Gerenciar aplicativos em uma pasta

Neste documento, descrevemos como configurar uma pasta habilitada para gerenciar apps para criar, operar e gerenciar aplicativos do App Hub noCloud de Confiance by S3NS. Ele é destinado a pessoas que configuram e gerenciam aplicativos do App Hub.

Visão geral

Cloud de Confiance by S3NS oferece uma abordagem centrada em aplicativos para implantar e gerenciar seus recursos. Em vez de se concentrar em componentes individuais da infraestrutura, você pode gerenciar seus aplicativos como um todo. Para mais informações sobre esse modelo centrado em aplicativos e a organização de recursos dele, consulte Google Cloud centrado em aplicativos.

No centro da experiência focada em aplicativos está o App Hub. Um aplicativo é um agrupamento lógico de recursos que trabalham juntos para fornecer uma função comercial específica. Esses recursos incluem:

  • Serviços: uma interface de rede ou API que expõe funcionalidades aos clientes, como uma regra de encaminhamento de um balanceador de carga.
  • Cargas de trabalho: um recurso de computação que executa uma implantação binária que realiza uma função comercial distinta, como um grupo gerenciado de instâncias (MIG) ou uma implantação do Google Kubernetes Engine (GKE).

O que é uma pasta habilitada para apps?

Uma pasta habilitada para apps é uma pasta na hierarquia de recursos do Cloud de Confiance by S3NS que foi configurada especialmente para gerenciamento de aplicativos. Essa pasta serve como o limite de gerenciamento de aplicativos para seus aplicativos e inclui um projeto de gerenciamento para armazenar os metadados e a configuração do aplicativo. É possível projetar, configurar, testar, validar e implantar aplicativos do App Hub em um ou vários projetos na pasta.

As pastas ativadas para apps simplificam o gerenciamento de aplicativos das seguintes maneiras:

  • Organizar componentes:eles agrupam serviços e cargas de trabalho relacionados, definidos no App Hub, em um único aplicativo.
  • Fornecer monitoramento e gerenciamento centralizados:em vez de rastrear componentes individuais em diferentes projetos ou produtos, é possível monitorar e gerenciar a integridade e o desempenho gerais dos aplicativos no nível da pasta.
  • Simplificar a administração:ao designar uma pasta como habilitada para apps, você cria um limite no nível da pasta que simplifica a criação e o gerenciamento de aplicativos na sua organização.
  • Oferecer uma visão centrada no aplicativo:eles mudam o foco de recursos individuais para o aplicativo em si, oferecendo uma visão holística da performance dele.

Para mais informações sobre limites no nível da pasta e uma comparação entre projetos e pastas para o limite de gerenciamento de aplicativos, consulte Escolher seu modelo de configuração de aplicativo.

Visão geral dos projetos de gerenciamento

O projeto de gerenciamento é um projeto doCloud de Confiance na pasta habilitada para apps que funciona como um repositório central de todos os seus metadados centrados em aplicativos. Cada pasta contém apenas um projeto de gerenciamento. O projeto de gerenciamento fornece a infraestrutura para bibliotecas de aplicativos e APIs, incluindo faturamento, cotas e controle de acesso. Para mais informações sobre essas APIs, consulte Ativar APIs em um projeto de gerenciamento.

O projeto de gerenciamento contém o modelo completo do aplicativo, que inclui o seguinte:

  • Dados do App Hub: o modelo lógico dos seus aplicativos, incluindo as relações deles com serviços e cargas de trabalho, além de metadados como proprietários e criticidade.
  • Dados do Application Design Center: recursos como modelos, catálogos e espaços usados para projetar e implantar novos aplicativos.

O projeto de gerenciamento também pode descobrir recursos na hierarquia de recursos da pasta habilitada para apps. Se o projeto de gerenciamento for excluído, todos os dados do modelo de aplicativo serão perdidos permanentemente. Embora sua infraestrutura subjacente, como clusters do GKE ou balanceadores de carga, permaneça intacta, o agrupamento lógico dela no App Hub é excluído permanentemente.

Configurar uma pasta para gerenciamento de aplicativos

É possível ativar o gerenciamento de aplicativos em pastas novas e atuais. Recomendamos que você teste o gerenciamento de aplicativos em uma pasta dedicada recém-criada. Isso permite testar em um ambiente seguro antes de aplicar a pastas críticas.

Em uma pasta habilitada para apps, os usuários autorizados podem agregar cargas de trabalho e serviços de qualquer projeto em aplicativos diretamente nessa pasta.

