Présentation
Google Cloud Policy Intelligence aide les entreprises à comprendre et à gérer leurs stratégies afin de réduire les risques. Avec davantage de visibilité et d'automatisation, les clients peuvent renforcer la sécurité sans augmenter leur charge de travail.
L'outil de recommandation vous permet de récupérer des recommandations pour les ressources Google Cloud, ce qui vous permet d'améliorer la sécurité dans le cloud, de réduire les coûts, etc. Pour obtenir la liste des recommandations compatibles, consultez la documentation de l'outil de recommandation. Ce tutoriel décrit l'utilisation des recommandations de dimensionnement d'instances de VM et les recommandations de gestion de l'authentification et des accès (IAM). L'outil de recommandation utilise le machine learning pour fournir aux administrateurs des recommandations sur la suppression d'un accès inutile aux ressources Google Cloud et le redimensionnement des instances Compute Engine afin d'optimiser l'utilisation des ressources.
Chaque recommandation comprend une action suggérée et son impact. Après avoir examiné les recommandations pour les impacts identifiés et d'autres considérations spécifiques à votre environnement, vous pouvez sélectionner les recommandations que vous souhaitez appliquer. Vous pouvez appliquer des recommandations manuellement à partir de la console Google Cloud ou automatiquement en les intégrant dans votre pipeline Infrastructure as Code (IaC).
L'IaC vous permet d'automatiser la création de vos ressources Google Cloud. Vous devez maintenir votre dépôt IaC à jour et l'utiliser pour déployer les modifications de routes apportées à votre organisation Google Cloud. Les stratégies IaC au sein des entreprises s'avèrent généralement bénéfiques lorsqu'elles sont mises en œuvre avec rigueur et servent de version unique de vérité pour votre infrastructure cloud. Il est essentiel que votre dépôt IaC soit à jour afin d'éviter les écarts entre la version de votre infrastructure reflétée dans votre dépôt IaC et celle de votre organisation.
Recommandations IAM
Parmi les autres bonnes pratiques, l'une des plus courantes concernant la sécurité consiste à appliquer le principe du moindre privilège et à bien réfléchir sur la manière dont les modifications apportées à votre organisation sont déployées et synchronisées avec votre dépôt IaC.
Recommandations de dimensionnement des VM
Les recommandations de dimensionnement vous aident à réduire les coûts. Il s'agit de suggestions permettant de redimensionner le type de machine de vos instances afin d'utiliser plus efficacement les ressources d'instance.
Ce tutoriel explique comment concevoir et créer un pipeline d'automatisation pour appliquer une recommandation Policy Intelligence de manière automatisée. Lors de la création de ce pipeline d'automatisation, vous apprendrez également à maintenir votre dépôt IaC à jour avec les modifications que vous décidez d'apporter à votre organisation Google Cloud, en fonction des recommandations de dimensionnement de VM et des liaisons de stratégie IAM que l'outil de recommandation met à disposition.
Ce tutoriel utilise Hashicorp Terraform comme outil IaC, mais vous pouvez exploiter les modèles et composants architecturaux utilisés dans le pipeline d'automatisation décrit même si vous utilisez un outil de gestion IaC différent tel que Deployment Manager. Dans le cadre de ce tutoriel, vous devrez modifier le codebase Open Source pour l'adapter à votre mise en œuvre IaC spécifique.
Ce guide s'adresse aux architectes, propriétaires de produits et développeurs qui seraient éventuellement chargés de l'administration, de la sécurité et de la planification de l'infrastructure de Google Cloud.
Architecture du pipeline d'automatisation
Le schéma suivant montre les composants que vous utilisez dans ce pipeline d'automatisation.
Une tâche Cloud Scheduler planifiée exécute le service de recherche de recommandations. Ce service appelle l'API Recommender pour récupérer les recommandations de l'outil de recommandation pour les projets que vous spécifiez. Il analyse ensuite ces recommandations de dimensionnement de VM et de stratégies IAM pour les mapper à la configuration spécifiée dans vos fichiers manifestes Terraform. Le service met à jour vos fichiers manifestes IaC pour refléter ces recommandations. Il génère une demande d'extraction avec les modifications apportées afin que vous puissiez examiner les mises à jour. Une fois que vous avez examiné et fusionné la demande d'extraction, une tâche Cloud Build déploie les modifications apportées à votre infrastructure dans votre organisation Google Cloud.
Une fois la compilation terminée et l'état Terraform enregistré, plusieurs services Google Cloud auxiliaires vous permettent de suivre les recommandations traitées dans le pipeline et les notifications générées. Vous en apprendrez plus sur ces services au cours de ce tutoriel.
La liste suivante décrit le rôle de chaque composant et les conditions requises pour le contrôle des accès :
- Outils de recommandation Platform Intelligence
- Rôle : générer des recommandations de sécurité et de dimensionnement des VM
Contrôle des accès : le compte de service Google Cloud doit disposer des autorisations IAM requises pour récupérer des recommandations à l'aide de l'API Recommender.
