UID2 Private Operator for GCP Integration Guide
UID2 Operator は、UID2 エコシステムの API サーバーです。詳細は、UID2 Operator を参照してください。
このガイドでは、Google Cloud Platform(GCP)の機密コンピューティングオプションである Confidential Space で Private Operator として UID2 Operator Service を設定する情報を提供します。Confidential Spaceは、Trusted Execution Environment(TEE)として知られるセキュアなクラウドベースのエンクレーブ環境で実行される、安全なクラウドベースのエンクレーブ環境です。
UID2 Private Operator for GCP は、次の地域ではサポートされていません: ヨーロッパ、中国 。
Operator Service は、Confidential Space の "workload" で実行されます。—コンテナ化された Dockert イメージは、Confidential Space イメージ上のセキュアなクラウドベースのエンクレーブで実行されます。
UID2 Operator Confidential Space 用の Docker コンテナが起動すると、UID2 Core Service が Operator Service と Operator Service が実行されているエンクレーブ環境の正当性を検証するための認証プロセスが完了します。
認証が成功すると、UID2 Core Service は、UID2 Operator をセキュアな Confidential Space コンテナ内でブートストラップするためのソルトやキーなどのシード情報を提供します。
Setup Overview
セットアップは、次の手順で行います:
-
Confidential Space and UID2 Operator のアカウントを作成し、設定し、構成とデプロイに必要なさまざまな値を取得または作成します: Prerequisites を参照してください。
-
Deployment environments に関する情報を確認します。
ペストプラクティスは、まずインテグレーション環境にデプロイし、次に本番環境にデプロイすることです。
-
利用可能なdeployment options に関する情報を確認し、それぞれの利点を比較して、使用するオプションを決定します。
Terraform テンプレートオプションを勧めます。
-
選択したデプロイメントオプションに従って、適用可能な手順に従います:
-
必要であれば、エグレスルールを有効にします。
- 詳細は Confidential Space Account Setup、Step 4 を参照してください。
すべての手順が完了すると、実装が稼働するようになります。
Prerequisites
Google Cloud Platform で Confidential Space を使用して UID2 Operator Service を設定する前に、次の前提条件を満たす必要があります:
Confidential Space Account Setup
UID2 Operator Service は、任意の GCP アカウントとプロジェクトで実行できます。ただし、認証をサポートするためには、Confidential Space 仮想マシン(VM)を実行するために使用できるサービスアカウントを作成する必要があります。
デプロイメントオプションを選択する前に、次の Google Cloud のセットアップ手順を完了してください:
-
UID2 Operator を実行する GCP プロジェクトを作成します。UID2 Operator Service が実行される GCP プロジェクトを作成することを勧めますが、既存のプロジェクトを使用することもできます。次のガイドラインに従ってください:
- プロジェクト名を選択します。たとえば、
UID2-Operator-Production
とします。この値は、後の手順で{PROJECT_ID}
値として使用します。 - 請求が有効になっている GCP プロジェクトを定義してください。
- プロジェクト名を選択します。たとえば、
-
Confidential Space VM を実行する GCP サービスアカウントの名前を選択します。たとえば、
uid2-operator
とします。後の手順で{SERVICE_ACCOUNT_NAME}
値として使用します。 -
gcloud CLI をインストールします。デプロイメントオプションの両方で必要です。Google が提供する手順に従ってください: Install the gcloud CLI。
-
エグレスルールを有効にします。VPC インフラストラクチャが既知のエンドポイントへのイグレスのみを許可する場合、オペレーターが認証に必要な証明書を取得できるようにエグレスルールを有効にする必要があります。これを有効にするには、Google のこのドキュメントに従ってください: VPC Service Controls。
UID2 Operator Account Setup
UID2 の連絡先に、あなたの組織を UID2 Operator として登録するよう依頼してください。誰に依頼すればよいかわからない場合は、Contact Info を参照してください。
新しいバージョンやその他の技術的な通知や要求について知らせておくべき人の社内メール配信リストを設定し、そのメールアドレスを提供しておくとよいでしょう。
登録手続きが完了すると、次の情報が送られてきます:
Item | Description |
