이 문서에서는 Google Cloud에서 실행되는 SAP 워크로드를 모니터링하는 데 도움이 되는 워크로드 관리자에서 관측 가능성 서비스를 설정하기 위한 필수 요건을 설명합니다.
| 기본 요건 | 설명 |
|---|---|
| API 사용 설정 | 프로젝트에서 다음 API를 사용 설정합니다. |
| 서비스 에이전트에 IAM 역할 및 권한 부여 | 워크로드 관리자 서비스 에이전트에 필요한 역할과 권한을 부여합니다. 자세한 내용은 워크로드 관리자 서비스 에이전트 역할 및 권한을 참고하세요. |
| 사용자에게 IAM 역할 및 권한 부여 | 관측 가능성 대시보드를 보는 사용자에게 필요한 역할과 권한이 있거나 부여되어야 합니다. 자세한 내용은 사용자의 IAM 역할 및 권한을 참고하세요. |
| SAP 시스템을 실행하는 각 VM 구성 | VM에 연결된 서비스 계정에 필요한 역할을 부여하고 액세스 범위를 구성합니다. 자세한 내용은 필요한 정보를 전송하도록 각 VM 구성을 참고하세요. |
| 운영 에이전트 설치 및 구성 | 운영 에이전트를 설치하고 인프라 측정항목을 수집하도록 에이전트를 구성합니다. 자세한 내용은 운영 에이전트 설치 및 구성을 참고하세요. |
Workload Manager API 사용 설정
SAP 워크로드를 모니터링하려는 프로젝트에서 Workload Manager API를 사용 설정해야 합니다. 자세한 내용은 워크로드 관리자 사용 설정을 참고하세요.
추가 API 사용 설정
Workload Manager는 다른 클라우드 서비스에 저장된 데이터를 사용합니다. Workload Manager API 외에도 각 프로젝트에서 다음 추가 API를 사용 설정해야 합니다.
이러한 API는 워크로드 관리자 내에서 관측 가능성 서비스에 액세스할 때 자동으로 확인됩니다. 사용 설정되지 않은 경우 필요한 권한이 있는 사용자가 그때 사용 설정할 수 있습니다.
- Cloud Monitoring API
- Cloud Logging API
- Cloud Asset API
Google Cloud에서 SAP 워크로드를 실행하기 위해 이미 사용 설정되어 있을 가능성이 높은 다양한 API도 있습니다. 이러한 API는 선택한 구성과 실행 중인 워크로드에 따라 다를 수 있습니다.
워크로드 관리자 서비스 에이전트 IAM 권한 및 역할
워크로드 관리자는 서비스 에이전트를 사용하며, 이 에이전트에는 SAP의 관측 가능성 대시보드에 표시되는 Cloud Monitoring, Cloud Logging의 측정항목 및 정보와 기타 정보에 액세스하는 데 필요한 권한이 필요합니다.
이메일이 service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com인 워크로드 관리자 서비스 에이전트에 다음 IAM 역할을 할당해야 합니다.
또는 필요한 권한이 포함된 커스텀 역할을 만들어 워크로드 관리자 서비스 에이전트에 할당할 수 있습니다.
| 역할 | 필수 권한 |
|---|---|
| 워크로드 관리자 서비스 에이전트 | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
관측 가능성 대시보드로 이동하면 워크로드 관리자가 워크로드 관리자 서비스 에이전트에 필요한 역할이 있는지 확인합니다. 필요한 권한이 있는 사용자는 누락된 역할을 부여할 수 있습니다.
사용자의 IAM 역할 및 권한
워크로드 관리자의 관측 가능성 대시보드에서 시스템과 워크로드를 보려면 사용자에게 다음 IAM 역할을 부여해야 합니다.
| 역할 | 권한 |
|---|---|
| 워크로드 관리자 워크로드 뷰어 | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
관측 가능성 서비스의 모든 기능을 사용하려면 워크로드 관리자 워크로드 뷰어 역할 외에 사용자에게 다음 역할이 부여되어야 합니다.
SAP의 모든 관련 관측 가능성 정보를 보려면 다음 역할을 부여하세요.
- 모니터링 뷰어(
roles/monitoring.viewer) - 로그 뷰어(
roles/logging.viewer)
커스텀 대시보드를 만들려면 다음 역할을 부여하세요.
- 모니터링 편집자(
roles/monitoring.editor)
선택 기능을 사용하려면 추가 권한이 필요할 수 있습니다. 예를 들어 애플리케이션 및 데이터베이스 대시보드에는 각 레이어의 VM 목록과 SSH 링크가 포함되어 있지만 다른 역할 외에 SSH 연결 권한도 부여해야 합니다.
필수 정보를 전송하도록 각 VM 구성
관측 가능성 대시보드에 포함하려는 SAP 시스템의 각 Compute Engine VM에서 다음 단계를 완료해야 합니다.
서비스 계정
각 VM 인스턴스에 연결된 서비스 계정에는 에이전트가 필요한 정보를 수집하고 전송하는 데 필요한 Google Cloud API를 호출할 수 있도록 다음 IAM 역할이 있어야 합니다.
| IAM 역할 이름 | IAM 역할 |
|---|---|
| Compute 뷰어 | roles/compute.viewer |
| 모니터링 뷰어 | roles/monitoring.viewer |
| 모니터링 측정항목 작성자 | roles/monitoring.metricWriter |
| Secret Manager 보안 비밀 접근자* | roles/secretmanager.secretAccessor |
| 워크로드 관리자 통계 작성자 | roles/workloadmanager.insightWriter |
*SAP HANA 인스턴스에서만 필요하며 Secret Manager를 사용하여 필요한 읽기 액세스 사용자 인증 정보를 저장하는 경우에만 필요합니다. hdbuserstore 키를 사용하여 인증하는 경우 HANA가 아닌 인스턴스나 HANA 인스턴스에는 이 역할이 필요하지 않습니다.
API 액세스 범위
Compute Engine 기본 서비스 계정을 VM에 연결하는 경우 VM이 Cloud API에 액세스할 수 있는 수준을 제어하는 액세스 범위를 설정해야 합니다.
Compute Engine 기본 서비스 계정을 사용하는 인스턴스의 액세스 범위가 모든 Cloud API에 대한 전체 액세스 허용으로 설정되어 있거나 각 API에 액세스 설정을 사용하여 제어하는 경우 다음 API에 대한 액세스 권한이 최소한 있는지 확인합니다.
| API | 액세스 권한 필요 |
|---|---|
| Compute Engine | 읽기 전용 또는 읽기 쓰기 |
| Cloud Monitoring API | 쓰기 전용 또는 전체 |
| Cloud Logging API | 쓰기 전용 또는 전체 |
| Cloud Platform | 사용 설정됨 |
운영 에이전트 설치 및 구성
기본 인프라 측정항목을 수집하고 이러한 측정항목을 Cloud Monitoring 및 Cloud Logging으로 전송하여 관측 가능성을 확보하려면 SAP 시스템을 실행하는 모든 VM에 Ops 에이전트를 설치해야 합니다.
설치 후 운영 에이전트의 hostmetrics 설정을 구성합니다.
호스트 측정항목의 기본 수집 간격은 60s입니다.
자세한 내용은 측정항목 수신자에서 수집 간격 변경하기를 참고하세요.
다음 단계
- 관측 가능성을 위해 SAP용 에이전트를 구성하는 방법을 알아보세요.
- SAP 워크로드를 관찰하는 방법 알아보기