Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

דרישות מוקדמות לשימוש בכלי האוטומטי לפריסה מודרכת

במאמר הזה מפורטות הדרישות המוקדמות לשימוש בכלי Guided Deployment Automation (אוטומציה מודרכת של פריסה) ב-Workload Manager.

בנוסף, אתם צריכים לעמוד בדרישות המוקדמות הבאות שספציפיות לאפליקציה שאתם פורסים:

דרישות מוקדמות	תיאור
Google Cloud חשבון לחיוב	אתם צריכים להיות בעלי Google Cloud חשבון ששייך לארגון שלכם עם חיוב פעיל. מידע נוסף זמין במאמר בנושא יצירת חשבון חדש לחיוב.
Google Cloud project	Google Cloud פרויקט שבו רוצים לפרוס את האפליקציה. איך יוצרים ומנהלים פרויקטים מוודאים ש הפרויקט מקושר לחשבון לחיוב.
הפעלת ממשקי API	מפעילים את ממשקי ה-API הבאים בפרויקט: Workload Manager API Infrastructure Manager API ‫Cloud Resource Manager API במהלך תהליך הפריסה, כלי לניהול עומס העבודה מפעיל באופן אוטומטי ממשקי API נוספים שנדרשים, אם הם לא מופעלים בפרויקט.
הקצאת תפקידי IAM לחשבון השירות של Workload Manager	‫כלי לניהול עומס העבודה משתמש בסוכן שירות שצריך להקצות לו את התפקידים הנדרשים לפני שפורסים אפליקציה. מידע נוסף מופיע במאמר חשבון שירות של הכלי לניהול עומס העבודה.
הקצאת תפקידים ב-IAM לחשבון שירות בניהול המשתמש	יוצרים חשבון שירות ומקצים לו את כל התפקידים הנדרשים לפריסת האפליקציה. מידע נוסף מופיע במאמר חשבון שירות שמנוהל על ידי משתמש.
תפקידים והרשאות של IAM	משתמשים שפורסים עומס עבודה באמצעות הכלי Guided Deployment Automation (אוטומציה מודרכת של פריסה) צריכים להיות בעלי התפקידים וההרשאות הנדרשים כדי להגדיר את הפריסה, או לקבל אותם. בנוסף, המשתמשים האלה צריכים הרשאות ליצירת חשבונות השירות הנדרשים במהלך הפריסה. למידע נוסף, ראו תפקידים והרשאות ב-IAM.
מאגר פרטי של Cloud Build	זה שינוי אופציונלי. אם בארגון שלכם מופעלות הגדרות של גבולות גזרה ב-VPC Service Controls כדי להגן על משאבים ונתונים בכלי לניהול עומס העבודה, צריך להגדיר מאגר פרטי של עובדים ב-Cloud Build לשימוש בסביבת הפריסה. מידע נוסף זמין במאמר בנושא שימוש במאגר עובדים פרטי ב-Cloud Build.
מכסות	מוודאים שיש בפרויקט מכסת משאבים מספקת לפריסת עומס העבודה. מידע נוסף על מכסות

חשבון שירות של Workload Manager

הכלי Guided Deployment Automation משתמש בסוכן שירות כדי לפרוס אפליקציות.

כשיוצרים פריסה, כלי לניהול עומס העבודה מבקש להקצות את התפקידים הנדרשים לחשבון השירות הזה, אם הם עדיין לא הוקצו. אם אין לכם הרשאה להקצות את התפקידים האלה, אתם צריכים לבקש מאדמין להקצות את התפקידים הבאים לחשבון השירות של Workload Manager לפני שיוצרים פריסה.

חשבון שירות	התפקידים הנדרשים
Service-`PROJECT_ID`@gcp-sa-workloadmanager.iam.gserviceaccount.com	Cloud Infrastructure Manager Admin (`roles/config.admin`) כלי לצפייה ביומנים (`roles/logging.viewer`) משתמש בחשבון שירות (`roles/iam.serviceAccountUser`) סוכן שירות של כלי לניהול עומס העבודה (`roles/workloadmanager.serviceAgent`)

חשבון שירות בניהול המשתמש

‫כלי לניהול עומס העבודה משתמש בחשבון השירות שמצורף לפריסה כדי לקרוא לממשקי API ולשירותים אחרים לצורך יצירת משאבים שנדרשים לפריסה.

אתם יכולים לצרף חשבון שירות קיים או ליצור חשבון שירות כשאתם מגדירים את הפריסה. בהתאם לאפליקציה ולהגדרות, כלי לניהול עומס העבודה יציג בקשה להעניק לחשבון השירות את התפקידים החסרים.

