此页面由 Cloud Translation API 翻译。

使用引导式部署自动化工具的前提条件

本文档介绍了在 Workload Manager 中使用引导式部署自动化工具的前提条件。

此外，您还必须满足以下特定于您要部署的应用的前提条件：

前提条件	说明
Google Cloud 结算账号	您必须拥有 Google Cloud 属于贵组织且具备有效结算功能的账号。如需了解详情，请参阅创建新结算账号。
Google Cloud project	您要部署应用的 Google Cloud 项目。请参阅创建和管理项目。确保项目已与结算账号相关联。
启用 API	在您的项目中启用以下 API： Workload Manager API Infrastructure Manager API Cloud Resource Manager API 在部署过程中，如果您的项目中未启用其他必需 API，Workload Manager 会自动启用这些 API。
向 Workload Manager 服务账号授予 IAM 角色	Workload Manager 使用服务代理，您需要先向该代理授予所需角色，然后才能部署应用。如需了解详情，请参阅 Workload Manager 服务账号。
向用户管理的服务账号授予 IAM 角色	创建一个服务账号，并向其授予部署应用所需的所有角色。如需了解详情，请参阅用户管理的服务账号。
IAM 角色和权限	使用引导式部署自动化工具部署工作负载的用户必须拥有或被授予配置部署所需的角色和权限。这些用户还需要在部署期间创建必要的服务账号的权限。如需了解详情，请参阅 IAM 角色和权限。
Cloud Build 专用池	可选。如果贵组织强制执行 VPC Service Controls 边界设置来保护 Workload Manager 资源和数据，请设置 Cloud Build 专用工作器池以在部署环境中使用。如需了解详情，请参阅使用 Cloud Build 专用工作器池。
配额	确保您的项目中有足够的资源配额来部署工作负载。如需了解详情，请参阅配额。

Workload Manager 服务账号

引导式部署自动化工具使用服务代理来部署应用。

创建部署时，如果此服务账号尚未获得所需角色，Workload Manager 会提示您向其授予这些角色。如果您无权授予这些角色，请让管理员先向 Workload Manager 服务账号授予以下角色，然后再创建部署。

服务账号	所需的角色
Service-`PROJECT_ID`@gcp-sa-workloadmanager.iam.gserviceaccount.com	Cloud Infrastructure Manager Admin (`roles/config.admin`) Logs Viewer (`roles/logging.viewer`) Service Account User (`roles/iam.serviceAccountUser`) Workload Manager Service Agent (`roles/workloadmanager.serviceAgent`)

用户管理的服务账号

Workload Manager 会使用与您的部署关联的服务账号调用其他 API 和服务，以创建部署所需的资源。

在配置部署时，您可以附加现有服务账号，也可以创建服务账号。根据您的应用和配置，工作负载管理器会提示您向服务账号授予缺少的任何角色。

如需详细了解如何向服务账号授予角色，请参阅管理对服务账号的访问权限。

IAM 角色和权限

使用 Identity and Access Management (IAM) 对 Workload Manager 中的访问权限控制进行控制。Workload Manager 提供了一组特定的预定义 IAM 角色，其中每个角色都包含一组权限。IAM 允许您采用最小权限安全原则，您只需授予对您资源的必要访问权限。
如需在所选项目中启用 Workload Manager API，您需要具备以下权限。每个项目只需执行一次此任务。管理员或其他拥有相应权限的用户可以启用该 API，之后其他用户便可以访问工作负载管理器。

操作	所需权限	示例角色
启用 Workload Manager API	`serviceusage.services.enable`	`roles/editor` `roles/service.Usage.Admin`

Workload Manager 还提供角色，用于控制哪些人可以访问部署功能，以及确定哪些人可以部署、管理和查看部署。每个角色都具有执行所述任务所需的权限。

如需了解详情，请参阅使用 IAM 进行访问权限控制。向主账号授予 IAM 角色时，Google 建议您应用最小权限原则。

角色	部署任务
Workload Manager Deployment Admin^{Alpha 版}	创建、修改、部署和查看部署。
Workload Manager Deployment Viewer^{Alpha 版}	查看部署。

使用 Cloud Build 专用工作器池

如果贵组织强制执行 VPC Service Controls 合规性要求，则您必须为部署使用专用工作器池。

专用池托管在 Google 拥有的 Virtual Private Cloud 网络中，该网络称为服务提供方网络。在创建专用池之前，请在服务提供方网络和包含您的资源的 VPC 网络之间设置专用连接。

如需创建和使用 Cloud Build 专用池，请按照创建和管理专用池中的说明操作。

在设置要与 Workload Manager 搭配使用的专用工作器池时，请考虑以下要求：

您必须为部署使用 Cloud Build 专用工作器池。您不能使用默认的 Cloud Build 工作器池。如需了解详情，请参阅 Cloud Build 文档中的限制。
如需下载 Terraform 配置，Cloud Build 专用池必须启用公共互联网调用。

您还必须确保以下资源位于同一 VPC Service Controls 服务边界内：

Cloud Build 专用工作器池。
Workload Manager 服务账号。
Workload Manager 用于部署的 Cloud Storage 存储分区。

配额

Google Cloud 使用配额来保护和控制特定账号或组织可以使用的资源数量。受支持的应用通常会占用大量资源。鉴于数据库和应用的大小，您可能会在部署过程中遇到配额问题。

为避免配额问题，请执行以下操作：

查看项目的可用资源配额。
如有需要，请申请提高配额限制或与您的项目管理员联系。

后续步骤

了解如何准备 SAP 安装文件以进行部署。
了解如何部署 SAP S/4HANA 工作负载。