本文說明如何設定 Cloud Hub。
設定程序主要有幾個步驟:
如要在 Cloud Hub 中建立 App Hub 應用程式並查看相關資料,請設定應用程式管理。
如果未設定應用程式管理功能,您仍可在 Cloud Hub 中依Google Cloud 專案查看部分資料,而非依應用程式查看。
啟用專案資料的 API。Cloud Hub 的部分頁面不支援應用程式資料。您必須分別為這些頁面啟用 API。
授予存取權給 Cloud Hub 使用者。
不同人員或團隊可能負責 Cloud Hub 設定程序中的不同步驟。
設定應用程式管理功能
本節說明啟用應用程式管理功能及建立應用程式的必要步驟。
必要的角色
如要取得設定啟用應用程式的資料夾所需的權限,請要求管理員授予下列 IAM 角色:
-
啟用應用程式管理功能:
資料夾的父項資源必須具備資料夾管理員 (
roles/resourcemanager.folderAdmin) 角色 - 將帳單帳戶連結至管理專案:
-
啟用建議的 API:
Service Usage Admin (
roles/serviceusage.serviceUsageAdmin) 在管理專案中,只有在您想啟用其他服務時才需要啟用 -
將以應用程式為主的角色授予使用者:
管理專案的「專案 IAM 管理員」 (
roles/resourcemanager.projectIamAdmin) -
設定可觀測範圍:
-
管理專案的可觀測性編輯者 (
roles/observability.editor) -
記錄設定寫入者 (
roles/logging.configWriter) 管理專案 -
監控管理員 (
roles/monitoring.admin) 在管理專案和要新增至指標範圍的每個專案中 -
Cloud Trace 使用者 (
roles/cloudtrace.user) 管理專案 -
App Hub 檢視者 (
roles/apphub.viewer) 管理專案
-
管理專案的可觀測性編輯者 (
-
在 Cloud Hub 中查看應用程式層級和專案層級的資料:
Cloud Hub 操作人員 (
roles/cloudhub.operator) 已啟用應用程式的資料夾
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
啟用應用程式管理功能
應用程式管理功能可讓您將重心從個別基礎架構元件轉移到整個應用程式。
在資料夾上啟用應用程式管理功能後,該資料夾會稱為「已啟用應用程式管理功能的資料夾」,並發生下列情況:
- 專案定義為資料夾中的管理專案。
- 系統會在管理專案中啟用必要的 API。
- 管理專案會儲存應用程式資料,包括已啟用的 API、計費、配額和存取控管機制。
如要啟用資料夾的應用程式管理功能,請按照下列步驟操作:
控制台
選取或建立要設為啟用應用程式資料夾的 Google Cloud 資料夾。如要建立新資料夾,請參閱「建立資料夾」。
在 Google Cloud 控制台中,開啟「Manage resources」(管理資源) 頁面。
在專案和資料夾清單中,找出要設定的資料夾。
如果資料夾顯示
已啟用應用程式管理功能的資料夾圖示,表示這項功能已啟用。在資料夾列中,開啟 「動作」選單,然後按一下「設定」。
如果資料夾未啟用應用程式管理功能,「應用程式管理」設定會顯示「未啟用」。
在「啟用應用程式管理服務」區域中,按一下「建立專案」。
「建立管理專案並啟用必要的 API」面板隨即開啟。
查看必要 API 清單。這些 API 可管理應用程式生命週期。如要進一步瞭解會產生費用的 API 計價方式,請點選 API 名稱。
如要啟用應用程式管理功能,請按一下「建立專案並啟用 API」。
系統會在資料夾中建立管理專案。
記下管理專案的名稱和 ID。您將使用這些值授予存取權。
或者,您也可以使用下列 Google Cloud CLI 指令取得管理專案 ID:
gcloud resource-manager folders describe FOLDER_ID --format="value(managementProject.split('/').slice(-1))"將
FOLDER_ID替換為啟用應用程式的資料夾 ID。詳情請參閱「尋找專案名稱、編號和 ID」。
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
確認已安裝最新版 Google Cloud CLI:
gcloud components update如要在特定資料夾中啟用應用程式管理功能,請使用
gcloud resource-manager capabilities update指令並加上--enable旗標。gcloud resource-manager capabilities update folders/FOLDER_ID/capabilities/app-management \ --enable將
FOLDER_ID替換為資料夾 ID。這項指令會為指定資料夾啟用應用程式管理功能,並在該資料夾中自動佈建新的 Google Cloud 專案,做為管理專案。
如要在管理專案中啟用建議使用的 API,請按照操作說明在專案中啟用服務 Google Cloud 。
