AI Rules: gcp.tpu.idle && gcp.vertex.featurestore.idle (#154)

Author: sureshcsdp

README.fr.md

@@ -194,7 +194,7 @@ Pas encore de compte cloud ? `cleancloud demo` affiche un exemple de sortie sans
 - **Détection du gaspillage IA/ML sur les 3 clouds :** points de terminaison SageMaker et notebooks, clusters AML Compute et instances ML, points de terminaison en ligne Azure ML et services Azure AI Search, points de terminaison Vertex AI et instances Workbench — facturés 500–23 000 $/mois par ressource en silence. Les ressources GPU sont signalées comme RISQUE ÉLEVÉ. Les outils natifs n'indiquent pas toujours quoi supprimer — CleanCloud le fait. Opt-in via `--category ai`
 - **Gouvernance policy-as-code :** `cleancloud.yaml` pour la configuration par règle, les exceptions avec dates d'expiration, les seuils de coût et de confiance, les exclusions par tag — versionné aux côtés de votre infrastructure. Chaque exception est une approbation auditée dans git.
 - **Application de politique (opt-in) :** `--fail-on-confidence HIGH` ou `--fail-on-cost 500` — appliquer des seuils de gaspillage en CI/CD sur un planning, géré par les équipes platform ou FinOps
-- **43 règles de détection sélectives et haut signal :** volumes orphelins, bases de données inactives, instances arrêtées, registres inutilisés, et plus — conçues pour éviter les faux positifs en environnements IaC, chacune avec une estimation de coût déterministe
+- **45 règles de détection sélectives et haut signal :** volumes orphelins, bases de données inactives, instances arrêtées, registres inutilisés, et plus — conçues pour éviter les faux positifs en environnements IaC, chacune avec une estimation de coût déterministe
 - **Scan multi-comptes (AWS) :** scannez des AWS Organizations entières en une exécution — fichier de config, IDs inline, ou auto-découverte via `--org`
 - **Scan multi-abonnements (Azure) :** scannez tous les abonnements Azure en parallèle — auto-découverte via Management Group, détail des coûts par abonnement inclus
 - **Scan multi-projets (GCP) :** scannez tous les projets GCP accessibles en parallèle — auto-découverte via Application Default Credentials, détail des coûts par projet inclus
@@ -283,13 +283,15 @@ L'infrastructure IA/ML inactive est la source de gaspillage cloud invisible à l
 | Déploiement Azure OpenAI Provisionné (PTU) | 1 460+ $ / PTU / mois |
 | Endpoint Vertex AI Online Prediction (GPU) | 449 – 23 000+ $ / mois |
 | Instance Vertex AI Workbench (GPU) | 449 – 8 000+ $ / mois |
+| Nœud Cloud TPU (v4/v5p) | 188 – 750+ $ / jour |
+| Vertex AI Feature Store (Bigtable) | 197 – 591+ $ / mois |
 
 CleanCloud détecte les endpoints à zéro invocation / zéro prédiction et les instances de notebook inactives sur les 3 clouds et les signale risque HIGH. Les outils natifs montrent la facture — ils ne vous disent pas *quel endpoint* supprimer.
 
 ```bash
 cleancloud scan --provider aws --category ai          # PTUs Bedrock + endpoints + notebooks + Studio apps SageMaker + training jobs SageMaker + EC2 GPU
 cleancloud scan --provider azure --category ai        # clusters AML + instances ML + endpoints en ligne + AI Search + instances ML + PTUs OpenAI
-cleancloud scan --provider gcp --category ai          # endpoints Vertex AI + Workbench + training jobs
+cleancloud scan --provider gcp --category ai          # endpoints Vertex AI + Workbench + training jobs + Cloud TPU + Feature Stores
 cleancloud scan --provider aws --category all         # hygiène + IA/ML ensemble
 ```
 
@@ -527,7 +529,7 @@ Oui. CleanCloud n'a besoin d'accès réseau qu'aux endpoints API de votre cloud
 
 ## Ce que CleanCloud détecte
 
-43 règles pour AWS, Azure et GCP — conservatrices, haut signal, conçues pour éviter les faux positifs en environnements IaC.
+45 règles pour AWS, Azure et GCP — conservatrices, haut signal, conçues pour éviter les faux positifs en environnements IaC.
 
