本文說明在 Workload Manager 中設定可觀測性服務的必要條件,協助您監控在 Google Cloud上執行的 SAP 工作負載。
| 修課條件 | 說明 |
|---|---|
| 啟用 API | 在專案中啟用下列 API: |
| 將 IAM 角色和權限授予服務代理 | 將必要的角色和權限授予 Workload Manager 服務代理。 詳情請參閱「Workload Manager 服務代理程式角色和權限」。 |
| 將 IAM 角色和權限授予使用者 | 如要查看可觀測性資訊主頁,使用者必須具備或獲授必要角色和權限。 詳情請參閱「使用者的 IAM 角色和權限」。 |
| 設定執行 SAP 系統的每個 VM | 將必要角色授予附加至 VM 的服務帳戶,並設定存取範圍。 詳情請參閱「設定每個 VM,傳送必要資訊」。 |
| 安裝及設定作業套件代理程式 | 安裝作業套件代理程式,並將代理程式設為收集基礎架構指標。 詳情請參閱「安裝及設定 Ops Agent」。 |
啟用 Workload Manager API
您必須在要監控 SAP 工作負載的專案中啟用 Workload Manager API。詳情請參閱「啟用 Workload Manager」。
啟用其他 API
Workload Manager 會使用其他雲端服務中儲存的資料。除了 Workload Manager API 之外,您也必須在每個專案中啟用這些額外 API。
存取 Workload Manager 內的觀測服務時,系統會自動檢查這些 API。如果未啟用,具備必要權限的使用者可以在當時啟用。
- Cloud Monitoring API
- Cloud Logging API
- Cloud Asset API
此外,為了在 Google Cloud上執行 SAP 工作負載,您可能已啟用多種 API。這些 API 可能因您選擇的設定和執行的工作負載而異。
Workload Manager 服務代理的身分與存取權管理權限和角色
Workload Manager 會使用服務代理程式,該代理程式需要具備必要權限,才能存取 Cloud Monitoring、Cloud Logging 的指標和資訊,以及顯示在 SAP 可觀測性資訊主頁上的其他資訊。
請將下列 IAM 角色指派給 Workload Manager 服務代理,該代理的電子郵件地址為 service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com。或者,您可以建立具備必要權限的自訂角色,並指派給 Workload Manager 服務代理程式。
| 角色 | 所需權限 |
|---|---|
| Workload Manager 服務代理 | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
前往可觀測性資訊主頁時,Workload Manager 會檢查 Workload Manager 服務代理是否具備必要角色。使用者只要具備必要權限,即可授予缺少的角色。
使用者的 IAM 角色和權限
如要在 Workload Manager 的可觀測性資訊主頁中查看系統和工作負載,您必須將下列 IAM 角色授予使用者。
| 角色 | 權限 |
|---|---|
| Workload Manager 工作負載檢視者 | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
除了 Workload Manager Workload Viewer 角色,使用者還必須獲得下列角色,才能使用可觀測性服務的所有功能。
如要查看 SAP 的所有相關可觀測性資訊,請授予下列角色:
- Monitoring 檢視者 (
roles/monitoring.viewer) - 記錄檢視者 (
roles/logging.viewer)
如要建立自訂資訊主頁,請授予下列角色:
- Monitoring 編輯者 (
roles/monitoring.editor)
您可能需要額外權限才能使用選用功能。 舉例來說,應用程式和資料庫資訊主頁會列出各層的 VM,並提供 SSH 連結,但除了其他角色外,您還必須授予 SSH 連線的權限。
設定每個 VM,傳送必要資訊
如要在可觀測性資訊主頁中納入 SAP 系統,請在每個 Compute Engine VM 上完成下列步驟。
服務帳戶
附加至每個 VM 執行個體的服務帳戶必須具備下列 IAM 角色,才能呼叫代理程式收集及傳送必要資訊所需的 Google Cloud API。
| IAM 角色名稱 | IAM 角色 |
|---|---|
| Compute 檢視者 | roles/compute.viewer |
| 監控檢視者 | roles/monitoring.viewer |
| Monitoring 指標寫入者 | roles/monitoring.metricWriter |
| Secret Manager Secret Accessor* | roles/secretmanager.secretAccessor |
| Workload Manager 深入分析資訊寫入者 | roles/workloadmanager.insightWriter |
*僅適用於 SAP HANA 執行個體,且您使用 Secret Manager 儲存必要的讀取存取權憑證。如果使用金鑰進行驗證,非 HANA 執行個體或 HANA 執行個體就不需要這個角色。hdbuserstore
API 存取範圍
如果將 Compute Engine 預設服務帳戶附加至 VM,您必須設定存取權範圍,控管 VM 對 Cloud API 的存取層級。
確認使用 Compute Engine 預設服務帳戶的任何執行個體,其「存取權範圍」已設為「允許所有 Cloud API 的完整存取權」,或至少有權存取下列 API (如果您是使用「針對各個 API 設定存取權」進行控管):
| API | 需要存取權 |
|---|---|
| Compute Engine | 唯讀或讀寫 |
| Cloud Monitoring API | 唯寫或完整 |
| Cloud Logging API | 唯寫或完整 |
| Cloud Platform | 已啟用 |
安裝及設定作業套件代理程式
如要收集基礎架構指標,並將這些指標傳送至 Cloud Monitoring 和 Cloud Logging 進行可觀測性分析,您必須在執行 SAP 系統的每個 VM 上安裝作業套件代理程式。
安裝完成後,請設定作業套件代理程式的hostmetrics設定。
主機指標的預設收集間隔為 60s。
詳情請參閱「變更指標接收器的收集間隔」。
後續步驟
- 瞭解如何設定 Agent for SAP,以便進行可觀測性作業。
- 瞭解如何監控 SAP 工作負載。