Questo documento descrive i prerequisiti per l'utilizzo dello strumento di automazione del deployment guidato in Workload Manager.
Inoltre, devi soddisfare i seguenti prerequisiti specifici per l'applicazione che stai implementando:
- Prerequisiti per il deployment di un'applicazione SAP S/4HANA
- Prerequisiti per il deployment di un workload SQL Server
| Prerequisito | Descrizione |
|---|---|
| Google Cloud account di fatturazione | Devi disporre di un account Google Cloud che faccia parte della tua organizzazione con fatturazione attiva. Per ulteriori informazioni, vedi Creare un nuovo account di fatturazione. |
| Google Cloud project |
Un progetto Google Cloud in cui vuoi eseguire il deployment dell'applicazione. Consulta Creare e gestire progetti. Assicurati che il progetto sia collegato all'account di fatturazione. |
| Abilita le API | Abilita le seguenti API nel tuo progetto: Durante il processo di deployment, Workload Manager abilita automaticamente le API aggiuntive richieste se non sono abilitate nel tuo progetto. |
| Concedi ruoli IAM al service account Workload Manager | Workload Manager utilizza un service agent a cui devono essere concessi i ruoli richiesti prima di poter eseguire il deployment di un'applicazione. Per ulteriori informazioni, vedi Service account Gestore workload. |
| Concedi ruoli IAM a un service account gestito dall'utente | Crea un account di servizio e concedi tutti i ruoli richiesti per il deployment dell'applicazione. Per ulteriori informazioni, vedi Service account gestito dall'utente. |
| Ruoli e autorizzazioni IAM | Gli utenti che eseguono il deployment di un carico di lavoro utilizzando lo strumento di automazione del deployment guidato devono disporre dei ruoli e delle autorizzazioni richiesti o devono essere loro concessi per configurare il deployment. Questi utenti hanno anche bisogno delle autorizzazioni per creare i service account necessari durante il deployment. Per saperne di più, consulta Ruoli e autorizzazioni IAM. |
| Pool privato Cloud Build | Facoltativo. Se la tua organizzazione applica le impostazioni del perimetro dei Controlli di servizio VPC per proteggere le risorse e i dati di Workload Manager, configura un pool di worker privati di Cloud Build da utilizzare nell'ambiente di deployment. Per maggiori informazioni, consulta Utilizzare un pool di worker privato di Cloud Build. |
| Quote | Assicurati di disporre di una quota di risorse sufficiente nel tuo progetto per eseguire il deployment del carico di lavoro. Per ulteriori informazioni, consulta Quote. |
Service account Gestore workload
Lo strumento di automazione guidata del deployment utilizza un service agent per il deployment delle applicazioni.
Quando crei un deployment, Workload Manager ti chiede di concedere i ruoli richiesti a questoaccount di serviziot se non sono già stati concessi. Se non hai l'autorizzazione per concedere questi ruoli, chiedi a un amministratore di concedere i seguenti ruoli al account di servizio di Workload Manager prima di creare un deployment.
| Service account | Ruoli richiesti |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Service account gestito dall'utente
Workload Manager utilizza il account di servizio collegato al deployment per chiamare altre API e altri servizi per creare le risorse necessarie per il deployment.
Puoi collegare un account di servizio esistente o crearne uno quando configuri il deployment. A seconda dell'applicazione e della configurazione, Workload Manager ti chiede di concedere uno dei ruoli mancanti al tuo account di servizio.
Per ulteriori informazioni sulla concessione dei ruoli ai service account, consulta Gestire l'accesso ai service account.
Ruoli e autorizzazioni IAM
Il controllo dell'accesso in Workload Manager viene controllato utilizzando
Identity and Access Management (IAM). Workload Manager fornisce un insieme specifico di ruoli IAM predefiniti,
in cui ogni ruolo contiene un insieme di autorizzazioni. IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.
Per abilitare l'API Workload Manager nel progetto selezionato è necessaria la seguente autorizzazione. Questa attività deve essere eseguita una sola volta in ogni progetto.
Un amministratore o un altro utente con l'autorizzazione può attivare l'API e, successivamente, altri utenti possono accedere a Workload Manager.
| Azione | Autorizzazione richiesta | Ruolo di esempio |
|---|---|---|
| Abilita l'API Workload Manager | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Workload Manager dispone anche di ruoli per controllare chi può accedere alle funzionalità di deployment e determinare chi può eseguire il deployment, gestire e visualizzare le implementazioni. Ogni ruolo dispone delle autorizzazioni necessarie per svolgere le attività indicate.
Per ulteriori informazioni, consulta Controllo dell'accesso con IAM. Quando concedi ruoli IAM alle entità, Google consiglia di applicare il principio del privilegio minimo.
| Role | Attività di deployment |
|---|---|
| Workload Manager Deployment Adminbeta | Creare, modificare, eseguire il deployment e visualizzare i deployment. |
| Workload Manager Deployment Viewerbeta | Visualizza i deployment. |
Utilizza un pool di worker privato di Cloud Build
Se la tua organizzazione applica la conformità ai controlli di servizio VPC, devi utilizzare un pool di worker privato per il deployment.
I pool privati sono ospitati in una rete Virtual Private Cloud di proprietà di Google chiamata rete del service producer. Prima di creare un pool privato, configura una connessione privata tra la rete del producer di servizi e la rete VPC che contiene le tue risorse.
Per creare e utilizzare un pool privato Cloud Build, segui le istruzioni riportate in Creare e gestire pool privati.
Tieni presente i seguenti requisiti quando configuri un pool di worker privato da utilizzare con Workload Manager:
- Per il deployment devi utilizzare un pool di worker privato di Cloud Build. Non puoi utilizzare il pool di worker di Cloud Build predefinito. Per ulteriori informazioni, consulta la sezione Limitazioni nella documentazione di Cloud Build.
- Per scaricare la configurazione Terraform, il pool privato Cloud Build deve avere chiamate internet pubbliche abilitate.
Devi anche assicurarti che le seguenti risorse si trovino nello stesso perimetro di servizio Controlli di servizio VPC:
- Pool di worker privato di Cloud Build.
- Service account Gestore workload.
- Il bucket Cloud Storage che Workload Manager utilizza per il deployment.
Quote
Google Cloud utilizza le quote per proteggere e controllare il numero di risorse che un determinato account o una determinata organizzazione può utilizzare. Le applicazioni supportate spesso consumano una grande quantità di risorse. Date le dimensioni dei database e delle applicazioni, potresti riscontrare problemi di quota durante la procedura di deployment.
Per evitare problemi di quota:
- Visualizza la quota di risorse disponibile per il tuo progetto.
- Se necessario, richiedi un valore di quota più elevato o contatta l'amministratore del progetto.
Passaggi successivi
- Scopri come preparare i file di installazione SAP per il deployment.
- Scopri come eseguire il deployment di un workload SAP S/4HANA.