Este documento descreve os pré-requisitos para configurar o serviço de observabilidade no Workload Manager, que ajuda a monitorar as cargas de trabalho SAP em execução no Google Cloud.
| Pré-requisito | Descrição |
|---|---|
| Ativar APIs | Ative as APIs a seguir no projeto: |
| Conceder papéis e permissões do IAM ao agente de serviço | Conceda os papéis e as permissões necessárias ao agente de serviço do Gerenciador de cargas de trabalho. Para mais informações, consulte Papéis e permissões do agente de serviço do Workload Manager. |
| Conceder papéis e permissões do IAM aos usuários | Os usuários que acessam os painéis de observabilidade precisam ter ou receber as funções e permissões necessárias. Para mais informações, consulte Papéis e permissões do IAM para o usuário. |
| Configure cada VM que executa o sistema SAP | Conceda os papéis necessários à conta de serviço anexada à VM e configure os escopos de acesso. Para mais informações, consulte Configurar cada VM para enviar as informações necessárias. |
| Instalar e configurar o Agente de operações | Instale o Agente de operações e configure-o para coletar as métricas de infraestrutura. Para mais informações, consulte Instalar e configurar o agente de operações. |
Ativar a API Workload Manager
A API Workload Manager precisa estar ativada no projeto em que você quer monitorar as cargas de trabalho do SAP. Para mais informações, consulte Ativar o Gerenciador de cargas de trabalho.
Ativar outras APIs
O Workload Manager usa dados armazenados em outros serviços de nuvem. Além da API Workload Manager, essas outras APIs precisam ser ativadas em cada projeto.
Essas APIs são verificadas automaticamente ao acessar o serviço de observabilidade no Workload Manager. Se elas não estiverem ativadas, os usuários com as permissões necessárias poderão fazer isso.
- API Cloud Monitoring
- API Cloud Logging
- API Cloud Asset
Há também uma variedade de APIs que provavelmente já estão ativadas para executar uma carga de trabalho SAP em Google Cloud. Essas APIs podem variar de acordo com a configuração escolhida e as cargas de trabalho que estão sendo executadas.
Permissões e papéis do IAM da conta de serviço do Workload Manager
O Workload Manager usa um agente de serviço, que precisa das permissões necessárias para acessar métricas e informações do Cloud Monitoring, do Cloud Logging e de outras informações exibidas nos painéis de observabilidade do SAP.
Os papéis do IAM a seguir precisam ser atribuídos ao agente de serviço do Workload Manager, que tem o e-mail
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com.
Como alternativa, é possível criar papéis personalizados que contenham as permissões
necessárias e atribuí-los ao agente de serviço do Workload Manager.
| Papel | Permissões necessárias |
|---|---|
| Agente de serviço do gerenciador de cargas de trabalho | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
Ao navegar até o painel de observabilidade, o Workload Manager verifica se o agente de serviço do Workload Manager tem o papel necessário. Os usuários que têm as permissões necessárias podem conceder as funções ausentes.
Papéis e permissões do IAM para o usuário
Para conferir sistemas e cargas de trabalho nos painéis de observabilidade do Workload Manager, conceda os seguintes papéis do IAM ao usuário.
| Papel | Permissões |
|---|---|
| Leitor da carga de trabalho do gerenciador de cargas de trabalho | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
Além do papel de leitor de carga de trabalho do Workload Manager, o usuário precisa receber as funções a seguir para usar todos os recursos do serviço de observabilidade.
Para conferir todas as informações de observabilidade relevantes da SAP, conceda os seguintes papéis:
- Leitor do Monitoring (
roles/monitoring.viewer) - Visualizador de registros (
roles/logging.viewer)
Para criar painéis personalizados, conceda a seguinte função:
- Editor do Monitoring (
roles/monitoring.editor)
Talvez seja necessário ter outras permissões para usar os recursos opcionais. Por exemplo, os painéis de aplicativo e de banco de dados incluem uma lista de VMs em cada camada e um link para SSH, mas as permissões para conexão SSH precisam ser concedidas além de outras funções.
Configurar cada VM para enviar as informações necessárias
As etapas a seguir precisam ser concluídas em cada VM do Compute Engine em um sistema SAP que você quer incluir nos painéis de observabilidade.
Conta de serviço
A conta de serviço anexada a cada instância de VM precisa ter os seguintes papéis do IAM para chamar as APIs Google Cloud necessárias para que os agentes coletem e enviem as informações necessárias.
| Nome do papel do IAM | Papel do IAM |
|---|---|
| Leitor do Compute | roles/compute.viewer |
| Visualizador de monitoramento | roles/monitoring.viewer |
| Gravador de métricas do Monitoring | roles/monitoring.metricWriter |
| Acessador de secrets do Secret Manager* | roles/secretmanager.secretAccessor |
| Gravador de insights do gerenciador de cargas de trabalho | roles/workloadmanager.insightWriter |
*Somente necessário em instâncias do SAP HANA e se você estiver armazenando as credenciais de acesso de leitura
necessárias usando o Secret Manager. Esse papel não é necessário em
instâncias que não são HANA ou em instâncias HANA se a autenticação for feita usando chaves
hdbuserstore.
Escopo de acesso à API
Se você anexar a conta de serviço padrão do Compute Engine às VMs, será necessário definir o escopo de acesso que controla o nível de acesso da VM às APIs do Cloud.
Verifique se o escopo de acesso em qualquer instância que usa a conta de serviço padrão do Compute Engine está definido como "Permitir acesso total a todas as APIs do Cloud" ou tem acesso a pelo menos as seguintes APIs, se você estiver controlando usando "Definir acesso para cada API":
| API | Acesso necessário |
|---|---|
| Compute Engine | Somente leitura ou leitura/gravação |
| API Cloud Monitoring | Somente gravação ou completa |
| API Cloud Logging | Somente gravação ou completa |
| Cloud Platform | Ativado |
Instalar e configurar o Agente de operações
Para coletar as métricas de infraestrutura e enviá-las ao Cloud Monitoring e ao Cloud Logging para observabilidade, é necessário instalar o Ops Agent em todas as VMs que executam o sistema SAP.
Após a instalação, configure as configurações hostmetrics do Agente de operações.
O intervalo de coleta padrão para métricas do host é 60s.
Para mais informações, consulte Como alterar o intervalo de coleta nos receptores de métricas.
A seguir
- Saiba como configurar o Agente para SAP para observabilidade.
- Saiba como observar uma carga de trabalho SAP.