 **AWS :**
 - Compute : instances arrêtées 30+ jours (charges EBS continuent)
@@ -551,7 +553,7 @@ Oui. CleanCloud n'a besoin d'accès réseau qu'aux endpoints API de votre cloud
 - Stockage : Persistent Disks non attachés (HIGH), anciens snapshots 90+ jours
 - Réseau : IPs statiques réservées — régionales et globales — en état RESERVED (HIGH)
 - Plateforme : instances Cloud SQL inactives avec zéro connexion 14+ jours (HIGH)
-- IA/ML *(opt-in : `--category ai`)* : endpoints Vertex AI Online Prediction inactifs avec zéro ou quasi-zéro prédiction depuis 14+ jours (les nœuds dédiés continuent de facturer quel que soit le trafic) — endpoints GPU flaggés risque HIGH ($449–$23K+/mois) ; instances Workbench sans activité depuis 14+ jours — instances GPU flaggées HIGH/CRITICAL ($449–$8K+/mois) ; training jobs Vertex AI (CustomJobs + TrainingPipelines) dépassant 24h — alerte précoce GPU à 75% du seuil, risque CRITICAL pour les jobs GPU à 3× le seuil ($4–$80+/h par nœud GPU)
+- IA/ML *(opt-in : `--category ai`)* : endpoints Vertex AI Online Prediction inactifs avec zéro ou quasi-zéro prédiction depuis 14+ jours (les nœuds dédiés continuent de facturer quel que soit le trafic) — endpoints GPU flaggés risque HIGH ($449–$23K+/mois) ; instances Workbench sans activité depuis 14+ jours — instances GPU flaggées HIGH/CRITICAL ($449–$8K+/mois) ; training jobs Vertex AI (CustomJobs + TrainingPipelines) dépassant 24h — alerte précoce GPU/TPU à 90% du seuil, risque CRITICAL pour les jobs GPU à 3× le seuil ($4–$80+/h par nœud GPU) ; nœuds Cloud TPU (v2–v6e) en état READY avec duty_cycle quasi-nul depuis 7+ jours — un v4 inactif coûte $12,88/h, un v5p-8 coûte $33,60/h ; Feature Stores Vertex AI avec zéro requête ReadFeatureValues depuis 30+ jours — les stores Bigtable facturent ~$197/nœud/mois quelle que soit l'activité
 
 Les règles sans marqueur de confiance sont MEDIUM — elles utilisent des heuristiques temporelles ou des signaux multiples. Commencez par `--fail-on-confidence HIGH` pour les gaspillages évidents, puis resserrez au fil de la validation par votre équipe.
 

README.md

@@ -194,7 +194,7 @@ No cloud account yet? `cleancloud demo` shows sample output without any credenti
 - **AI/ML waste detection across all 3 clouds:** idle SageMaker endpoints and notebooks, AML compute clusters and instances, Azure ML online endpoints and AI Search services, Vertex AI endpoints and Workbench instances — silently billing $500–$23K/month per resource. GPU-backed resources flagged HIGH risk. Native cost tools don't surface these — CleanCloud does. Opt-in via `--category ai`
 - **Policy-as-code governance:** `cleancloud.yaml` for per-rule config, exceptions with expiry dates, cost and confidence thresholds, tag-based exclusions — version-controlled alongside your infrastructure. Every exception is a git-reviewable approval.
 - **Governance enforcement (opt-in):** `--fail-on-confidence HIGH` or `--fail-on-cost 500` — enforce waste thresholds in CI/CD on a schedule, owned by platform or FinOps teams
-- **43 curated, high-signal detection rules:** orphaned volumes, idle databases, stopped instances, unused registries, and more — designed to avoid false positives in IaC environments, each with a deterministic cost estimate
+- **45 curated, high-signal detection rules:** orphaned volumes, idle databases, stopped instances, unused registries, and more — designed to avoid false positives in IaC environments, each with a deterministic cost estimate
 - **Multi-account scanning (AWS):** scan entire AWS Organizations in one run — config file, inline IDs, or auto-discovery via `--org`
 - **Multi-subscription scanning (Azure):** scan all Azure subscriptions in parallel — auto-discovery via Management Group, per-subscription cost breakdown included
 - **Multi-project scanning (GCP):** scan all accessible GCP projects in parallel — auto-discovery via Application Default Credentials, per-project cost breakdown included
@@ -283,13 +283,15 @@ Idle AI/ML infrastructure is the fastest-growing source of invisible cloud spend
 | Azure OpenAI Provisioned Deployment (PTU) | $1,460+ / PTU / month |
 | Vertex AI Online Prediction endpoint (GPU) | $449 – $23,000+ / month |
 | Vertex AI Workbench instance (GPU) | $449 – $8,000+ / month |
+| Cloud TPU node (v4/v5p) | $188 – $750+/ day |
+| Vertex AI Feature Store (Bigtable-backed) | $197 – $591+ / month |
 
