標資料夾的「Service Usage Admin」 (roles/serviceusage.serviceUsageAdmin) (啟用必要和建議的 API)
  • 將帳單帳戶連結至管理專案:
  • 將以應用程式為主的角色授予使用者: 管理專案的「專案 IAM 管理員」 (roles/resourcemanager.projectIamAdmin)
  • 設定可觀測範圍:
  • 在 Cloud Hub 中查看應用程式層級和專案層級的資料: Cloud Hub 操作人員 (roles/cloudhub.operator) 在已啟用應用程式的資料夾上

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

啟用應用程式管理功能

應用程式管理功能可讓您將重心從個別基礎架構元件轉移到整個應用程式。

在資料夾上啟用應用程式管理功能後,該資料夾會稱為「已啟用應用程式的資料夾」,並發生下列情況:

  • 專案定義為資料夾中的管理專案
  • 系統會在管理專案中啟用必要的 API。
  • 管理專案會儲存應用程式資料,包括已啟用的 API、帳單、配額和存取控管機制。

如要啟用資料夾的應用程式管理功能,請按照下列步驟操作:

控制台

  1. 選取或建立要設為應用程式啟用資料夾的 Google Cloud 資料夾。如要建立新資料夾,請參閱「建立資料夾」。

  2. 在 Google Cloud 控制台中,開啟「Manage resources」(管理資源) 頁面。

    前往「Manage Resources」(管理資源)

  3. 在專案和資料夾清單中,找出要設定的資料夾。

    如果資料夾有應用程式啟用資料夾圖示,表示應用程式管理功能已啟用。

  4. 在資料夾列中,開啟 「動作」選單,然後按一下「設定」

    如果資料夾未啟用應用程式管理功能,「應用程式管理」設定會顯示「未啟用」

  5. 在「啟用應用程式管理服務」區域中,按一下「建立專案」

    「建立管理專案並啟用必要的 API」面板隨即開啟。

  6. 查看必要 API 清單。這些 API 可管理應用程式生命週期。如要進一步瞭解會產生費用的 API 計價方式,請點選 API 名稱。

  7. 如要啟用應用程式管理功能,請按一下「建立專案並啟用 API」

    系統會在資料夾中建立管理專案。

  8. 記下管理專案的名稱和 ID。您將使用這些值授予存取權。

    或者,您也可以使用下列 Google Cloud CLI 指令取得管理專案 ID:

    gcloud resource-manager folders describe FOLDER_ID
    --format="value(managementProject.split('/').slice(-1))"

    FOLDER_ID 替換為啟用應用程式的資料夾 ID。

    詳情請參閱「尋找專案名稱、編號和 ID」。

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 確認已安裝最新版 Google Cloud CLI:

    gcloud components update

  3. 如要在特定資料夾中啟用應用程式管理功能,請使用 gcloud resource-manager capabilities update 指令並加上 --enable 旗標。

    gcloud resource-manager capabilities update folders/FOLDER_ID/capabilities/app-management \
   --enable

    FOLDER_ID 替換為資料夾的 ID。

    這項指令會為指定資料夾啟用應用程式管理功能,並在該資料夾中自動佈建新的 Google Cloud 專案,做為管理專案。

  4. 如要在管理專案中啟用建議使用的 API,請按照操作說明在專案中啟用服務 Google Cloud

    5. Terraform

    如要使用 Terraform 啟用資料夾的應用程式管理功能,請使用google_resource_manager_capability 資源,例如:

    resource "google_folder" "folder" {
  display_name     = "my-folder"
  parent           = "organizations/123456789"
  deletion_protection = false
}
resource "time_sleep" "wait_60s" {
  depends_on = [google_folder.folder]
  create_duration = "60s"
}
resource "google_resource_manager_capability" "capability" {
  value            = true
  parent           = "${google_folder.folder.name}"
  capability_name  = "app-management"
  depends_on = [time_sleep.wait_60s]
}

    這項指令會在指定資料夾中啟用應用程式管理功能,並在該資料夾中自動佈建新的 Google Cloud 專案,做為管理專案。如要在管理專案中啟用建議使用的 API 清單,請按照這篇文章 Google Cloud 的操作說明,在專案中啟用 API 服務。

將帳單帳戶連結至管理專案

如要使用以應用程式為中心的進階 Google Cloud 功能,請將有效的帳單帳戶連結至管理專案。舉例來說,連結帳單帳戶可協助您執行下列操作:

  • 管理超出 App Hub 資源配額的工作負載。
  • 使用 Application Design Center 建立範本及部署應用程式。

如要瞭解應用程式管理和已啟用 API 的相關費用,請參閱「瞭解費用」一文。

如要將有效的帳單帳戶連結至管理專案,請按照下列步驟操作:

控制台

  1. 確認您要用於應用程式管理的帳單帳戶存在。如要建立帳單帳戶,請參閱「建立新的自助式 Cloud Billing 帳戶」。

  2. 在 Google Cloud 控制台中開啟「帳單」頁面。

    前往「帳單」頁面

  3. 在「我的專案」分頁中,找出管理專案。

  4. 在專案列中開啟「動作」選單,選取「變更帳單」,然後選擇 Cloud Billing 帳戶。

如要進一步瞭解如何為專案啟用帳單功能,請參閱「啟用專案的帳單功能」。

gcloud

gcloud billing projects link PROJECT_ID \
    --billing-account ACCOUNT_ID

更改下列內容:

  • PROJECT_ID:管理專案的 ID。
  • ACCOUNT_ID:帳單帳戶的 ID。 帳單帳戶 ID 的格式為 0X0X0X-0X0X0X-0X0X0X

設定觀測範圍

可觀測性範圍會決定 Google Cloud 控制台 Google Cloud 要從何處搜尋並顯示遙測資料。每個 Google Cloud 專案都有單一可觀測範圍,用於識別預設的記錄和追蹤範圍。如果是指標資料,專案的指標範圍會決定Google Cloud 控制台搜尋資料的位置。

如要查看或分析應用程式的所有遙測資料,請為管理專案設定可觀測性範圍和指標範圍。設定這些範圍後,Cloud Hub 和其他服務就能尋找及顯示應用程式的記錄、指標和追蹤記錄資料,即使這些資料儲存在多個專案中也沒問題。

本節將摘要說明必要設定。如需詳細操作說明,請參閱「設定應用程式監控」。下表列出必要的設定範圍。

範圍元件 設定情境 重要動作和注意事項
記錄範圍 您可以使用 匯總接收器,將機構中的所有記錄檔轉送至中央記錄檔 bucket。
  1. 建立記錄檢視,只納入儲存在 bucket 中的應用程式記錄。
  2. 在管理專案中設定預設記錄範圍,納入記錄檢視畫面。
您沒有機構層級的匯總接收器,且啟用應用程式的資料夾沒有巢狀資料夾。
  1. 設定匯總接收器,將應用程式記錄檔轉送至管理專案的 _Default 記錄檔 bucket。
  2. 確認名為 _Default 的記錄範圍是預設記錄範圍。
您不想使用匯總接收器。 在管理專案中設定預設記錄範圍,列出應用程式記錄資料的儲存位置。
指標範圍 您已設定已啟用應用程式的資料夾,其中包含儲存要查看指標資料的所有專案。 Google Cloud Observability 會嘗試將啟用應用程式的資料夾中的專案清單,與指標範圍內的專案清單同步。

只要啟用應用程式的資料夾中專案數量不超過指標範圍配額,當您在啟用應用程式的資料夾中新增或移除專案時,Google Cloud Observability 就能持續更新指標範圍中的專案清單。
追蹤記錄範圍 您想監控多個專案的應用程式追蹤記錄資料。
  1. 在管理專案中建立自訂追蹤記錄範圍,列出儲存應用程式追蹤記錄資料的專案。
  2. 將自訂追蹤記錄範圍設為預設追蹤記錄範圍。

建立應用程式

啟用應用程式管理後,您就可以建立應用程式。您可以透過下列選項建立應用程式:

  • 使用 App Hub 從現有Google Cloud 資源建立應用程式。請參閱「建立應用程式」。
  • 使用 Application Design Center 設計及部署新的Google Cloud 資源,系統會自動佈建 App Hub 應用程式。您可以使用應用程式範本定義設計,然後根據範本部署應用程式例項

啟用 Cloud Hub API

Cloud Hub 沒有專屬 API。而是呼叫其他 API,將資料提供給 Cloud Hub。

下表列出 Cloud Hub 使用的 API。部分 API 會產生相關費用,或有費用相關的依附元件。詳情請參閱定價連結。

API Cloud Hub 中的用量 定價

App Hub API
(apphub.googleapis.com)

儲存所有已註冊應用程式的中繼資料。可將現有資源整理到應用程式中。

必須啟用這項服務,才能在 Cloud Hub 中顯示應用程式資料。 瞭解 App Hub。

App Hub 價格

App Design Center API
(designcenter.googleapis.com)

設計、部署及更新應用程式

在 Cloud Hub 中查看應用程式部署作業時需要。

 定價

App Optimize API API
(appoptimize.googleapis.com)

取得費用和使用率資料,有助於節省費用。

如要在 Cloud Hub 的最佳化頁面查看資料,就必須啟用這項服務。

 這項 API 不會產生額外費用。這個 API 會從 Cloud BillingCloud Monitoring 擷取資料。

Capacity Planner API
(planner.googleapis.com)