Terraform
如要使用 Terraform 啟用資料夾的應用程式管理功能,請使用google_resource_manager_capability 資源,例如:
resource "google_folder" "folder" {
display_name = "my-folder"
parent = "organizations/123456789"
deletion_protection = false
}
resource "time_sleep" "wait_60s" {
depends_on = [google_folder.folder]
create_duration = "60s"
}
resource "google_resource_manager_capability" "capability" {
value = true
parent = "${google_folder.folder.name}"
capability_name = "app-management"
depends_on = [time_sleep.wait_60s]
}
這項指令會為指定資料夾啟用應用程式管理功能,並在該資料夾中自動佈建新的 Google Cloud 專案,做為管理專案。如要在管理專案中啟用建議使用的 API 清單,請按照操作說明在專案中啟用 API 服務 Google Cloud 。
將帳單帳戶連結至管理專案
如要使用以應用程式為中心的進階 Google Cloud 功能,請務必將有效的帳單帳戶連結至管理專案。舉例來說,連結帳單帳戶可協助您執行下列操作:
- 管理超出 App Hub 資源配額的工作負載。
- 使用 Application Design Center 建立範本及部署應用程式。
如要瞭解應用程式管理和已啟用 API 的相關潛在費用,請參閱「瞭解費用」。
如要將有效的帳單帳戶連結至管理專案,請按照下列步驟操作:
控制台
確認您要用於應用程式管理的帳單帳戶存在。如要建立帳單帳戶,請參閱「建立新的自助式 Cloud Billing 帳戶」。
在 Google Cloud 控制台中,開啟「帳單」頁面。
在「我的專案」分頁中,找出管理專案。
在專案列中開啟「動作」選單,選取「變更帳單」,然後選擇 Cloud Billing 帳戶。
如要進一步瞭解如何為專案啟用帳單功能,請參閱「啟用專案的帳單功能」。
gcloud
gcloud billing projects link PROJECT_ID \
--billing-account ACCOUNT_ID
更改下列內容:
PROJECT_ID:管理專案的 ID。ACCOUNT_ID:帳單帳戶 ID。 帳單帳戶 ID 的格式為0X0X0X-0X0X0X-0X0X0X。
設定可觀測範圍
可觀測性範圍會決定 Google Cloud 控制台 Google Cloud 要從何處搜尋並顯示遙測資料。每個 Google Cloud 專案都有單一可觀測範圍,用於識別預設的記錄和追蹤範圍。如果是指標資料,專案的指標範圍會決定Google Cloud 控制台搜尋資料的位置。
如要查看或分析應用程式的所有遙測資料,請為管理專案設定可觀測性範圍和指標範圍。設定這些範圍後,Cloud Hub 和其他服務就能尋找及顯示應用程式的記錄、指標和追蹤記錄資料,即使這些資料儲存在多個專案中也沒問題。
本節將摘要說明必要設定。如需詳細操作說明,請參閱「設定應用程式監控」。下表列出必要的設定範圍。
| 範圍元件 | 設定情境 | 重要動作和注意事項 |
|---|---|---|
| 記錄範圍 | 您可以使用 匯總接收器,將機構中的所有記錄檔轉送至中央記錄檔 bucket。 |
|
| 您沒有機構層級的匯總接收器,且啟用應用程式的資料夾沒有巢狀資料夾。 |
|
|
| 您不想使用匯總接收器。 | 在管理專案中設定預設記錄範圍,列出應用程式記錄資料的儲存位置。 | |
| 指標範圍 | 您已設定已啟用應用程式的資料夾,其中包含儲存您要查看指標資料的所有專案。 | Google Cloud Observability 會嘗試將啟用應用程式的資料夾中的專案清單,與指標範圍內的專案清單同步。 只要啟用應用程式的資料夾中專案數量不超過指標範圍配額,當您在啟用應用程式的資料夾中新增或移除專案時,Google Cloud Observability 就能持續更新指標範圍內的專案清單。 |
| 追蹤記錄範圍 | 您想監控多個專案的應用程式追蹤記錄資料。 |
|
建立應用程式
啟用應用程式管理後,您就可以建立應用程式。您可以透過下列選項建立應用程式:
- 使用 App Hub 依據現有資源建立應用程式。Google Cloud 請參閱「建立應用程式」。
- 使用 Application Design Center 設計及部署新的Google Cloud 資源,系統會自動佈建 App Hub 應用程式。您可以使用應用程式範本定義設計,然後根據範本部署應用程式執行個體。
啟用專案資料的 API
Cloud Hub 的大多數頁面都會顯示應用程式資料和專案資料。不過,部分頁面僅支援專案資料檢視畫面。
設定應用程式管理功能時,管理專案會啟用 API,以便在 Cloud Hub 中查看應用程式資料。
