Подключение облака Yandex Cloud

Cloudmaster позволяет интегрироваться с Yandex Cloud API облака 2 способами: через сервисный аккаунт или Yandex аккаунт.

Содержание

• Подключение облака Yandex Cloud

  • Предварительные требования

  • Настройка прав доступа

    • Доступ к бакету с биллинговыми данными

    • Интеграция с Yandex Cloud API

      • Интеграция через сервисный аккаунт

      • Интеграция через Yandex аккаунт

  • Настройка подключения

  • Проверка успешности подключения облака

  • Читайте также

Предварительные требования

Чтобы подключить Yandex Cloud к Cloudmaster, на стороне Yandex Cloud вам необходимо предоставить доступ к:

1. Бакету с биллинговыми данными через сервисный аккаунт.

2. Yandex Cloud API через сервисный аккаунт (рекомендуемый способ) или Яндекс аккаунт.

Один сервисный аккаунт для создания подключения

Рекомендуем использовать один сервисный аккаунт для доступа к бакету с биллинговыми данными и интеграции с Yandex Cloud API.

Видео-инструкция по настройке прав Yandex Cloud в VK

Подробное описание создания подключения описано ниже.

Настройка прав доступа

Доступ к бакету с биллинговыми данными

1. Создайте бакет и папку в каталоге Yandex Cloud.

   Если у вас уже есть бакет и папка, куда собирается биллинг, скопируйте имя бакета и папки для заполнения формы создания подключения в Cloudmaster.

   Тарификация операций с данными Yandex Cloud

   Cloudmaster при расчете утилизаций и формировании рекомендаций обращается к бакету, объекту сервиса Yandex Object Storage.

   Обратите внимание, что Yandex Cloud тарифицирует запросы в зависимости от их количества и принадлежности к сервису.

   Например, в сервис Yandex Object Storage запросы тарифицируются

   На стороне Yandex Cloud выберите облако и каталог, затем перейдите в сервис Yandex Object Storage и создайте бакет, внутри бакета создайте папку.

   Бакет и папка создаются на уровне каталога, но в последующих шагах вы выдадите сервисному аккаунту роли на уровне организации, и Cloudmaster будет читать данные из бакета по всем облакам и каталогам организации.

   Кто может создавать бакет

   Для создания бакета вам понадобится роль storage.editor (подробнее здесь ).

   Ссылка на инструкцию Yandex Cloud по созданию бакета и папки .

   

2. Настройте сбор биллинга в бакет и папку.

   Перейдите в сервис Yandex Cloud Billing, затем ― в каталог, в каталоге нажмите на вкладку Экспорт детализации. При настройке добавьте "/" после названия папки и укажите тип детализации Поресурсная.

   Кто может настроить сбор биллинга

   Для настройки сбора биллинга вам понадобится одна из ролей: billing.accounts.owner, billing.accounts.admin или billing.accounts.editor (подробнее здесь ).

   Ссылка на инструкцию Yandex Cloud по настройке получения детализации в бакет и папку .

   

3. Создайте сервисный аккаунт на уровне каталога, в бакет которого собирается биллинг.

   Кто может создавать сервисный аккаунт

   Сервисный аккаунт могут создавать владельцы облака и платежного аккаунта с ролью resource-manager.clouds.owner или admin.

   Если у вас недостаточно прав, попросите коллег с такой ролью создать для вас сервисный аккаунт на уровне каталога.

   Ссылка на инструкцию Yandex Cloud по созданию сервисного аккаунта .

   

4. Перейдите на страницу бакета и предоставьте доступ сервисному аккаунту на чтение биллинговых данных в бакете.

   На странице бакета нажмите на иконку в правом верхнем углу, затем на ACL бакета.

   В модальном окне выберите сервисный аккаунт (см. п. 3 выше), предоставьте разрешение на чтение (READ) и нажмите Сохранить.

   

5. Создайте и скопируйте статический ключ от сервисного аккаунта.

   Перейдите в карточку сервисного аккаунта на уровне каталога, в бакет которого собирается биллинг, нажмите на кнопку +Создать новый ключ, затем ― на Создать статический ключ доступа.

   

   Cкопируйте оба параметра статического ключа: идентификатор и значение ключа.

   

   Ссылка на Гайд по созданию статического ключа .

   Один сервисный аккаунт для создания подключения

   Рекомендуем использовать этот же сервисный аккаунт для следующего шага — интеграции с Yandex Cloud API.

Интеграция с Yandex Cloud API

Выберите один из способов интеграции с Yandex Cloud API: через сервисный аккаунт или Yandex аккаунт.

Интеграция через сервисный аккаунт

1. Назначьте минимальные роли сервисному аккаунту и предоставьте права доступа на уровне организации.

   Минимальные роли сервисного аккаунта

   1) Примитивная роль auditor даёт право на чтение всех объектов облачной инфраструктуры и их статуса на уровне организации,

   2) Роль monitoring.viewer даёт право на чтение метрик для формирования рекомендаций по оптимизации облачной инфраструктуры.

   3) Роль billing.accounts.viewer позволяет читать информацию по доступным пользователю Yandex Cloud тарифным планам и ценам.

