メインコンテンツまでスキップ

UID2 Private Operator for GCP Integration Guide

UID2 Operator は、UID2 エコシステムの API サーバーです。詳細については、UID2 Operator を参照してください。

このガイドでは、Google Cloud Platform(GCP)の機密コンピューティングオプションである Confidential Space で Private Operator として UID2 Operator Service を設定する情報を提供します。Confidential Spaceは、Trusted Execution Environment(TEE)として知られるセキュアなクラウドベースのエンクレーブ環境で実行される、安全なクラウドベースのエンクレーブ環境です。

注記

UID2 Private Operator for GCP は、次の地域ではサポートされていません: ヨーロッパ、中国。

Operator Service は、Confidential Space の "workload" で実行されます。—コンテナ化された Dockert イメージは、Confidential Space イメージ上のセキュアなクラウドベースのエンクレーブで実行されます。

UID2 Operator Confidential Space 用の Docker コンテナが起動すると、UID2 Core Service が Operator Service と Operator Service が実行されているエンクレーブ環境の正当性を検証するための認証プロセスが完了します。

認証が成功すると、UID2 Core Service は、UID2 Operator をセキュアな Confidential Space コンテナ内でブートストラップするためのソルトやキーなどのシード情報を提供します。

Setup Overview

セットアップは、次の手順で行います:

  1. Confidential Space and UID2 Operator のアカウントを作成し、設定し、構成とデプロイに必要なさまざまな値を取得または作成します: Prerequisites を参照してください。

  2. Deployment environments に関する情報を確認します。

    ペストプラクティスは、まずインテグレーション環境にデプロイし、次に本番環境にデプロイすることです。

  3. 利用可能なdeployment options に関する情報を確認し、それぞれの利点を比較して、使用するオプションを決定します。

    Terraform テンプレートオプションを勧めます。

  4. 選択したデプロイメントオプションに従って、適用可能な手順に従います:

  5. 必要であれば、エグレスルールを有効にします。

すべての手順が完了すると、実装が稼働するようになります。

Prerequisites

Google Cloud Platform で Confidential Space を使用して UID2 Operator Service を設定する前に、次の前提条件を満たす必要があります:

Confidential Space Account Setup

UID2 Operator Service は、任意の GCP アカウントとプロジェクトで実行できます。ただし、認証をサポートするためには、Confidential Space 仮想マシン(VM)を実行するために使用できるサービスアカウントを作成する必要があります。

デプロイメントオプションを選択する前に、次の Google Cloud のセットアップ手順を完了してください:

  1. UID2 Operator を実行する GCP プロジェクトを作成します。UID2 Operator Service が実行される GCP プロジェクトを作成することを勧めますが、既存のプロジェクトを使用することもできます。次のガイドラインに従ってください:

    • プロジェクト名を選択します。たとえば、UID2-Operator-Production とします。この値は、後の手順で {PROJECT_ID} 値として使用します。
    • 請求が有効になっている GCP プロジェクトを定義してください。

  2. Confidential Space VM を実行する GCP サービスアカウントの名前を選択します。たとえば、uid2-operator とします。後の手順で {SERVICE_ACCOUNT_NAME} 値として使用します。

  3. gcloud CLI をインストールします。デプロイメントオプションの両方で必要です。Google が提供する手順に従ってください: Install the gcloud CLI

  4. エグレスルールを有効にします。VPC インフラストラクチャが既知のエンドポイントへのイグレスのみを許可する場合、オペレーターが認証に必要な証明書を取得できるようにエグレスルールを有効にする必要があります。これを有効にするには、Google のこのドキュメントに従ってください: VPC Service Controls

UID2 Operator Account Setup

UID2 の連絡先に、あなたの組織を UID2 Operator として登録するよう依頼してください。誰に依頼すればよいかわからない場合は、Contact Info を参照してください。

ヒント

新しいバージョンやその他の技術的な通知や要求について知らせておくべき人の社内メール配信リストを設定し、そのメールアドレスを提供しておくとよいでしょう。

登録手続きが完了すると、次の情報が送られてきます:

ItemDescription
{OPERATOR_KEY}UID2 Service であなたを Private Operator として識別する、あなた専用の Operator Key。設定時に OPERATOR_KEY の値として使用します。この値は、あなた固有の識別子であると同時にパスワードでもあります。Operator Keyは、オペレーターのバージョンに固有のものではありません。
NOTE: 配備環境ごとに個別の Operator Keyを受け取ります。
InstructionsVM のセットアップ手順や当該情報へのリンクなど、追加情報の詳細。

UID2 アカウント登録が完了し、gcloud CLI をインストールしたら、次のステップに進みます:

  • deployment environments に関する情報を確認します。
  • 利用可能なdeployment options に関する情報を確認し、それぞれの利点を比較して、使用するオプションを決定します。

Operator Versions

最新の ZIP ファイルは、次の表の GCP ダウンロード列にリンクされています。

ReleaseVersionDateRelease NotesAWS VersionGCP DownloadAzure Download
Q1 20245.26.19February 13, 2024v5.26.19-56899dc0d75.26.19-56899dc0d75.26.19-56899dc0d7 GCP ZIP5.26.19-56899dc0d7 Azure ZIP
Q2 20245.37.12June 12, 2024v5.37.125.37.12gcp-oidc-deployment-files-5.37.12.zipazure-cc-deployment-files-5.37.12.zip
Q3 20245.38.104September 12, 2024v5.38.1045.38.104gcp-oidc-deployment-files-5.38.104.zipazure-cc-deployment-files-5.38.104.zip
Q3 2024 Out-of-band5.41.0October 29, 2024v5.41.05.41.0gcp-oidc-deployment-files-5.41.0.zipazure-cc-deployment-files-5.41.0.zip

Deployment Environments

以下の環境が利用可能で、deployment options の両方が両方の環境をサポートしています。

ベストプラクティスは、本番環境にデプロイする前に、統合環境で実装をテストして検証することをです。

注記

各環境ごとに個別の {OPERATOR_KEY} 値を受け取ります。正しいものを使用してください。{OPERATOR_IMAGE} 値は、両方の環境で同じです。

EnvironmentDetails
Integration (integ)テスト専用。デバッグモードはインテグレーション環境で使用できます。
Production (prod)本番トラフィックの管理用。この環境では、Terraform テンプレート経由で、ロードバランシングを行い、HTTPS を有効にしてデプロイすることを勧めます。Deployment Options を参照してください。

Deployment Options

デプロイメントオプションは次の2つがあります:

OptionDetails
Terraform templateこのオプションは:
  • 手動でサービスアカウントを設定する必要はありません。設定はとても簡単です。
  • ロードバランサーとスケーリンググループでスタック全体を立ち上げます。
  • gcloud オプションよりも保守・運用が簡単です。
  • アップグレードはとても簡単です。
  • 推奨するデプロイオプションです。
gcloud CLIこのオプションは:
  • パブリック IP アドレスを持つ VM インスタンスを1つ起動します。
  • 素早く実験・評価を行うことができます。
  • 複数のインスタンスを使用する場合は、コマンドを複数回実行して各インスタンスを手動で立ち上げる必要があります。
  • ロードバランサーを手動で設定する必要があります。
  • 手作業が増えるため、アップグレードはより複雑になります。

どちらのデプロイメントオプションも、両方のデプロイメント環境をサポートしています。

次のステップを決定するには、使用するデプロイオプションを選択してください。次に、該当する手順に従ってください:

Deploy—Terraform Template

デプロイとアップグレードを容易にするために、Terraform テンプレートを使用して、ロードバランシングと自動スケーリング機能を備えた UID2 Private Operator 実装をデプロイできます。このシナリオでは、すべての VM インスタンスが Confidential Space VM で実行され、複数の可用性ゾーン(AZ)にデプロイされます。

Terraform テンプレートは次の操作を行います:

  • 必要な Google Cloud Platform API を有効にします。
  • Confidential Space VM を実行するためのサービスアカウントを設定します。
  • operator_key 値を保持するためのシークレットを作成します。
  • 次のコンポーネントを作成します:
    • ネットワーク: VPC とサブネットワーク。
    • インスタンス: インスタンステンプレート、インスタンスグループ(自動スケーリングを有効にする)。
    • イングレス: ロードバランサー(ヘルスチェック付き)、フォワーディングルール、ファイアウォールルール。
    • エグレス: Cloud Network Address Translation (NAT)
  • HTTPS が有効になっている場合、Terraform に HTTPS 証明書を提供します。
注記

Terraform テンプレートは、Confidential Space Account Setup Step 3 でインストールした gcloud CLI を使用します。

新しい UID2 Operator を GCP Confidential Space Enclave にデプロイするための Terraform テンプレートを使用する手順は次のとおりです:

  1. Install Terraform
  2. Set Up the Terraform Environment
  3. Download the Template Files
  4. Provide Input Values
  5. Run Terraform
  6. Test Terraform Using the Health Check Endpoint

詳細は次のとおりです:

Install Terraform

Terraform がインストールされていない場合は、terraform.io を参照してインストールしてください。

Set Up the Terraform Environment

  1. 新しいプロジェクトを作成するか、既存のプロジェクトを選択します。プロジェクト ID の {PROJECT_ID} プレースホルダを自分のプロジェクト ID に置き換えてください(Confidential Space Account Setup を参照):

    gcloud config set project {PROJECT_ID}

  2. Terraform の環境を設定します:

    gcloud auth application-default login

Download the Template Files

Operator Versions の GCP ダウンロード列にある ZIP ファイルをダウンロードします。最新バージョンを選択してください。ファイルを便利な場所に解凍します。次の表に示すファイルが生成されます。

FileDetails
main.tfTerraform のテンプレートファイルです。
variables.tf名前、タイプ、デフォルト値を含む、テンプレート入力変数の定義です。
outputs.tf出力定義です。
terraform.tfvarsテンプレート入力変数の値です。

Provide Input Values

入力パラメータの値を提供するために、ダウンロードした terraform.tfvars ファイルに入力します。必要なものとオプションの両方があります。

  1. 次の表に示す必要な入力パラメータの値を提供します:

    NameTypeDefaultRequiredDescription
    project_idstringuid2-testyesUID2 Operator を実行する GCP プロジェクトの ID。例えば、UID2-Operator-Production
    service_account_namestringtf-testyesGCP Confidential Space の UID2 Operator インスタンスに使用するサービスアカウントの名前。
    uid_operator_imagestringus-docker.pkg.dev/uid2-prod-project/iabtechlab/uid2-operator:{version_number}yesコンフィギュレーションで使用する UID2 Private Operator for GCP の Docker イメージ URL。バージョン番号は、デプロイされるバージョンによって変わります。
    uid_operator_keystringn/ayesUID2 Operator Keyは、UID2 Operator Account Setup で受け取ったものです。
    uid_operator_key_secret_namestringsecret-operator-keyyesSecret Manager で作成するキーの名前。
    uid_deployment_envstringintegyes有効な値: integ はインテグレーション環境、prod は本番環境。
    マシンタイプはデプロイ環境によって決まります。integn2d-standard-2 を使用し、prodn2d-standard-16 を使用します。
    debug_modebooltrueyesより多くの診断情報を有効にするには true に設定します。本番環境では false に設定しなければなりません。

  2. (オプション、強く勧めます) ロードバランサーを HTTPS に設定します。次の表に示すパラメータお値を設定します:

    NameTypeDefaultRequiredDescription
    sslboolfalsenoロードバランサが HTTPS を使うように設定するには、このフラグを true に設定します。
    HTTPSを使う場合は certificateprivate_key パラメータにも値を指定する必要があります。
    certificatestringn/anoHTTPS 証明書の内容。証明書は PEM 形式でなければなりません。
    例えば: file('path/to/certificate.pem').
    ssltrue に設定されている場合は必須です。
    詳細は Terraform ドキュメントの google_compute_ssl_certificate を参照してください。
    private_keystringn/anoHTTPS 証明書の秘密鍵の内容。秘密鍵は PEM 形式でなければならなりません
    例えば: file('path/to/private_key.pem').
    ssltrue に設定されている場合は必須です。
    詳細は Terraform ドキュメントの google_compute_ssl_certificate を参照してください。

  3. (オプション) 次の表に示す追加の入力パラメータの名前と値を提供します。これらのパラメータは常にオプションですが、デフォルト値を変更して、より適切な要件に合わせることができます。

    NameTypeDefaultRequiredDescription
    regionstringus-east1noデプロイ先のリージョン。有効なリージョンの一覧については、Google Cloud ドキュメントの Available regions and zones を参照してください。
    NOTE: GCP Confidential Space 用の UID2 Private Operator の実装は、次の地域ではサポートされていません: ヨーロッパ、中国。
    network_namestringuid-operatornoVPC リソース名(ルール/インスタンスタグにも使用されます)。
    min_replicasnumber1noデプロイする最小レプリカ数を示します。
    max_replicasnumber5noデプロイする最大レプリカ数を示します。
    uid_operator_key_secret_namestring"secret-operator-key"noオペレーターキーのシークレットの名前を指定します。Terraform テンプレートは、GCP Secret Manager に uid_operator_key 値を保持するためのシークレットを作成します。名前を定義できます。例: uid2-operator-operator-key-secret-integ
    debug_modeboolfalsenoUID2 チームと協力して問題をデバッグする場合を除き、true に設定しないでください。それ以外の場合、このフラグを true に設定すると、認証が失敗します。

Run Terraform

以下を実行します:

terraform init
terraform apply

terraform apply を実行すると、同じフォルダに次のファイルが生成されます: terraform.tfstate。このファイルは、マネージドインフラストラクチャと構成に関する状態情報を保存し、将来のメンテナンスに使用されます。

注記

Terraform の state ファイルに関する推奨に従ってください: デプロイされたインフラストラクチャを維持するために必要であり、機密情報を含む可能性があります。詳細については、Terraform ドキュメントの state を参照してください。

Test Terraform Using the Health Check Endpoint

実装のヘルスをテストするために、ヘルスチェックエンドポイントを使用します。ヘルスチェックの期待される結果は、HTTP 200 で、レスポンスボディが OK です。

手順については、Health Check—Terraform Template を参照してください。

Delete All Created Resources

クリーンアップを行いたい場合は、Terraform によって作成されたリソースを削除できます。たとえば、integ をテストしたい場合、後でスタック全体を削除することができます。

すべてのリソースを削除するには、次のコマンドを実行します:

terraform destroy

Outputs

Terraform テンプレートからの出力値は次の表の通りです。

NameDescription
load_balancer_ipロードバランサーのパブリックIPアドレス。
この値は、perform the health check や DNS の設定に使用できます。

Deploy—gcloud CLI

gcloud CLI を使用して GCP Confidential Space Enclave に新しい UID2 Operator をデプロイするには、次の手順に従います。

注記

本番環境へのデプロイメントにはこのオプションを使用しないことを勧めます。本番環境へのデプロイメントには、Terraform テンプレートを使用し、ロードバランシングを行い、HTTPS を有効にすることを勧めます。

  1. Set Up Service Account Rules and Permissions
  2. Create Secret for the Operator Key in Secret Manager
  3. Update the Script with Valid Values
  4. Run the Script
  5. Test gcloud Using the Health Check Endpoint

Set Up Service Account Rules and Permissions

gcloud CLI を使用して、UID2 Operator Service を実行するためのサービスアカウントを設定するには、次の手順に従います。プレースフォルダー値を自分の有効な値に置き換えてください。

  1. 作成したプロジェクトに切り替えます(Confidential Space Account Setup で作成したプロジェクト):

