大規模使用 Active Assist 的模式

本文是系列文章的第一部分，將介紹企業可使用的架構模式，以便運用 Active Assist 大規模最佳化雲端足跡。本文件適用於下列角色：

• 企業架構師
• 工程主管
• 從事安全工作，並建立自動化作業來提升雲端安全防護、效能和管理效率

本文將探討下列主題：

• 在機構中使用 Active Assist 的好處。
• 機構大規模採用 Active Assist 時可能遇到的挑戰。
• 如何使用 Active Assist 設計自動化管道。

本系列文章包含以下部分：

• 大規模使用 Active Assist 的模式 (本文件)
• 搭配 Active Assist 使用無伺服器管道
• 搭配 Active Assist 使用 GKE Enterprise 工具鍊

Active Assist

Active Assist 含有多項工具，可使用資料、情報和機器學習技術，降低雲端作業的複雜程度及減輕管理負擔，協助企業提高雲端安全性、效能、管理便利性及達到最佳成本效益。

許多企業都必須確保最小權限原則適用於業務應用程式和基礎架構。企業也希望盡量減少資源浪費，並盡可能提升商務應用程式的效能，同時減少管理工作和成本。因此，IT 部門經常面臨審查和壓力，必須快速且靈活地滿足這些要求。Active Assist 提供多種工具，協助他們達成這些目標。

企業雲端最佳化

由於每個企業的工作負載、基礎架構、安全防護需求和流程都不盡相同，因此您必須調整雲端最佳化策略，以符合特定需求。

在本文件中，雲端足跡最佳化策略著重於如何運用 Active Assist 系列工具，規劃及設計最佳化策略。Google Cloud

定義願景及瞭解驅動因素

企業必須先定義要用來做為雲端足跡最佳化方法依據的問題，常見問題如下：

• 安全性
• 效能
• 成本最佳化
• 靈活性

企業目標

開始為 Active Assist 建議設計自動化管道時，請先定義企業目標，並為每個目標指派優先順序。接著，您可以將這些優先事項對應至藍圖，在 Google Cloud 貴機構中推出及擴大使用 Active Assist。

舉例來說，企業可能會想使用 Active Assist 建議，進行安全性與成本最佳化。不過，企業一開始可能會選擇投資，為 Active Assist 生成的安全相關建議建立自動化管道。之後，隨著企業使用 Active Assist 產品組合的經驗越來越豐富，自動化歷程也日趨成熟，可能會自動套用其他類型的建議，例如 VM 適當規模調整和閒置 VM 建議工具。

設計策略

企業必須明確定義流程，說明如何查看及執行 Active Assist 生成的建議。建議您採取分階段做法，以有條不紊的方式逐步提高自動化程度。企業在機構中導入 Active Assist 時，可以採取下列疊代式做法： Google Cloud

• 第一階段：
  • 在Google Cloud 控制台中查看 Active Assist 建議。
  • 將建議匯出至 BigQuery。
• 第二階段：
  • 使用 Recommender API。
• 第三階段：
  • 將建議審查整合至 DevOps 管道。

這種做法可讓您在 Active Assist 建議管道中，以疊代方式納入更多自動化功能。

第一階段：在 Google Cloud 控制台中查看 Active Assist 建議

在第一階段，您可以使用 Active Assist，在Google Cloud 控制台中查看 Active Assist 建議。您可以使用主控台方法來查看及實作建議。這種做法可協助您熟悉 Active Assist 建議，同時評估這些建議是否適用。此外，這項工具還能協助您決定要優先採用哪些類別的最佳化建議。如下圖所示，Active Assist 可讓您查看每個資源類別的建議，並深入瞭解群組中每個資源的相關詳細資料。

企業團隊可將建議匯出至 BigQuery。將建議匯出至 BigQuery 後，您就能大規模查看整個機構的建議。您也可以針對企業感興趣的特定領域執行查詢。您也可以考慮建立資訊主頁，協助團隊更輕鬆地查看及管理建議。

第二階段：使用 Recommender API

在第二階段，您會結合自動化和人工審查與驗證，實作 Active Assist 生成的建議。這種方法有助於提升敏捷度。此外，您還能大規模運用平台產生的最佳化建議，同時嚴格控管建議的實作方式。

您將瞭解如何透過「使用 Active Assist 搭配無伺服器管道」一文，實現這種做法。

第三階段：將建議整合至 DevOps 管道

在第三階段，您會將建議的審查結果納入 DevOps 管道。將建議管理和分析功能導入 DevOps 管道，簡化資源和建議管理程序。這個方法也支援開發核准程序，您的團隊可能已將這類程序納入持續整合和持續部署 (CI/CD) 程序。相較於第二階段，這個步驟更著重於自動化，以及根據程式碼分析建議。

由於這種做法需要投入初步心力開發自動化架構，因此建議您先建立完善的 DevOps 策略，再實作這個階段。

定義 Active Assist 採用策略後，下一步就是執行及推出分階段方法。

後續步驟

• 瞭解 Active Assist 如何協助您充分運用 Google Cloud 資源。
• 瞭解 GKE 的現代化 CI/CD。
• 瞭解如何使用 Policy Intelligence 達成最小權限的存取權。
• 請參閱這篇文章，瞭解如何使用 IAM 建議工具大量套用最小權限原則。