查看費用和使用量資料,有助於節省費用。

如要在 Cloud Hub 查看用量和預測資料,必須具備這項權限。

 容量規劃工具定價

Compute Engine API
(compute.googleapis.com)

佈建自行管理的虛擬機器 (VM) 執行個體和裸機執行個體。

如要在 Cloud Hub 中查看預訂資料 ,必須擁有這項權限。

 未來預留項目的帳單資訊
Cloud Logging API
(logging.googleapis.com)

即時管理記錄檔。

提供 Google Cloud 服務的記錄功能。Cloud Hub 的「健康狀態與疑難排解」頁面需要這項資訊。

 觀測能力定價
Cloud Monitoring API API
(monitoring.googleapis.com)

提供 Google Cloud 服務的指標和警報。 Cloud Hub 的「健康與疑難排解」頁面需要這項權限,才能顯示快訊和遙測資料。

 觀測能力定價
Service Health API
(servicehealth.googleapis.com)

找出與應用程式相關的 Google Cloud 服務中斷情形

如要在 Cloud Hub 的「健康狀態與疑難排解」和「支援」頁面查看事件,必須具備這項權限。 Google Cloud

Personalized Service Health 價格
Recommender API
(recommender.googleapis.com)

生成 Active Assist 建議和洞察資料,協助您充分運用 Google Cloud 資源

如要在 Cloud Hub 中查看 成本最佳化建議,必須具備這項權限

 建議工具定價
Gemini Cloud Assist API
(geminicloudassist.googleapis.com)

Gemini for Google Cloud 系列產品之一,提供 AI 技術輔助功能,簡化 Google Cloud中的應用程式生命週期。

您必須使用 Gemini Cloud Assist 協助處理成本最佳化疑難排解等工作。

 Gemini Cloud Assist 定價
Cloud Quotas API
(cloudquotas.googleapis.com)

查看及管理配額。

在 Cloud Hub 中查看配額和系統限制時,必須具備這項權限。

 Cloud Quotas 定價
Unified Maintenance API
(maintenance.googleapis.com)

管理各項 Google Cloud 服務的預定維護作業。

必須具備這項權限,才能在 Cloud Hub 查看維護活動

 Unified Maintenance 定價
Service Usage API
(serviceusage.googleapis.com)

列出並管理您 Google Cloud 專案中的 API 與服務。

在 Cloud Hub 中查看配額和系統限制時,必須具備這項權限。

 Service Usage 定價

設定應用程式管理功能後,管理專案會啟用許多提供資料給 Cloud Hub 的 API,做為必要 API

不過,Cloud Hub 使用的部分 API 只會提供專案資料,或不會在管理專案中自動啟用為必要 API。

按照本節的指示,為 Cloud Hub 啟用缺少的 API。

必要的角色

如要取得啟用 API 所需的權限,請要求管理員授予您要啟用 API 的專案「服務使用情形管理員」(roles/serviceusage.serviceUsageAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

啟用 API

如要瞭解 Cloud Hub 使用的 API,請參閱「啟用 Cloud Hub 的 API」。

控制台

在 Cloud Hub 首頁,您可以查看未啟用 Cloud Hub 的 API 清單,並啟用這些 API。

  1. 前往 Google Cloud 控制台的「Home」(首頁)

    前往「Home」(首頁)

  2. 在專案選擇工具中,選取要查看的專案。

  3. 在「啟用建議的 API」旁,按一下「啟用 API」。面板隨即開啟,並顯示尚未啟用的 API。

  4. 選取要啟用的 API,然後按一下「啟用」

gcloud

  1. 將預設專案設為要啟用 API 的專案。

    gcloud config set project PROJECT_ID

    PROJECT_ID 替換為專案 ID。

  2. 取得您可在專案中啟用的服務清單:

    gcloud services list --available

    如果系統未列出該 API,代表您沒有啟用該 API 的權限。

  3. 啟用要在專案中使用的服務。您可以提供服務名稱清單,啟用多個 API。

    gcloud services enable SERVICE_NAME1 SERVICE_NAME2

授予 Cloud Hub 使用者存取權

Cloud Hub 操作人員角色包含在 Cloud Hub 中查看大部分資料的權限。您必須分別授予權限,才能在「最佳化」頁面查看資源成本,以及使用 Gemini Cloud Assist 調查。

視使用者的具體職責而定,您可能需要授予其他角色,讓他們能夠對在 Cloud Hub 中查看的資料採取行動。

必要的角色

如要取得管理專案或資料夾存取權所需的權限,請要求管理員在您要管理存取權的資源 (專案或資料夾) 中,授予下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

