In diesem Dokument werden die Voraussetzungen für die Verwendung des Tools zur automatisierten Bereitstellung in Workload Manager beschrieben.
Außerdem müssen Sie die folgenden Voraussetzungen erfüllen, die für die von Ihnen bereitgestellte Anwendung spezifisch sind:
- Voraussetzungen für die Bereitstellung einer SAP S/4HANA-Anwendung
- Voraussetzungen für die Bereitstellung einer SQL Server-Arbeitslast
| Voraussetzungen | Beschreibung |
|---|---|
| Google Cloud -Rechnungskonto | Sie benötigen ein Google Cloud Konto, das zu Ihrer Organisation gehört und eine aktive Abrechnung hat. Weitere Informationen finden Sie unter Neues Rechnungskonto erstellen. |
| Google Cloud project |
Ein Google Cloud -Projekt, in dem Sie die Anwendung bereitstellen möchten. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. |
| APIs aktivieren | Aktivieren Sie die folgenden APIs in Ihrem Projekt: Während der Bereitstellung aktiviert der Workload Manager automatisch zusätzliche erforderliche APIs, falls sie in Ihrem Projekt nicht aktiviert sind. |
| IAM-Rollen für das Workload Manager-Dienstkonto zuweisen | Workload Manager verwendet einen Dienst-Agenten, dem die erforderlichen Rollen zugewiesen werden müssen, bevor Sie eine Anwendung bereitstellen können. Weitere Informationen finden Sie unter Workload Manager-Dienstkonto. |
| IAM-Rollen einem nutzerverwalteten Dienstkonto zuweisen | Erstellen Sie ein Dienstkonto und gewähren Sie alle erforderlichen Rollen für die Bereitstellung Ihrer Anwendung. Weitere Informationen finden Sie unter Vom Nutzer verwaltetes Dienstkonto. |
| IAM-Rollen und -Berechtigungen | Nutzer, die eine Arbeitslast mit dem Tool „Geführte Bereitstellungsautomatisierung“ bereitstellen, müssen die erforderlichen Rollen und Berechtigungen haben oder erhalten, um die Bereitstellung zu konfigurieren. Diese Nutzer benötigen außerdem Berechtigungen, um während der Bereitstellung die erforderlichen Dienstkonten zu erstellen. Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen. |
| Privater Cloud Build-Pool | Optional. Wenn Ihre Organisation Perimetereinstellungen von VPC Service Controls zum Schutz von Workload Manager-Ressourcen und ‑Daten erzwingt, richten Sie einen privaten Worker-Pool von Cloud Build für Ihre Bereitstellungsumgebung ein. Weitere Informationen finden Sie unter Privaten Cloud Build-Worker-Pool verwenden. |
| Kontingente | Achten Sie darauf, dass Sie in Ihrem Projekt ein ausreichendes Ressourcenkontingent für die Bereitstellung der Arbeitslast haben. Weitere Informationen finden Sie unter Kontingente. |
Dienstkonto des Arbeitslastmanagers
Das Tool zur geführten Bereitstellungsautomatisierung verwendet einen Dienstagenten für die Bereitstellung von Anwendungen.
Wenn Sie eine Bereitstellung erstellen, werden Sie vom Arbeitslastmanager aufgefordert, diesem Dienstkonto die erforderlichen Rollen zu gewähren, falls dies noch nicht geschehen ist. Wenn Sie nicht berechtigt sind, diese Rollen zu gewähren, bitten Sie einen Administrator, dem Workload Manager-Dienstkonto die folgenden Rollen zuzuweisen, bevor Sie eine Bereitstellung erstellen.
| Dienstkonto | Erforderliche Rollen |
|---|---|
| service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Nutzerverwaltetes Dienstkonto
Workload Manager verwendet das mit Ihrer Bereitstellung verknüpfte Dienstkonto, um andere APIs und Dienste aufzurufen und die für die Bereitstellung erforderlichen Ressourcen zu erstellen.
Sie können beim Konfigurieren der Bereitstellung entweder ein vorhandenes Dienstkonto anhängen oder ein neues erstellen. Je nach Anwendung und Konfiguration werden Sie vom Arbeitslastmanager aufgefordert, Ihrem Dienstkonto die fehlenden Rollen zuzuweisen.