如要查看個別專案中資源的資料,必須在這些專案中啟用必要的 API。建立專案時,系統會預設啟用 Cloud Logging 和 Cloud Monitoring 等必要 API。
必要的角色
如要取得啟用 API 所需的權限,請要求管理員授予您專案的「服務使用情形管理員」(roles/serviceusage.serviceUsageAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
如要使用 Gemini Cloud Assist 取得疑難排解或成本最佳化等工作方面的協助,請設定 Gemini Cloud Assist,啟用必要的 API。這項設定與 Cloud Hub 中的 API 啟用作業不同。
下表摘要列出每個 Cloud Hub 頁面所需的 API。
啟用 API
如要為專案啟用 API,請按照下列步驟操作:
| 頁面 | 支援的資料 | 必要 API | 選用功能 |
|---|---|---|---|
| 首頁 | 應用程式或專案 | 首頁會顯示其他 Cloud Hub 頁面的摘要資料。 | |
| Deployment | 應用程式 | App Hub 和 Application Design Center | |
| 健康狀態與疑難排解 | 應用程式或專案 | App Hub 應用程式資料支援 Cloud Logging、Cloud Monitoring、Error Reporting、Personalized Service Health 和 Cloud Asset Inventory,可提供健康狀態資料 |
設定 Gemini Cloud Assist,建立及查看調查。 |
| 提升效率 | 應用程式或專案 | App Hub 應用程式資料支援 Cloud Monitoring 和 App Optimize 的費用與用量資料 |
設定 Gemini Cloud Assist,取得成本最佳化方面的協助。 |
| 維護作業 | 僅限專案 | Unified Maintenance | |
| 配額與預留項目 | 僅限專案 | 配額資料的 Cloud Quotas Compute Engine 和 Capacity Planner,適用於 Capacity Planner 私人搶先體驗計畫的使用者 |
|
| 支援 | 僅限專案 | Cloud Customer Care |
控制台
在 Cloud Hub 首頁,您可以查看未啟用 Cloud Hub 的 API 清單,並啟用這些 API。
前往 Google Cloud 控制台的「首頁」頁面。
在專案選擇工具中,選取要查看的專案。
按一下「啟用建議的 API」旁的「查看 API」。對話方塊會顯示要啟用的 API。
如要啟用 API,請按一下「啟用」。
gcloud
您可以使用 Google Cloud CLI 啟用一或多個特定 API。
將預設專案設為要啟用 API 的專案。
gcloud config set project PROJECT_ID
將
PROJECT_ID替換為專案 ID。取得您可在專案中啟用的服務清單:
gcloud services list --available如果系統未列出該 API,代表您沒有啟用該 API 的權限。
啟用要在專案中使用的服務。您可以提供服務名稱清單,啟用多個 API。
gcloud services enable SERVICE_NAME1 SERVICE_NAME2
授予 Cloud Hub 使用者存取權
Cloud Hub 操作人員角色包含在 Cloud Hub 中查看大部分資料的權限。您必須分別授予權限,才能在「最佳化」頁面查看資源成本,以及使用 Gemini Cloud Assist 調查。
視使用者的具體職責而定,您可能需要授予其他角色,讓他們能夠對在 Cloud Hub 中查看的資料採取行動。
必要的角色
如要取得管理專案或資料夾存取權所需的權限,請要求管理員在您要管理存取權的資源 (專案或資料夾) 中,授予下列 IAM 角色:
-
如要管理專案的存取權:
專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin) -
如要管理資料夾的存取權:
資料夾管理員 (
roles/resourcemanager.folderAdmin)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
授予應用程式資料存取權
控制台
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
在專案選取器中,選擇已啟用應用程式管理功能的資料夾。
在「IAM」頁面中,按一下「授予存取權」。「授予存取權」窗格隨即開啟。
在「New principals」(新增主體) 欄位中,輸入 Cloud Hub 使用者的電子郵件地址。
按一下「選取角色」,然後在「篩選器」欄位中輸入「Cloud Hub」。
選取「Cloud Hub Operator」角色,然後按一下「Save」。 系統會將角色授予已啟用應用程式的資料夾中,所有專案和子資料夾的個人。
在專案選取器中,選擇管理專案。
如要授予資源費用和調查的角色,請在管理專案中授予必要角色。
