Questo documento descrive i prerequisiti per l'utilizzo dello strumento di automazione del deployment guidato in Workload Manager.
Inoltre, devi soddisfare i seguenti prerequisiti specifici per l'applicazione che stai implementando:
- Prerequisiti per il deployment di un'applicazione SAP S/4HANA
- Prerequisiti per il deployment di un carico di lavoro SQL Server
| Prerequisito | Descrizione |
|---|---|
| Google Cloud account di fatturazione | Devi disporre di un Google Cloud account che fa parte della tua organizzazione con la fatturazione attiva. Per ulteriori informazioni, consulta Creare un nuovo account di fatturazione. |
| Google Cloud project |
Un Google Cloud progetto in cui vuoi eseguire il deployment dell'applicazione. Consulta Creare e gestire progetti. Assicurati che il progetto sia collegato all'account di fatturazione. |
| Abilita le API | Abilita le seguenti API nel progetto: Durante la procedura di implementazione, Workload Manager attiva automaticamente altre API richieste se non sono abilitate nel progetto. |
| Concedi i ruoli IAM all'account di servizio Workload Manager | Workload Manager utilizza un agente di servizio a cui devono essere concessi i ruoli richiesti prima di poter eseguire il deployment di un'applicazione. Per ulteriori informazioni, consulta Service account Gestore workload. |
| Concedi ruoli IAM a un account di servizio gestito dall'utente | Crea un account di servizio e assegna tutti i ruoli richiesti per il deployment dell'applicazione. Per ulteriori informazioni, consulta Service account gestito dall'utente. |
| Ruoli e autorizzazioni IAM | Gli utenti che eseguono il deployment di un carico di lavoro utilizzando lo strumento di automazione del deployment guidato devono disporre o devono aver ricevuto i ruoli e le autorizzazioni richiesti per configurare il deployment. Questi utenti devono disporre anche delle autorizzazioni per creare gli account di servizio necessari durante il deployment. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM. |
| Pool privato Cloud Build | Facoltativo. Se la tua organizzazione applica le impostazioni di perimetro dei Controlli di servizio VPC per proteggere le risorse e i dati di Workload Manager, configura un pool di worker privato Cloud Build da utilizzare nel tuo ambiente di deployment. Per ulteriori informazioni, consulta Utilizzare un pool di worker privato Cloud Build. |
| Quote | Assicurati di disporre di una quota di risorse sufficiente nel progetto per eseguire il deployment del carico di lavoro. Per ulteriori informazioni, consulta Quote. |
Service account Gestore workload
Lo strumento di automazione guidata del deployment utilizza un agente di servizio per il deployment delle applicazioni.
Quando crei un deployment, Workload Manager ti chiede di concedere i ruoli richiesti a questo account di servizio, se non sono già stati concessi. Se non disponi dell'autorizzazione per concedere questi ruoli, chiedi a un amministratore di concedere i seguenti ruoli all'account di servizio Workload Manager prima di creare un deployment.
| Service account | Ruoli obbligatori |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Service account gestito dall'utente
Workload Manager utilizza l'account di servizio associato al deployment per chiamare altre API e altri servizi per creare le risorse necessarie per il deployment.
Puoi collegare un account di servizio esistente o crearne uno quando configuri il deployment. A seconda dell'applicazione e della configurazione, Workload Manager ti chiede di concedere i ruoli mancanti al tuo account di servizio.
Per ulteriori informazioni sulla concessione di ruoli agli account di servizio, consulta Gestire l'accesso agli account di servizio.
Ruoli e autorizzazioni IAM
Il controllo dell'accesso in Workload Manager viene controllato utilizzando
Identity and Access Management (IAM). Workload Manager fornisce un insieme specifico di ruoli IAM predefiniti
in cui ogni ruolo contiene un insieme di autorizzazioni. IAM ti consente di adottare il
principio di sicurezza del privilegio minimo,
in modo da concedere solo il livello di accesso necessario per le tue risorse.
Per abilitare l'API Workload Manager nel progetto selezionato è necessaria la seguente autorizzazione. Questa operazione deve essere eseguita una sola volta in ogni progetto.
Un amministratore o un altro utente con l'autorizzazione può attivare l'API, dopodiché gli altri utenti possono accedere a Workload Manager.
| Azione | Autorizzazione richiesta | Ruolo di esempio |
|---|---|---|
| Abilita l'API Workload Manager | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Workload Manager dispone anche di ruoli per controllare chi può accedere alle funzionalità di deployment e determinare chi può eseguire il deployment, gestire e visualizzare le implementazioni. Ogni ruolo dispone delle autorizzazioni necessarie per eseguire le attività indicate.
Per ulteriori informazioni, consulta Controllo dell'accesso con IAM. Quando concedi i ruoli IAM alle entità, Google consiglia di applicare il principio del privilegio minimo.
| Role | Attività di deployment |
|---|---|
| Workload Manager Deployment AdminAlpha | Crea, modifica, esegui il deployment e visualizza i deployment. |
| Workload Manager Deployment Vieweralpha | Visualizza i deployment. |
Utilizzare un pool di worker privato di Cloud Build
Se la tua organizzazione applica la conformità ai Controlli di servizio VPC, devi utilizzare un pool di worker privato per il deployment.
I pool privati sono ospitati in una rete Virtual Private Cloud di proprietà di Google chiamata rete del producer di servizi. Prima di creare un pool privato, configura una connessione privata tra la rete del producer di servizi e la rete VPC contenente le risorse.
Per creare e utilizzare un pool privato Cloud Build, segui le istruzioni riportate in Creare e gestire i pool privati.
Tieni presente i seguenti requisiti quando configuri un pool di worker privato da utilizzare con Workload Manager:
- Per il deployment devi utilizzare un pool di worker privato di Cloud Build. Non puoi utilizzare il pool di worker di Cloud Build predefinito. Per ulteriori informazioni, consulta Limiti nella documentazione di Cloud Build.
- Per scaricare la configurazione Terraform, il pool privato Cloud Build deve avere le chiamate su internet pubblico abilitate.
Devi inoltre assicurarti che le seguenti risorse si trovino nello stesso perimetro di servizio VPC Service Controls:
- Pool di worker privato di Cloud Build.
- Service account Gestore carichi di lavoro.
- Il bucket Cloud Storage utilizzato da Workload Manager per il deployment.
Quote
Google Cloud utilizza le quote per proteggere e controllare il numero di risorse che un determinato account o organizzazione può utilizzare. Le applicazioni supportate spesso consumano una gran parte delle risorse. Date le dimensioni dei database e delle applicazioni, potresti riscontrare problemi di quota durante la procedura di implementazione.
Per evitare problemi di quota:
- Visualizza la quota di risorse disponibile per il tuo progetto.
- Se necessario, richiedi un limite di quota più alto o contatta l'amministratore del progetto.
Passaggi successivi
- Scopri come preparare i file di installazione SAP per il deployment.
- Scopri come eseguire il deployment di un workload SAP S/4HANA.