ポリシーを使用した GCP ガバナンス

GCP コンピューティング インスタンスの開始/停止アクションの構成

VMware Aria Cost powered by CloudHealth プラットフォームで、GCP コンピューティング エンジン リソースに、GCP コンピューティング インスタンスの開始や停止などの自動アクションを構成できるようになりました。これらの自動アクションをポリシーに関連付けると、ライトオン/ライトオフ ポリシーにより GCP 環境をより効果的に最適化できます。

GCP コンピューティング インスタンスでのアクションの構成

  1. VMware Aria Cost プラットフォームで、セットアップ > ガバナンス > ポリシー に移動し、新規ポリシー > 標準ポリシー の順に選択します。
  2. ポリシーに名前を付け、説明を追加します。
  3. リソース タイプ から コンピューティング インスタンス を選択します。
  4. 1 つ以上の条件を監視するルールを追加します。
  5. アクション をクリックし、GCP コンピューティング インスタンスの開始 または GCP コンピューティング インスタンスの停止 を選択します。
  6. ドロップダウンから パースペクティブ グループ を選択して、アクションの範囲を制限します。
  7. アクションを保存 をクリックします。

ポリシー アクションの詳細

VMware Aria Cost プラットフォームでポリシー アクションの詳細を表示するには、ダッシュボード > 通知 > アクション の順に移動し、表示アイコンをクリックします。アクションの詳細 ページには、アクションのステータスが[成功]、[失敗]、[成功 (エラーあり)] のいずれかで表示されます。

次の例では、[アクションの詳細] ページに GCP コンピューティング インスタンスの開始アクションが正常に実行されたことが表示されています。

[CH アクションの詳細] ページ

アクションのステータスを理解するために、次のポリシーの例を考察します。

stop GCE Instances when an instance has more than 60 cores にポリシーを作成します。アクションのステータスに応じて、[アクションの詳細] ページに次のいずれかのステータスが表示されます。

  • 成功 ステータス(すべてのインスタンスに対するアクションが成功した場合)。
  • 失敗 ステータス(すべてのインスタンスに対してアクションの実行が失敗した場合)。
  • 成功 (エラーあり) ステータス(アクションが成功したインスタンスもあるが、失敗したインスタンスもある場合)。

開始/停止アクションのポリシーを構成する権限の定義

GCP コンピューティング インスタンスに開始/停止アクションのポリシーを構成するには、Google コンソールで compute.instances.stop 権限と compute.instances.start 権限を適用する必要があります。これらの権限は、次のいずれかの方法で追加できます。

  • 組織レベルで、すべての IAM ユーザーが使用する既存の IAM ポリシーに開始/停止アクション権限を追加します。
  • 開始/停止アクション ポリシーに必要な 2 つの権限のみを持つ新しい IAM ロールを組織レベルで作成します。新しく作成した IAM ロールは、プロジェクト レベルで IAM ユーザーに割り当てることができます。カスタム ロールを作成する手順については、組織レベルでの GCP アカウントの構成を参照してください。
  • 開始/停止アクション権限をプロジェクト レベルで IAM メンバーに手動で追加します。

GCP のロールと権限

GCP で必要な権限

次の表に、GCP で VMware Aria Cost の構成に必要な権限を示します。

VMware Aria Cost の構成 必要な権限
BigQuery エクスポートの有効化 請求アカウント管理者または請求アカウント コスト マネージャ
BigQuery エクスポート構成の表示 請求アカウント管理者、請求アカウント コスト マネージャ、または請求閲覧者
組織レベルでの IAM メンバーと IAM ロールの作成 組織管理者
すべてのプロジェクトでの API の有効化 プロジェクト所有者(組織レベル)

GCP のカスタム ロール

Google IAM ロール

VMware Aria Cost プラットフォームを使用して Google Cloud を構成する場合は、Google コンソールでサービス アカウントを作成し、サービス アカウントに IAM ロールを割り当てる必要があります。

次の 2 つのロールのいずれかを割り当てることができます。

  • カスタム:組織レベルでクラウドを構成している場合、またはプロジェクト レベルでクラウドを構成していて、VMware Aria Cost でアクセスできる権限と資産をカスタマイズしたい場合、カスタム ロールを作成して割り当てます
  • エディタ:プロジェクト レベルでクラウドを構成し、デフォルト ロールのメンテナンスの容易さというメリットを利用する場合は、デフォルトのエディタ ロールを割り当てます。