Examinez le rôle des outils de recommandation et les autorisations requises pour sélectionner celui qui conviendra le mieux au compte de service que vous utilisez pour exécuter le service de l'outil de recommandation.
- Cloud Scheduler
Rôle : Cloud Scheduler déclenche le service de recherche de recommandations. Cloud Scheduler vous permet de configurer plusieurs tâches pour appeler autant d'instances du service d'analyse que nécessaire. Chaque appel doit transmettre les entrées suivantes :
- Liste des projets pour lesquels des recommandations doivent être traitées
- Type de recommandation
- Nom du dépôt IaC
Contrôle des accès : Créez ou identifiez un compte de service Google Cloud à utiliser pour les appels de Cloud Scheduler au service d'analyse de votre outil de recommandation.
Attribuez au compte de service le rôle d'agent de service Cloud Scheduler afin qu'il puisse exécuter des tâches Cloud Scheduler. En outre, attribuez au compte de service le rôle de demandeur Cloud Run, car ce compte appelle un service Cloud Run.
Pour plus de précisions, consultez la documentation sur la configuration de l'accès authentifié pour les tâches du planificateur.
- Service Cloud Run
Rôle : le service d'analyse de l'outil de recommandation est le composant où réside toute la logique de traitement. Il comporte plusieurs routes, chacune ayant un objectif spécifique :
- Rechercher des recommandations par type
- Mettre à jour l'état des recommandations en cours de traitement
Contrôle des accès : utilisez des stratégies IAM pour gérer l'accès à ce service.
Attribuez également un compte de service dédié au service. Cela garantit que seul ce service peut appeler d'autres services tels que Firestore.
- Hashicorp Terraform
Usage : Terraform 0.12 est l'outil IaC.
Un compilateur Cloud Build pour Terraform permet d'appeler des commandes Terraform. Le compte de service Cloud Build est utilisé à cette fin.
- Cloud Build
Rôle : Google Cloud Build automatise le déploiement de l'infrastructure en fonction des modifications apportées aux fichiers manifestes IaC selon les recommandations Policy Intelligence.
Contrôle des accès : le compte de service Cloud Build doit disposer des autorisations appropriées pour interagir avec les ressources de votre projet de test.
Consultez la documentation sur la configuration d'un compte de service Cloud Build.
- GitHub
Rôle : le dépôt IaC utilise GitHub pour le contrôle des sources. Le dépôt IaC dans GitHub est intégré à Cloud Build. Lorsque des commits sont effectués dans la branche maître, une tâche Cloud Build est déclenchée pour exécuter un ensemble de tâches préconfigurées.
Contrôle des accès : vous devez générer des clés SSH pour autoriser l'accès à votre dépôt IaC.
Vous devez également générer un jeton d'accès personnel pour envoyer des commits vers GitHub.
- Firestore
Cloud Firestore est une base de données de documents NoSQL entièrement gérée et évolutive, qui est utilisée dans cette architecture pour conserver des informations sur les ID de recommandation récupérés par le service d'analyse de l'outil de recommandation, ainsi que des détails pertinents pour les commits Git.
Ces détails conservés dans Firestore jouent un rôle intégral dans la boucle de rétroaction du pipeline de bout en bout. Après avoir récupéré une recommandation générée par l'API Recommender et avant de la traiter, le service définit l'état de la recommandation sur
CLAIMED
. Une fois la recommandation appliquée, le service interroge la base de données pour récupérer les ID de recommandation qui ont été appliqués lors de l'exécution de la tâche Cloud Build, et définit l'état de la recommandation surSUCCEEDED
. Si la tâche Cloud Build échoue, l'état de la recommandation est remplacé parFAILED
.Contrôle des accès : reportez-vous à la section Rôles Firestore pour plus de détails. Le service d'analyse de l'outil de recommandation lit les données de Firestore. Il nécessite le rôle roles/datastore.user pour effectuer cette opération.
- Pub/Sub
Rôle : Cloud Build publie des messages dans un sujet Pub/Sub lorsque l'état de la compilation change, par exemple lors de la création de la compilation, lorsque la compilation passe à un état fonctionnel et lorsque votre compilation se termine.
Le sujet Pub/Sub dans lequel Cloud Build publie des messages se nomme "cloud-builds". Il est automatiquement créé lorsque vous activez l'API Cloud Build dans votre projet.
Contrôle des accès : vous pouvez configurer des abonnements en mode push pour fournir un en-tête d'authentification permettant au service d'autoriser la requête. Pour plus d'informations, consultez la page Utiliser des abonnements en mode push.
