GCP on Marketechlabo

GCPのIAMポリシー

Wed, 12 Jan 2022 00:00:00 +0900

GCPのIAMポリシー（権限設定）

GCPにおける階層と言葉の定義

組織
（フォルダ）
プロジェクト
各種リソース
- Cloud Storage
- BigQuery
- Compute Engine
  :

プロジェクトとリソースを中心に考える。フォルダや組織はプロジェクトを便宜的に束ねるもの。フォルダや組織は設定しなくてもいい →後述するが、組織／プロジェクト／リソース単位で権限設定ができる

アカウント

アカウントには2種類

ユーザーアカウント

Googleのログイン画面からログインできるアカウント
人間ユーザ。異動や退職とともにアカウントがなくなるケースも想定する必要がある
一部のGoogleアカウントではアカウント単位のコストが発生することも想定する（つまり有限個しか発行できない）
Googleアカウントである必要がある→認証はメールアドレスとパスワードで行う
- Gmail
- Workspace
- Cloud Identity

サービスアカウント

システムがGCPにアクセスする際に使うアカウント
Googleのログイン画面からログインすることはない
異動や退職で使えなくなるケースはない
メールアドレス形式service-account-name@project-id.iam.gserviceaccount.com
認証は主にJSONの鍵ファイルを使って行う
アカウントごとのコストは発生しないので実質無限個発行できると考えていい

アカウントと権限の紐付けのパターン

出てくる言葉

アカウント
グループ
ロール
権限

目的：アカウントと権限を紐づけること。その間のハブとしてグループやロールがあると考えればいいアカウントと権限がある

これをこのように紐づけたい

複数のアカウントに対して

ロール

直接アカウントと権限を紐づけるのではなく、ロールを介して設定する

ロールの例ストレージオブジェクト閲覧者 roles/storage.objectViewer 付随する権限

resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list

Cloud Storageでファイル一覧を表示してダウンロードするには複数の権限を設定する必要がある。それを「オブジェクト閲覧者」という一般的な役割単位で束ねたものをロールという。 GCPには事前定義ロールが用意されている。これ以外に柔軟にユーザ定義ロールを設定することも可能。 ※基本ロールは使わない（実運用には粒度が荒すぎる）つまりロールというのは、GCP内の細かい権限体系を使いやすい単位のちょうどいい粒度にまとめたものである。

機械学習用のLinuxインスタンスの環境構築（GCEやEC2などクラウド）

Fri, 24 Jun 2022 00:00:00 +0900

最近では機械学習の計算のためにLinuxマシンを構築しては消し、を繰り返すことが多い。サーバの構築と消去が柔軟に可能なことからもEC2やGCEなどクラウドのインスタンスをよく使うということも影響している。この記事では一般的なサーバ構築の記事では紹介されていない、クラウドのインスタンスで意外と盲点になる点を中心に、機械学習の計算用サーバとして安定した運用をするために最低限必要な設定をまとめた。 GPUドライバ（CUDA、cuDNN）やコンテナランタイム（Docker/NVIDIA Container Toolkit）の設定は別途必要となる。

Linuxで最初にやっておくべき設定

Amazon EC2やGoogle Compute Engineなどのクラウドインスタンスのデフォルトの設定では不都合があるため、設定を追加する必要がある。

スワップメモリの設定

クラウドのインスタンスではデフォルトでスワップメモリが設定されていないため、念のため設定しておく必要がある。以下は/swap.imgとして4GBのスワップファイルを設置する例。

sudo sh -c 'dd if=/dev/zero of=/swap.img count=4096 bs=1MiB && chmod 600 /swap.img && mkswap /swap.img && swapon /swap.img'

スワップのされやすさをswappinessというパラメータで0~100の数値で指定する。値が大きいほどスワップされやすくなる。デフォルトで60となっているが、これを10に変更（スワップされにくくする）するには

sudo sysctl vm.swappiness=10

確認

cat /proc/sys/vm/swappiness

再起動時に自動で有効化するには

echo '/swap.img none swap sw 0 0' | sudo tee -a /etc/fstab
echo 'vm.swappiness=10' | sudo tee -a /etc/sysctl.conf

タイムゾーンの設定

デフォルトのタイムゾーンがUTCなのでJSTに設定しておく。 RHEL系（RHEL7以降）、Ubuntuでは

sudo timedatectl set-timezone Asia/Tokyo

SELinuxの無効化

SELinuxが有効になっていると不都合なことが多いので、有効な場合は無効化する。 SELinuxが有効かどうかの確認

getenforce

Enforcingだと有効になっている。一時的に無効化する場合

sudo setenforce 0

永続的に無効化する場合は

格安に使えるGCEのプリエンプティブインスタンスの勝手に停止対策

Thu, 13 Jun 2019 00:00:00 +0900

格安で使えるGCEのSpot VM（旧プリエンプティブインスタンス）。問答無用でシャットダウンされるというクセが困りものだが、使いようによってはハイスペックのインスタンスを安く効果的に使うことができる。ここではそのシャットダウン対策と最大限活用するためのヒントを紹介する。機械学習用途ではVertex AI TrainingやGKE Autopilotなどマネージドサービスが充実しており、GCE直接利用は減少傾向にあるが、GPU/TPUを利用した機械学習ワークロードでコストを抑えたい場合などにSpot VMは有効である。

