Version 2 : Guide de dépannage de l'agent Google Cloud pour SAP

Ce guide vous explique comment résoudre les problèmes liés à la version 2 de l'agent Google Cloud pour SAP.

Journalisation

Vérifiez les journaux dans le répertoire qui correspond spécifiquement à votre système d'exploitation.

Pour afficher les journaux de l'agent Google Cloud pour SAP, accédez aux chemins d'accès suivants :

Linux

/var/log/google-cloud-sap-agent.log

Windows

C:\Program Files\Google\google-cloud-sap-agent\logs\google-cloud-sap-agent.log

Problèmes courants

Problème : autorisations IAM insuffisantes

Problème : les journaux de l'agent Google Cloud pour SAP indiquent une erreur d'autorisation IAM insuffisante.

Cause : le compte de service ne dispose pas des autorisations IAM requises pour accéder à l'API Cloud Monitoring.

Solution : dans la console Google Cloud, sur la page Détails de l'instance de VM, notez le nom du compte de service de VM. Exemple : sap-example@example-project-123456.iam.gserviceaccount.com. Sur la page d'accueil "IAM et administration", assurez-vous que le compte de service inclut les rôles IAM suivants :

Fonctionnalité	Rôles IAM requis
Collecte de métriques de l'agent hôte SAP	Lecteur Compute (`roles/compute.viewer`) Lecteur Monitoring (`roles/monitoring.viewer`)
Collecte des métriques de surveillance des processus	Lecteur Compute (`roles/compute.viewer`) Rédacteur de métriques Monitoring (`roles/monitoring.metricWriter`) Accesseur de secrets Secret Manager (`roles/secretmanager.secretAccessor`) (Obligatoire lorsque vous utilisez Secret Manager pour authentifier le compte utilisateur de base de données pour SAP HANA.)
Collecte des métriques d'évaluation du gestionnaire de charges de travail	Lecteur Compute (`roles/compute.viewer`) Rédacteur de métriques Monitoring (`roles/monitoring.metricWriter`) Accesseur de secrets Secret Manager (`roles/secretmanager.secretAccessor`) (Obligatoire lorsque vous utilisez Secret Manager pour authentifier le compte utilisateur de base de données pour SAP HANA.)
Collecte des métriques de surveillance SAP HANA	Lecteur Compute (`roles/compute.viewer`) Rédacteur de métriques Monitoring (`roles/monitoring.metricWriter`) Accesseur de secrets Secret Manager (`roles/secretmanager.secretAccessor`) (Obligatoire lorsque vous utilisez Secret Manager pour authentifier le compte utilisateur de base de données pour SAP HANA.)

Pour en savoir plus sur l'authentification requise pour l'agent Google Cloud pour SAP, consultez la page Authentification et accès.

Pour connaître les autorisations requises par l'agent Cloud Monitoring, consultez la documentation de Monitoring suivante :

Autoriser l'agent Monitoring
Access control (Contrôle des accès)

Problème : Niveaux d'accès incorrects pour le compte de service de VM

Problème : si vous limitez les niveaux d'accès sur votre instance de VM hôte, l'erreur de l'agent Google Cloud pour SAP peut afficher une erreur d'autorisation IAM insuffisante.

Cause : l'agent Google Cloud pour SAP nécessite un minimum de niveaux d'accès aux API Cloud sur l'instance de VM hôte. Cette erreur se produit lorsque le compte de service ne dispose pas des niveaux d'accès requis.

Solution : les champs d'application d'accès représentent l'ancienne méthode de spécification des autorisations associées à votre instance de VM. Compute Engine recommande de configurer vos instances de VM de façon à accorder un niveau d'accès complet à toutes les API Cloud et à n'utiliser que les autorisations IAM du compte de service de la VM pour contrôler les accès aux ressources Google Cloud.