Objectifs
- Créer un pipeline d'automatisation pour
- Surveiller de manière proactive les recommandations Policy Intelligence
- Analyser les recommandations et appliquer des mises à jour à un dépôt IaC existant
- Découvrir comment utiliser une suite de services Google Cloud, Hashicorp Terraform et GitHub pour créer ce pipeline
- Découvrir les conditions requises et les bonnes pratiques à connaître pour créer ce pipeline
- Tester le pipeline
Coûts
Dans ce document, vous utilisez les composants facturables suivants de Google Cloud :
- Cloud Run
- Cloud Build
- Compute Engine
- Cloud Storage
- Firestore
- Pub/Sub
- Cloud Scheduler
- Recommender
Obtenez une estimation des coûts en fonction de votre utilisation prévue à l'aide du simulateur de coût.
Avant de commencer
Dans ce tutoriel, nous partons du principe que vous disposez d'un compte GitHub et que vous connaissez Git, Node.js, Terraform et Docker.
Notes de version et conditions requises
Les outils et les fichiers manifestes IaC peuvent être utilisés de multiples façons.
Consultez les informations suivantes pour déterminer comment adapter ce tutoriel à votre pipeline IaC et quels types de modifications peuvent être nécessaires.
- Ce pipeline utilise Terraform version 0.12. Des modifications importantes de la syntaxe de configuration HCL ou des modifications apportées à la structure du fichier d'état Terraform peuvent entraîner des problèmes destructifs.
- Ce pipeline suppose que les structures de répertoires IaC ne sont pas imbriquées et qu'un dépôt IaC gère les ressources d'un ou plusieurs projets Google Cloud.
- Les variables Terraform transmises en tant que variables d'environnement et les arguments de ligne de commande ne sont pas compatibles. Le prototype suppose une configuration déclarative des variables Terraform dans un fichier tfvars.
- L'outil de recommandation génère des recommandations IAM lorsqu'un sous-ensemble d'autorisations associé à un rôle n'a pas été utilisé depuis 60 jours. Il en est de même pour les recommandations de dimensionnement de VM. Pour les besoins de ce tutoriel, nous fournissons des exemples de charges utiles de recommandations pouvant servir à tester le pipeline.
- Les boucles dans Terraform ne sont pas compatibles avec cette version.
- Les modules Terraform ne sont pas compatibles. Le codebase est Open Source et nous supposons que vous apporterez les améliorations spécifiques nécessaires au flux d'analyse en fonction de la structure de vos répertoires et de l'utilisation des modules.
La version actuelle du service d'analyse de l'outil de recommandation Open Source est conforme aux limitations connues des recommandations IAM suivantes :
- Des liaisons de stratégie Cloud IAM ne peuvent être recommandées que dans les conditions suivantes :
- Au niveau du projet
- Elles sont associées aux comptes utilisateur et aux comptes de service gérés par l'utilisateur.
- Les recommandations IAM ne sont compatibles qu'avec les rôles de base et les rôles prédéfinis. Les rôles personnalisés et les liaisons conditionnelles ne peuvent être ni évalués ni recommandés.
- Les rôles recommandés ne contiennent qu'un sous-ensemble des autorisations du rôle actuel. Aucune nouvelle autorisation n'est introduite par un rôle recommandé.
Prérequis
- Sélectionnez ou créez deux projets Google Cloud.
Accéder à la page de sélection du projet
- Un projet build qui héberge et exécute le pipeline d'automatisation.
- Un projet test qui héberge les ressources Google Cloud utilisées pour tester le pipeline d'automatisation.
-
Make sure that billing is enabled for your Google Cloud project.
- Dans le projet test, activez les API Recommender et Compute Engine.
- Dans le projet build, activez les API Cloud Run, Firestore, Pub/Sub, Cloud Scheduler, IAM et CloudResourceManager.
Une fois que vous avez terminé ce tutoriel, évitez de continuer à payer des frais en supprimant les ressources que vous avez créées. Consultez la section Effectuer un nettoyage pour en savoir plus.
Configurer votre environnement
- Dans la console Google Cloud, sélectionnez votre projet
build
. Dans la console Google Cloud, accédez à Cloud Shell.
En bas de la fenêtre de la console Google Cloud, une session Cloud Shell s'ouvre et affiche une invite de ligne de commande. Cloud Shell est un environnement de shell dans lequel Google Cloud CLI est déjà installée, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.
Utilisez Cloud Shell pour toutes les commandes de terminal de ce tutoriel.
Créez une variable d'environnement destinée à contenir le numéro de projet de votre projet
build
à l'aide de la commande ci-dessous :export BUILD_PROJECT_ID=$DEVSHELL_PROJECT_ID
Créez une variable d'environnement destinée à contenir le numéro de projet de votre projet
test
. Copiez l'ID du projet de test manuellement et remplacez PROJECT-ID par celui-ci :export TEST_PROJECT_ID=PROJECT-ID
Vous définissez des paramètres par défaut pour les valeurs utilisées tout au long du tutoriel, telles que la région et la zone. Dans ce tutoriel, la région par défaut est us-central1 et la zone par défaut est us-central1-b.