Considere uma hierarquia de recursos com a seguinte estrutura:

A pasta F1 contém os seguintes três itens:

  • Projetos P10 e P11
  • Pasta F2

A pasta F2 contém os seguintes dois itens:

  • Projetos P20 e P21

Ative o gerenciamento de aplicativos na pasta F1 para criar um aplicativo que inclua recursos de vários níveis de pasta. Por exemplo, um aplicativo pode incluir recursos dos projetos P10 e P20.

Um aplicativo com projetos P10 e P20, abrangendo níveis de pasta

Se você ativar o gerenciamento de aplicativos apenas na pasta F2, o projeto P10 não estará disponível para a criação de aplicativos. Para criar aplicativos no projeto P10, mova o projeto P10 para a pasta F2.

Um aplicativo com projetos P10 e P20, mas P10 foi movido para a pasta F2

Considere sua estrutura organizacional, as responsabilidades da equipe e os recursos ao planejar sua estratégia de gerenciamento de aplicativos. A forma como as equipes e os recursos são estruturados tem um impacto direto no uso de pastas habilitadas para apps.

Funções exigidas

Com base nas responsabilidades identificadas durante o ciclo de vida do aplicativo, você e seus usuários vão precisar de várias funções para configurar os diferentes aspectos do processo de gerenciamento de aplicativos.

Para receber as permissões necessárias para configurar uma pasta ativada para apps, peça ao administrador que conceda a você os seguintes papéis do IAM:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Ativar o gerenciamento de aplicativos

O gerenciamento de aplicativos permite que você mude o foco de componentes individuais da infraestrutura para o aplicativo como um todo.

Quando você ativa o gerenciamento de aplicativos em uma pasta, ela é chamada de pasta habilitada para apps e acontece o seguinte:

  • Um projeto é definido como o projeto de gerenciamento na pasta.
  • O sistema ativa as APIs necessárias no projeto de gerenciamento.
  • O projeto de gerenciamento armazena dados de aplicativos, incluindo APIs ativadas, faturamento, cotas e controles de acesso.

Para ativar o gerenciamento de aplicativos em uma pasta, faça o seguinte:

Console

  1. Selecione ou crie a pasta Cloud de Confiance by S3NS que você quer configurar como uma pasta compatível com apps. Para criar uma pasta, consulte Como criar pastas.

  2. No console Cloud de Confiance , abra a página Gerenciar recursos.

    Acessar "Gerenciar recursos"

  3. Na lista de projetos e pastas, localize a pasta que você quer configurar.

    Se uma pasta tiver o ícone de pasta com app ativado, o gerenciamento de aplicativos já estará ativado.

  4. Na linha da pasta, abra o menu Ações e clique em Configurações.

    Se o gerenciamento de aplicativos não estiver ativado na pasta, a configuração Gerenciamento de aplicativos vai mostrar Não ativado.

  5. Na área Ativar o gerenciamento de aplicativos, clique em Criar projeto.

    O painel Criar projeto de gerenciamento e ativar APIs necessárias é aberto.

  6. Confira a lista de APIs necessárias. Essas APIs gerenciam o ciclo de vida do seu aplicativo. Para APIs que têm custos associados, clique no nome da API para saber mais sobre os preços.

  7. Para ativar o gerenciamento de aplicativos, clique em Criar projeto e ativar APIs.

    O sistema cria o projeto de gerenciamento na pasta.

  8. Anote o nome e o ID do projeto de gerenciamento. Você usará esses valores para conceder acesso.

    Como alternativa, para receber o ID do projeto de gerenciamento, use o seguinte comando da Google Cloud CLI:

    gcloud resource-manager folders describe FOLDER_ID
    --format="value(managementProject.split('/').slice(-1))"

    Substitua FOLDER_ID pelo ID da pasta ativada para apps.

    Para mais informações, consulte Encontrar o nome, o número e o ID do projeto.

gcloud

  1. In the Cloud de Confiance console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Cloud de Confiance console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Verifique se a versão mais recente da Google Cloud CLI está instalada:

    gcloud components update

  3. Para ativar o gerenciamento de aplicativos em uma pasta específica, use o comando gcloud resource-manager capabilities update com a flag --enable.

    gcloud resource-manager capabilities update folders/FOLDER_ID/capabilities/app-management \
   --enable

    Substitua FOLDER_ID pelo ID da pasta.

    Esse comando ativa o gerenciamento de aplicativos na pasta especificada e provisiona automaticamente um novo projeto Cloud de Confiance by S3NS dentro dessa pasta para servir como projeto de gerenciamento.