Pour résoudre ce problème, il est recommandé de définir tous les niveaux d'accès cloud-platform sur l'instance de VM, puis de restreindre de manière sécurisée les accès du compte de service aux API à l'aide de rôles IAM. Par exemple :

https://www.googleapis.com/auth/cloud-platform

Si vous limitez les niveaux d'accès de votre instance de VM, vous devez vous assurer que la VM hôte dispose des niveaux d'accès suivants :

https://www.googleapis.com/auth/source.read_write
https://www.googleapis.com/auth/compute
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/logging.admin
https://www.googleapis.com/auth/monitoring
https://www.googleapis.com/auth/trace.append
https://www.googleapis.com/auth/devstorage.full_control

Si vous avez activé la collecte des métriques de surveillance des processus, des métriques d'évaluation du gestionnaire de charges de travail ou des métriques de surveillance SAP HANA, les champs d'application d'accès de l'instance de VM hôte doivent également disposer d'un accès en écriture pour publier des données de métrique sur votre projet Google Cloud :

https://www.googleapis.com/auth/monitoring.write

Pour modifier les niveaux d'accès, vous devez arrêter votre instance de VM, apporter les modifications nécessaires, puis la redémarrer. Pour savoir comment procéder, consultez la documentation Compute Engine. Ce problème ne nécessite pas que vous modifiez les autorisations relatives aux rôles IAM.

Problème : Agent hôte SAP manquant ou incorrect

Problème : les journaux de l'agent Google Cloud pour SAP sont manquants ou incorrects.

Cause : l'agent hôte SAP ou le niveau de correctif minimal requis pour l'agent hôte SAP n'est pas installé. Pour que l'agent Google Cloud pour SAP fonctionne, votre système SAP doit avoir installé l'agent hôte SAP et le niveau de correctif minimal requis pour l'agent hôte est conservé.

Solution : pour résoudre ce problème, installez la version requise de l'agent hôte SAP. Pour savoir comment installer l'agent hôte SAP, consultez la documentation SAP.

Pour connaître les exigences relatives à la version de l'agent hôte SAP, consultez les notes SAP suivantes :

Linux : note SAP 2460297 – SAP on Linux on Google Cloud Platform: Enhanced Monitoring
Windows : note SAP 1409604 – Virtualization on Windows: Enhanced Monitoring

Problème : Échec de l'installation de l'agent Google Cloud pour SAP

Problème : l'installation de l'agent échoue lorsque la commande d'installation du gestionnaire de packages (yum, zypper ou googet) est exécutée.

Cause : l'installation de l'agent échoue, car le serveur hôte qui exécute l'agent a été créé sans adresse IP publique.

Solution : pour résoudre ce problème, configurez une passerelle NAT qui fournit au serveur hôte un accès sortant à Internet. Pour en savoir plus sur la configuration d'une passerelle NAT, consultez le guide de déploiement de votre système SAP. Par exemple, pour SAP NetWeaver, consultez les pages suivantes :

Problème : Échec de la collecte des métriques de surveillance SAP HANA

Problème : lors de la mise à niveau à partir de l'agent de surveillance pour SAP HANA, un message d'erreur semblable à celui-ci s'affiche après l'installation de l'agent Google Cloud pour SAP :

tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead

Cause : l'agent Google Cloud pour SAP ne peut pas démarrer la collecte des métriques de surveillance SAP HANA, car les instances SAP HANA cibles utilisent des certificats SSL spécifiés avec le nom commun (CN).

Résolution : pour résoudre ce problème, procédez comme suit :

Pour les instances SAP HANA que vous souhaitez surveiller à l'aide de l'agent Google Cloud pour SAP, vous devez passer à un certificat SSL (SAN, Subject Alternative Name) au lieu des certificats SSL spécifiés avec le nom commun (CN).
Établissez une connexion SSH avec votre instance de VM hôte ou votre serveur de solution Bare Metal.
Ouvrez le fichier de configuration de l'agent Google Cloud pour SAP :
```
/etc/google-cloud-sap-agent/configuration.json
```
Dans la section hana_monitoring_configuration, définissez le paramètre enabled sur true.
Dans la section hana_monitoring_configuration.hana_instances, procédez comme suit pour chaque instance SAP HANA qui utilise le protocole TLS/SSL pour une communication sécurisée :
1. Spécifiez le paramètre enable_ssl et définissez sa valeur sur true.
2. Spécifiez le paramètre host_name_in_certificate et définissez le nom d'hôte SAP HANA comme valeur spécifiée dans le certificat TLS/SSL.
3. Spécifiez le paramètre tls_root_ca_file et définissez le chemin d'accès au certificat TLS/SSL en tant que valeur.
Enregistrez le fichier de configuration.
Redémarrez l'agent Google Cloud pour SAP pour que les nouveaux paramètres prennent effet :
```
sudo systemctl restart google-cloud-sap-agent
```
Vérifiez que l'agent collecte les métriques de surveillance SAP HANA. Pour obtenir des instructions, consultez la page Afficher les autres métriques.
Désinstallez l'agent de surveillance pour SAP HANA.

