基礎から学ぶGCP 第1回〜GCPを使う準備をする〜

こちらの記事は弊社技術ブログに掲載していた内容となります。
一部を除き、投稿当時の情報となりますので、紹介内容の最新情報については別途公式情報等をご参照下さい。

こんにちは。
クラウドエースの卵かけご飯こと高木です。

「GCP を使ってみよう。」
そう思い、GCP を選択していざ使ってみるといった段階で、まずなにをすればいいかわからない、と感じる方は多くいらっしゃいます。
弊社ではそういった方向けに GCP のトレーニングや Cloud Booster といったサービスを提供していますが、どうせなら記事にもしてみようかなと思い、基礎知識を身につけるのを目的としてひっそりと記事にしていきたいと思います。

今回は GCP を使用する際に必要な事前準備について紹介します。
ターゲットとしては、GCP 使ってみたいけど何を準備すればいいかわからないといった方向けになります。

GCP を使うにあたり最低限必要な準備

以下が必要な準備になります。

Google アカウント
GCP プロジェクト
請求先アカウント

それぞれ説明していきます。

Google アカウントを作成しよう

まず始めに Google アカウントを作成します。

Google アカウントは以下3つのいずれかのアカウントを指します。

Gmail アカウント
G Suite によって発行されたアカウント
Cloud Identity によって発行されたアカウント

Gmail

Gmail アカウントはなんらかの形で利用されている方は多いと思います。
(Google スプレッドシートとか Google Drive とか利用するときに作成したことがある方はいるはず…)
Gmail アカウントを作成する場合は、公式ドキュメントを参照してください。
セキュリティを少しでも高めるために2段階認証を使っておくことを推奨します。

G Suite

G Suite は、Google が提供するグループウェアツールです。
Google Drive やGmail 、Google カレンダー等の G Suite が提供するサービスを特定ドメイン(組織)の管理下に置き、ファイルの公開設定を管理したり権限設定でアクセス制御ができます。
G Suite の中にアカウント発行機能があり、この機能によって作成されたドメインに紐づくアカウントも Google アカウントになります。
G Suite の場合、二段階認証を管理者権限で設定必須にすることができるので、企業として安全に Google アカウントを運用できるようになります。

プランは3つ

Basic
1ユーザー/月/680円
Business
1ユーザー/月/1,360円
Enterprise
1ユーザー/月/3,000円

G Suite は公式サイトからお申込みが可能です。
お申込みをする際は、事前にドメインの取得を済ませておく必要がありますので注意ください。

Cloud Ideintity

G Suite からアカウント発行、管理機能のみを使えるようにしたアカウントサービスになります。
G Suite 同様ドメイン(組織)の管理下でアカウントを管理できます。
二段階認証も企業として設定必須にでき、無料で50アカウントまで作成が可能になります。

プランは2つ

Free
無料（50アカウントまで）
Premium
1ユーザー/月/645円

Cloud Identity を申し込む場合、現時点(2019/08現在)では GCP の Web コンソールからしかできないためご注意ください。
Cloud Identity を申し込むには、前述した Gmail アカウントの作成と後述するプロジェクトの作成まで済ませる必要があります。
申込み方法については、この記事に記載されていますので Gmail アカウントの作成とプロジェクトの作成まで完了したら参考にしてみてください。
※ G Suite や Cloud Identity で作成されたアカウントでログインしていると、記事にある Web コンソールで「Cloud Identity」　のお申込みボタンが表示されないので注意してください。
Gmail のアカウントでログインしている状態でのみ表示されます！(2019/08現在)

Google アカウントはどれを選ぶべきか

個人利用、企業利用いずれの場合も以下のいずれかをおすすめします。

G Suite によって発行されたアカウント
Cloud Identity によって発行されたアカウント

おすすめな理由は以下です。

アカウントの一元管理
セキュリティポリシーを組織レベルで設定可能
GCP で組織の階層構造を構築でき、GCP 上に動くシステムを組織として管理可能
組織の階層構造を構築することにより、GCP のネットワーク/セキュリティサービスの選択の幅が広がる

組織で Gmail アカウントを利用していると、二段階認証を設定しないユーザーがいても検知できず、アカウント漏洩が発生した場合も対処が難しくなります。
組織階層ってなんだ？と思われるかと思いますが、組織階層については第2回の記事で説明します。
Cloud Identity から G Suite に移行することは可能なので、まず無料の Cloud Identity で試してみるのをおすすめします。

GCP の中のプロジェクトの概念を理解してみる

GCP 上で動くシステムは、「プロジェクト」の単位で管理されます。
今回は例として以下のような GCP の環境を構築したと仮定します。

sample-project-A
- データ分析系のシステムが動いている環境
- Cloud Storage にあるデータを Dataflow で処理して BigQuery に保存。Datalab で分析。
sample-project-B
- Compute Engine の VM インスタンス上で Web サービスが動き、HTTPS Load Balancer によって負荷分散
  イメージとしては以下図になります。

プロジェクトを分けることによるメリットは以下が考えられます。

比較的簡単にシステムの分離ができる。
プロジェクトや GCP のサービス(Compute Engine とか Cloud Storage とかそういったサービスを指します。)ごとにアクセス権限を設定でき、プロジェクトで分けると権限設定や管理が楽になる場合が多い。
請求はプロジェクト単位で発生するため、どのシステムでどの程度料金が発生したかが明確になる。
オペレーションミスやなんらかの理由でプロジェクトが乗っ取られた場合の影響範囲を最小限にできる。