---|---|
{OPERATOR_KEY} | UID2 Service であなたを Private Operator として識別する、あなた専用の Operator Key。設定時に OPERATOR_KEY の値として使用します。この値は、あなた固有の識別子であると同時にパスワードでもあります。Operator Keyは、オペレーターのバージョンに固有のものではありません。NOTE: 配備環境ごとに個別の Operator Keyを受け取ります。 |
Instructions | VM のセットアップ手順や当該情報へのリンクなど、追加情報の詳細。 |
UID2 アカウント登録が完了し、gcloud CLI をインストールしたら、次のステップに進みます:
- deployment environments に関する情報を確認します。
- 利用可能なdeployment options に関する情報を確認し、それぞれの利点を比較して、使用するオプションを決定します。
Operator Versions
最新の ZIP ファイルは、次の表の GCP ダウンロード列にリンクされています。
Release | Version | Date | Release Notes | AWS Version | GCP Download | Azure Download |
---|---|---|---|---|---|---|
Q1 2024 | 5.26.19 | February 13, 2024 | v5.26.19-56899dc0d7 | 5.26.19-56899dc0d7 | 5.26.19-56899dc0d7 GCP ZIP | 5.26.19-56899dc0d7 Azure ZIP |
Q2 2024 | 5.37.12 | June 12, 2024 | v5.37.12 | 5.37.12 | gcp-oidc-deployment-files-5.37.12.zip | azure-cc-deployment-files-5.37.12.zip |
Q3 2024 | 5.38.104 | September 12, 2024 | v5.38.104 | 5.38.104 | gcp-oidc-deployment-files-5.38.104.zip | azure-cc-deployment-files-5.38.104.zip |
Q3 2024 Out-of-band | 5.41.0 | October 29, 2024 | v5.41.0 | 5.41.0 | gcp-oidc-deployment-files-5.41.0.zip | azure-cc-deployment-files-5.41.0.zip |
Q1 2025 | 5.49.7 | March 19, 2025 | v5.49.7 | 5.49.7 | gcp-oidc-deployment-files-5.49.7.zip | azure-cc-deployment-files-5.49.7.zip |
Deployment Environments
以下の環境が利用可能で、deployment options の両方が両方の環境をサポートしています。
ベストプラクティスは、本番環境にデプロイする前に、インテグレーション環境で実装をテストして検証することをです。
各環境ごとに個別の {OPERATOR_KEY}
値を受け取ります。正しいものを使用してください。{OPERATOR_IMAGE}
値は、両方の環境で同じです。
Environment | Details |
---|---|
Integration (integ ) | テスト専用。デバッグモードはインテ グレーション環境で使用できます。 |
Production (prod ) | 本番トラフィックの管理用。この環境では、Terraform テンプレート経由で、ロードバランシングを行い、HTTPS を有効にしてデプロイすることを勧めます。Deployment Options を参照してください。 |
Deployment Options
デプロイメントオプションは次の2つがあります:
Option | Details |
---|---|
Terraform template | このオプションは:
|
gcloud CLI | このオプションは:
|
どちらのデプロイメントオプションも、両方のデプロイメント環境をサポートしています。
次のステップを決定するには、使用するデプロイオプションを選択してください。次に、該当する手順に従ってください:
Deploy—Terraform Template
デプロイとアップグレードを容易にするために、Terraform テンプレートを使用して、ロードバランシングと自動スケーリング機能を備えた UID2 Private Operator 実装をデプロイできます。このシナリオでは、すべての VM インスタンスが Confidential Space VM で実行され、複数の可用性ゾーン(AZ)にデプロイされます。
Terraform テンプレートは次の操作を行います:
- 必要な Google Cloud Platform API を有効にします。
- Confidential Space VM を実行するためのサービスアカウントを設定します。
operator_key
値を保持するためのシークレットを作成します。- 次のコンポーネントを作成します:
- ネットワーク: VPC とサブネットワーク。
- インスタンス: インスタンステンプレート、インスタンスグループ(自動スケーリングを有効にする)。
- イングレス: ロードバランサー(ヘルスチェック付き)、フォワーディングルール、フ ァイアウォールルール。