Problème: erreur "Connexion refusée"

Problème : les journaux de l'agent hôte SAP affichent l'erreur "Connexion refusée".

Cause : l'agent de Google Cloud pour SAP ne peut pas démarrer, car le port 18181 n'est pas disponible. L'agent Google Cloud pour SAP écoute les requêtes sur le port 18181. Ce port doit être disponible pour que l'agent démarre.

Solution : pour résoudre ce problème, assurez-vous que le port 18181 est disponible pour l'agent Google Cloud pour SAP. Si un autre service utilise le port 18181, vous devrez peut-être redémarrer cet autre service ou le reconfigurer pour qu'il utilise un autre port.

Problème : pour les images d'OS SLES 15 SP4 pour SAP et versions ultérieures, l'agent pour Google Cloud pour SAP ne s'exécute pas

Problème : Lorsque vous utilisez les images d'OS SLES "pour SAP", l'agent Google Cloud pour SAP est préinstallé. Toutefois, pour les images d'OS SLES 15 SP4 pour SAP et versions ultérieures, l'agent préinstallé pour SAP ne démarre pas seul.

Pour vérifier que l'agent est en cours d'exécution ou non, procédez comme suit :

Connectez-vous à l'instance de VM hôte ou au serveur de solution Bare Metal.

Exécutez la commande suivante :

systemctl status google-cloud-sap-agent

Si l'agent n'est pas en cours d'exécution, le résultat contient inactive (dead). Exemple :

google-cloud-sap-agent.service - Google Cloud Agent for SAP
 Loaded: loaded (/usr/lib/systemd/system/google-cloud-sap-agent.service; disabled; vendor preset: disabled)
 Active: inactive (dead)

Cause : l'agent pour SAP ne démarre pas seul en raison d'un problème avec le packaging de système d'exploitation.

Résolution : pour résoudre le problème, procédez comme suit :

Connectez-vous à l'instance de VM hôte ou au serveur de solution Bare Metal.

Exécutez les commandes suivantes :

sudo sed -i 's~ /usr/sap~ -/usr/sap~g' /usr/lib/systemd/system/google-cloud-sap-agent.service
sudo systemctl restart google-cloud-sap-agent

Vérifier que l'agent est en cours d'exécution :

systemctl status google-cloud-sap-agent

Un résultat semblable aux lignes suivantes doit s'afficher :

google-cloud-sap-agent.service - Google Cloud Agent for SAP
  Loaded: loaded (/usr/lib/systemd/system/google-cloud-sap-agent.service; disabled; vendor preset: disabled)
  Active: active (running) since Wed 2023-07-12 03:07:23 UTC; 7s ago
Main PID: 6117 (google_cloud_sa)
   Tasks: 6
  Memory: 8.8M (max: 1.0G limit: 1.0G available: 1015.1M)
  CGroup: /system.slice/google-cloud-sap-agent.service
           └─ 6117 /usr/bin/google_cloud_sap_agent startdaemon

Obtenir de l'aide concernant l'agent Google Cloud pour SAP

Si vous avez besoin d'aide pour résoudre un problème lié à l'agent Google Cloud pour SAP, rassemblez les informations de diagnostic nécessaires et contactez Cloud Customer Care. Pour en savoir plus, consultez Version 2 : Informations de diagnostic de l'agent Google Cloud pour SAP.