- 在「IAM」頁面中,按一下「授予存取權」。「授予存取權」窗格隨即開啟。
- 將下列角色授予適當人員:
- 如要在「最佳化」頁面查看費用資料,您必須具備「讀者」
roles/reader或「檢視者」roles/viewer角色,或是包含billing.resourceCosts.get權限的自訂角色。 - 如要查看 Gemini Cloud Assist 調查,請使用「調查檢視者」(
roles/geminicloudassist.investigationViewer) 角色。
- 如要在「最佳化」頁面查看費用資料,您必須具備「讀者」
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
確認已安裝最新版本的 Google Cloud CLI。在 Cloud Shell 中執行下列指令:
gcloud components update
在已啟用應用程式的資料夾中,將 Cloud Hub 操作人員角色授予個人。這個角色會授予應用程式啟用資料夾的所有專案和子資料夾。
gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \ --member='user:PRINCIPAL' \ --role='roles/cloudhub.operator'將
FOLDER_ID替換為資料夾的 ID。您可以在 Google Cloud 控制台的「IAM & Admin Settings」(IAM 與管理設定) 頁面中,找到已啟用應用程式的資料夾 ID。如要確保資料夾已啟用應用程式,「設定」頁面應會顯示管理專案 ID。如果找不到管理專案 ID,可能是因為您不在已啟用應用程式的資料夾中。從專案選取器中,選取已啟用應用程式的資料夾。授予權限,查看管理專案的資源費用。範例指令會授予「讀取者」角色 (
roles/reader)。如要授予權限較少的角色,請建立包含billing.resourceCosts.get權限的自訂角色。gcloud projects add-iam-policy-binding PROJECT-ID \ --member='user:PRINCIPAL' \ --role='roles/reader'將
PROJECT-ID替換為管理專案的 ID。資料夾的管理專案 ID 格式為FOLDER-NAME-mp。授予管理專案的調查檢視權限。
gcloud projects add-iam-policy-binding PROJECT-ID \ --member='user:PRINCIPAL' \ --role='roles/geminicloudassist.investigationViewer'
授予專案資料存取權
控制台
前往 Google Cloud 控制台的 Cloud Hub「首頁」頁面。
在專案選取器中選擇專案。
按一下「管理存取權」。 「授予存取權」窗格隨即開啟。
在「New principals」(新增主體) 欄位中,輸入 Cloud Hub 使用者的電子郵件地址。
按一下「選取角色」,然後在「篩選器」欄位中輸入「Cloud Hub」。
選取「Cloud Hub Operator」角色,然後按一下「儲存」。
請按照相同步驟授予角色,以便查看資源費用和調查結果。
- 如要在「最佳化」頁面查看費用資料,您必須具備「讀者」
roles/reader或「檢視者」roles/viewer角色,或是包含billing.resourceCosts.get權限的自訂角色。 - 如要查看 Gemini Cloud Assist 調查,請使用「調查檢視者」(
roles/geminicloudassist.investigationViewer) 角色。
- 如要在「最佳化」頁面查看費用資料,您必須具備「讀者」
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
確認已安裝最新版本的 Google Cloud CLI。在 Cloud Shell 中執行下列指令:
gcloud components update
授予專案的 Cloud Hub 操作人員角色。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member='user:PRINCIPAL' \ --role='roles/cloudhub.operator'將
PROJECT_ID替換為專案 ID。授予專案中資源費用的查看權限。範例指令會授予「讀取者」角色 (
roles/reader)。如要授予權限較少的角色,請建立包含billing.resourceCosts.get權限的自訂角色。gcloud projects add-iam-policy-binding PROJECT_ID \ --member='user:PRINCIPAL' \ --role='roles/reader'授予專案中調查的查看權限。
gcloud projects add-iam-policy-binding PROJECT_ID \ --member='user:PRINCIPAL' \ --role='roles/geminicloudassist.investigationViewer'