- エグレス: Cloud Network Address Translation (NAT)。
- HTTPS が有効になっている場合、Terraform に HTTPS 証明書を提供します。
Terraform テンプレートは、Confidential Space Account Setup Step 3 でインストールした gcloud CLI を使用します。
新しい UID2 Operator を GCP Confidential Space Enclave にデプロイするための Terraform テンプレートを使用する手順は次のとおりです:
- Install Terraform
- Set Up the Terraform Environment
- Download the Template Files
- Provide Input Values
- Run Terraform
- Test Terraform Using the Health Check Endpoint
詳細は次のとおりです:
Install Terraform
Terraform がインストールされていない場合は、terraform.io を参照してインストールしてください。
Set Up the Terraform Environment
-
新しいプロジェクトを作成するか、既存のプロジェクトを選択します。プロジェクト ID の
{PROJECT_ID}
プレースホルダを自分のプロジェクト ID に置き換えてください(Confidential Space Account Setup を参照):gcloud config set project {PROJECT_ID}
-
Terraform の環境を設定します:
gcloud auth application-default login
Download the Template Files
Operator Versions の GCP ダウンロード列にある ZIP ファイルをダウンロードします。最新バージョンを選択してください。ファイルを便利な場所に解凍します。次の表に示すファイルが生成されます。
File | Details |
---|---|
main.tf | Terraform のテンプレートファイルです。 |
variables.tf | 名前、タイプ、デフォルト値を含む、テンプレート入力変数の定義です。 |
outputs.tf | 出力定義です。 |
terraform.tfvars | テンプレート入力変数の値です。 |
Provide Input Values
入力パラメータの値を提供するために、ダウンロードした terraform.tfvars
ファイルに入力します。必要なものとオプションの両方があります。
-
次の表に示す必要な入力パラメータの値を提供します:
Name Type Default Required Description project_id
string
uid2-test
yes UID2 Operator を実行する GCP プロジェクトの ID。たとえば、 UID2-Operator-Production
。service_account_name
string
tf-test
yes GCP Confidential Space の UID2 Operator インスタンスに使用するサービスアカウントの名前。 uid_operator_image
string
us-docker.pkg.dev/uid2-prod-project/iabtechlab/uid2-operator:{version_number}
yes コンフィギュレーションで使用する UID2 Private Operator for GCP の Docker イメージ URL。バージョン番号は、デプロイされるバージョンによって変わります。 uid_operator_key
string
n/a yes UID2 Operator Keyは、UID2 Operator Account Setup で受け取ったものです。 uid_operator_key_secret_name
string
secret-operator-key
yes Secret Manager で作成するキーの名前。 uid_deployment_env
string
integ
yes 有効な値: integ
はインテグレーション環境、prod
は本番環境。
マシンタイプはデプロイ環境によって決まります。integ
はn2d-standard-2
を使用し、prod
はn2d-standard-16
を使用します。debug_mode
bool
true
yes より多くの診断情報を有効にするには true
に設定します。本番環境ではfalse
に設定しなければなりません。 -
(オプション、強く勧めます) ロードバランサーを HTTPS に設定します。次の表に示すパラメータお値を設定します:
Name Type Default Required Description ssl
bool
false
no ロードバランサが HTTPS を使うように設定するには、このフラグを true
に設定します。
HTTPSを使う場合はcertificate
とprivate_key
パラメータにも値を指定する必要があります。certificate
string
n/a no HTTPS 証明書の内容。証明書は PEM 形式でなければなりません。
たとえば:file('path/to/certificate.pem')
.ssl
がtrue
に設定されている場合は必須です。
詳細は Terraform ドキュメントの google_compute_ssl_certificate を参照してください。private_key
string