たとえば、セキュリティに懸念がある場合は、VMware Aria Cost に特定の資産へのアクセスのみを許可するカスタム ロールを作成できます。

必須のカスタム ロール API と権限

カスタム ロールには、特定の資産に対して少なくとも次の権限が含まれている必要があります。

  • 権限がない場合、VMware Aria Cost は、コストを節約するためのレポートや推奨事項を提供することができません。
  • gcloud コマンド を使用してカスタム ロールを構成する場合は、最小限の権限を持つカスタム ロール の YAML ファイルをダウンロードし、必要に応じてファイルを編集します。
BigQuery コスト データの場合
フィールド 詳細
必要な IAM 権限 resourcemanager.projects.get, bigquery.datasets.get, bigquery.jobs.create, bigquery.tables.get, bigquery.tables.getData
必要な API bigquery-json.googleapis.comcloudresourcemanager.googleapis.com
権限が必要なレポート 請求書履歴レポートコスト履歴レポート
収集頻度 12 時間ごと:請求書のコスト履歴、請求書のメタデータ履歴、コスト履歴、コスト(パーティション別)、コスト履歴メタデータ。24 時間ごと:SKU 検出
GCE ディスクの場合
フィールド 詳細
必要な IAM 権限 compute.disks.get, compute.disks.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
オプションの IAM 権限 compute.disks.delete - GCE ディスクを削除するため。
必要な API compute.googleapis.com
権限が必要なレポート GCE ディスクの資産レポート
収集頻度 15 分ごと
GCE イメージの場合
フィールド 詳細
必要な IAM 権限 compute.images.get, compute.images.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
必要な API compute.googleapis.com
権限が必要なレポート GCE イメージの資産レポート
収集頻度 15 分ごと
GCE インスタンスの場合
フィールド 詳細
必要な IAM 権限 compute.instances.get, compute.instances.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
必要な API compute.googleapis.com
権限が必要なレポート GCE の資産レポート、GCE の適正サイジング レポート、接続されたディスクの資産レポート
収集頻度 15 分ごと
GCE スナップショットの場合
フィールド 詳細
必要な IAM 権限 compute.snapshots.get, compute.snapshots.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
オプションの IAM 権限 compute.snapshots.delete - GCE スナップショットを削除するため。
必要な API compute.googleapis.com
権限が必要なレポート GCE スナップショットの資産レポート
収集頻度 15 分ごと
GCE 静的 IP アドレスの場合
フィールド 詳細
必要な IAM 権限 compute.addresses.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
オプションの IAM 権限 compute.addresses.delete - 未接続の固定 IP アドレスを解放するため。
必要な API compute.googleapis.com
権限が必要なレポート GCE 静的 IP アドレスの資産レポート
収集頻度 15 分ごと
GCS バケットの場合
フィールド 詳細
必要な IAM 権限 storage.buckets.get, storage.buckets.list
必要な API storage-component.googleapis.com
権限が必要なレポート GCS バケットの資産レポート
収集頻度 15 分ごと
Dataproc クラスタの場合
フィールド 詳細
必要な IAM 権限 dataproc.clusters.list, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
必要な API dataproc.googleapis.com
権限が必要なレポート Dataproc クラスタの資産レポート
収集頻度 4 時間ごと
GKE クラスタの場合
フィールド 詳細
必要な IAM 権限 container.clusters.list
必要な API container.googleapis.com
権限が必要なレポート GKE クラスタの資産レポート
収集頻度 15 分ごと
GCE の適正サイジングに関する推奨事項
フィールド 詳細
必要な IAM 権限 recommender.computeInstanceMachineTypeRecommendations.get, recommender.computeInstanceMachineTypeRecommendations.list, recommender.computeInstanceMachineTypeRecommendations.update, recommender.locations.get, recommender.locations.list
必要な API recommender.googleapis.com
権限が必要なレポート GCE の適正サイジング レポート
収集頻度 12 時間ごと
プロジェクトの健全性ステータスの場合
フィールド 詳細
必要な IAM 権限 resourcemanager.projects.get
必要な API cloudresourcemanager.googleapis.com
収集頻度 プロジェクト テスト アクセス(プロジェクト認証情報の検証)- 4 時間ごと
接続されたディスクの場合
フィールド 詳細
必要な IAM 権限 compute.disks.getcompute.disks.list
必要な API compute.googleapis.com
権限が必要なレポート 接続されたディスクの資産レポート
収集頻度 15 分ごと
ゾーンの場合
フィールド 詳細
必要な IAM 権限 compute.zones.getcompute.zones.list
必要な API compute.googleapis.com
権限が必要なレポート ゾーンの資産レポート
収集頻度 15 分ごと
マシン タイプの場合
フィールド 詳細
必要な IAM 権限 compute.instances.getcompute.instances.list
必要な API compute.googleapis.com
権限が必要なレポート マシン タイプの資産レポート
収集頻度 24 時間ごと
ディスク タイプの場合
フィールド 詳細
必要な IAM 権限 compute.disks.getcompute.disks.list
必要な API compute.googleapis.com
権限が必要なレポート ディスク タイプの資産レポート
収集頻度 24 時間ごと
リージョンの場合
フィールド 詳細
必要な IAM 権限 compute.regions.getcompute.regions.list
必要な API compute.googleapis.com
権限が必要なレポート リージョンの資産レポート
収集頻度 24 時間ごと
check-circle-line exclamation-circle-line close-line
Scroll to top icon