Définissez la région et la zone par défaut pour ce tutoriel en exécutant la commande suivante :
gcloud config set compute/zone us-central1-b --project $BUILD_PROJECT_ID gcloud config set compute/zone us-central1-b --project $TEST_PROJECT_ID
Définissez votre projet
build
comme projet par défaut :gcloud config set project $BUILD_PROJECT_ID
Créez une variable d'environnement nommée
BUILD_PROJECT_NUMBER
pour votrebuild
numéro de projetexport BUILD_PROJECT_NUMBER=$(gcloud projects describe $DEVSHELL_PROJECT_ID --format='value(projectNumber)')
Clonez le dépôt GitHub pour ce tutoriel :
Créer un bucket pour le fichier d'état Terraform
Créez un bucket Cloud Storage dans votre projet de compilation pour stocker le fichier d'état Terraform.
gcloud storage buckets create gs://recommender-tf-state-$BUILD_PROJECT_ID \
--project=${BUILD_PROJECT_ID} --location=us-central1
Créer un dépôt GitHub
Créez un dépôt GitHub qui servira d'exemple de dépôt IaC.
Créez un dépôt GitHub privé. Ce dépôt IAC-REPO-NAME servira de dépôt IaC dans ce tutoriel.
Dans les ensembles de données suivants, vous allez transférer les fichiers du sous-répertoire
sample-iac
du dépôt cloné vers votre compte GitHub.Dans Cloud Shell, copiez le répertoire
sample-iac
dans votre répertoire d'accueil. Vous utiliserez ce répertoire pour créer un dépôt local et le transférer vers GitHub.cp -r recommender-iac-pipeline-nodejs-tutorial/sample-iac $HOME
Accédez au nouveau répertoire.
cd $HOME/sample-iac
Initialisez le dépôt sur votre machine locale.
git init
Ajoutez IAC-REPO-NAME comme dépôt distant, en remplaçant IAC-REPO-NAME et GITHUB-ACCOUNT par les valeurs appropriées.
git remote add origin https://github.com/GITHUB-ACCOUNT/IAC-REPO-NAME
Remplacez les espaces réservés dans les fichiers de ce dépôt par l'ID de votre projet
test
et le nom du bucket Cloud Storage Terraform.sed -i "s|__PROJECT_ID__|${TEST_PROJECT_ID}|g" ./terraform.tfvars sed -i "s|__STATE_BUCKET_NAME__|recommender-tf-state-$BUILD_PROJECT_ID|g" ./backend.tf
Ajoutez les fichiers, validez-les et transférez-les vers GitHub.
git add . git commit -m "First Commit" git push origin master
Connectez-vous à votre compte GitHub lorsque vous y êtes invité.
Générer des clés SSH pour votre dépôt
Configurez l'authentification par clé SSH avec votre dépôt IaC dans GitHub et importez les clés dans Cloud Storage.
Générez des clés SSH pour votre dépôt GitHub.
Générez une paire de clés SSH. Remplacez your_email@example.com par votre adresse e-mail GitHub. Dans Cloud Shell :
ssh-keygen -t rsa -b 4096 -m PEM -C "your_email@example.com"
Lorsque vous êtes invité à "Saisir un fichier dans lequel enregistrer la clé", appuyez sur Entrée. Cette action accepte l'emplacement du fichier par défaut.
Lorsque vous êtes invité à saisir une phrase secrète, appuyez sur Enter.
Notez le répertoire SSH-KEYS-DIR dans lequel vous enregistrez les clés SSH téléchargées. Par défaut, l'emplacement est
$HOME/.ssh/
.Copiez la clé publique SSH que vous avez générée dans votre dépôt GitHub en tant que clé de déploiement.
Copiez la clé publique SSH que vous avez générée dans Cloud Shell. Remplacez SSH-KEYS-DIR par le chemin d'accès de votre répertoire.
cat SSH-KEYS-DIR/id_rsa.pub
Dans votre compte GitHub, accédez au dépôt IAC-REPO-NAME.
Cliquez sur Settings > Deploy Keys (Paramètres > Déployer les clés).
Cliquez sur Ajouter une clé de déploiement et collez la clé publique SSH que vous avez copiée. Choisissez un titre pour la clé.
Cochez la case "Autoriser l'accès en écriture".
Cliquez sur Enregistrer.
Revenez à votre session Cloud Shell.
Créez le fichier
known_hosts
pour GitHub. Dans votre session Cloud Shell, exécutez la commande suivante :ssh-keyscan github.com >> ~/.ssh/known_hosts
Créez un bucket Cloud Storage dans votre projet
build
, puis importez vos clés SSH et votre fichierknown_hosts
. Remplacez SSH-KEYS-DIR par le chemin d'accès au répertoire dans lequel vous avez généré les clés SSH.gcloud storage buckets create gs://github-keys-$BUILD_PROJECT_ID --project=${BUILD_PROJECT_ID} --location=us-central1 gcloud storage cp SSH-KEYS-DIR/id_rsa* gs://github-keys-$BUILD_PROJECT_ID gcloud storage cp SSH-KEYS-DIR/known_hosts gs://github-keys-$BUILD_PROJECT_ID
Générez un jeton d'accès personnel pour GitHub. Ce jeton est utilisé lors de l'exécution d'opérations Git à l'aide d'appels d'API effectués par le service d'analyse de l'outil de recommandation pour générer des requêtes d'extraction et archiver les manifestes IaC mis à jour.