n/a no HTTPS 証明書の秘密鍵の内容。秘密鍵は PEM 形式でなければならなりません
たとえば:file('path/to/private_key.pem')
.ssl
がtrue
に設定されている場合は必須です。
詳細は Terraform ドキュメントの google_compute_ssl_certificate を参照してください。 -
(オプション) 次の表に示す追加の入力パラメータの名前と値を提供します。これらのパラメータは常にオプションですが、デフォルト値を変更して、より適切な要件に合わせることができます。
Name Type Default Required Description region
string
us-east1
no デプロイ先のリージョン。有効なリージョンの一覧については、Google Cloud ドキュメントの Available regions and zones を参照してください。
NOTE: GCP Confidential Space 用の UID2 Private Operator の実装は、次の地域ではサポートされていません: ヨーロッパ、中国。network_name
string
uid-operator
no VPC リソース名(ルール/インスタンスタグにも使用されます)。 min_replicas
number
1
no デプロイする最小レプリカ数を示します。 max_replicas
number
5
no デプロイする最大レプリカ数を示します。 uid_operator_key_secret_name
string
"secret-operator-key"
no オペレーターキーのシークレットの名前を指定します。Terraform テンプレートは、GCP Secret Manager に uid_operator_key
値を保持するためのシークレットを作成します。名前を定義できます。例:uid2-operator-operator-key-secret-integ
。debug_mode
bool
false
no UID2 チームと協力して問題をデバッグする場合を除き、 true
に設定しないでください。それ以外の場合、このフラグをtrue
に設定すると、認証が失敗します。
Run Terraform
以下を実行します:
terraform init
terraform apply
terraform apply
を実行すると、同じフォルダに次のファイルが生成されます: terraform.tfstate
。このファイルは、マネージドインフラストラクチャと構成に関する状態情報を保存し、将来のメンテナンスに使用されます。
Terraform の state
ファイルに関する推奨に従ってください: デプロイされたインフラストラクチャを維持するために必要であり、機密情報を含む可能性があります。詳細は、Terraform ドキュメントの state を参照してください。
Test Terraform Using the Health Check Endpoint
実装のヘルスをテストするために、ヘルスチェックエンドポイントを使用します。ヘルスチェックの期待される結果は、HTTP 200 で、レスポンスボディが OK
です。
手順については、Health Check—Terraform Template を参照してください。
Delete All Created Resources
クリーンアップを行いたい場合は、Terraform によって作成されたリソースを削除できます。たとえば、integ
をテストしたい場合、後でスタック全体を削除することができます。
すべてのリソースを削除するには、次のコマンドを実行します:
terraform destroy
Outputs
Terraform テンプレートからの出力値は次の表の通りです。
Name | Description |
---|---|
load_balancer_ip | ロードバランサーのパブリックIPアドレス。 この値は、perform the health check や DNS の設定に使用できます。 |
Deploy—gcloud CLI
gcloud CLI を使用して GCP Confidential Space Enclave に新しい UID2 Operator をデプロイするには、次の手順に従います。
本番環境へのデプロイメントにはこのオプションを使用しないことを勧めます。本番環境へのデプロイメントには、Terraform テンプレートを使用し、ロードバランシングを行い、HTTPS を有効にすることを勧めます。
- Set Up Service Account Rules and Permissions
- Create Secret for the Operator Key in Secret Manager
- Update the Script with Valid Values
- Run the Script
- Test gcloud Using the Health Check Endpoint
Set Up Service Account Rules and Permissions
gcloud CLI を使用して、UID2 Operator Service を実行するためのサービスアカウントを設定するには、次の手順に従います。プレースフォルダー値を自分の有効な値に置き換えてください。
-
作成したプロジェクトに切り替えます(Confidential Space Account Setup で作成したプロジェクト):
$ gcloud config set project {PROJECT_ID}
-
次の API を有効にします:
Name Description compute.googleapis.com Compute Engine API confidentialcomputing.googleapis.com Confidential Computing API logging.googleapis.com Cloud Logging API secretmanager.googleapis.com Service Management API API を有効にするには、次のコマンドを実行します:
$ gcloud services enable compute.googleapis.com \
confidentialcomputing.googleapis.com \
logging.googleapis.com \
secretmanager.googleapis.com -
UID2 Operator Service を実行するサービスアカウントを作成します:
$ gcloud iam service-accounts create {SERVICE_ACCOUNT_NAME}
-
サービスアカウントに必要な権限を付与します。
権限は次の表に示されています。
Permission Description confidentialcomputing.workloadUser
認証トークンを生成し、VM でワークロードを実行する権限を提供します。 logging.logWriter
gcloud ロギングでログエントリを書き込む権限を提供します。 secretmanager.secretAccessor
GCP Secret Manager で管理されているオペレーターキーにアクセスする権限を提供します。 confidentialcomputing.workloadUser
権限を付与します:$ gcloud projects add-iam-policy-binding {PROJECT_ID} \
--member=serviceAccount:{SERVICE_ACCOUNT_NAME}@{PROJECT_ID}.iam.gserviceaccount.com \
--role=roles/confidentialcomputing.workloadUserlogging.logWriter
権限を付与します:$ gcloud projects add-iam-policy-binding {PROJECT_ID} \
--member=serviceAccount:{SERVICE_ACCOUNT_NAME}@{PROJECT_ID}.iam.gserviceaccount.com \
--role=roles/logging.logWritersecretmanager.secretAccessor
権限を付与します:$ gcloud projects add-iam-policy-binding {PROJECT_ID} \
--member=serviceAccount:{SERVICE_ACCOUNT_NAME}@{PROJECT_ID}.iam.gserviceaccount.com \
--role=roles/secretmanager.secretAccessor -
VPC ルールを追加して、UID2 Operator のデフォルト公開ポートであるポート 8080 へのパブリックアクセスを許可します:
$ gcloud compute firewall-rules create operator-tcp \
--direction=INGRESS --priority=1000 --network=default --action=ALLOW \
--rules=tcp:8080 \
--source-ranges=0.0.0.0/0 \
--target-service-accounts={SERVICE_ACCOUNT_NAME}@{PROJECT_ID}.iam.gserviceaccount.com
source-ranges
は、クライアントが Private Operator を呼び出すために使用する IP アドレスの範囲を指定します。CIDR 表記であり、複数の範囲を提供するためにカンマ区切りの値を使用できます。例: `--source-ranges="。範囲が正確であり、自分のものである IP アドレスのみが含まれていることを確認してください。
Create Secret for the Operator Key in Secret Manager
UID2 Operator には、Operator Key が必要です。UID2 アカウントの設定(UID2 Operator Account Setup を参照)の一環として、各環境のオペレーターキーを受け取ります。
次のステップは、{OPERATOR_KEY}
値を GCP Secret Manager に保存し、それに対する完全なシークレット名を取得し、それをデプロイメントスクリプト内の {OPERATOR_KEY_SECRET_FULL_NAME}
プレースホルダで置き換えることです (Update the Script with Valid Values を参照)。
次の手順に従います:
-
次のスクリプトを実行して、新しいシークレットを作成します。最初に、自分の値でカスタマイズしてください:
OPERATOR_KEY="{OPERATOR_KEY}"
echo -n $OPERATOR_KEY | gcloud secrets create {OPERATOR_KEY_SECRET_NAME} \
--replication-policy="automatic" \
--data-file=--
自分の値を使用してスクリプトを準備します:
{OPERATOR_KEY}
には、環境のオペレーターキー値を使用します。{OPERATOR_KEY_SECRET_NAME}