 CleanCloud detects zero-invocation / zero-prediction endpoints and idle notebook instances across all three clouds and flags them HIGH risk. Native cost tools show the bill — they don't tell you *which endpoint* to delete.
 
 ```bash
 cleancloud scan --provider aws --category ai          # Bedrock PTUs + SageMaker endpoints + notebooks + Studio apps + training jobs + idle GPU EC2
 cleancloud scan --provider azure --category ai        # AML compute + ML instances + online endpoints + AI Search + OpenAI PTUs
-cleancloud scan --provider gcp --category ai          # Vertex AI endpoints + Workbench + training jobs
+cleancloud scan --provider gcp --category ai          # Vertex AI endpoints + Workbench + training jobs + Cloud TPU + Feature Stores
 cleancloud scan --provider aws --category all         # hygiene + AI/ML together
 ```
 
@@ -527,7 +529,7 @@ Yes. CleanCloud only needs network access to your cloud provider's API endpoints
 
 ## What CleanCloud Detects
 
-43 rules across AWS, Azure, and GCP — conservative, high-signal, designed to avoid false positives in IaC environments.
+45 rules across AWS, Azure, and GCP — conservative, high-signal, designed to avoid false positives in IaC environments.
 
 **AWS:**
 - Compute: stopped instances 30+ days (EBS charges continue)
@@ -551,7 +553,7 @@ Yes. CleanCloud only needs network access to your cloud provider's API endpoints
 - Storage: unattached Persistent Disks (HIGH), old snapshots 90+ days
 - Network: unused reserved static IPs — regional and global (HIGH)
 - Platform: idle Cloud SQL instances with zero connections 14+ days (HIGH)
-- AI/ML *(opt-in: `--category ai`)*: idle Vertex AI Online Prediction endpoints with zero or near-zero predictions 14+ days (dedicated nodes continue billing regardless of traffic) — GPU-backed endpoints flagged HIGH risk ($449–$23K+/month); idle Workbench instances (v1 + v2) with no control-plane activity 14+ days — GPU instances flagged HIGH/CRITICAL ($449–$8K+/month); long-running Vertex AI training jobs (CustomJobs + TrainingPipelines) beyond 24h threshold — GPU early warning at 75% of threshold, CRITICAL risk for GPU jobs at 3× threshold ($4–$80+/hr per GPU node)
+- AI/ML *(opt-in: `--category ai`)*: idle Vertex AI Online Prediction endpoints with zero or near-zero predictions 14+ days (dedicated nodes continue billing regardless of traffic) — GPU-backed endpoints flagged HIGH risk ($449–$23K+/month); idle Workbench instances (v1 + v2) with no control-plane activity 14+ days — GPU instances flagged HIGH/CRITICAL ($449–$8K+/month); long-running Vertex AI training jobs (CustomJobs + TrainingPipelines) beyond 24h threshold — GPU/TPU early warning at 90% of threshold, CRITICAL risk for GPU jobs at 3× threshold ($4–$80+/hr per GPU node); idle Cloud TPU nodes (v2–v6e) in READY state with near-zero duty_cycle for 7+ days — idle v4 costs $12.88/hr, v5p-8 costs $33.60/hr; idle Vertex AI Feature Store online stores with zero ReadFeatureValues requests for 30+ days — Bigtable-backed stores bill ~$197/node/month regardless of activity
 
 Rules without a confidence marker are MEDIUM — they use time-based heuristics or multiple signals. Start with `--fail-on-confidence HIGH` to catch obvious waste, then tighten as your team validates.
 

cleancloud.yaml

@@ -108,6 +108,14 @@ rules:
   #   params:
   #     idle_days: 14           # default: 7 (days of zero requests before flagging)
 
+  # gcp.tpu.idle:
+  #   params:
+  #     idle_days: 14           # default: 7 (days of low duty-cycle before flagging)
+
+  # gcp.vertex.featurestore.idle:
+  #   params:
+  #     idle_days: 60           # default: 30 (days of zero online serving requests before flagging)
+
 # ── Categories ───────────────────────────────────────────────────────────────
 # Override the default category without using the --category CLI flag.
 # Equivalent to: cleancloud scan --provider aws --category all

cleancloud/doctor/gcp.py

@@ -798,6 +798,60 @@ def run_gcp_ai_doctor(project_id: Optional[str] = None) -> None:
     else:
         info("aiplatform.trainingPipelines.list — skipped (no project specified)")
 