Dans votre compte GitHub, dans le coin supérieur droit de n'importe quelle page, cliquez sur votre photo de profil, puis sur Paramètres.
Dans la barre latérale de gauche, cliquez sur Paramètres du développeur.
Dans la barre latérale de gauche, cliquez sur Jetons d'accès personnels.
Cliquez sur "Générer un nouveau jeton".
Attribuez un nom descriptif à votre jeton.
Sélectionnez dépôt comme champs d'application.
Cliquez sur Générer un jeton.
Copiez le jeton dans votre presse-papiers.
Dans votre session Cloud Shell, créez une variable d'environnement.
export GITHUB_PAT=personal-access-token-you-copied
Configurer Cloud Build
Connectez votre dépôt Git IAC-REPO-NAME pour l'intégrer à Cloud Build.
- Accédez à la page Application Cloud Build sur GitHub Marketplace.
- Faites défiler la page, puis cliquez sur Configurer avec Google Cloud Build en bas de la page.
- Si vous y êtes invité, connectez-vous à GitHub.
- Sélectionnez Sélectionner uniquement les dépôts. Utilisez la liste déroulante Sélectionner des dépôts pour n'autoriser l'accès à votre IAC-REPO-NAME que dans l'application Cloud Build.
- Cliquez sur Installer.
Connectez-vous à Google Cloud.
La page "Autorisation" s'affiche et vous invite à autoriser l'application Google Cloud Build à se connecter à Google Cloud.
Cliquez sur Autoriser Google Cloud Build par GoogleCloudBuild. Vous êtes redirigé vers Google Cloud Console.
Sélectionnez votre projet Google Cloud.
Cochez la case pour accorder votre autorisation, puis cliquez sur Suivant.
Sur la page Sélectionner un dépôt qui s'affiche, sélectionnez le dépôt GitHub IAC-REPO-NAME.
Cliquez sur Connecter un dépôt.
Cliquez sur Créer un déclencheur. Cette action crée automatiquement une définition de déclencheur.
Cliquez sur Créer pour enregistrer le déclencheur de compilation.
Pour en savoir plus, consultez la page Exécuter des compilations sur GitHub.
Le répertoire que vous avez copié contient un fichier
cloudbuild.yaml
. Ce fichier de configuration décrit les étapes qu'une tâche Cloud Build exécute lors du déclenchement.steps: - name: hashicorp/terraform:0.12.0 args: ['init'] - name: hashicorp/terraform:0.12.0 args: ['apply', '-auto-approve']
Ajoutez des autorisations à votre compte de service Cloud Build pour lui permettre de créer des comptes de service, d'associer des rôles et des machines virtuelles (instances Compute Engine) dans le projet de test.
gcloud projects add-iam-policy-binding $TEST_PROJECT_ID \ --member serviceAccount:$BUILD_PROJECT_NUMBER@cloudbuild.gserviceaccount.com \ --role roles/compute.admin \ --project $TEST_PROJECT_ID gcloud projects add-iam-policy-binding $TEST_PROJECT_ID \ --member serviceAccount:$BUILD_PROJECT_NUMBER@cloudbuild.gserviceaccount.com \ --role roles/iam.serviceAccountAdmin \ --project $TEST_PROJECT_ID gcloud projects add-iam-policy-binding $TEST_PROJECT_ID \ --member serviceAccount:$BUILD_PROJECT_NUMBER@cloudbuild.gserviceaccount.com \ --role roles/iam.securityAdmin \ --project $TEST_PROJECT_ID
Ouvrez la page Déclencheurs de compilation dans la console Google Cloud.
Sélectionnez un projet
build
, puis cliquez sur Ouvrir.Mettez à jour la définition du déclencheur :
- Cliquez sur le menu , puis sur Modifier.
- Dans le champ Configuration, sélectionnez l'option Fichier de configuration Cloud Build (yaml ou json), et saisissez
cloudbuild.yaml
dans le champ de texte. - Cliquez sur Enregistrer.
Pour tester manuellement le déclencheur de compilation, cliquez sur Exécuter sur l'entrée de votre déclencheur dans la liste.
Vérifiez qu'une instance Compute Engine nommé
tf-compute-1
et un compte de service nomméTerraform Recommender Test
ont bien été créés dans votre projet de test par la tâche Cloud Build exécutée à l'étape précédente.
