Este documento descreve os pré-requisitos para usar a ferramenta de automatização da implementação guiada no Workload Manager.
Além disso, tem de cumprir os seguintes pré-requisitos específicos da aplicação que está a implementar:
- Pré-requisitos para implementar uma aplicação SAP S/4HANA
- Pré-requisitos para implementar uma carga de trabalho do SQL Server
| Pré-requisito | Descrição |
|---|---|
| Google Cloud conta de faturação | Tem de ter uma Google Cloud conta que faça parte da sua organização com faturação ativa. Para mais informações, consulte o artigo Crie uma nova conta de faturação. |
| Google Cloud projeto |
Um Google Cloud projeto no qual quer implementar a aplicação. Consulte o artigo Crie e faça a gestão de projetos. Certifique-se de que o projeto está associado à conta de faturação. |
| Ative as APIs | Ative as seguintes APIs no seu projeto: Durante o processo de implementação, o Workload Manager ativa automaticamente APIs adicionais necessárias se não estiverem ativadas no seu projeto. |
| Conceda funções de IAM à conta de serviço do Workload Manager | O Workload Manager usa um agente de serviço ao qual tem de conceder as funções necessárias antes de poder implementar uma aplicação. Para mais informações, consulte o artigo Conta de serviço do Workload Manager. |
| Conceda funções de IAM a uma conta de serviço gerida pelo utilizador | Crie uma conta de serviço e conceda todas as funções necessárias para implementar a sua aplicação. Para mais informações, consulte o artigo Conta de serviço gerida pelo utilizador. |
| Funções e autorizações de IAM | Os utilizadores que implementam uma carga de trabalho através da ferramenta de automatização de implementação guiada têm de ter ou receber as funções e as autorizações necessárias para configurar a implementação. Estes utilizadores também precisam de autorizações para criar as contas de serviço necessárias durante a implementação. Para mais informações, consulte o artigo Funções e autorizações do IAM. |
| Pool privado do Cloud Build | Opcional. Se a sua organização aplicar as definições de perímetro dos VPC Service Controls para proteger os recursos e os dados do Workload Manager, configure um conjunto de trabalhadores privados do Cloud Build para usar no seu ambiente de implementação. Para mais informações, consulte o artigo Use um conjunto de trabalhadores privados do Cloud Build. |
| Quotas | Certifique-se de que tem quota de recursos suficiente no seu projeto para implementar a carga de trabalho. Para mais informações, consulte o artigo Quotas. |
Conta de serviço do Workload Manager
A ferramenta de automatização da implementação guiada usa um agente de serviço para implementar aplicações.
Quando cria uma implementação, o Workload Manager pede-lhe que conceda as funções necessárias a esta conta de serviço se ainda não tiverem sido concedidas. Se não tiver autorização para conceder estas funções, peça a um administrador para conceder as seguintes funções à conta de serviço do Workload Manager antes de criar uma implementação.
| Conta de serviço | Funções necessárias |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Conta de serviço gerida pelo utilizador
O Workload Manager usa a conta de serviço anexada à sua implementação para chamar outras APIs e serviços para criar recursos necessários para a implementação.
Pode anexar uma conta de serviço existente ou criar uma conta de serviço quando configurar a implementação. Consoante a sua aplicação e configuração, o Workload Manager pede-lhe que conceda qualquer uma das funções em falta à sua conta de serviço.
Para mais informações sobre a atribuição de funções a contas de serviço, consulte o artigo Faça a gestão do acesso às contas de serviço.
Funções e autorizações do IAM
O controlo de acesso no Workload Manager é controlado através da
gestão de identidade e de acesso (IAM). O Workload Manager oferece um conjunto específico de funções de IAM predefinidas, em que cada função contém um conjunto de autorizações. O IAM permite-lhe adotar o
princípio de segurança do menor privilégio,
pelo que concede apenas o acesso necessário aos seus recursos.
É necessária a seguinte autorização para ativar a API Workload Manager
no projeto selecionado. Esta tarefa só tem de ser realizada uma vez em cada projeto.
Um administrador ou outro utilizador com a autorização pode ativar a API e, depois disso, os outros utilizadores podem aceder ao Workload Manager.
| Ação | Autorização necessária | Exemplo de função |
|---|---|---|
| Ative a API Workload Manager | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
O Workload Manager também tem funções para controlar quem pode aceder às funcionalidades de implementação e determinar quem pode implementar, gerir e ver implementações. Cada função tem as autorizações necessárias para realizar as tarefas indicadas.
Para mais informações, consulte o artigo Controlo de acesso com a IAM. Ao conceder funções do IAM a responsáveis, a Google recomenda que aplique o princípio do menor privilégio.
| Role | Tarefa de implementação |
|---|---|
| Workload Manager Deployment AdminBeta | Criar, modificar, implementar e ver implementações. |
| Workload Manager Deployment ViewerBeta | Veja as implementações. |
Use um worker pool privado do Cloud Build
Se a sua organização aplicar a conformidade com os VPC Service Controls, tem de usar um conjunto de trabalhadores privado para a sua implementação.
As pools privadas são alojadas numa rede de nuvem virtual privada pertencente à Google denominada rede de produtores de serviços. Antes de criar um pool privado, configure uma ligação privada entre a rede do produtor de serviços e a rede VPC que contém os seus recursos.
Para criar e usar um conjunto privado do Cloud Build, siga as instruções em Crie e faça a gestão de conjuntos privados.
Considere os seguintes requisitos quando configurar um conjunto de trabalhadores privado para usar com o Workload Manager:
- Tem de usar um conjunto de trabalhadores privado do Cloud Build para a implementação. Não pode usar o grupo de trabalhadores do Cloud Build predefinido. Para mais informações, consulte Limitações na documentação do Cloud Build.
- Para transferir a configuração do Terraform, o pool privado do Cloud Build tem de ter chamadas de Internet públicas ativadas.
Também tem de garantir que os seguintes recursos estão no mesmo perímetro de serviço do VPC Service Controls:
- Grupo de trabalhadores privado do Cloud Build.
- Conta de serviço do Workload Manager.
- O contentor do Cloud Storage que o Workload Manager usa para a implementação.
Quotas
Google Cloud usa quotas para proteger e controlar o número de recursos que uma determinada conta ou organização pode usar. As aplicações suportadas consomem frequentemente uma grande parte dos recursos. Dado o tamanho das bases de dados e das aplicações, pode ter problemas de quota durante o processo de implementação.
Para evitar problemas de quota, faça o seguinte:
- Veja a quota de recursos disponível para o seu projeto.
- Se necessário, peça um valor de quota mais elevado ou contacte o administrador do projeto.
O que se segue?
- Saiba como preparar ficheiros de instalação do SAP para implementação.
- Saiba como implementar uma carga de trabalho do SAP S/4HANA.