には、この環境の API シークレットの名前を指定します。例:uid2-operator-operator-key-secret-integ
。
-
スクリプトを実行します。
スクリプトは GCP Secret Manager にシークレットを作成します。シークレット(表示名)は
{OPERATOR_KEY_SECRET_NAME}
で、シークレット値は{OPERATOR_KEY}
です。
-
-
次のコマンドを実行して、完全なシークレット名を取得します。最初に、自分の値でカスタマイズしてください:
$ gcloud secrets versions describe latest --secret {OPERATOR_KEY_SECRET_NAME} --format 'value(name)'
この例では、完全なシークレット名は次のようになります: projects/111111111111/secrets/uid2-operator-operator-key-secret-integ/versions/1
。これは、次のセクションの {OPERATOR_KEY_SECRET_FULL_NAME}
プレースホルダを置き換えるために使用する値です。
Update the Script with Valid Values
サンプルスクリプトを更新して、プレースホルダ値を自分の有効な値に置き換えます。
このセクションには次の内容が含まれます:
Placeholder Values and Definitions
プレースホルダ値は、次の表に定義されています。
Placeholder | Actual Value |
---|---|
{INSTANCE_NAME} | 有効な VM の名前。 |
{ZONE} | VM インスタンスがデプロイされる Google Cloud ゾーン。 |
{IMAGE_FAMILY} | confidential-space はインテグレーションと本番で使用し、confidential-space-debug はインテグレーションでのみデバッグ用に使用します。confidential-space-debug は本番では動作しないことに注意してください。 |
{SERVICE_ACCOUNT} | アカウント作成時に作成したサービスアカウントのメールアドレス: {SERVICE_ACCOUNT_NAME}@{PROJECT_ID}.iam.gserviceaccount.com .詳細は Set Up Service Account Rules and Permissions (Step 4) を参照してください。 |
{OPERATOR_IMAGE} | コンフィギュレーションで使用するUID2 Private Operator for GCPのDockerイメージURL。 これは、GCPダウンロードファイルの terraform.tfvars ファイルにあります。(Operator Versions を参照) |
{OPERATOR_KEY_SECRET_FULL_NAME} | Operator Key secret に指定したフルネーム (Create Secret for the Operator Key in Secret Manager を参照)。パスを含め projects/<project_id>/secrets/<secret_id>/versions/<version> の形式でしています。たとえば: projects/111111111111/secrets/uid2-operator-operator-key-secret-integ/versions/1 |
Sample Deployment Script—Integ
インテグレーション環境のデプロイメントスクリプトの例は、次のプレースホルダ値を使用しています。
$ gcloud compute instances create {INSTANCE_NAME} \
--zone {ZONE} \
--machine-type n2d-standard-2 \
--confidential-compute \
--shielded-secure-boot \
--maintenance-policy Terminate \
--scopes cloud-platform \
--image-project confidential-space-images \
--image-family {IMAGE_FAMILY} \
--service-account {SERVICE_ACCOUNT} \
--metadata ^~^tee-image-reference={OPERATOR_IMAGE}~tee-container-log-redirect=true~tee-restart-policy=Never~tee-env-DEPLOYMENT_ENVIRONMENT=integ~tee-env-API_TOKEN_SECRET_NAME={OPERATOR_KEY_SECRET_FULL_NAME}~tee-env-CORE_BASE_URL=https://core-integ.uidapi.com~tee-env-OPTOUT_BASE_URL=https://optout-integ.uidapi.com
Sample Deployment Script—Prod
本番環境のデプロイメントスクリプトの例は、次のプレースホルダ値を使用しています。
本番環境では n2d-standard-16
という machine-type
値が必要です。
$ gcloud compute instances create {INSTANCE_NAME} \
--zone {ZONE} \
