En este documento se describen los requisitos previos para usar la herramienta de automatización de la implementación guiada en Gestor de cargas de trabajo.
Además, debes cumplir los siguientes requisitos previos específicos de la aplicación que vas a implementar:
- Requisitos previos para desplegar una aplicación SAP S/4HANA
- Requisitos previos para desplegar una carga de trabajo de SQL Server
| Requisitos previos | Descripción |
|---|---|
| Google Cloud cuenta de facturación | Debes tener una Google Cloud cuenta que forme parte de tu organización con facturación activa. Para obtener más información, consulta el artículo Crear una cuenta de facturación. |
| Google Cloud proyecto |
Un Google Cloud proyecto en el que quieras desplegar la aplicación. Consulta Crear y gestionar proyectos. Comprueba que el proyecto esté vinculado a la cuenta de facturación. |
| Habilitar APIs | Habilita las siguientes APIs en tu proyecto: Durante el proceso de implementación, Workload Manager habilita automáticamente las APIs necesarias adicionales si no están habilitadas en tu proyecto. |
| Concede roles de gestión de identidades y accesos a la cuenta de servicio de Workload Manager | Workload Manager usa un agente de servicio al que se le deben conceder los roles necesarios para poder desplegar una aplicación. Para obtener más información, consulta Cuenta de servicio de Workload Manager. |
| Conceder roles de IAM a una cuenta de servicio gestionada por el usuario | Crea una cuenta de servicio y concede todos los roles necesarios para desplegar tu aplicación. Para obtener más información, consulta el artículo Cuenta de servicio gestionada por el usuario. |
| Roles y permisos de IAM | Los usuarios que implementen una carga de trabajo con la herramienta de automatización de implementaciones guiadas deben tener o recibir los roles y permisos necesarios para configurar la implementación. Estos usuarios también necesitan permisos para crear las cuentas de servicio necesarias durante la implementación. Para obtener más información, consulta Roles y permisos de gestión de identidades y accesos. |
| Grupo privado de Cloud Build | Opcional. Si tu organización aplica la configuración de perímetro de Controles de Servicio de VPC para proteger los recursos y los datos de Workload Manager, configura un grupo de trabajadores privados de Cloud Build para usarlo en tu entorno de implementación. Para obtener más información, consulta Usar un grupo de trabajadores privado de Cloud Build. |
| Cuotas | Asegúrate de que tu proyecto tiene suficiente cuota de recursos para desplegar la carga de trabajo. Para obtener más información, consulta Cuotas. |
Cuenta de servicio de Workload Manager
La herramienta de automatización de la implementación guiada usa un agente de servicio para desplegar aplicaciones.
Cuando creas un despliegue, Workload Manager te pide que concedas los roles necesarios a esta cuenta de servicio si aún no se han concedido. Si no tienes permiso para conceder estos roles, pide a un administrador que conceda los siguientes roles a la cuenta de servicio de Workload Manager antes de crear una implementación.
| Cuenta de servicio | Roles necesarios |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Cuenta de servicio gestionada por el usuario
Workload Manager usa la cuenta de servicio asociada a tu implementación para llamar a otras APIs y servicios con el fin de crear los recursos necesarios para la implementación.
Puedes adjuntar una cuenta de servicio que ya tengas o crear una al configurar la implementación. En función de tu aplicación y configuración, Workload Manager te pedirá que concedas los roles que falten a tu cuenta de servicio.
Para obtener más información sobre cómo conceder roles a cuentas de servicio, consulta Gestionar el acceso a cuentas de servicio.
Funciones y permisos de IAM
El control de acceso en Workload Manager se gestiona mediante Gestión de Identidades y Accesos (IAM). Workload Manager proporciona un conjunto específico de roles de gestión de identidades y accesos predefinidos, donde cada rol contiene un conjunto de permisos. IAM te permite adoptar el principio de seguridad de mínimos accesos, por lo que solo concedes el acceso necesario a tus recursos.
Se necesita el siguiente permiso para habilitar la API Workload Manager
en el proyecto seleccionado. Esta tarea solo debe realizarse una vez en cada proyecto.
Un administrador u otro usuario con el permiso correspondiente pueden habilitar la API y, después, otros usuarios pueden acceder a Gestor de cargas de trabajo.
| Acción | Permiso necesario | Rol de ejemplo |
|---|---|---|
| Habilitar la API Workload Manager | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Workload Manager también tiene roles para controlar quién puede acceder a las funciones de implementación y determinar quién puede implementar, gestionar y ver implementaciones. Cada rol tiene los permisos necesarios para realizar las tareas indicadas.
Para obtener más información, consulta Control de acceso con IAM. Cuando concedas roles de gestión de identidades y accesos a principales, Google te recomienda que apliques el principio de mínimos privilegios.
| Role | Tarea de despliegue |
|---|---|
| Administrador de implementaciones de Workload Managerbeta | Crear, modificar, desplegar y ver implementaciones. |
| Visor de implementaciones de Workload Managerbeta | Ver despliegues. |
Usar un grupo de trabajadores privado de Cloud Build
Si tu organización aplica el cumplimiento de los Controles de Servicio de VPC, debes usar un grupo de trabajadores privado para tu implementación.
Los grupos privados se alojan en una red de nube privada virtual propiedad de Google llamada red del productor de servicios. Antes de crear un grupo privado, configura una conexión privada entre la red del productor de servicios y la red de VPC que contiene tus recursos.
Para crear y usar un grupo privado de Cloud Build, sigue las instrucciones que se indican en el artículo Crear y gestionar grupos privados.
Ten en cuenta los siguientes requisitos al configurar un grupo de trabajadores privado para usarlo con Gestor de cargas de trabajo:
- Debes usar un grupo de trabajadores privado de Cloud Build para la implementación. No puedes usar el grupo de trabajadores predeterminado de Cloud Build. Para obtener más información, consulta Limitaciones en la documentación de Cloud Build.
- Para descargar la configuración de Terraform, el grupo privado de Cloud Build debe tener habilitadas las llamadas a Internet públicas.
También debe asegurarse de que los siguientes recursos estén en el mismo perímetro de servicio de Controles de Servicio de VPC:
- Grupo de trabajadores privados de Cloud Build.
- Cuenta de servicio de Workload Manager.
- El segmento de Cloud Storage que usa Workload Manager para la implementación.
Cuotas
Google Cloud usa cuotas para proteger y controlar el número de recursos que puede usar una cuenta u organización concretas. Las aplicaciones compatibles suelen consumir una gran parte de los recursos. Dado el tamaño de las bases de datos y las aplicaciones, es posible que tengas problemas con las cuotas durante el proceso de implementación.
Para evitar problemas de cuota, haz lo siguiente:
- Consulta la cuota de recursos disponible de tu proyecto.
- Si es necesario, solicita un valor de cuota más alto o ponte en contacto con el administrador del proyecto.
Siguientes pasos
- Consulta cómo preparar los archivos de instalación de SAP para el despliegue.
- Consulta cómo desplegar una carga de trabajo de SAP S/4HANA.