    $ gcloud config set project {PROJECT_ID}

  2. 次の API を有効にします:

    NameDescription
    compute.googleapis.comCompute Engine API
    confidentialcomputing.googleapis.comConfidential Computing API
    logging.googleapis.comCloud Logging API
    secretmanager.googleapis.comService Management API

    API を有効にするには、次のコマンドを実行します:

    $ gcloud services enable compute.googleapis.com \
      confidentialcomputing.googleapis.com \
      logging.googleapis.com \
      secretmanager.googleapis.com

  3. UID2 Operator Service を実行するサービスアカウントを作成します:

    $ gcloud iam service-accounts create {SERVICE_ACCOUNT_NAME}

  4. サービスアカウントに必要な権限を付与します。

    権限は次の表に示されています。

    PermissionDescription
    confidentialcomputing.workloadUser認証トークンを生成し、VM でワークロードを実行する権限を提供します。
    logging.logWritergcloud ロギングでログエントリを書き込む権限を提供します。
    secretmanager.secretAccessorGCP Secret Manager で管理されているオペレーターキーにアクセスする権限を提供します。

    confidentialcomputing.workloadUser 権限を付与します:

    $ gcloud projects add-iam-policy-binding {PROJECT_ID} \
      --member=serviceAccount:{SERVICE_ACCOUNT_NAME}@{PROJECT_ID}.iam.gserviceaccount.com \
      --role=roles/confidentialcomputing.workloadUser

    logging.logWriter 権限を付与します:

    $ gcloud projects add-iam-policy-binding {PROJECT_ID} \
      --member=serviceAccount:{SERVICE_ACCOUNT_NAME}@{PROJECT_ID}.iam.gserviceaccount.com \
      --role=roles/logging.logWriter

    secretmanager.secretAccessor 権限を付与します:

    $ gcloud projects add-iam-policy-binding {PROJECT_ID} \
      --member=serviceAccount:{SERVICE_ACCOUNT_NAME}@{PROJECT_ID}.iam.gserviceaccount.com \
      --role=roles/secretmanager.secretAccessor

  5. VPC ルールを追加して、UID2 Operator のデフォルト公開ポートであるポート 8080 へのパブリックアクセスを許可します:

    $ gcloud compute firewall-rules create operator-tcp \
      --direction=INGRESS --priority=1000 --network=default --action=ALLOW \
      --rules=tcp:8080 \
      --source-ranges=0.0.0.0/0 \
      --target-service-accounts={SERVICE_ACCOUNT_NAME}@{PROJECT_ID}.iam.gserviceaccount.com
警告

source-ranges は、クライアントが Private Operator を呼び出すために使用する IP アドレスの範囲を指定します。CIDR 表記であり、複数の範囲を提供するためにカンマ区切りの値を使用できます。例: `--source-ranges="。範囲が正確であり、自分のものである IP アドレスのみが含まれていることを確認してください。

Create Secret for the Operator Key in Secret Manager

UID2 Operator には、Operator Key が必要です。UID2 アカウントの設定(UID2 Operator Account Setup を参照)の一環として、各環境のオペレーターキーを受け取ります。

次のステップは、{OPERATOR_KEY} 値を GCP Secret Manager に保存し、それに対する完全なシークレット名を取得し、それをデプロイメントスクリプト内の {OPERATOR_KEY_SECRET_FULL_NAME} プレースホルダで置き換えることです(Update the Script with Valid Values を参照してください)。

次の手順に従います:

  1. 次のスクリプトを実行して、新しいシークレットを作成します。最初に、自分の値でカスタマイズしてください:

    OPERATOR_KEY="{OPERATOR_KEY}"
    echo -n $OPERATOR_KEY | gcloud secrets create {OPERATOR_KEY_SECRET_NAME} \
         --replication-policy="automatic" \
       --data-file=-

    1. 自分の値を使用してスクリプトを準備します:

      • {OPERATOR_KEY} には、環境のオペレーターキー値を使用します。
      • {OPERATOR_KEY_SECRET_NAME} には、この環境の API シークレットの名前を指定します。例: uid2-operator-operator-key-secret-integ

    2. スクリプトを実行します。

      スクリプトは GCP Secret Manager にシークレットを作成します。シークレット(表示名)は {OPERATOR_KEY_SECRET_NAME} で、シークレット値は {OPERATOR_KEY} です。

  2. 次のコマンドを実行して、完全なシークレット名を取得します。最初に、自分の値でカスタマイズしてください:

    $ gcloud secrets versions describe latest --secret {OPERATOR_KEY_SECRET_NAME} --format 'value(name)'

この例では、完全なシークレット名は次のようになります: projects/111111111111/secrets/uid2-operator-operator-key-secret-integ/versions/1。これは、次のセクションの {OPERATOR_KEY_SECRET_FULL_NAME} プレースホルダを置き換えるために使用する値です。

Update the Script with Valid Values

サンプルスクリプトを更新して、プレースホルダ値を自分の有効な値に置き換えます。

このセクションには次の内容が含まれます:

Placeholder Values and Definitions

プレースホルダ値は、次の表に定義されています。

PlaceholderActual Value
{INSTANCE_NAME}有効な VM の名前。
{ZONE}VM インスタンスがデプロイされる Google Cloud ゾーン。
{IMAGE_FAMILY}confidential-space はインテグレーションと本番で使用し、confidential-space-debug はインテグレーションでのみデバッグ用に使用します。confidential-space-debug は本番では動作しないことに注意してください。
{SERVICE_ACCOUNT}アカウント作成時に作成したサービスアカウントのメールアドレス: {SERVICE_ACCOUNT_NAME}@{PROJECT_ID}.iam.gserviceaccount.com.
詳細は Set Up Service Account Rules and Permissions (Step 4) を参照してください。
{OPERATOR_IMAGE}コンフィギュレーションで使用するUID2 Private Operator for GCPのDockerイメージURL。
これは、GCPダウンロードファイルのterraform.tfvarsファイルにあります。(Operator Versions を参照してください)
{OPERATOR_KEY_SECRET_FULL_NAME}Operator Key secret に指定したフルネーム (Create Secret for the Operator Key in Secret Manager を参照してください)。パスを含め projects/<project_id>/secrets/<secret_id>/versions/<version> の形式でしています。例えば: projects/111111111111/secrets/uid2-operator-operator-key-secret-integ/versions/1
Sample Deployment Script—Integ

インテグレーション環境のデプロイメントスクリプトの例は、次のプレースホルダ値を使用しています。

$ gcloud compute instances create {INSTANCE_NAME} \
  --zone {ZONE} \
  --machine-type n2d-standard-2 \
  --confidential-compute \
  --shielded-secure-boot \
  --maintenance-policy Terminate \
  --scopes cloud-platform \
  --image-project confidential-space-images \
  --image-family {IMAGE_FAMILY} \
  --service-account {SERVICE_ACCOUNT} \
  --metadata ^~^tee-image-reference={OPERATOR_IMAGE}~tee-container-log-redirect=true~tee-restart-policy=Never~tee-env-DEPLOYMENT_ENVIRONMENT=integ~tee-env-API_TOKEN_SECRET_NAME={OPERATOR_KEY_SECRET_FULL_NAME}~tee-env-CORE_BASE_URL=https://core-integ.uidapi.com~tee-env-OPTOUT_BASE_URL=https://optout-integ.uidapi.com
Sample Deployment Script—Prod

