Este documento descreve os pré-requisitos para usar a ferramenta de automação de implantação guiada no Workload Manager.
Além disso, você precisa atender aos seguintes pré-requisitos específicos do aplicativo que está sendo implantado:
- Pré-requisitos para implantar um aplicativo SAP S/4HANA
- Pré-requisitos para implantar uma carga de trabalho do SQL Server
| Pré-requisito | Descrição |
|---|---|
| Google Cloud conta de faturamento | Você precisa ter uma Google Cloud conta que faça parte da sua organização com faturamento ativo. Para mais informações, consulte Criar uma nova conta de faturamento. |
| Google Cloud project |
Um projeto Google Cloud em que você quer implantar o aplicativo. Consulte Criar e gerenciar projetos. Verifique se o projeto está vinculado à conta de faturamento. |
| Ativar APIs | Ative as APIs a seguir no projeto: Durante o processo de implantação, o Workload Manager ativa automaticamente APIs necessárias adicionais se elas não estiverem ativadas no seu projeto. |
| Conceder papéis do IAM à conta de serviço do Workload Manager | O Workload Manager usa um agente de serviço que precisa receber os papéis necessários antes de implantar um aplicativo. Para mais informações, consulte Conta de serviço do Gerenciador de cargas de trabalho. |
| Concessão de papéis do IAM a uma conta de serviço gerenciada pelo usuário | Crie uma conta de serviço e conceda todos os papéis necessários para implantar o aplicativo. Para mais informações, consulte Conta de serviço gerenciada pelo usuário. |
| Permissões e papéis do IAM | Os usuários que implantam uma carga de trabalho usando a ferramenta de automação de implantação guiada precisam ter ou receber as funções e permissões necessárias para configurar a implantação. Esses usuários também precisam de permissões para criar as contas de serviço necessárias durante a implantação. Para mais informações, consulte Papéis e permissões do IAM. |
| Pool privado do Cloud Build | Opcional. Se a sua organização aplicar as configurações de perímetro do VPC Service Controls para proteger os recursos e dados do Workload Manager, configure um pool de workers particular do Cloud Build para usar no ambiente de implantação. Para mais informações, consulte Usar um pool de workers particular do Cloud Build. |
| Cotas | Verifique se você tem cota de recurso suficiente no projeto para implantar a carga de trabalho. Para mais informações, consulte Cotas. |
Conta de serviço do gerenciador de cargas de trabalho
A ferramenta de automação de implantação guiada usa um agente de serviço para implantar aplicativos.
Ao criar uma implantação, o Workload Manager solicita que você conceda os papéis necessários a essa conta de serviço, se ainda não tiver sido feito. Se você não tiver permissão para conceder esses papéis, peça a um administrador para conceder os papéis a seguir à conta de serviço do Workload Manager antes de criar uma implantação.
| Conta de serviço | Papéis obrigatórios |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Conta de serviço gerenciada pelo usuário
O Workload Manager usa a conta de serviço anexada à sua implantação para chamar outras APIs e serviços para criar os recursos necessários para a implantação.
É possível anexar uma conta de serviço atual ou criar uma conta de serviço ao configurar a implantação. Dependendo do aplicativo e da configuração, o Gerenciador de cargas de trabalho vai solicitar que você conceda qualquer uma das funções ausentes à sua conta de serviço.
Para mais informações sobre como conceder papéis a contas de serviço, consulte Gerenciar o acesso a contas de serviço.
Permissões e papéis do IAM
O controle de acesso no Workload Manager é feito usando o
Gerenciamento de identidade e acesso (IAM). O Workload Manager oferece um conjunto específico de papéis predefinidos do IAM,
em que cada papel contém um conjunto de permissões. Com o IAM, é possível adotar o
princípio de segurança do menor privilégio
(em inglês) para conceder apenas o acesso necessário aos recursos.
A permissão a seguir é necessária para ativar a API Workload Manager
no projeto selecionado. Essa tarefa só precisa ser realizada uma vez em cada projeto.
Um administrador ou outro usuário com a permissão pode ativar a API. Depois disso,
outros usuários podem acessar o Gerenciador de carga de trabalho.
| Ação | Permissão necessária | Exemplo de função |
|---|---|---|
| Ativar a API Workload Manager | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
O Workload Manager também tem funções para controlar quem pode acessar os recursos de implantação e determinar quem pode implantar, gerenciar e visualizar implantações. Cada função tem as permissões necessárias para realizar as tarefas indicadas.
Para mais informações, consulte Controle de acesso com o IAM. Ao conceder papéis do IAM a principais, o Google recomenda aplicar o princípio do privilégio mínimo.
| Papel | Tarefa de implantação |
|---|---|
| Administrador de implantação do Workload ManagerAlfa | Criar, modificar, implantar e visualizar implantações. |
| Leitor de implantação do Workload ManagerAlfa | Conferir implantações. |
Usar um pool de worker particular do Cloud Build
Se a sua organização exigir a conformidade com o VPC Service Controls, use um pool de workers particular para a implantação.
Os pools particulares são hospedados em uma rede de nuvem privada virtual do Google chamada rede de produtores de serviços. Antes de criar um pool particular, configure uma conexão particular entre a rede do produtor de serviços e a rede VPC que contém seus recursos.
Para criar e usar um pool particular do Cloud Build, siga as instruções em Criar e gerenciar pools particulares.
Considere os seguintes requisitos ao configurar um pool de workers privado para usar com o Workload Manager:
- Use um pool de workers particular do Cloud Build para a implantação. Não é possível usar o pool de workers padrão do Cloud Build. Para mais informações, consulte Limitações na documentação do Cloud Build.
- Para fazer o download da configuração do Terraform, o pool particular do Cloud Build precisa ter chamadas públicas da Internet ativadas.
Você também precisa garantir que os recursos a seguir estejam no mesmo perímetro de serviço do VPC Service Controls:
- Pool de workers particulares do Cloud Build.
- Conta de serviço do Workload Manager.
- O bucket do Cloud Storage que o Workload Manager usa para implantação.
Cotas
OGoogle Cloud usa cotas para proteger e controlar o número de recursos que uma conta ou organização específica pode usar. Os aplicativos com suporte geralmente consomem uma grande parte dos recursos. Devido ao tamanho dos bancos de dados e aplicativos, você pode ter problemas de cota durante o processo de implantação.
Para evitar problemas de cota, faça o seguinte:
- Conferir a cota de recursos disponível para seu projeto.
- Se necessário, solicite um limite de cota maior ou entre em contato com o administrador do projeto.
A seguir
- Saiba como preparar arquivos de instalação do SAP para implantação.
- Saiba como implantar uma carga de trabalho do SAP S/4HANA.