使用引導式部署作業自動化工具的先決條件

本文說明在 Workload Manager 中使用輔助部署自動化工具的必要條件。

此外,您必須符合下列先決條件,這些條件適用於您部署的應用程式:

修課條件 說明
Google Cloud 帳單帳戶

您必須擁有 Google Cloud 貴機構的帳戶,且帳戶具備有效的帳單。

詳情請參閱建立新的帳單帳戶
Google Cloud 專案

您要部署應用程式的 Google Cloud 專案。 請參閱「建立及管理專案」。

確認 專案已連結至帳單帳戶
啟用 API 在專案中啟用下列 API:

在部署過程中,如果專案未啟用其他必要 API,Workload Manager 會自動啟用。
將 IAM 角色授予 Workload Manager 服務帳戶 Workload Manager 使用服務代理程式,您必須先授予必要角色,才能部署應用程式。詳情請參閱 Workload Manager 服務帳戶
將 IAM 角色授予使用者管理的服務帳戶 建立服務帳戶,並授予部署應用程式所需的所有角色。 詳情請參閱「使用者管理的服務帳戶」。
IAM 角色和權限 使用「引導式部署自動化」工具部署工作負載的使用者,必須具備或獲派必要角色和權限,才能設定部署作業。這些使用者也需要權限,才能在部署期間建立必要的服務帳戶。詳情請參閱「身分與存取權管理角色和權限」。
Cloud Build 私有集區 (選用步驟) 如果貴機構強制執行 VPC Service Controls 範圍設定,以保護 Workload Manager 資源和資料,請設定 Cloud Build 私人工作站集區,以便在部署環境中使用。詳情請參閱「使用 Cloud Build 私人工作站集區」。
配額 請確認專案有足夠的資源配額,可供部署工作負載。詳情請參閱配額的相關說明。

Workload Manager 服務帳戶

引導式部署作業自動化工具會使用服務代理程式部署應用程式。

建立部署作業時,如果服務帳戶尚未取得必要角色,Workload Manager 會提示您授予這些角色。如果沒有授予這些角色的權限,請要求管理員在建立部署作業前,將下列角色授予 Workload Manager 服務帳戶。

服務帳戶 必要角色
Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com
  • Cloud Infrastructure Manager 管理員 (roles/config.admin)
  • 記錄檢視者 (roles/logging.viewer)
  • 服務帳戶使用者 (roles/iam.serviceAccountUser)
  • Workload Manager 服務代理 (roles/workloadmanager.serviceAgent)

使用者自行管理的服務帳戶

Workload Manager 會使用附加至部署項目的服務帳戶,呼叫其他 API 和服務,建立部署項目所需的資源。

設定部署作業時,您可以附加現有服務帳戶,也可以建立服務帳戶。視應用程式和設定而定,Workload Manager 會提示您將缺少的角色授予服務帳戶。

如要進一步瞭解如何將角色授予服務帳戶,請參閱管理服務帳戶的存取權

IAM 角色和權限

Workload Manager 的存取權控管使用 Identity and Access Management (IAM)。Workload Manager 提供一組特定的預先定義 IAM 角色,每個角色都包含一組權限。IAM 能讓您採用最低權限安全性原則,僅授予必要的資源存取權限給使用者。
如要在所選專案中啟用 Workload Manager API,您必須具備下列權限。每項專案只需要執行這項工作一次。 管理員或其他具備權限的使用者可以啟用 API,之後其他使用者就能存取 Workload Manager。

動作 所需權限 角色範例
啟用 Workload Manager API serviceusage.services.enable roles/editor
roles/service.Usage.Admin

Workload Manager 也提供角色,可控管哪些人能存取部署功能,以及哪些人能部署、管理及查看部署作業。每個角色都具備執行所述工作的必要權限。

詳情請參閱「使用身分與存取權管理功能控管存取權」一文。將 IAM 角色授予主體時,Google 建議您採用最低權限原則。

角色 部署作業
Workload Manager 部署作業管理員Beta 版 建立、修改、部署及查看部署項目。
Workload Manager 部署作業檢視者Beta 版 查看部署作業。

使用 Cloud Build 私人工作站集區

如果貴機構強制執行 VPC Service Controls 合規性,您就必須使用私人工作站集區進行部署。

私人集區會託管在 Google 擁有的虛擬私有雲網路中,也就是服務供應商網路。建立私人集區前,請在服務供應商網路與包含資源的虛擬私有雲網路之間設定私人連線

如要建立及使用 Cloud Build 私人集區,請按照「建立及管理私人集區」一文的說明操作。

設定私人工作站集區以搭配 Workload Manager 使用時,請考量下列需求:

  • 您必須使用 Cloud Build 私人工作站集區進行部署。 您無法使用預設的 Cloud Build 工作站集區。詳情請參閱 Cloud Build 說明文件中的「限制」一節。
  • 如要下載 Terraform 設定,Cloud Build 私人集區必須啟用公開網際網路呼叫

您也必須確保下列資源位於同一個 VPC Service Controls 服務範圍

配額

Google Cloud 使用配額來保護及控管特定帳戶或機構可使用的資源數量。支援的應用程式通常會耗用大量資源。由於資料庫和應用程式的規模龐大,部署程序期間可能會發生配額問題。

如要避免配額問題,請採取下列做法:

  1. 查看專案的可用資源配額
  2. 如有需要,請要求較高的配額值,或與專案管理員聯絡。

後續步驟