背景
- GCPの「プロジェクト」「組織」などなど、リソースの階層が理解できてなかった。
- それに伴うアクセス制御のやり方が理解できてなかった。
- (課金も管理できるらしいのでついでに調べてみる)
リソースの階層
- 組織(組織ノード)
- フォルダー
- プロジェクト
図で表すとこんな感じ。
1. 組織(組織ノード)
- フォルダーをまとめる
- G Suiteを利用していればそのドメインで自動的に組織ノードを作成する
- G Suiteを利用していない場合、Google Cloud Identityを利用して組織ノードを作成する
- IAMポリシーを継承する
2. フォルダー
- 組織ノードに紐づく
- プロジェクトをまとめることができる。
- フォルダー内にフォルダーを作成できる
- IAMポリシーを継承する
3. プロジェクトとは
- フォルダーに属するもの
- GCPリソースを作成・使用するにはプロジェクトが必要
- プロジェクト単位で、課金・API・IAMポリシーを作成できる
- IAMポリシーを継承する
- プロジェクトには以下のメカニズムで識別される
- プロジェクトID(一意・変更不可)
- プロジェクト番号(一意・変更不可)
- プロジェクト名(一意・変更可)
- 誤って削除した場合の復旧も可能
IAMポリシーの継承イメージ
課金
- 課金はプロジェクトレベルに蓄積される。
- プロジェクトを定義すると、それに課金アカウントがリンクされる。その課金アカウントで支払いオプションを含む全ての課金情報が設定される。=> 課金アカウントは複数のプロジェクトにリンクさせられる。
Googleの請求額を高くしないようにするために
- 予算の上限額を決めてwebhook等でアラートを受け取る設定にする
- 使わないサービスは切っておく
- クラスタの管理設定自体への呼び出しを制限しておく
参考
- https://qiita.com/meta_plankton/items/6d723a9b7032703523a5
- https://qiita.com/SMAC/items/01614b62eaf33f33bd78
- Getting Started with Google Kubernetes Engine
Google Cloud