Déployer le service Cloud Run de l'outil de recommandation
Dans Cloud Shell, remplacez les répertoires par le répertoire créé en clonant le dépôt.
cd $HOME/recommender-iac-pipeline-nodejs-tutorial/parser-service
Configurez Google Cloud pour utiliser une région par défaut pour les services Cloud Run. Dans ce tutoriel, vous utilisez la région us-central1, mais vous pouvez en choisir une autre si vous le souhaitez.
gcloud config set run/region us-central1
Le répertoire
parser-service
comporte un sous-répertoire stub qui contient quelques exemples de charge utile JSON avec lesquels vous pouvez tester le service d'analyse de l'outil de recommandation. Exécutez les commandes suivantes pour remplacer les espaces réservés PROJECT_ID dans ces fichiers JSON par votre ID de projet de test.sed -i "s|__PROJECT_ID__|${TEST_PROJECT_ID}|g" ./stub/iam.json sed -i "s|__PROJECT_ID__|${TEST_PROJECT_ID}|g" ./stub/vm.json
Exécutez la commande suivante afin de créer une variable d'environnement pour votre image Docker.
export IMAGE=gcr.io/$BUILD_PROJECT_ID/recommender-parser:1.0
Créez l'image et importez-la dans Container Registry.
gcloud builds submit --tag $IMAGE .
Créez un compte de service pour que le service d'analyse de l'outil de recommandation interagisse avec les autres services Google Cloud du pipeline. Il est recommandé d'accorder des autorisations précises à vos services Cloud Run. Pour plus de détails, consultez la page Identité du service Cloud Run.
gcloud beta iam service-accounts create recommender-parser-sa \ --description "Service account that the recommender-parser service uses to invoke other Google Cloud services" \ --display-name "recommender-parser-sa" \ --project $BUILD_PROJECT_ID
Le service d'analyse de l'outil de recommandations doit accéder aux clés GitHub et au fichier d'état Terraform que vous avez importé dans les buckets Cloud Storage créés précédemment. Ajoutez le compte de service en tant que membre au bucket Cloud Storage.
gcloud storage buckets add-iam-policy-binding gs://github-keys-$BUILD_PROJECT_ID \ --member=serviceAccount:recommender-parser-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role=roles/storage.objectUser gcloud storage buckets add-iam-policy-binding gs://recommender-tf-state-$BUILD_PROJECT_ID \ --member=serviceAccount:recommender-parser-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role=roles/storage.objectUser
Autorisez le compte de service d'analyse de l'outil de recommandation à accéder à Firestore, à l'API Recommender et à l'API Service Usage.
gcloud projects add-iam-policy-binding $BUILD_PROJECT_ID \ --member serviceAccount:recommender-parser-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role roles/datastore.user gcloud projects add-iam-policy-binding $TEST_PROJECT_ID \ --member serviceAccount:recommender-parser-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role roles/recommender.iamAdmin gcloud projects add-iam-policy-binding $TEST_PROJECT_ID \ --member serviceAccount:recommender-parser-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role roles/recommender.iamViewer gcloud projects add-iam-policy-binding $TEST_PROJECT_ID \ --member serviceAccount:recommender-parser-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role roles/recommender.computeAdmin gcloud projects add-iam-policy-binding $TEST_PROJECT_ID \ --member serviceAccount:recommender-parser-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role roles/serviceusage.serviceUsageConsumer
Déployez le service Cloud Run, nommé recommender-parser, en exécutant la commande. Remplacez GITHUB-ACCOUNT par le nom d'utilisateur de votre compte GitHub, et non par un e-mail. Acceptez toutes les invites du système.
gcloud run deploy \ --image=${IMAGE} \ --no-allow-unauthenticated \ --region us-central1 \ --platform managed \ --service-account recommender-parser-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --set-env-vars="GITHUB_ACCOUNT=github.com:GITHUB-ACCOUNT,GITHUB_PAT=${GITHUB_PAT},SSH_KEYS_BUCKET=github-keys-${BUILD_PROJECT_ID},TERRAFORM_STATE_BUCKET=recommender-tf-state-$BUILD_PROJECT_ID" \ --project $BUILD_PROJECT_ID \ recommender-parser
Configurer Firestore
- Dans Google Cloud Console, dans votre projet
build
, accédez à la page Firestore. - Lorsque vous êtes invité à sélectionner le mode, cliquez sur Sélectionner le mode natif.
- Sélectionnez
us-east1
comme emplacement par défaut. - Cliquez sur Create Database (Créer une base de données).
Le service recommender-parser
écrit des documents dans cette base de données aux fins suivantes :
- Pour garder une trace des recommandations récupérées depuis l'API Recommender
- Pour appeler l'API Recommender une fois les recommandations traitées afin de mettre à jour l'état de chaque recommandation traitée sur
SUCCEEDED
ouFAILED
, selon le cas. Il s'agit d'une étape clé qui rend le pipeline idempotent en garantissant que les recommandations ne sont pas traitées de manière incomplète ou plusieurs fois.