  4. Se quiser ativar as APIs recomendadas no projeto de gerenciamento, siga as instruções para ativar serviços do Cloud de Confiance by S3NS em um projeto.

    5. Terraform

    Para ativar o gerenciamento de aplicativos em uma pasta usando o Terraform, use o recurso google_resource_manager_capability, por exemplo:

    resource "google_folder" "folder" {
  display_name     = "my-folder"
  parent           = "organizations/123456789"
  deletion_protection = false
}
resource "time_sleep" "wait_60s" {
  depends_on = [google_folder.folder]
  create_duration = "60s"
}
resource "google_resource_manager_capability" "capability" {
  value            = true
  parent           = "${google_folder.folder.name}"
  capability_name  = "app-management"
  depends_on = [time_sleep.wait_60s]
}

    Esse comando ativa o gerenciamento de aplicativos na pasta especificada e provisiona automaticamente um novo projeto Cloud de Confiance dentro dessa pasta para servir como projeto de gerenciamento. Para ativar a lista de APIs recomendadas no projeto de gerenciamento, siga as instruções para ativar um serviço de API em um projeto do Cloud de Confiance by S3NS .

Depois de criar o projeto de gerenciamento e ativar as APIs necessárias, você pode começar a usar o App Hub para agrupar serviços e cargas de trabalho em aplicativos. No entanto, recomendamos vincular uma conta de faturamento ao projeto de gerenciamento e conceder papéis centrados em aplicativos aos usuários para desbloquear recursos avançados de outros produtos do Google Cloud centrados em aplicativos. Essas ações permitem que os usuários gerenciem vários aspectos do processo de implantação e operações de aplicativos, que podem exigir papéis diferentes.

Opcional: vincular uma conta de faturamento ao projeto de gerenciamento

Para usar os recursos avançados do Google Cloud centrados em aplicativos, vincule uma conta de faturamento ativa ao projeto de gerenciamento. Por exemplo, uma conta de faturamento vinculada ajuda você a fazer o seguinte:

  • Gerenciar cargas de trabalho que excedem as cotas de recursos do App Hub.
  • Use o App Design Center para criar modelos e implantar aplicativos.

Para uma visão geral dos possíveis custos associados ao gerenciamento de aplicativos e às APIs ativadas, consulte Entender os custos.

Siga estas etapas para vincular uma conta de faturamento ativa ao seu projeto de gerenciamento:

Console

  1. Verifique se a conta de faturamento que você quer usar para o gerenciamento de aplicativos existe. Para criar uma conta de faturamento, consulte Criar uma nova conta de autoatendimento do Cloud Billing.

  2. No console do Cloud de Confiance , abra a página Faturamento.

    Acessar "Faturamento"

  3. Na guia Meus projetos, localize o projeto de gerenciamento.

  4. Na linha do projeto, abra o menu Ações, selecione Alterar faturamento e escolha a conta do Cloud Billing.

Para mais informações sobre como ativar o faturamento de um projeto, consulte Ativar o faturamento de um projeto.

gcloud 

gcloud billing projects link PROJECT_ID \
    --billing-account ACCOUNT_ID

Substitua:

  • PROJECT_ID: o ID do projeto de gerenciamento.
  • ACCOUNT_ID: o ID da conta de faturamento. Os IDs das contas de faturamento estão no formato 0X0X0X-0X0X0X-0X0X0X.

Além das APIs ativadas automaticamente no projeto de gerenciamento, você pode ativar APIs recomendadas para oferecer suporte à criação de aplicativos. Analise as APIs recomendadas para entender os benefícios e os custos associados.

Conceder funções focadas em aplicativos aos usuários

É possível conceder acesso aos usuários de acordo com as responsabilidades deles durante o ciclo de vida do aplicativo. Para saber como conceder permissões para diferentes níveis de acesso a aplicativos, consulte Conceder permissões a aplicativos.

A tabela a seguir fornece diretrizes gerais e papéis recomendados do IAM para conceder diferentes responsabilidades de usuários centradas em aplicativos no nível do projeto ou da pasta. A tabela inclui funções para gerenciar aplicativos com o App Hub e o App Design Center, além de visualizar dados no Cloud Hub.

Para mais informações sobre esses e outros papéis específicos do produto, consulte a documentação deles.

Responsabilidades do usuário Papéis IAM Onde conceder papéis
Administradores da plataforma

Realize tarefas de administrador para o projeto de gerenciamento.