GCP 上でシステムを構築するにあたり、どの程度の粒度でプロジェクトを分けるかによって構築時や管理する際のコストが変わってきます。
システム単位でプロジェクトを分けるパターンが多いですが、必ずしもそれが正しいとは限らないため、構築するシステムの要件によって都度検討する必要があることは注意してください。

ここまでで GCP におけるプロジェクトがどういったものかは理解していただけたかと思います。
なので、早速 GCP のプロジェクトを作成しましょう！と、いきたいところですが、プロジェクトを作成するにあたり、「請求先アカウント」についても理解しておく必要がありますので、プロジェクト作成を実施する前に説明していきます。

プロジェクトに紐付け必須！請求先アカウントの存在

GCP の Compute Engine や BigQuery 等の各サービスは、使用した分だけ請求が発生する従量課金制になっています。
そしてプロジェクトの中でこれらのサービスを使って、自分の作りたいシステムを作っていきます。

このプロジェクトで発生したサービスたちの請求の管理やどこに請求させるかといった機能を担っているものが「請求先アカウント」になります。

請求先アカウントには以下のような機能があります。

発生した請求をなにで支払うかの定義（クレジットカード or 銀行口座）
どのプロジェクトが請求先アカウントに紐付いていて、プロジェクトごとにどういったサービスでどの程度料金が発生しているか自動でグラフ化し確認が可能。
発生した課金のデータを csv/json のいずれかのファイル形式でダウンロードしたり、BigQuery にエクスポートして分析できる。
プロジェクトごと、GCP サービスごとに予算を設定し、設定した予算から任意の利用料でアラートメールを出すよう設定可能。
(例えば予算100万円のうち50万円(50%)までいったらアラートメールが送信される。)

Gmail で初めてプロジェクトを作成する際、クレジットカード情報の入力を求められますが、入力後自動的に請求先アカウントが作成されるようになっています。(入力したクレジットカードに請求がくるようになります。)

下図のようにグラフでは日毎にどの程度料金が発生したかがわかります。

プロジェクトを作成し、課金が発生する GCP サービスを利用する場合はかならず請求先アカウントとプロジェクトを紐付ける必要があります。
大まかな紐付け、請求までのフローのイメージは下図になります。

請求先アカウントはプロジェクトを作成する際に都度作成するものではなく、1つの請求先アカウントに複数のプロジェクトを紐付けることが可能です。
請求先アカウントをプロジェクトごとに発行しているとプロジェクトの量に比例して管理する請求先アカウントの量も増えてしまうため、どの量で請求先アカウントを作成するかもプロジェクト同様検討してください。
(基本は1つでいいと思いますが、要件によって要検討。)

プロジェクトの作成

これでプロジェクトを作成する際に必要な知識については説明しました。
始める際の簡単な流れは以下になります。

Google アカウントを作る
↓
プロジェクトを作成する&請求先アカウントを作成する
(プロジェクト作成時に作成済みの請求先アカウントを使用するでもOKです。)

gmail を使って無料トライアルを試して見る場合は、以下記事に作成方法まで全て記載されていますので参照してみてください。

初心者のための GCP プロジェクト始め方入門

Google アカウントの作成方法は紹介済みになりますので、請求先アカウントの作成方法とプロジェクト作成方法を紹介します。
今回紹介する方法は、トライアル期間終了後、正式に請求先アカウントとプロジェクトを作成したいといったケースでの方法になります。

請求先アカウントの作成

GCP の Cloud Console へアクセス
以下リンクから Cloud Console へアクセスします。

https://console.cloud.google.com/?hl=ja

アクセス後、Console 右上のナビゲーションメニューから「お支払い」を選択

今回は請求先アカウントを作成するため、「請求先アカウントを管理」を選択します。

「アカウントを追加」を選択します。

その後は請求先アカウントの名前を決めあり、画面の指示通りに設定し、最後にクレジットカードの情報を入力して完了となります。

請求先アカウントが作成されました。

プロジェクトの作成

続いて、プロジェクトを作成して請求先アカウントと紐付けをします。

Cloud Console へアクセスし、画面上部、プロジェクト名が表示されている赤枠の部分を選択します。

プロジェクトの選択画面が表示されるので、右上「新しいプロジェクト」を選択。

選択すると、プロジェクトの名前を決める画面に移動します。
プロジェクトの名前は4〜30文字の制限があるため、制限にひっかからないように設定しましょう。

ここで重要になってくるのは、赤枠で囲った Project ID です。
プロジェクトの識別子としては以下があります。

プロジェクト名
- ユーザーが識別するための任意の値。
プロジェクト ID
- GCP のシステムが識別するための世界で一意の値。

プロジェクト名はユーザーがどういったシステムが動いているのかを判断するために自由に変更することもできる値になります。
プロジェクト ID は GCP の内部システムが GCP のサービスの中で作成/提供されるリソースがどのプロジェクトに属するか、どのプロジェクトに対して作成するか等を判断する値になり、一度設定したら変更ができません。

プロジェクト名とプロジェクト ID の値が異なることはユーザーが識別する点や自動化する等の様々な面であまり好ましくないため、できる限りプロジェクト名とプロジェクト ID は同じ値になるように設定してください。
入力したプロジェクト名が一意の場合は、プロジェクト ID も同じ値になりますが、今回のプロジェクト名「sample-project」はどうやらすでに使われているようです。
プロジェクト ID が「sample-project-251504」となり、後ろに自動的に数字がつけられていますね。

今回は以下のように一致するように設定しました。