Weitere Informationen zum Zuweisen von Rollen zu Dienstkonten finden Sie unter Zugriff auf Dienstkonten verwalten.
IAM-Rollen und -Berechtigungen
Die Zugriffssteuerung in Workload Manager erfolgt über die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). Workload Manager bietet einen bestimmten Satz von vordefinierten IAM-Rollen, wobei jede Rolle eine Reihe von Berechtigungen enthält. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.
Die folgende Berechtigung ist erforderlich, um die Workload Manager API im ausgewählten Projekt zu aktivieren. Diese Aufgabe muss nur einmal pro Projekt ausgeführt werden.
Ein Administrator oder ein anderer Nutzer mit der Berechtigung kann die API aktivieren. Danach können andere Nutzer auf den Workload Manager zugreifen.
| Aktion | Berechtigung erforderlich | Beispielrolle |
|---|---|---|
| Workload Manager API aktivieren | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Workload Manager bietet auch Rollen, mit denen Sie festlegen können, wer auf die Bereitstellungsfunktionen zugreifen und Bereitstellungen bereitstellen, verwalten und ansehen kann. Jede Rolle hat die erforderlichen Berechtigungen, um die angegebenen Aufgaben auszuführen.
Weitere Informationen finden Sie unter Zugriffssteuerung mit IAM. Wenn Sie Hauptkonten IAM-Rollen gewähren, empfiehlt Google, das Prinzip der geringsten Berechtigung anzuwenden.
| Rolle | Bereitstellungsaufgabe |
|---|---|
| Workload Manager Deployment AdminAlpha | Bereitstellungen erstellen, ändern, bereitstellen und aufrufen. |
| Workload Manager Deployment ViewerAlpha | Bereitstellungen ansehen |
Privaten Cloud Build-Worker-Pool verwenden
Wenn Ihre Organisation die Einhaltung von VPC Service Controls erzwingt, müssen Sie für Ihre Bereitstellung einen privaten Worker-Pool verwenden.
Private Pools werden in einem Virtual Private Cloud-Netzwerk von Google gehostet, das als Diensterstellernetzwerk bezeichnet wird. Bevor Sie einen privaten Pool erstellen, richten Sie eine private Verbindung zwischen dem Diensterstellernetzwerk und dem VPC-Netzwerk ein, das Ihre Ressourcen enthält.
Folgen Sie der Anleitung unter Private Pools erstellen und verwalten, um einen privaten Cloud Build-Pool zu erstellen und zu verwenden.
Beachten Sie die folgenden Anforderungen, wenn Sie einen privaten Worker-Pool für die Verwendung mit Workload Manager einrichten:
- Sie müssen einen privaten Cloud Build-Worker-Pool für die Bereitstellung verwenden. Sie können den standardmäßigen Cloud Build-Worker-Pool nicht verwenden. Weitere Informationen finden Sie in der Cloud Build-Dokumentation unter Einschränkungen.
- Damit die Terraform-Konfiguration heruntergeladen werden kann, müssen für den privaten Cloud Build-Pool öffentliche Internetanrufe aktiviert sein.
Außerdem müssen sich die folgenden Ressourcen im selben VPC Service Controls-Dienstperimeter befinden:
- Privater Cloud Build-Worker-Pool
- Dienstkonto des Arbeitslastmanagers
- Der Cloud Storage-Bucket, den Workload Manager für die Bereitstellung verwendet.
Kontingente
Google Cloud verwendet Kontingente, um die Anzahl der Ressourcen zu schützen und zu steuern, die ein bestimmtes Konto oder eine bestimmte Organisation nutzen kann. Die unterstützten Anwendungen verbrauchen oft einen großen Teil der Ressourcen. Aufgrund der Größe der Datenbanken und Anwendungen können beim Bereitstellungsprozess Kontingentprobleme auftreten.
So vermeiden Sie Kontingentprobleme:
- Verfügbares Ressourcenkontingent für Ihr Projekt ansehen
- Wenn nötig, fordern Sie ein höheres Kontingentlimit an oder wenden Sie sich an Ihren Projektadministrator.
Nächste Schritte
- Informationen zum Vorbereiten von SAP-Installationsdateien für die Bereitstellung
- Informationen zum Bereitstellen einer SAP S/4HANA-Arbeitslast