 Administrador de IAM do projeto (roles/resourcemanager.projectIamAdmin) projeto de gerenciamento
Engenheiros de plataforma

Realizar tarefas de administrador para o App Hub e a Central de design de aplicativos.
  • Administrador do App Hub (roles/apphub.admin)
  • Administrador do App Design Center (roles/designcenter.admin)
 projeto de gerenciamento
Desenvolvedores de aplicativos

Desenvolver aplicativos.
  • Editor do App Hub (roles/apphub.editor)
  • Usuário da central de design de apps (roles/designcenter.user)
 projeto de gerenciamento
SREs, operadores e usuários do Cloud Hub

Acessar dados no nível do aplicativo e do projeto no Cloud Hub.

 Operador do Cloud Hub (roles/cloudhub.operator) pasta habilitada para apps

Configurar o escopo de observabilidade

O escopo de observabilidade determina onde o console Cloud de Confiance pesquisa dados de telemetria para mostrar. Cada projeto Cloud de Confiance tem um único escopo de observabilidade, que identifica os escopos de registros e rastreamentos padrão. Para dados de métricas, o escopo de métricas do projeto determina onde o consoleCloud de Confiance pesquisa dados.

Para ver ou analisar todos os dados de telemetria do aplicativo, configure o escopo de observabilidade e o escopo de métricas do projeto de gerenciamento. Ao configurar esses escopos, o Cloud Hub e outros serviços podem encontrar e mostrar os dados de registro, métricas e rastreamento do seu aplicativo, mesmo quando esses dados são armazenados em vários projetos.

Esta seção resume a configuração necessária. Para instruções detalhadas, consulte Configurar o monitoramento de aplicativos. A tabela a seguir mostra os escopos de configuração obrigatórios.

Componente de escopo Cenário de configuração Principais ações e considerações
Escopo do registro Você usa um coletor agregado para encaminhar todos os registros da organização para um bucket de registros central.
  1. Crie uma visualização de registros que inclua apenas os registros de aplicativos armazenados no bucket.
  2. Configure o escopo de registro padrão no projeto de gerenciamento para incluir a visualização de registros.
Você não tem um coletor agregado no nível da organização, e a pasta ativada para apps não tem pastas aninhadas.
  1. Configure um coletor agregado para rotear registros de aplicativos para o bucket de registros _Default do projeto de gerenciamento.
  2. Verifique se o escopo de registro chamado _Default é o padrão.
Você não quer usar um gravador agregado. Configure o escopo de registro padrão no projeto de gerenciamento para listar os locais de armazenamento dos dados de registro do seu aplicativo.
Escopo de métricas Você configurou uma pasta habilitada para gerenciar apps que contém todos os projetos que armazenam os dados de métricas que você quer ver. O Google Cloud Observability tenta sincronizar a lista de projetos na pasta ativada para apps com a lista de projetos no escopo das métricas.

Enquanto o número de projetos na pasta ativada para apps não exceder a cota do escopo de métricas, o Google Cloud Observability poderá manter a lista de projetos no escopo das métricas atualizada quando você adicionar ou remover projetos na pasta ativada para apps.
Escopo do trace Você quer monitorar dados de rastreamento de aplicativos em vários projetos.
  1. Crie um escopo de rastreamento personalizado no projeto de gerenciamento que liste os projetos que armazenam os dados de rastreamento do seu aplicativo.
  2. Defina seu escopo de rastreamento personalizado como o padrão.

Desativar o gerenciamento de aplicativos

Se você não quiser mais que uma pasta Cloud de Confiance seja uma pasta compatível com apps, siga estas etapas para desativar o gerenciamento de aplicativos:

  1. Se uma garantia estiver protegendo o projeto de gerenciamento na pasta ativada para apps contra exclusão, remova a garantia. Para mais informações, consulte Como proteger projetos com garantias.

  2. Selecione a pasta Cloud de Confiance by S3NS em que você quer desativar o gerenciamento de aplicativos.

  3. No console Cloud de Confiance , abra a página Gerenciar recursos.

    Acessar "Gerenciar recursos"

  4. Na lista de projetos e pastas, localize a pasta habilitada para apps.

  5. Na linha da pasta, abra o menu Ações e clique em Configurações.

    As pastas com o ícone de pasta habilitada para apps estão configuradas para gerenciamento de aplicativos.

  6. Clique em Desativar para desativar o gerenciamento de aplicativos na pasta.

  7. Na caixa de diálogo de confirmação, insira Disable no campo Desativar.

  8. Se você quiser desativar o gerenciamento de aplicativos, clique em Desativar.

O sistema exclui o projeto de gerenciamento na pasta. Todo o modelo de aplicativo também é excluído, incluindo APIs e controles de acesso.

A seguir