מידע נוסף על מתן תפקידים לחשבונות שירות זמין במאמר ניהול הגישה לחשבונות שירות.

תפקידים והרשאות של IAM

בקרת הגישה ב-Workload Manager מתבצעת באמצעות ניהול זהויות והרשאות גישה (IAM). כלי לניהול עומס העבודה מספק קבוצה ספציפית של תפקידים מוגדרים מראש ב-IAM, וכל תפקיד מכיל קבוצה של הרשאות. בעזרת IAM תוכלו לשמור על עקרון האבטחה של הרשאות מינימליות, וכך לתת רק למי שצריך את רמת הגישה שצריך למשאבים השונים.
כדי להפעיל את Workload Manager API בפרויקט שנבחר, נדרשת ההרשאה הבאה. צריך לבצע את המשימה הזו רק פעם אחת בכל פרויקט. אדמין או משתמש אחר עם הרשאה יכולים להפעיל את ה-API, ואחרי זה משתמשים אחרים יוכלו לגשת לכלי לניהול עומס העבודה.

פעולה	נדרשת הרשאה	תפקיד לדוגמה
הפעלת כלי לניהול עומס העבודה API	`serviceusage.services.enable`	`roles/editor` `roles/service.Usage.Admin`

בכלי לניהול עומס העבודה יש גם תפקידים שמאפשרים לקבוע למי תהיה גישה לתכונות הפריסה, ומי יוכל לפרוס, לנהל ולצפות בפריסות. לכל תפקיד יש את ההרשאות הנדרשות לביצוע המשימות שצוינו.

למידע נוסף ראו את המאמר בקרת גישה באמצעות IAM. כשמקצים תפקידי IAM לחשבונות משתמשים, Google ממליצה להחיל את העיקרון של הרשאות מינימליות.

תפקיד	משימת פריסה
Workload Manager Deployment Admin^Beta	יצירה, שינוי, פריסה והצגה של פריסות.
כלי הצפייה בפריסה של כלי לניהול עומס העבודה^בטא	צפייה בפריסות.

שימוש במאגר פרטי של עובדים ב-Cloud Build

אם הארגון שלכם אוכף תאימות ל-VPC Service Controls, אתם צריכים להשתמש במאגר עובדים פרטי לפריסה.

מאגרי כתובות פרטיים מתארחים ברשת של ענן וירטואלי פרטי (VPC) בבעלות Google שנקראת רשת של ספק השירות. לפני שיוצרים מאגר פרטי, מגדירים חיבור פרטי בין הרשת של בעל השירות המנוהל לבין רשת ה-VPC שמכילה את המשאבים.

כדי ליצור מאגר פרטי של Cloud Build ולהשתמש בו, פועלים לפי ההוראות במאמר יצירה וניהול של מאגרים פרטיים.

כשמגדירים מאגר פרטי של עובדים לשימוש עם כלי לניהול עומס העבודה, חשוב לקחת בחשבון את הדרישות הבאות:

צריך להשתמש במאגר פרטי של עובדים ב-Cloud Build לצורך הפריסה. אי אפשר להשתמש במאגר העובדים שמוגדר כברירת מחדל ב-Cloud Build. מידע נוסף זמין בקטע מגבלות במאמרי העזרה של Cloud Build.
כדי להוריד את ההגדרות של Terraform, צריך להפעיל קריאות לאינטרנט הציבורי במאגר הפרטי של Cloud Build.

צריך גם לוודא שהמשאבים הבאים נמצאים באותו גבולות גזרה לשירות של VPC Service Controls:

מאגר פרטי של עובדים ב-Cloud Build.
חשבון שירות של הכלי לניהול עומס העבודה.
הקטגוריה של Cloud Storage שבה כלי לניהול עומס העבודה משתמש לפריסה.

מכסות

ב-Google Cloud יש מכסות שמגבילות את מספר המשאבים שחשבון או ארגון מסוימים יכולים להשתמש בהם, כדי להגן על המערכת ולשלוט בה. האפליקציות הנתמכות צורכות בדרך כלל חלק גדול מהמשאבים. בגלל הגודל של מסדי הנתונים והאפליקציות, יכול להיות שתיתקלו בבעיות שקשורות למכסות במהלך תהליך הפריסה.

כדי למנוע בעיות שקשורות למכסות:

איך רואים את ערכי המכסות ואת השימוש בהן
במקרה הצורך, אפשר לבקש ערך מכסה גבוה יותר או לפנות לאדמין של הפרויקט.

דרישות מוקדמות לשימוש בכלי האוטומטי לפריסה מודרכת קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.