授予應用程式資料存取權

控制台

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「身分與存取權管理」頁面

  2. 在專案選取器中,選擇已啟用應用程式管理功能的資料夾。

  3. 在「IAM」頁面中,按一下「授予存取權」。「授予存取權」窗格隨即開啟。

  4. 在「New principals」(新增主體) 欄位中,輸入 Cloud Hub 使用者的電子郵件地址。

  5. 按一下「選取角色」,然後在「篩選器」欄位中輸入「Cloud Hub」

  6. 選取「Cloud Hub Operator」角色,然後按一下「Save」。 系統會將角色授予已啟用應用程式的資料夾中,所有專案和子資料夾的個人。

  7. 在專案選取器中,選擇管理專案。

  8. 如要授予資源費用和調查的角色,請在管理專案中授予必要角色。

    1. 在「IAM」頁面中,按一下「授予存取權」。「授予存取權」窗格隨即開啟。
    2. 將下列角色授予適當人員:
      • 如要在「最佳化」頁面查看費用資料,您必須具備「讀者」(roles/reader) 或「檢視者」(roles/viewer) 角色,或是包含 billing.resourceCosts.get 權限的自訂角色。
      • 如要查看 Gemini Cloud Assist 調查,請使用「調查檢視者」角色 (roles/geminicloudassist.investigationViewer)。

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 確認已安裝最新版本的 Google Cloud CLI。透過 Cloud Shell 執行下列指令:

    gcloud components update

  3. 在已啟用應用程式的資料夾中,將 Cloud Hub 操作人員角色授予個人。這個角色會授予應用程式啟用資料夾的所有專案和子資料夾。

    gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
    --member='user:PRINCIPAL' \
    --role='roles/cloudhub.operator'

    FOLDER_ID 替換為資料夾 ID。您可以在 Google Cloud 控制台的「IAM & Admin」(IAM 與管理) 設定頁面中,找到已啟用應用程式的資料夾 ID。如要確保資料夾已啟用應用程式,「設定」頁面應會顯示管理專案 ID。如果找不到管理專案 ID,表示您可能不在已啟用應用程式管理功能的資料夾。從專案選取器中,選取已啟用應用程式的資料夾。

  4. 授予權限,查看管理專案的資源費用。範例指令會授予「讀取者」角色 (roles/reader)。如要授予權限較少的角色,請建立包含 billing.resourceCosts.get 權限的自訂角色。

    gcloud projects add-iam-policy-binding PROJECT-ID \
    --member='user:PRINCIPAL' \
    --role='roles/reader'

    PROJECT-ID 替換為管理專案的 ID。資料夾的管理專案 ID 格式為 FOLDER-NAME-mp

  5. 授予管理專案的調查檢視權限。

    gcloud projects add-iam-policy-binding PROJECT-ID \
    --member='user:PRINCIPAL' \
    --role='roles/geminicloudassist.investigationViewer'

授予專案資料存取權

控制台

  1. 前往 Google Cloud 控制台的 Cloud Hub「首頁」頁面。

    前往「Home」(首頁)

  2. 在專案選取器中選擇專案。

  3. 按一下「管理存取權」。 「授予存取權」窗格隨即開啟。

  4. 在「New principals」(新增主體) 欄位中,輸入 Cloud Hub 使用者的電子郵件地址。

  5. 按一下「選取角色」,然後在「篩選器」欄位中輸入「Cloud Hub」

  6. 選取「Cloud Hub Operator」角色,然後按一下「儲存」

  7. 請按照相同步驟授予角色,以便查看資源費用和調查結果。

    • 如要在「最佳化」頁面查看費用資料,您必須具備「讀者」(roles/reader) 或「檢視者」(roles/viewer) 角色,或是包含 billing.resourceCosts.get 權限的自訂角色。
    • 如要查看 Gemini Cloud Assist 調查,請使用「調查檢視者」角色 (roles/geminicloudassist.investigationViewer)。

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 確認已安裝最新版本的 Google Cloud CLI。透過 Cloud Shell 執行下列指令:

    gcloud components update

  3. 授予專案的 Cloud Hub 操作人員角色。

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='user:PRINCIPAL' \
    --role='roles/cloudhub.operator'

    PROJECT_ID 替換為專案 ID。

  4. 授予專案中資源費用的查看權限。範例指令會授予「讀取者」角色 (roles/reader)。如要授予權限較少的角色,請建立包含 billing.resourceCosts.get 權限的自訂角色。

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='user:PRINCIPAL' \
    --role='roles/reader'

  5. 授予專案中調查的查看權限。

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member='user:PRINCIPAL' \
    --role='roles/geminicloudassist.investigationViewer'

後續步驟

  • 查看「首頁」頁面。