Điều kiện tiên quyết
- Một GCP project với quyền quản trị IAM.
- Quyền tạo service account và gán IAM role trong project.
- Google Cloud Console có thể truy cập trong trình duyệt của bạn.
Service account cấp viewer là đủ để phân tích chi phí, kiểm tra bảo mật, và kiểm tra tài nguyên. Chỉ mở rộng role khi bạn cần khả năng ghi.
Thiết lập
Tạo service account
Trong Google Cloud Console, chọn project của bạn và điều hướng đến IAM & Admin → Service accounts. Nhấp Create Service Account và nhập:
- Name:
cloudthinker-readonly - Description: Read-only access for CloudThinker monitoring
Gán role
Cấp các viewer role cần thiết:
Viewer(quyền đọc cơ bản)Monitoring Viewer(dành cho dữ liệu giám sát)Security Reviewer(dành cho phân tích bảo mật)
Tạo JSON key
Nhấp vào service account vừa tạo từ danh sách, vào tab Keys → Add key → Create new key, chọn định dạng JSON và nhấp Create. Tải xuống file key và lưu trữ an toàn.
Thiết lập đa project
Đối với tổ chức có nhiều GCP project:Cấp quyền ở cấp tổ chức
Cấp role cho service account ở cấp tổ chức hoặc folder để nó có thể truy cập tất cả project đích.
Chi tiết kết nối
| Trường | Mô tả | Ví dụ |
|---|---|---|
| Service Account Key (JSON) | Toàn bộ JSON của GCP service-account key, tải lên hoặc dán vào hộp thoại kết nối | {"type": "service_account", "project_id": "your-project-id", ...} |
Quyền cần thiết
Tối thiểu (phân tích chỉ đọc)
Khuyến nghị (phân tích đầy đủ)
Khả năng của agent
Sau khi kết nối, các agent có thể phân tích và tối ưu tài nguyên GCP của bạn.Xác minh kết nối
Ví dụ câu lệnh
Xử lý sự cố
Lỗi Permission denied
Lỗi Permission denied
Xác minh service account có các role cần thiết. Kiểm tra IAM binding ở cấp project, đảm bảo API được bật (Compute, Monitoring, v.v.) và xác nhận JSON key hợp lệ và chưa hết hạn.
File key không hợp lệ
File key không hợp lệ
Xác minh file JSON đầy đủ và được định dạng đúng. Kiểm tra rằng private key không bị cắt bớt và không có khoảng trắng hoặc ký tự thừa. Thử tạo lại key từ GCP Console.
Thiếu dữ liệu thanh toán
Thiếu dữ liệu thanh toán
Xác minh role Billing Account Viewer đã được gán. Bật Cloud Billing API và kiểm tra rằng billing export tới BigQuery đã được cấu hình.
Sự cố truy cập GKE
Sự cố truy cập GKE
Đảm bảo role Kubernetes Engine Viewer đã được gán. Xác minh cluster trong project có thể truy cập và kiểm tra xem cluster có sử dụng Workload Identity không.
Bảo mật
- Quyền tối thiểu — chỉ cấp các quyền mà agent cần cho trường hợp sử dụng của bạn; bắt đầu với quyền chỉ đọc và mở rộng sau.
- Chỉ đọc theo mặc định — sử dụng thông tin xác thực chỉ đọc trừ khi bạn muốn agent thực hiện thay đổi qua kết nối này.
- Xoay vòng thông tin xác thực — xoay vòng khóa và token theo lịch trình thông thường của bạn; CloudThinker sẽ lấy giá trị mới khi bạn cập nhật kết nối.
- Thu hồi khi bàn giao — xóa thông tin xác thực tại nhà cung cấp khi bạn xóa một kết nối hoặc khi đồng nghiệp rời nhóm.
- Phạm vi project — giới hạn IAM role của service account chỉ ở các GCP project mà CloudThinker cần truy cập.
- Lưu trữ key — lưu service-account JSON trong secret manager và xóa bản sao cục bộ sau khi tải lên CloudThinker.
Liên quan
Kết nối AWS
Kết nối Amazon Web Services
Agent Kai
Agent tập trung vào Kubernetes cho GKE