本文档介绍了在 Google Cloud 上使用 Workload Manager 部署 SQL Server 工作负载的前提条件。
您必须先满足使用引导式部署自动化工具的前提条件,然后才能部署 SQL Server 工作负载。
| 前提条件 | 说明 |
|---|---|
| Google Cloud 网络资源 | 为 SQL Server 部署创建或选择 VPC 网络和子网。 您还必须为机器配置出站互联网访问权限,以便下载所需的软件包。如需了解详情,请参阅网络。 |
| IAM 角色和权限 | 使用引导式部署自动化工具部署 SQL Server 工作负载的用户必须拥有或被授予所需的角色和权限才能配置部署。 如需了解详情,请参阅 IAM 角色和权限。 |
| SQL Server 工作负载的 Secret | 如需安全地为工作负载提供密码,您必须使用通过 Secret Manager 创建的 Secret。如需了解详情,请参阅 SQL Server 工作负载的 Secret。 |
| 配额 | 确保您的项目中有足够的资源配额来部署 SQL Server 应用。如需了解详情,请参阅配额。 |
| SQL Server 安装介质 | 在您部署 SQL Server 应用的项目中创建一个 Cloud Storage 存储桶,并上传部署所需的所有 SQL Server 文件。 如需了解详情,请参阅准备 SQL Server 安装文件以进行部署。 |
| Active Directory | 使用代管式 Microsoft Active Directory 或在虚拟机上部署自定义 Active Directory 来创建 Active Directory 网域。 如需了解详情,请参阅创建 Active Directory 网域。 |
配置网络资源
本部分介绍了在部署 SQL Server 工作负载之前需要配置的 Google Cloud 网络资源。
VPC 网络和子网
虽然您的项目具有默认 VPC 和子网,但我们建议您创建一个新网络,以保证只有您明确创建的防火墙规则在起作用。 创建 VPC 网络和子网,或与您 Google Cloud 组织的网络团队联系。
创建 Cloud NAT 网关
在部署过程中,虚拟机需要出站互联网访问权限才能下载软件包并注册许可。Google 建议您创建 Cloud NAT 网关,以便为虚拟机提供外部互联网访问权限,而无需创建外部 IP 地址。您可以在虚拟机所在的每个子网和区域中创建 Cloud NAT。
如果您不想使用 Cloud NAT 网关,可以在部署过程中指定外部 IP 地址,以便为虚拟机提供所需的互联网访问权限。
IAM 权限和角色
如需在部署工作负载的项目中启用 Workload Manager API,需要以下权限。此权限只需在每个项目中授予一次。管理员或拥有此权限的其他用户可以启用该 API,然后其他用户便可以在项目中访问 Workload Manager。
| 操作 | 所需权限 | 角色示例 |
|---|---|---|
| 启用 Workload Manager API | serviceusage.services.enable | roles/editor roles/service.Usage.Admin |
Workload Manager 还提供了一些角色,用于控制哪些人可以访问部署选项,以及哪些人可以部署、管理和查看部署。每个角色都拥有执行所述任务所需的必要权限。如需查看分配给每个角色的权限的完整列表,请参阅文档的“参考”部分。
| 角色 | WLM 中的部署操作 |
|---|---|
| Workload Manager Deployment Admin | 创建 / 修改 / 部署 查看 |
| Workload Manager Deployment Viewer | 查看 |
您还必须拥有以下权限,才能创建在整个部署过程中使用的服务账号。
| 操作 | 所需权限 | 角色示例 |
|---|---|---|
| 创建部署中使用的服务账号 | resourcemanager.projects.setIamPolicy | role/resourcemanager.projectIamAdmin |
SQL Server 工作负载的 Secret
引导式部署自动化工具使用 Secret Manager 来存储部署过程中所需的密码。根据我们的 Terraform 最佳实践,禁止使用纯文本密码。
在使用引导式部署自动化工具之前,您必须使用 Secret Manager 创建至少一个 Secret。
请务必遵循 SQL Server 账号的密码复杂性要求。为确保密钥符合 SQL Server 的密码要求,请遵循 SQL Server 密码创建指南。
您必须在部署 SQL Server 工作负载的项目中创建 Secret。
配额
Google Cloud 使用配额来保护和控制特定账号或组织可以使用的资源数量。SQL Server 工作负载通常会消耗大量资源。鉴于数据库和应用的大小,您在部署过程中可能会遇到配额问题。
为避免配额问题,请执行以下操作:
- 查看项目的可用资源配额。
- 如有需要,请申请提高配额值或与项目管理员联系。
许可
客户可以直接从 Google Cloud购买各种按需 SQL Server 和 Windows Server 许可,也可以自带现有许可(如果这些许可符合资格要求)。如需了解详情,请参阅 Microsoft 许可文档。
准备 SQL Server 安装文件
对于使用自带许可 (BYOL) 的 SQL Server 高可用性 (HA) 配置,您必须在项目中创建一个 Cloud Storage 存储桶,用于存放 SQL Server 安装期间使用的必需安装媒体 (ISO) 文件。使用 Google Cloud 控制台创建 Cloud Storage 存储桶,用于存储 SQL Server 安装文件。
创建存储桶后,按照您选择的将对象上传到存储桶的方法,将 SQL Server 安装 ISO 文件上传到该存储桶。
创建 Active Directory 网域
在使用引导式部署自动化工具部署 SQL Server 工作负载之前,您需要设置以下内容:
至少具有一台网域控制器的 Active Directory 网域。
您可以使用 Managed Service for Microsoft Active Directory 创建 Active Directory 网域。或者,您也可以在 {(compute_name)} 上部署自定义 AD 环境,并设置专用 DNS 转发区域,用于将 DNS 查询转发到您的网域控制器。
有权将虚拟机加入网域并且能够使用 RDP 登录的 Active Directory 用户。如果您使用的是托管式 Microsoft AD,则可以使用
setupadmin用户。具有可连接到 AD 域控制器的 VPC 网络的 Google Cloud 项目。
后续步骤
- 了解如何部署 SQL Server 工作负载。