Spot VM（旧プリエンプティブインスタンス）とは

Google Compute EngineのSpot VMは

最大24時間の制限は撤廃されているが、勝手に停止される（停止することをプリエンプト＝preemptするという）
安い（同スペックの通常インスタンスの半額以下、1/3程度）

という特徴がある。ミッションクリティカルな用途には向かないが、何よりも安いのでCPUやメモリを大量に使う機械学習の処理をするには向いている。ただし停止された場合には最初からやり直しとなる。処理をプリエンプトされないうちに終わらせるのがいい（GCEの余剰リソースを使うインスタンスであるため、CPUを数多く使うほどプリエンプトされやすくはなる）

インスタンスがプリエンプトされたときに通知

インスタンスがプリエンプト状態になると

1分後に強制停止される
シャットダウンスクリプトが実行される

つまり停止1分前にスクリプトを実行できる。1分間の間に終了処理を入れることができる。猶予は1分しかないので、大きなファイル（学習結果のスナップショットなど）の保存などはできない。停止したことを通知し、必要に応じてインスタンスを再起動して再学習開始するなど、何らかの対応をできるようにするのがいいだろう。ここではSlackに通知する方法を紹介する。

Slackにメッセージ送信

シャットダウンスクリプトで

#!/bin/bash
preempted=$(curl -Ss http://metadata.google.internal/computeMetadata/v1/instance/preempted -H "Metadata-Flavor: Google")

if [ "$preempted" = 'TRUE' ]; then
 project_id=$(curl -Ss http://169.254.169.254/computeMetadata/v1/project/project-id -H "Metadata-Flavor: Google")
 instance_name=$(curl -Ss http://169.254.169.254/computeMetadata/v1/instance/name -H "Metadata-Flavor: Google")
 timestamp=$(date +'%Y-%m-%d %H:%M:%S')
 cat <<EOF | curl -Ss -X POST "https://hooks.slack.com/services/xxxxxxxx/yyyyyyyyyyy/zzzzzzzzzzzzzzzzzzzz" -d @- -o /dev/null
payload={"username": "system monitor", "text": "$project_id / $instance_name is being preempted (${timestamp})"}
EOF
fi

なるべく無停止状態で起動させておく

プロセスがストップされるのは仕方ないが、サーバ自体は常時（に近く）稼働させておきたいケース。 gcloud compute instances startコマンドを使うとインスタンスを起動できるが、すでに起動している場合は無視される。そこで他のとりあえずgcloudコマンドだけ実行できればいいマシン

Googleクラウドで格安お手軽スケーラブルな静的ウェブ配信

Tue, 15 Oct 2019 00:00:00 +0900

Google Cloud Platformの静的コンテンツ配信機能は低コストで手軽に使うことができる。サーバサイドプログラム（PHPなど）のかかわらない静的ウェブサイトの配信（HTML＋CSS＋JavaScript＋画像＋動画など）だけであれば、ApacheやNginxなどのウェブサーバなど不要でできてしまう。スケーラブルでトラフィックによるサーバ負荷を気にする必要がない低コストの環境が簡単に使える。WordPressでも静的配信をしているのであれば相性がいい。キャンペーンのランディングページなどもこれで十分なケースがほとんどである。この記事ではGoogle Cloud Storageを使った簡単な方法と、少し高度にはなるが独自ドメインのHTTPSにも対応したFirebase Hostingを使った方法を紹介する。

Google Cloud Storageを使う方法

簡単ではあるが、独自ドメインを使ったHTTPSでのウェブ配信ができない。HTTPSを使うのであればGoogleの決められたドメインを使うか、独自ドメインを使うならHTTPのみになる。

ドメインの設定

ドメインのオーナーであることを認証

https://cloud.google.com/storage/docs/domain-name-verification?hl=ja GCSユーザの権限でサーチコンソールで新規にサイトを登録して認証することになる（すでに他のユーザでサーチコンソール登録していてもそれとは無関係にできる） https://www.google.com/webmasters/verification/details?hl=en&domain=[YOUR-DOMAIN.COM] DNSで親ドメインのTXTレコードに入れる文字列を取得

DNSの設定

親ドメインのTXTレコードとして上で取得した文字列を、ホスティングするサブドメインのCNAMEレコードとして「c.storage.googleapis.com.」を登録

Google Cloud Storageの設定

GCSのバケットの設定

バケットの作成

gsutil mb -c STANDARD -l asia-northeast1 gs://www.example.com

デフォルトの権限の設定（一般公開）

均一なバケットレベルアクセスが標準のため、IAMでallUsersにobjectViewerロールを付与する。gsutil defacl set public-readは非推奨。

gsutil iam ch allUsers:objectViewer gs://www.example.com

ウェブサイトの設定（インデックスページとエラーページの指定）

gsutil web set -m index.html -e error.html gs://www.example.com

ファイルのデプロイ

gsutil -m cp -rZ * gs://www.example.com/

ファイルの削除

gsutil -m rm -rf gs://www.example.com/*

ログ出力の設定

ログ用のバケットを作成

gsutil mb gs://log-www-example-com

Googleにログ書き込み権限を付与

gsutil acl ch -g cloud-storage-analytics@google.com:W gs://log-www-example-com

パブリックアクセスできないように権限設定