Configurer une tâche Cloud Scheduler
Créez un compte de service que les tâches Cloud Scheduler utilisent pour exécuter le service d'analyse de l'outil de recommandation.
gcloud beta iam service-accounts create recommender-scheduler-sa \ --description "Service Account used by Cloud Scheduler to invoke the recommender-parser service" \ --display-name "recommender-scheduler-sa" \ --project $BUILD_PROJECT_ID
Attribuez au compte de service le rôle d'exécuteur ou d'appelant pour pouvoir appeler le service Cloud Run.
gcloud beta run services add-iam-policy-binding recommender-parser \ --member=serviceAccount:recommender-scheduler-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role=roles/run.invoker \ --region=us-central1
Obtenez l'URL du service de recommandation :
gcloud beta run services list --platform managed --project $BUILD_PROJECT_ID
Votre tâche Cloud Scheduler appelle la route recommandation/IAM du service d'analyse de l'outil de recommandation pour analyser des recommandations IAM et la route /recommender/vm pour analyser les recommandations de dimensionnement de machine virtuelle.
Créez une variable pour le point de terminaison appelé par les tâches Cloud Scheduler. Remplacez RECOMMENDER-SERVICE-URL par l'URL du service de recommandation que vous avez copiée à l'étape précédente.
export RECOMMENDER_ROUTE_TO_INVOKE_IAM=RECOMMENDER-SERVICE-URL/recommendation/iam
Après avoir ajouté les informations sur la route, vous devriez obtenir une URL d'exemple semblable à celle-ci :
RECOMMENDER-SERVICE-URL/recommendation/iam
Créez une tâche Cloud Scheduler nommée
recommender-iam-scheduler.
.- Modifiez le fuseau horaire sélectionné en fonction de votre emplacement.
- Remplacez IAC-REPO-NAME par le nom du dépôt GitHub que vous avez créé.
Le corps du message utilise trois entrées et vous devez le construire comme indiqué ci-dessous :
repo
: nom du dépôt GitHub IAC-REPO-NAME que vous avez créé dans la section Créer un dépôt GitHub.projects
: liste/tableau d'ID de projets Google Cloud auxquels ce dépôt GitHub IaC correspond. Dans ce tutoriel, il s'agit de votre projettest
.stub
: L'outil de recommandation génère des recommandations IAM lorsqu'un sous-ensemble d'autorisations associé à un rôle n'a pas été utilisé depuis 60 jours. Il en est de même pour les recommandations de dimensionnement de VM. Vous pouvez transmettre le paramètrestub
défini surtrue
afin de pouvoir tester ce pipeline à la demande à l'aide des exemples de charges utiles de l'outil de recommandation fournies dans le dépôt que vous avez cloné pour ce tutoriel.
gcloud beta scheduler jobs create http recommender-iam-scheduler \ --project $BUILD_PROJECT_ID \ --time-zone "America/Los_Angeles" \ --schedule="0 */3 * * *" \ --uri=$RECOMMENDER_ROUTE_TO_INVOKE_IAM \ --description="Scheduler job to invoke recommendation pipeline" \ --oidc-service-account-email="recommender-scheduler-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com" \ --headers="Content-Type=application/json" \ --http-method="POST" \ --message-body="{ \"repo\": \"IAC-REPO-NAME\", \"projects\": [\"$TEST_PROJECT_ID\"], \"location\": \"global\", \"stub\": true }"
Étapes supplémentaires
Cloud Build publie des informations de compilation dans un sujet Pub/Sub nommé "cloud-builds" créé automatiquement lorsque vous avez activé l'API Cloud Build dans votre projet de compilation.
Exécutez la commande suivante pour vérifier que le sujet cloud-builds existe dans votre projet
build
:gcloud pubsub topics describe cloud-builds
Si le sujet existe, vous devez voir le résultat suivant, où BUILD-PROJECT-ID est l'ID de votre projet de compilation :
name: projects/BUILD-PROJECT-ID/topics/cloud-builds
Si vous recevez un message d'erreur indiquant que la ressource est introuvable, suivez les instructions pour vous abonner aux notifications de compilation afin de créer le sujet manuellement.
Créez un compte de service permettant à Pub/Sub d'appeler le point de terminaison du service d'analyse de l'outil de recommandation.
gcloud beta iam service-accounts create recommender-ci-subscription-sa \ --description "Service Account used by Cloud Pub/Sub to push Cloud Build events to the recommender-parser service" \ --display-name "recommender-ci-subscription-sa" \ --project $BUILD_PROJECT_ID
Le compte de service Pub/Sub doit être associé aux rôles nécessaires pour publier des messages et appeler le service d'analyse de l'outil de recommandation.
