Ce document décrit les conditions préalables à l'utilisation de l'outil d'automatisation du déploiement guidé dans Workload Manager.
De plus, vous devez remplir les conditions préalables suivantes, qui sont spécifiques à l'application que vous déployez:
- Prérequis pour le déploiement d'une application SAP S/4HANA
- Conditions préalables pour déployer une charge de travail SQL Server
| Conditions préalables | Description |
|---|---|
| Google Cloud compte de facturation | Vous devez disposer d'un compte Google Cloud appartenant à votre organisation et pour lequel la facturation est active. Pour plus d'informations, consultez la section Créer un compte de facturation. |
| Google Cloud project |
Un projet Google Cloud dans lequel vous souhaitez déployer l'application. Consultez Créer et gérer des projets. Assurez-vous que le projet est associé au compte de facturation. |
| Activer les API | Activez les API suivantes dans votre projet: Lors du processus de déploiement, Workload Manager active automatiquement les API requises supplémentaires si elles ne sont pas activées dans votre projet. |
| Accorder des rôles IAM au compte de service Workload Manager | Workload Manager utilise un agent de service auquel vous devez accorder les rôles requis avant de pouvoir déployer une application. Pour en savoir plus, consultez Compte de service Workload Manager. |
| Accorder des rôles IAM à un compte de service géré par l'utilisateur | Créez un compte de service et attribuez-lui tous les rôles requis pour le déploiement de votre application. Pour en savoir plus, consultez Compte de service géré par l'utilisateur. |
| Rôles et autorisations IAM | Les utilisateurs qui déploient une charge de travail à l'aide de l'outil d'automatisation guidée du déploiement doivent disposer des rôles et des autorisations requis pour configurer le déploiement. Ces utilisateurs ont également besoin d'autorisations pour créer les comptes de service nécessaires lors du déploiement. Pour en savoir plus, consultez la page Rôles et autorisations IAM. |
| Pool privé Cloud Build | Facultatif. Si votre organisation applique des paramètres de périmètre VPC Service Controls pour protéger les ressources et les données du Gestionnaire de charges de travail, configurez un pool de nœuds de calcul privé Cloud Build à utiliser dans votre environnement de déploiement. Pour en savoir plus, consultez Utiliser un pool de nœuds de calcul privé Cloud Build. |
| Quotas | Assurez-vous que votre projet dispose d'un quota de ressources suffisant pour déployer la charge de travail. Pour en savoir plus, consultez la page consacrée aux quotas. |
Compte de service du gestionnaire de charges de travail
L'outil d'automatisation du déploiement guidée utilise un agent de service pour déployer des applications.
Lorsque vous créez un déploiement, le gestionnaire de charges de travail vous invite à attribuer les rôles requis à ce compte de service s'ils ne sont pas déjà attribués. Si vous n'êtes pas autorisé à attribuer ces rôles, demandez à un administrateur d'attribuer les rôles suivants au compte de service Workload Manager avant de créer un déploiement.
| Compte de service | Rôles requis |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Compte de service géré par l'utilisateur
Workload Manager utilise le compte de service associé à votre déploiement pour appeler d'autres API et services afin de créer les ressources nécessaires au déploiement.
Vous pouvez associer un compte de service existant ou en créer un lorsque vous configurez le déploiement. En fonction de votre application et de votre configuration, Workload Manager vous invite à attribuer les rôles manquants à votre compte de service.
Pour en savoir plus sur l'attribution de rôles aux comptes de service, consultez la page Gérer l'accès aux comptes de service.
Rôles et autorisations IAM
Le contrôle des accès dans Workload Manager est contrôlé à l'aide de la gestion de l'authentification et des accès (IAM). Workload Manager fournit un ensemble spécifique de rôles IAM prédéfinis dans lesquels chaque rôle contient un ensemble d'autorisations. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.
L'autorisation suivante est requise pour activer l'API Workload Manager dans le projet sélectionné. Cette tâche ne doit être effectuée qu'une seule fois dans chaque projet.
Un administrateur ou un autre utilisateur disposant de l'autorisation peut activer l'API. Les autres utilisateurs peuvent ensuite accéder au Gestionnaire de charges de travail.
| Action | Autorisation requise | Exemple de rôle |
|---|---|---|
| Activer l'API Workload Manager | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Le Gestionnaire de charges de travail propose également des rôles pour contrôler les utilisateurs autorisés à accéder aux fonctionnalités de déploiement, et déterminer qui peut déployer, gérer et afficher les déploiements. Chaque rôle dispose des autorisations nécessaires pour effectuer les tâches indiquées.
Pour en savoir plus, consultez la page Contrôle des accès avec IAM. Lorsque vous accordez des rôles IAM à des principaux, Google vous recommande d'appliquer le principe du moindre privilège.
| Rôle | Tâche de déploiement |
|---|---|
| Administrateur de déploiement du gestionnaire de charges de travailAlpha | Créer, modifier, déployer et afficher des déploiements |
| Lecteur de déploiement du gestionnaire de charges de travailAlpha | Afficher les déploiements. |
Utiliser un pool de nœuds de calcul privé Cloud Build
Si votre organisation applique la conformité VPC Service Controls, vous devez utiliser un pool de nœuds de calcul privé pour votre déploiement.
Les pools privés sont hébergés dans un réseau cloud privé virtuel appartenant à Google, appelé réseau de producteurs de services. Avant de créer un pool privé, configurez une connexion privée entre le réseau du producteur de services et le réseau VPC qui contient vos ressources.
Pour créer et utiliser un pool privé Cloud Build, suivez les instructions de la section Créer et gérer des pools privés.
Tenez compte des exigences suivantes lorsque vous configurez un pool de nœuds de calcul privé à utiliser avec Workload Manager:
- Vous devez utiliser un pool de nœuds de calcul privé Cloud Build pour le déploiement. Vous ne pouvez pas utiliser le pool de nœuds de calcul Cloud Build par défaut. Pour en savoir plus, consultez la section Limites de la documentation Cloud Build.
- Pour télécharger la configuration Terraform, les appels Internet publics doivent être activés dans le pool privé Cloud Build.
Vous devez également vous assurer que les ressources suivantes se trouvent dans le même périmètre de service VPC Service Controls:
- Pool privé de nœuds de calcul Cloud Build
- Compte de service Workload Manager
- Bucket Cloud Storage utilisé par Workload Manager pour le déploiement.
Quotas
Google Cloud utilise des quotas pour protéger et contrôler le nombre de ressources qu'un compte ou une organisation spécifique peut utiliser. Les applications compatibles consomment souvent une grande partie des ressources. Compte tenu de la taille des bases de données et des applications, vous pouvez rencontrer des problèmes de quota lors du processus de déploiement.
Pour éviter tout problème de quota, procédez comme suit:
- Affichez le quota de ressources disponibles pour votre projet.
- Si nécessaire, demandez une augmentation de limite de quota ou contactez l'administrateur de votre projet.
Étape suivante
- Découvrez comment préparer les fichiers d'installation SAP pour le déploiement.
- Découvrez comment déployer une charge de travail SAP S/4HANA.