ガイド付きデプロイ自動化ツールを使用するための前提条件

このドキュメントでは、Workload Manager でガイド付きデプロイ自動化ツールを使用するための前提条件について説明します。

また、デプロイするアプリケーションに固有の次の前提条件を満たす必要があります。

前提条件 説明
Google Cloud 請求先アカウント

アクティブな請求が行われている組織に属する Google Cloud アカウントが必要です。

詳細は、新しい請求先アカウントの作成をご覧ください。
Google Cloud プロジェクト

アプリケーションをデプロイする Google Cloud プロジェクト。プロジェクトの作成と管理をご覧ください。

プロジェクトが請求先アカウントにリンクされていることを確認します。
API を有効にする プロジェクトで次の API を有効にします。

デプロイ プロセス中に、プロジェクトで有効になっていない場合は、Workload Manager が必要な API を自動的に有効にします。
Workload Manager サービス アカウントに IAM ロールを付与する Workload Manager は、アプリケーションをデプロイする前に必要なロールを付与する必要があるサービス エージェントを使用します。詳細については、 Workload Manager サービス アカウントをご覧ください。
ユーザー管理のサービス アカウントに IAM ロールを付与する サービス アカウントを作成し、アプリケーションのデプロイに必要なすべてのロールを付与します。詳細については、ユーザー管理のサービス アカウントをご覧ください。
IAM のロールと権限 ガイド付きデプロイ自動化ツールを使用してワークロードをデプロイするユーザーは、デプロイを構成するために必要なロールと権限を持っているか、付与されている必要があります。これらのユーザーには、デプロイ時に必要なサービス アカウントを作成する権限も必要です。詳細については、IAM のロールと権限をご覧ください。
Cloud Build プライベート プール 省略可。組織で Workload Manager のリソースとデータを保護するために VPC Service Controls の境界設定が適用されている場合は、デプロイ環境で使用する Cloud Build プライベート ワーカープールを設定します。詳細については、Cloud Build プライベート ワーカープールを使用するをご覧ください。
割り当て ワークロードをデプロイするために十分なリソース割り当てがプロジェクトにあることを確認します。詳しくは、割り当てをご覧ください。

Workload Manager サービス アカウント

ガイド付きデプロイ自動化ツールは、アプリケーションのデプロイにサービス エージェントを使用します。

デプロイを作成すると、必要なロールがまだ付与されていない場合は、このサービス アカウントに必要なロールを付与するよう Workload Manager からメッセージが表示されます。これらのロールを付与する権限がない場合は、デプロイを作成する前に、Workload Manager サービス アカウントに次のロールを付与するよう管理者に依頼してください。

サービス アカウント 必要なロール
Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com
  • Cloud Infrastructure Manager 管理者(roles/config.admin
  • ログビューア(roles/logging.viewer
  • サービス アカウント ユーザー(roles/iam.serviceAccountUser
  • ワークロード マネージャー サービス エージェント(roles/workloadmanager.serviceAgent

ユーザー管理のサービス アカウント

Workload Manager は、デプロイメントに接続されたサービス アカウントを使用して、他の API とサービスを呼び出し、デプロイに必要なリソースを作成します。

デプロイの構成時に、既存のサービス アカウントを関連付けるか、サービス アカウントを作成できます。アプリケーションと構成に応じて、Workload Manager は、不足しているロールをサービス アカウントに付与するよう求めるメッセージを表示します。

サービス アカウントへのロールの付与の詳細については、サービス アカウントに対するアクセス権の管理をご覧ください。

IAM のロールと権限

Workload Manager のアクセス制御は、Identity and Access Management(IAM)を使用して制御されます。Workload Manager では、事前定義された IAM ロールのセットが用意されています。各ロールには、一連の権限が含まれています。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。
選択したプロジェクトで Workload Manager API を有効にするには、次の権限が必要です。このタスクは、各プロジェクトで 1 回だけ実行する必要があります。管理者または権限を持つ別のユーザーが API を有効にすると、他のユーザーが Workload Manager にアクセスできるようになります。

操作 必要な権限 ロールの例
Workload Manager API を有効にする serviceusage.services.enable roles/editor
roles/service.Usage.Admin

Workload Manager には、デプロイ機能にアクセスできるユーザーを制御し、デプロイのデプロイ、管理、表示を行うことができるユーザーを決定するロールもあります。各ロールには、記載されたタスクを実行するために必要な権限が付与されています。

詳細については、IAM によるアクセス制御をご覧ください。プリンシパルに IAM ロールを付与する場合は、最小権限の原則を適用することをおすすめします。

役割 デプロイ タスク
Workload Manager デプロイ管理者ベータ版 デプロイの作成、変更、デプロイ、表示を行います。
Workload Manager デプロイ閲覧者ベータ版 デプロイを表示します。

Cloud Build プライベート ワーカープールを使用する

組織で VPC Service Controls のコンプライアンスが適用されている場合は、デプロイにプライベート ワーカープールを使用する必要があります。

プライベート プールは、サービス プロデューサー ネットワークと呼ばれる Google 所有の Virtual Private Cloud ネットワークでホストされます。プライベート プールを作成する前に、サービス プロデューサー ネットワークとリソースを含む VPC ネットワークの間にプライベート接続を設定します

Cloud Build プライベート プールを作成して使用するには、プライベート プールを作成して管理するの手順に沿って操作します。

Workload Manager で使用するプライベート ワーカープールを設定する場合は、次の要件を考慮してください。

  • デプロイには Cloud Build プライベート ワーカープールを使用する必要があります。デフォルトの Cloud Build ワーカープールは使用できません。詳細については、Cloud Build ドキュメントの制限事項をご覧ください。
  • Terraform 構成をダウンロードするには、Cloud Build プライベート プールで公共のインターネット呼び出しを有効にする必要があります。

次のリソースが同じ VPC Service Controls サービス境界内にあることも確認する必要があります。

割り当て

Google Cloud は、割り当てを使用して、特定のアカウントまたは組織が使用できるリソースの数を保護および制御します。サポートされているアプリケーションは、リソースの大部分を消費することがよくあります。データベースとアプリケーションのサイズによっては、デプロイ プロセスで割り当ての問題が発生することがあります。

割り当てに関する問題を回避するには、次の操作を行います。

  1. プロジェクトで使用可能なリソース割り当てを表示する
  2. 必要に応じて、割り当て値の増加をリクエストするか、プロジェクト管理者に連絡してください。

次のステップ