En este documento, se describen los requisitos previos para usar la herramienta de automatización de la implementación guiada en Workload Manager.
Además, debes cumplir con los siguientes requisitos previos específicos de la aplicación que implementarás:
- Requisitos previos para implementar una aplicación de SAP S/4HANA
- Requisitos previos para implementar una carga de trabajo de SQL Server
| Requisitos | Descripción |
|---|---|
| Google Cloud cuenta de facturación | Debes tener una Google Cloud cuenta que forme parte de tu organización con facturación activa. Para obtener más información, consulta la sección sobre cómo crear una cuenta de facturación nueva. |
| Google Cloud project |
Un proyecto Google Cloud en el que deseas implementar la aplicación. Consulta Crea y administra proyectos. Asegúrate de que el proyecto esté vinculado a la cuenta de facturación. |
| Habilita las APIs | Habilita las siguientes APIs en tu proyecto: Durante el proceso de implementación, Workload Manager habilita automáticamente las APIs obligatorias adicionales si no están habilitadas en tu proyecto. |
| Otorga roles de IAM a la cuenta de servicio de Workload Manager | Workload Manager usa un agente de servicio al que se le deben otorgar los roles necesarios para que puedas implementar una aplicación. Para obtener más información, consulta Cuenta de servicio de Workload Manager. |
| Otorga roles de IAM a una cuenta de servicio administrada por el usuario | Crea una cuenta de servicio y otorga todos los roles necesarios para implementar tu aplicación. Para obtener más información, consulta Cuenta de servicio administrada por el usuario. |
| Roles y permisos de IAM | Los usuarios que implementan una carga de trabajo con la herramienta de automatización de implementación guiada deben tener o se les deben otorgar los roles y permisos necesarios para configurar la implementación. Estos usuarios también necesitan permisos para crear las cuentas de servicio necesarias durante la implementación. Para obtener más información, consulta Roles y permisos de IAM. |
| Grupo privado de Cloud Build | Opcional. Si tu organización aplica la configuración del perímetro de los Controles del servicio de VPC para proteger los recursos y los datos de Workload Manager, configura un grupo de trabajadores privados de Cloud Build para usarlo en tu entorno de implementación. Para obtener más información, consulta Cómo usar un grupo de trabajadores privado de Cloud Build. |
| Cuotas | Asegúrate de tener suficiente cuota de recursos en tu proyecto para implementar la carga de trabajo. Para obtener más información, consulta Cuotas. |
Cuenta de servicio del Administrador de cargas de trabajo
La herramienta de automatización de la implementación guiada usa un agente de servicio para implementar aplicaciones.
Cuando creas una implementación, Workload Manager te solicita que otorgues los roles necesarios a esta cuenta de servicio si aún no se otorgaron. Si no tienes permiso para otorgar estos roles, pídele a un administrador que otorgue los siguientes roles a la cuenta de servicio de Workload Manager antes de crear una implementación.
| Cuenta de servicio | Roles obligatorios |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Cuenta de servicio administrada por el usuario
Workload Manager usa la cuenta de servicio conectada a tu implementación para llamar a otras APIs y servicios para crear los recursos necesarios para la implementación.
Puedes adjuntar una cuenta de servicio existente o crear una cuando configures la implementación. Según tu aplicación y configuración, Workload Manager te solicita que otorgues cualquiera de los roles faltantes a tu cuenta de servicio.
Para obtener más información sobre cómo otorgar roles a las cuentas de servicio, consulta Administra el acceso a las cuentas de servicio.
Permisos y funciones de IAM
El control de acceso en Workload Manager se realiza con la administración de identidades y accesos (IAM). Workload Manager proporciona un conjunto específico de roles de IAM predefinidos, en el que cada función contiene un conjunto de permisos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que puedes otorgar solo el acceso necesario a tus recursos.
Se requiere el siguiente permiso para habilitar la API de Workload Manager
en el proyecto seleccionado. Esta tarea solo se debe realizar una vez en cada proyecto.
Un administrador o cualquier otro usuario con el permiso puede habilitar la API y, luego,
otros usuarios pueden acceder al Administrador de cargas de trabajo.
| Acción | Permiso necesario | Ejemplo de rol |
|---|---|---|
| Habilita la API de Workload Manager | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Workload Manager también tiene roles para controlar quién puede acceder a las funciones de implementación y determinar quién puede implementar, administrar y ver las implementaciones. Cada rol tiene los permisos necesarios para realizar las tareas indicadas.
Consulta Control de acceso con IAM para obtener más información. Cuando otorgues roles de IAM a principales, Google recomienda que apliques el principio de privilegio mínimo.
| Función | Tarea de implementación |
|---|---|
| Administrador de implementaciones del Administrador de cargas de trabajoAlfa | Crear, modificar, implementar y ver implementaciones |
| Visualizador de implementaciones del Administrador de cargas de trabajoAlfa | Ver implementaciones |
Usa un grupo privado de trabajadores de Cloud Build
Si tu organización aplica el cumplimiento de los Controles del servicio de VPC, debes usar un grupo de trabajadores privados para tu implementación.
Los grupos privados se alojan en una red de nube privada virtual de Google llamada red de productor de servicios. Antes de crear un grupo privado, configura una conexión privada entre la red del productor de servicios y la red de VPC que contiene tus recursos.
Para crear y usar un grupo privado de Cloud Build, sigue las instrucciones que se indican en Crea y administra grupos privados.
Ten en cuenta los siguientes requisitos cuando configures un grupo de trabajadores privados para usarlo con Workload Manager:
- Debes usar un grupo de trabajadores privado de Cloud Build para la implementación. No puedes usar el grupo de trabajadores predeterminado de Cloud Build. Para obtener más información, consulta Limitaciones en la documentación de Cloud Build.
- Para descargar la configuración de Terraform, el grupo privado de Cloud Build debe tener habilitadas las llamadas a Internet públicas.
También debes asegurarte de que los siguientes recursos estén en el mismo perímetro de servicio de los Controles del servicio de VPC:
- Grupo privado de trabajadores de Cloud Build
- Cuenta de servicio de Workload Manager
- El bucket de Cloud Storage que usa Workload Manager para la implementación.
Cuotas
Google Cloud usa cuotas para proteger y controlar la cantidad de recursos que puede usar una cuenta o organización en particular. Las aplicaciones compatibles suelen consumir una gran parte de los recursos. Debido al tamaño de las bases de datos y las aplicaciones, es posible que experimentes problemas de cuota durante el proceso de implementación.
Para evitar problemas de cuota, haz lo siguiente:
- Consulta la cuota de recursos disponible para tu proyecto.
- Si es necesario, solicita un límite de cuota más alto o comunícate con el administrador de tu proyecto.
¿Qué sigue?
- Obtén información para preparar los archivos de instalación de SAP para la implementación.
- Obtén información para implementar una carga de trabajo de SAP S/4HANA.