--machine-type n2d-standard-16 \
--confidential-compute \
--shielded-secure-boot \
--maintenance-policy Terminate \
--scopes cloud-platform \
--image-project confidential-space-images \
--image-family confidential-space \
--service-account {SERVICE_ACCOUNT} \
--metadata ^~^tee-image-reference={OPERATOR_IMAGE}~tee-container-log-redirect=true~tee-restart-policy=Never~tee-env-DEPLOYMENT_ENVIRONMENT=prod~tee-env-API_TOKEN_SECRET_NAME={OPERATOR_KEY_SECRET_FULL_NAME}~tee-env-CORE_BASE_URL=https://core-prod.uidapi.com~tee-env-OPTOUT_BASE_URL=https://optout-prod.uidapi.com
Run the Script
スクリプトの準備ができたら、追加の有効な値を含むスクリプトを実行します。
Test gcloud Using the Health Check Endpoint
ヘルスチェックエンドポイントを呼び出して、実装の健全性をテストします。期待される結果は、HTTP 200 で、レスポンスボディが OK
です。
手順については、Health Check—gcloud CLI を参照してください。
Running the Health Check
ヘルスチェックエンドポイントを呼び出して、実装の健全性をテストします。
ヘルスチェックの実行は、エンドポイントを除いて、インテグレーションと本番環境で同じです。
選択したデプロイメントオプションに応じて、適用される手順に従ってください:
Health Check—Terraform Template
次の例は、Terraform テンプレートオプションのヘルスチェックを示しています:
-
ロードバランサーのパブリック IP アドレスを取得します:
terraform output load_balancer_ip
-
オペレーターステータスをテストするには、ブラウザでヘルスチェックエンドポイントに移動します:
http://{IP}/ops/healthcheck
。HTTP 200 とレスポンスボディが
OK
の場合、健全な状態です。
Health Check—gcloud CLI
次の例は、gcloud
コマンドラインオプションのヘルスチェックを示しています:
-
デプロイされたインスタンスのパブリック IP アドレスを取得します:
$ gcloud compute instances describe {INSTANCE_NAME} \
--zone={ZONE} \
--format='get(networkInterfaces[0].accessConfigs[0].natIP)' -
オペレーターステータスをテストするには、ブラウザでヘルスチェックエンドポイントに移動します:
http://{IP}:8080/ops/healthcheck
。HTTP 200 とレスポンスボディが
OK
の場合、健全な状態です。
Private Operator が Core Service による検証に失敗した場合、次のいずれかのアクションが発生します:
- HTTP 401 レスポンス。Private Operator はすぐに終了します。
- 原因: Operator Key が取り消されたか、間違っています。
- その他の 200 以外のレスポンスコード。Private Operator は 12 時間機能し続けます。この期間内に問題が解決されない場合、自動的に終了します。
Private Operator がエラーが発生した場合、アラートを処理し、オペレーターを再起動するためのインフラストラクチャを用意する必要があります。
Upgrading
UID2 Google Cloud Platform Confidential Space の新しいバージョンがリリースされると、Private Operator は新しいイメージバージョンを含む通知メールを受け取ります。アップグレードのためのウィンドウがあり、古いバージョンは非アクティブ化され、サポートされなくなります。
新しいバージョンにアップグレードする場合、アップグレードプロセスは選択したデプロイメントオプションに依存します。該当する手順に従ってください:
Upgrading—Terraform Template
Terrafom テンプ レートを使用してデプロイした場合、アップグレードするには、新しい {OPERATOR_IMAGE}
を使用してデプロイメントを更新するだけです。
Upgrading—gcloud CLI
gcloud CLI を使用してデプロイした場合、アップグレードするには、新しい {OPERATOR_IMAGE}
を使用して新しいインスタンスを立ち上げ、古いインスタンスをシャットダウンする必要があります。
手動でロードバランサーを設定した場合、ロードバランサーのマッピングも更新する必要があります。
Scraping Metrics
GCP の Private Operator は、/metrics
エンドポイントで Prometheus-formatted metrics ポート 9080 で公開します。Prometheus 互換のスクレイパーを使用して、これらのメトリクスを収集して集計することができます。