本番環境のデプロイメントスクリプトの例は、次のプレースホルダ値を使用しています。

注記

本番環境では n2d-standard-16 という machine-type 値が必要です。

$ gcloud compute instances create {INSTANCE_NAME} \
  --zone {ZONE} \
  --machine-type n2d-standard-16 \
  --confidential-compute \
  --shielded-secure-boot \
  --maintenance-policy Terminate \
  --scopes cloud-platform \
  --image-project confidential-space-images \
  --image-family confidential-space \
  --service-account {SERVICE_ACCOUNT} \
  --metadata ^~^tee-image-reference={OPERATOR_IMAGE}~tee-container-log-redirect=true~tee-restart-policy=Never~tee-env-DEPLOYMENT_ENVIRONMENT=prod~tee-env-API_TOKEN_SECRET_NAME={OPERATOR_KEY_SECRET_FULL_NAME}~tee-env-CORE_BASE_URL=https://core-prod.uidapi.com~tee-env-OPTOUT_BASE_URL=https://optout-prod.uidapi.com

Run the Script

スクリプトの準備ができたら、追加の有効な値を含むスクリプトを実行します。

Test gcloud Using the Health Check Endpoint

ヘルスチェックエンドポイントを呼び出して、実装の健全性をテストします。期待される結果は、HTTP 200 で、レスポンスボディが OK です。

手順については、Health Check—gcloud CLI を参照してください。

Running the Health Check

ヘルスチェックエンドポイントを呼び出して、実装の健全性をテストします。

ヘルスチェックの実行は、エンドポイントを除いて、インテグレーションと本番環境で同じです。

選択したデプロイメントオプションに応じて、適用される手順に従ってください:

Health Check—Terraform Template

次の例は、Terraform テンプレートオプションのヘルスチェックを示しています:

  1. ロードバランサーのパブリック IP アドレスを取得します:

    terraform output load_balancer_ip

  2. オペレーターステータスをテストするには、ブラウザでヘルスチェックエンドポイントに移動します: http://{IP}/ops/healthcheck

    HTTP 200 とレスポンスボディが OK の場合、健全な状態です。

Health Check—gcloud CLI

次の例は、gcloud コマンドラインオプションのヘルスチェックを示しています:

  1. デプロイされたインスタンスのパブリック IP アドレスを取得します:

    $ gcloud compute instances describe {INSTANCE_NAME} \
      --zone={ZONE} \
      --format='get(networkInterfaces[0].accessConfigs[0].natIP)'

  2. オペレーターステータスをテストするには、ブラウザでヘルスチェックエンドポイントに移動します: http://{IP}:8080/ops/healthcheck

    HTTP 200 とレスポンスボディが OK の場合、健全な状態です。

Private Operator が Core Service による検証に失敗した場合、次のいずれかのアクションが発生します:

  • HTTP 401 レスポンス。Private Operator はすぐに終了します。
    • 原因: API キーが取り消されたか、間違っています。
  • その他の 200 以外のレスポンスコード。Private Operator は 12 時間機能し続けます。この期間内に問題が解決されない場合、自動的に終了します。

Private Operator がエラーが発生した場合、アラートを処理し、オペレーターを再起動するためのインフラストラクチャを用意する必要があります。

Upgrading

UID2 Google Cloud Platform Confidential Space の新しいバージョンがリリースされると、Private Operator は新しいイメージバージョンを含む通知メールを受け取ります。アップグレードのためのウィンドウがあり、古いバージョンは非アクティブ化され、サポートされなくなります。

新しいバージョンにアップグレードする場合、アップグレードプロセスは選択したデプロイメントオプションに依存します。該当する手順に従ってください:

Upgrading—Terraform Template

Terrafom テンプレートを使用してデプロイした場合、アップグレードするには、新しい {OPERATOR_IMAGE} を使用してデプロイメントを更新するだけです。

Upgrading—gcloud CLI

gcloud CLI を使用してデプロイした場合、アップグレードするには、新しい {OPERATOR_IMAGE} を使用して新しいインスタンスを立ち上げ、古いインスタンスをシャットダウンする必要があります。

手動でロードバランサーを設定した場合、ロードバランサーのマッピングも更新する必要があります。

Scraping Metrics

GCP の Private Operator は、/metrics エンドポイントで Prometheus-formatted metrics ポート 9080 で公開します。Prometheus 互換のスクレイパーを使用して、これらのメトリクスを収集して集計することができます。