gcloud projects add-iam-policy-binding $BUILD_PROJECT_ID \ --member serviceAccount:recommender-ci-subscription-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role roles/pubsub.publisher \ --project $BUILD_PROJECT_ID gcloud projects add-iam-policy-binding $BUILD_PROJECT_ID \ --member serviceAccount:recommender-ci-subscription-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role roles/pubsub.subscriber \ --project $BUILD_PROJECT_ID gcloud projects add-iam-policy-binding $BUILD_PROJECT_ID \ --member serviceAccount:recommender-ci-subscription-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role roles/run.invoker \ --project $BUILD_PROJECT_ID
Ajoutez le compte de service
recommender-ci-subscription-sa
que vous avez créé au service d'analyse de l'outil de recommandation en tant que membre disposant du rôleinvoker
.gcloud beta run services add-iam-policy-binding recommender-parser \ --member=serviceAccount:recommender-ci-subscription-sa@$BUILD_PROJECT_ID.iam.gserviceaccount.com \ --role=roles/run.invoker --region=us-central1
Accédez à Pub/Sub dans Google Cloud Console.
Cliquez sur le sujet "cloud-builds".
Cliquez sur Créer un abonnement.
Pour l'ID d'abonnement, saisissez
recommender-service-build-events
.Dans le champ Type de distribution, sélectionnez Push.
Dans le champ Point de terminaison, saisissez l'URL du service d'analyse de votre outil de recommandation en y ajoutant
/ci
.Cochez la case Activer l'authentification.
- Sélectionnez le compte de service
recommender-ci-subscription-sa
que vous avez créé. - Cliquez sur Grant (Accorder) en réponse au message d'invite.
- Sélectionnez le compte de service
Sélectionnez Délai de confirmation sous 60 secondes.
Conservez les autres valeurs par défaut.
Cliquez sur Créer.
Tester le pipeline
L'outil de recommandation génère des recommandations IAM lorsqu'un sous-ensemble d'autorisations associé à un rôle n'a pas été utilisé depuis 60 jours. Il en est de même pour les recommandations de dimensionnement de VM. Pour tester ce pipeline à la demande, utilisez les exemples de charges utiles JSON de recommandations fournies dans le sous-répertoire stub
du dépôt que vous avez cloné pour ce tutoriel. Cela vous permet de tester le pipeline en excluant les appels d'API que le service d'analyse de l'outil de recommandation effectue vers le point de terminaison de l'API Recommender pour mettre à jour l'état des recommandations qu'il a appliquées.
Si vous avez des recommandations actives dans vos projets Google Cloud, vous pouvez également tester le pipeline de bout en bout sans avoir à utiliser de stubs. Le résultat décrit ci-dessous est pertinent lorsque vous utilisez les exemples de charges utiles pour tester le pipeline. Toutefois, la procédure de test de ce pipeline sans utiliser les exemples reste la même.
Dans la console Google Cloud, accédez à votre projet de test et examinez la ressource qui a été créée. Vous devez disposer des éléments suivants :
- Une instance Compute Engine nommée
tf-compute-1
avec le type de machineg1-small
. - Un compte de service nommé
Terraform Recommender Test
disposant du rôleeditor
pour votre projet de test.
- Une instance Compute Engine nommée
Sur la page de la console Cloud Scheduler de votre projet
build
, cliquez sur Exécuter maintenant pour le job recommender-iam-scheduler.Cliquez sur la tâche pour afficher les journaux. Vous pouvez également afficher les journaux du service d'analyse de l'outil de recommandation pour obtenir une vue détaillée des étapes exécutées par le service.
Une fois l'exécution du service terminée, accédez à votre dépôt GitHub IAC-REPO-NAME. Le service
recommender-parser
devrait automatiquement avoir généré une demande d'extraction. Examinez les fichiers manifestes IaC modifiés qui contiennent cette demande d'extraction, puis cliquez sur Merge pull Request (Fusionner la demande d'extraction) si vous êtes satisfait des modifications apportées à vos fichiers manifeste IaC.Un commit sur la branche maître est créé lorsque vous fusionnez la requête d'extraction. Cela déclenche une tâche Cloud Build qui déploie les modifications apportées aux ressources Google Cloud dans votre projet
test
. Patientez quelques instants que la tâche Cloud Build se termine, et vous pourrez ensuite consulter son état dans la console Google Cloud.Une fois la tâche terminée, accédez à votre projet de test. Les exemples de charges utiles fournis apportent les modifications suivantes aux ressources de votre projet de test :
- Le rôle
editor
dont disposait le compte de service de test Terraform lors du déploiement est à présent remplacé par le rôleviewer
.
- Le rôle
Nettoyer
Pour éviter que les ressources utilisées dans ce tutoriel ne soient facturées sur votre compte Google Cloud, supprimez les deux projets que vous avez créés.
Le moyen le plus simple d'empêcher la facturation est de supprimer le projet que vous avez créé pour ce tutoriel.
Pour supprimer le projet :
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
Étapes suivantes
- Découvrez des architectures de référence, des schémas et des bonnes pratiques concernant Google Cloud. Consultez notre Centre d'architecture cloud.
- Apprenez-en plus sur Google Cloud Policy Intelligence dans la documentation.