Esta página foi traduzida pela API Cloud Translation.

Pré-requisitos para a observabilidade da SAP

Este documento descreve os pré-requisitos para configurar o serviço de observabilidade no Workload Manager, que ajuda a monitorizar as cargas de trabalho SAP em execução no Google Cloud.

Pré-requisito	Descrição
Ative as APIs	Ative as seguintes APIs no seu Google Cloud projeto: API Workload Manager API Cloud Monitoring API Cloud Logging API Cloud Asset
Conceda funções e autorizações de IAM ao agente de serviço	Conceda as funções e as autorizações necessárias ao agente do serviço Workload Manager. Para mais informações, consulte o artigo Funções e autorizações do agente do serviço Workload Manager.
Conceda funções e autorizações do IAM aos utilizadores	Os utilizadores que veem os painéis de controlo de observabilidade têm de ter ou receber as funções e as autorizações necessárias. Para mais informações, consulte Funções e autorizações do IAM para o utilizador.
Configure cada VM que executa o sistema SAP	Conceda as funções necessárias à conta de serviço associada à VM e configure os âmbitos de acesso. Para mais informações, consulte o artigo Configure cada MV para enviar as informações necessárias.
Instale e configure o agente de operações	Instale o agente de operações e configure-o para recolher as métricas de infraestrutura. Para mais informações, consulte o artigo Instale e configure o agente de operações.

Ative a API Workload Manager

A API Workload Manager tem de estar ativada no projeto onde quer monitorizar as suas cargas de trabalho SAP. Para mais informações, consulte o artigo Ative o Workload Manager.

Ative APIs adicionais

O Workload Manager usa dados armazenados noutros serviços na nuvem. Além da API Workload Manager, tem de ativar as seguintes APIs em cada projeto:

Cloud Monitoring API
Cloud Logging API
Cloud Asset API

Estas APIs são verificadas automaticamente quando acede ao serviço de observabilidade no Workload Manager. Se não estiverem ativadas, os utilizadores com as autorizações necessárias podem ativá-las enquanto acedem aos painéis de controlo de observabilidade.

Também existem várias APIs que provavelmente já estão ativadas para executar uma carga de trabalho SAP no Google Cloud. Estas APIs podem variar com base na configuração escolhida e nas cargas de trabalho que estão a ser executadas.

Funções e autorizações IAM do agente de serviço do Workload Manager

O Workload Manager usa um agente do serviço, que precisa das autorizações necessárias para aceder a métricas e informações do Cloud Monitoring, Cloud Logging e outras informações apresentadas nos painéis de controlo de observabilidade para SAP.

As seguintes funções do IAM têm de ser atribuídas ao agente de serviço do Workload Manager, que tem o email service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com. Em alternativa, pode criar funções personalizadas que contenham as autorizações necessárias e atribuí-las ao agente do serviço Workload Manager.

Função de IAM	Autorizações de IAM necessárias
Agente de serviço do Workload Manager	`workloadmanager.insights.listSapSystems` `serviceusage.services.use` `cloudasset.assets.listResource` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listAccessPolicy` `serviceusage.services.use`

Quando navega para o painel de controlo de observabilidade, o Workload Manager verifica se o agente de serviço do Workload Manager tem a função necessária. Os utilizadores que têm as autorizações necessárias podem conceder as funções em falta.

Funções e autorizações da IAM para o utilizador

Para ver sistemas e cargas de trabalho nos painéis de controlo de observabilidade do Workload Manager, tem de conceder as seguintes funções de IAM ao utilizador.

Função de IAM	Autorizações de IAM necessárias
Leitor de cargas de trabalho do Workload Manager	`resourcemanager.projects.get` `resourcemanager.projects.list` `workloadmanager.discoveredprofiles.get` `workloadmanager.discoveredprofiles.list` `workloadmanager.discoveredprofiles.getHealth`

Além da função de leitor de cargas de trabalho do Workload Manager, o utilizador tem de receber as seguintes funções para usar todas as funcionalidades no serviço de observabilidade.

Para ver todas as informações de observabilidade relevantes para o SAP, conceda as seguintes funções:

Leitor de monitorização (roles/monitoring.viewer)
Visualizador de registos (roles/logging.viewer)

Para criar painéis de controlo personalizados, conceda a seguinte função:

Editor de monitorização (roles/monitoring.editor)

Podem ser necessárias autorizações adicionais para usar as funcionalidades opcionais. Por exemplo, os painéis de controlo Aplicação e Base de dados incluem uma lista de VMs em cada camada e um link para SSH, mas as autorizações para a ligação SSH têm de ser concedidas além de outras funções.

Configure cada MV para enviar as informações necessárias

Tem de concluir os passos seguintes em cada VM do Compute Engine num sistema SAP que queira incluir nos painéis de controlo de observabilidade.

Conta de serviço

A conta de serviço associada a cada instância de VM tem de ter as seguintes funções do IAM para chamar as APIs necessárias para que os agentes recolham e enviem as informações necessárias. Google Cloud

Nome da função de IAM	Função de IAM
Leitor do Compute	`roles/compute.viewer`
Visualizador de monitorização	`roles/monitoring.viewer`
Escritor de métricas de monitorização	`roles/monitoring.metricWriter`
Secret Manager Secret Accessor^*	`roles/secretmanager.secretAccessor`
Workload Manager Insights Writer	`roles/workloadmanager.insightWriter`

^* Só é necessário em instâncias do SAP HANA e se estiver a armazenar as credenciais de acesso de leitura necessárias através do Secret Manager. Esta função não é necessária em instâncias que não sejam do HANA nem em instâncias do HANA se a autenticação for feita através de hdbuserstorechaves.

Âmbito de acesso à API

Se anexar a conta de serviço predefinida do Compute Engine às VMs, tem de definir o âmbito de acesso que controla o nível de acesso que a VM tem às APIs Cloud.

Verifique se o âmbito de acesso em qualquer instância que use a conta de serviço predefinida do Compute Engine está definido como Permitir acesso total a todas as APIs Cloud ou tem acesso às seguintes APIs, no mínimo, se estiver a controlar através da opção Definir acesso para cada API:

API	Acesso necessário
API Compute Engine	Só de leitura ou leitura/escrita
API Monitoring	Só de escrita ou Completa
Logging API	Só de escrita ou Completa
Cloud Platform	Ativado

Instale e configure o agente de operações

Para recolher as métricas da infraestrutura subjacente e enviar estas métricas para o Cloud Monitoring e o Cloud Logging para observabilidade, tem de instalar o agente de operações em todas as VMs que executam o seu sistema SAP.

Após a instalação, configure as hostmetricsdefinições do agente de operações. O intervalo de recolha predefinido para as métricas do anfitrião é de 60s. Para mais informações, consulte o artigo Alterar o intervalo de recolha nos recetores de métricas.

O que se segue?

Saiba como configurar o agente para SAP para observabilidade.
Saiba como observar uma carga de trabalho SAP.