   Роли auditor, monitoring.viewer и billing.accounts.viewer назначаются на уровне организации.

   Нажмите на опции (иконка ) организации, затем ― на Права доступа. На странице Права доступа нажмите на кнопку Назначить роли.

   В модальном окне нажмите на Сервисные аккаунты и выберите созданный для Cloudmaster сервисный аккаунт из списка.

   Назначьте 3 минимальных роли сервисному аккаунту и нажмите на кнопку Сохранить.

   

2. Предоставьте права доступа сервисному аккаунту на уровне платёжного аккаунта.

   Минимальные роли сервисного аккаунта

   Роль billing.accounts.viewer позволяет читать информацию по доступным пользователю Yandex Cloud тарифным планам и ценам.

   Роль billing.accounts.viewer назначается сервисному аккаунту пользователем с ролью не ниже billing.accounts.admin или billing.accounts.owner на уровне платежного аккаунта.

   Перейдите в сервис Yandex Cloud Billing, затем — на страницу платёжного аккаунта и в боковом меню нажмите на Управление доступом.

   На открывшейся странице нажмите на кнопку Назначить роли.

   В модальном окне нажмите на Сервисные аккаунты и выберите созданный для Cloudmaster сервисный аккаунт из списка.

   Назначьте ему роль billing.accounts.viewer и нажмите на кнопку Сохранить.

   

   Инструкция Yandex Cloud по предоставлению прав сервисному аккаунту на уровне платёжного аккаунта

3. Создайте авторизованный ключ и скопируйте 4 группы данных.

   В карточке сервисного аккаунта нажмите на кнопку +Создать новый ключ, затем ― на Создать авторизованный ключ и кнопку Создать.

   Cкопируйте:

   1) открытую часть авторизованного ключа,

   2) закрытую часть авторизованного ключа,

   3) идентификатор авторизованного ключа и

   4) идентификатор сервисного аккаунта.

   Рекомендуем копировать значения из модального окна. При скачивании .json файла формат ключей содержит спецсимволы, которые не позволят Cloudmaster провести валидацию введённых значений.

   

   Ссылка на Гайд по созданию авторизованного ключа .

Интеграция через Yandex аккаунт

Данный способ интеграции с Yandex Cloud API альтернативный. Рекомендуем настраивать интеграцию через сервисный аккаунт.

Настройка интеграции через Yandex аккаунт

Получите OAuth-токен от Yandex аккаунта.

Cloudmaster хранит OAuth-токены пользователей в зашифрованном виде.

Проверьте, есть ли у вас Yandex аккаунт в организации Yandex Cloud. Перейдите в организацию Yandex Cloud и нажмите на вкладку Права доступа. Откройте свою карточку пользователя и проверьте наличие ролей на уровне организации.

Минимальные роли Yandex аккаунта

Минимальные необходимые роли у Yandex аккаунта:

1) примитивная роль auditor — даёт право на чтение всех объектов облачной инфраструктуры и их статуса на уровне организации,

2) роль monitoring.viewer — даёт право на чтение метрик для формирования рекомендаций по оптимизации облачной инфраструктуры,

3) роль billing.accounts.viewer — позволяет читать информацию по доступным пользователю Yandex Cloud тарифным планам и ценам.

После проверки аккаунта и роли получите OAuth-токен через запрос (отмечено на скриншоте).

OAuth-токен ежегодно обновляется. Если ваш OAuth-токен устарел, получите новый.

Ссылка на инструкцию по получению и обновлению OAuth-токена .

Как преждевременно отозвать OАuth-токен?

Чтобы преждевременно отозвать токен, в инструкции Отзыв токена перейдите по ссылке Управление доступом, выберите приложение Yandex Cloud и нажмите на кнопку Отозвать.

Настройка подключения

Для создания подключения Yandex Cloud в Cloudmaster вам понадобятся:

а) имя бакета и папки,

б) статический ключ от сервисного аккаунта и

в) авторизованный ключ или OAuth-токен (см. способы интеграции с Yandex Cloud API).

1. Авторизуйтесь в Cloudmaster (см. статью Авторизация в платформе Cloudmaster) и перейдите в подраздел Мои подключения боковой панели.

2. Нажмите на кнопку Новое подключение и затем ― на карточку Yandex Cloud.

3. В открывшейся форме создания подключения перейдите к шагу Настройки подключения. Введите имя подключения и данные для доступа к бакету.

   Имя подключения в Cloudmaster произвольное, т.е. может отличаться от его имени на стороне Yandex Cloud. Имя подключения в Cloudmaster помогает пользователю понять, что это за подключение.

4. Выберите способ интеграции с Yandex Cloud API: через сервисный аккаунт или OAuth-токен. Введите запрашиваемые данные в зависимости от способа интеграции.

5. Нажмите на кнопку Подключить.

   Все поля формы обязательны для заполнения.

Далее откроется последний шаг Статус подключения.

Соединение между Cloudmaster и вашим аккаунтом в Yandex Cloud может:

• успешно установиться или

• закончиться ошибкой по ряду причин.