+    # --- tpu.nodes.list ---
+    if probe_project_id:
+        try:
+            session = AuthorizedSession(credentials)
+            resp = session.get(
+                f"https://tpu.googleapis.com/v2" f"/projects/{probe_project_id}/locations/-/nodes",
+                params={"pageSize": 1},
+            )
+            if resp.status_code == 403:
+                permissions_failed.append("tpu.nodes.list")
+                warn("tpu.nodes.list — MISSING " "(rule: gcp.tpu.idle will be skipped)")
+            elif resp.status_code == 404:
+                info(
+                    "tpu.nodes.list — Cloud TPU API not enabled in this project "
+                    "(enable via: gcloud services enable tpu.googleapis.com)"
+                )
+            else:
+                success("tpu.nodes.list")
+        except Exception as e:
+            info(f"tpu.nodes.list — check skipped ({type(e).__name__})")
+    else:
+        info("tpu.nodes.list — skipped (no project specified)")
+
+    # --- aiplatform.featurestores.list / aiplatform.featureOnlineStores.list ---
+    for resource, perm in (
+        ("featurestores", "aiplatform.featurestores.list"),
+        ("featureOnlineStores", "aiplatform.featureOnlineStores.list"),
+    ):
+        if probe_project_id:
+            try:
+                session = AuthorizedSession(credentials)
+                resp = session.get(
+                    f"https://aiplatform.googleapis.com/v1"
+                    f"/projects/{probe_project_id}/locations/us-central1/{resource}",
+                    params={"pageSize": 1},
+                )
+                if resp.status_code == 403:
+                    permissions_failed.append(perm)
+                    warn(
+                        f"{perm} — MISSING "
+                        f"(rule: gcp.vertex.featurestore.idle may be partially skipped)"
+                    )
+                elif resp.status_code == 404:
+                    info(
+                        f"{perm} — Vertex AI API not enabled in this project "
+                        f"(enable via: gcloud services enable aiplatform.googleapis.com)"
+                    )
+                else:
+                    success(f"{perm}")
+            except Exception as e:
+                info(f"{perm} — check skipped ({type(e).__name__})")
+        else:
+            info(f"{perm} — skipped (no project specified)")
+
     # -------------------------------------------------------------------------
     # Rule coverage summary
     # -------------------------------------------------------------------------
@@ -836,6 +890,40 @@ def run_gcp_ai_doctor(project_id: Optional[str] = None) -> None:
             f"{', '.join(training_perms_missing)})"
         )
 
+    if "tpu.nodes.list" not in permissions_failed:
+        tpu_metric_note = (
+            "(partial: monitoring missing — age-based fallback active)"
+            if "monitoring.timeSeries.list" in permissions_failed
+            else "(enabled)"
+        )
+        if "monitoring.timeSeries.list" in permissions_failed:
+            warn(f"  ~ gcp.tpu.idle                         {tpu_metric_note}")
+        else:
+            success(f"  ✓ gcp.tpu.idle                         {tpu_metric_note}")
+    else:
+        warn("  ✗ gcp.tpu.idle                         (disabled: missing tpu.nodes.list)")
+
+    featurestore_perms_missing = [
+        p
+        for p in ("aiplatform.featurestores.list", "aiplatform.featureOnlineStores.list")
+        if p in permissions_failed
+    ]
+    if not featurestore_perms_missing:
+        fs_note = (
+            "(partial: monitoring missing — age-based fallback active)"
+            if "monitoring.timeSeries.list" in permissions_failed
+            else "(enabled)"
+        )
+        if "monitoring.timeSeries.list" in permissions_failed:
+            warn(f"  ~ gcp.vertex.featurestore.idle         {fs_note}")
+        else:
+            success(f"  ✓ gcp.vertex.featurestore.idle         {fs_note}")
+    else:
+        warn(
+            f"  ✗ gcp.vertex.featurestore.idle         (partial: missing "
+            f"{', '.join(featurestore_perms_missing)})"
+        )
+
     # -------------------------------------------------------------------------
     # Remediation guidance
     # -------------------------------------------------------------------------
@@ -852,11 +940,15 @@ def run_gcp_ai_doctor(project_id: Optional[str] = None) -> None:
                 "aiplatform.endpoints.list",
                 "aiplatform.customJobs.list",
                 "aiplatform.trainingPipelines.list",
+                "aiplatform.featurestores.list",
+                "aiplatform.featureOnlineStores.list",
             )
         ):
             roles_needed.append("roles/aiplatform.viewer")
         if "notebooks.instances.list" in permissions_failed:
             roles_needed.append("roles/notebooks.viewer")
+        if "tpu.nodes.list" in permissions_failed:
+            roles_needed.append("roles/tpu.viewer")
         for role in roles_needed:
             info(f"  gcloud projects add-iam-policy-binding {proj_hint} \\")
             info(f'    --member="serviceAccount:{sa_hint}" \\')