Подключение установлено Подключение закончилось ошибкой

В мастере настройки вы увидите окно со статусом Подключение успешно установлено.

Cloudmaster присвоит подключению первый статус Сбор данных и направит вам уведомление в Лоадер фоновых процессов.

По окончанию загрузки данных из Yandex Cloud статус подключения изменится на Активно.

В мастере настройки вы увидите окно с одной из ошибок:

• ошибкой аутентификационных данных,

  Нажмите в окне ошибки на кнопку К настройкам подключения, исправьте данные и попробуйте подключиться повторно.

• ошибкой прав на стороне провайдера.

  Нажмите в окне ошибки на ссылку-переход в консоль провайдера, исправьте данные на его стороне, затем вернитесь в Cloudmaster и попробуйте подключиться повторно.

Причины ошибок

1. Ошибка валидности аутентификационных данных:

   • ошибка в имени подключения:

     указанное имя подключения уже используется для другого подключения,

   • ошибка данных бакета:

     указанного бакета не существует,

     указанной папки нет в бакете.

   • ошибка доступа к бакету*:

     идентификатор статического ключа сервисного аккаунта не подходит к указанному секретному ключу и наоборот,

     идентификатор статического ключа сервисного аккаунта введён не в буквенно-числовом формате.

   • ошибка доступа к API Yandex Cloud:

     идентификатор сервисного аккаунта не подходит к указанному авторизованному ключу доступа и наоборот,

     открытый или закрытый ключ не подходит к указанному авторизованному ключу доступа и наоборот,

     допущена ошибка в открытом или закрытом ключе идентификатора авторизованного ключа.

     * Не подсвечиваем, в каком поле ошибка, т.к. наряду с ошибкой ID статического ключа и его секретного ключа ошибка может быть из-за недостающей роли на чтение (READ) (см. второй тип ошибки прав на стороне провайдера ниже).

2. Ошибка прав на стороне Yandex Cloud:

   • у сервисного аккаунта на уровне организации нет роли auditor и/или monitoring.viewer и/или billing.accounts.viewer ,

   • у сервисного аккаунта на уровне организации нет роли на чтение (READ) и/или у сервисного аккаунта невалидные ID статического ключа и секретный ключ для доступа к бакету,

   • у сервисного аккаунта на уровне платежного аккаунта нет роли billing.accounts.viewer .

Тарификация операций с данными Yandex Cloud

Cloudmaster при расчете утилизаций и формировании рекомендаций обращается к бакету, объекту сервиса Yandex Object Storage.

Обратите внимание, что Yandex Cloud тарифицирует запросы в зависимости от их количества и принадлежности к сервису.

Например, в сервис Yandex Object Storage запросы тарифицируются

Кейс «У меня 2+ платежных аккаунта»

Если у вас внутри одной организации создано несколько платежных аккаунтов, к которым привязаны облака, выберите оптимальный способ:

1. Привяжите облака к одному платежному аккаунту, затем создайте одно подключение*.

   * Рекомендуемый способ.

   Инструкция Yandex Cloud по привязке облаков в платежному аккаунту

   

2. Для каждого платежного аккаунта создайте новое подключение по инструкции.

   Для бесшовного создания нескольких подключений обратитесь в поддержку Cloudmaster: напишите письмо support@cloudmaster.ru или обратитесь к менеджеру через чат в продукте.

Переходите к проверке успешности подключения.

Проверка успешности создания подключения

Проверьте подгрузку данных о подключении и его ресурсах. В соответствующих разделах появится информация, которую Cloudmaster подгрузил из вашей инфраструктуры:

• информация о подключении в подразделе Мои подключения ,

• список ВМ в разделе Виртуальные машины ,

• дерево объектов в разделе Бюджеты .

Облако в подключениях

Нажмите на подраздел Мои подключения боковой панели Cloudmaster и проверьте, отобразилось ли новое подключение на платформе. В открывшемся подразделе в карточке подключения проверьте его статус, дату создания и последнего обновления, а также валюту.

Обновление информации по затратам в Yandex Cloud производится раз в сутки в 01:00 UTC (04:00 MSK).

Виртуальные машины в разделе с ВМ

Список ВМ начнет пополняться в разделе Виртуальные машины боковой панели Cloudmaster. Страница отображает принадлежность ВМ к подключению.

Подключение, облака и каталоги в Бюджетах

Проверьте, отображаются ли ваши подключение, облако (облака) и каталоги в Cloudmaster.

Перейдите в раздел Бюджеты боковой панели. Нажмите на кнопку Создать бюджет.

В дереве объектов должны появиться облако (облака) и каталоги.

Если вы не обнаружили какой-либо каталог, сообщите об этом специалистам Cloudmaster.

Связаться с командой Cloudmaster

Напишите письмо support@cloudmaster.ru или обратитесь к менеджеру через чат в Cloudmaster.

Читайте также

— Добавление пользователей в Аккаунт компании

— Управление подпиской и тарифом Cloudmaster

— Аллокация расходов по центрам затрат

— Создание бюджета и среза

— Работа с ВМ Yandex Cloud