本頁面由 Cloud Translation API 翻譯而成。

SAP 可觀察性先決條件

本文說明在 Workload Manager 中設定觀測服務的必要條件，這項服務可協助您監控在 Google Cloud上執行的 SAP 工作負載。

修課條件	說明
啟用 API	在 Google Cloud 專案中啟用下列 API： Workload Manager API Cloud Monitoring API Cloud Logging API Cloud Asset API
將 IAM 角色和權限授予服務代理	將必要的角色和權限授予 Workload Manager 服務代理。詳情請參閱「Workload Manager 服務代理程式角色和權限」。
將 IAM 角色和權限授予使用者	如要查看可觀測性資訊主頁，使用者必須具備或獲派必要角色和權限。詳情請參閱「使用者的 IAM 角色和權限」。
設定執行 SAP 系統的每個 VM	將必要角色授予附加至 VM 的服務帳戶，並設定存取範圍。詳情請參閱「設定每個 VM，傳送必要資訊」。
安裝及設定作業套件代理程式	安裝作業套件代理程式，並將代理程式設為收集基礎架構指標。詳情請參閱「安裝及設定 Ops Agent」。

啟用 Workload Manager API

您必須在要監控 SAP 工作負載的專案中啟用 Workload Manager API。詳情請參閱「啟用 Workload Manager」。

啟用更多 API

Workload Manager 會使用其他雲端服務中儲存的資料。除了 Workload Manager API，您還必須在每個專案中啟用下列 API：

Cloud Monitoring API
Cloud Logging API
Cloud Asset API

在 Workload Manager 中存取可觀測性服務時，系統會自動檢查這些 API。如果未啟用，具備必要權限的使用者可以在存取可觀測性資訊主頁時啟用。

此外，為了在 Google Cloud上執行 SAP 工作負載，您可能已啟用多種 API。這些 API 可能因您選擇的設定和執行的工作負載而異。

Workload Manager 服務代理的身分與存取權管理權限和角色

Workload Manager 會使用服務代理程式，該代理程式需要具備必要權限，才能存取 Cloud Monitoring、Cloud Logging 的指標和資訊，以及 SAP 可觀測性資訊主頁上顯示的其他資訊。

必須將下列 IAM 角色指派給 Workload Manager 服務代理，該代理的電子郵件地址為 service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com。或者，您可以建立具備必要權限的自訂角色，並指派給 Workload Manager 服務代理程式。

IAM 角色	必要的 IAM 權限
Workload Manager 服務代理	`workloadmanager.insights.listSapSystems` `serviceusage.services.use` `cloudasset.assets.listResource` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listAccessPolicy` `serviceusage.services.use`

前往可觀測性資訊主頁時，Workload Manager 會檢查 Workload Manager 服務代理是否具備必要角色。使用者只要具備必要權限，即可授予缺少的角色。

使用者的 IAM 角色和權限

如要在 Workload Manager 的可觀測性資訊主頁中查看系統和工作負載，您必須將下列 IAM 角色授予使用者。

IAM 角色	必要的 IAM 權限
Workload Manager 工作負載檢視者	`resourcemanager.projects.get` `resourcemanager.projects.list` `workloadmanager.discoveredprofiles.get` `workloadmanager.discoveredprofiles.list` `workloadmanager.discoveredprofiles.getHealth`

除了 Workload Manager Workload Viewer 角色，使用者還必須獲得下列角色，才能使用可觀測性服務的所有功能。

如要查看 SAP 的所有相關可觀測性資訊，請授予下列角色：

Monitoring 檢視者 (roles/monitoring.viewer)
記錄檢視者 (roles/logging.viewer)

如要建立自訂資訊主頁，請授予下列角色：

Monitoring 編輯者 (roles/monitoring.editor)

您可能需要額外權限才能使用選用功能。舉例來說，應用程式和資料庫資訊主頁會列出各層的 VM，並提供 SSH 連結，但除了其他角色外，您還必須授予 SSH 連線的權限。

設定每個 VM，傳送必要資訊

如要在可觀測性資訊主頁中納入 SAP 系統，請在每個 Compute Engine VM 上完成下列步驟。

服務帳戶

附加至每個 VM 執行個體的服務帳戶必須具備下列 IAM 角色，才能呼叫代理程式收集及傳送必要資訊所需的 Google Cloud API。

IAM 角色名稱	IAM 角色
Compute 檢視者	`roles/compute.viewer`
監控檢視者	`roles/monitoring.viewer`
Monitoring 指標寫入者	`roles/monitoring.metricWriter`
Secret Manager Secret Accessor^*	`roles/secretmanager.secretAccessor`
Workload Manager 深入分析資訊寫入者	`roles/workloadmanager.insightWriter`

^*僅適用於 SAP HANA 執行個體，且您使用 Secret Manager 儲存必要的讀取存取權憑證。如果使用金鑰進行驗證，非 HANA 執行個體或 HANA 執行個體就不需要這個角色。hdbuserstore

API 存取範圍

如果將 Compute Engine 預設服務帳戶附加至 VM，您必須設定存取權範圍，控管 VM 對 Cloud API 的存取層級。

確認使用 Compute Engine 預設服務帳戶的任何執行個體，其「存取權範圍」已設為「允許所有 Cloud API 的完整存取權」，或至少有權存取下列 API (如果您使用「針對各個 API 設定存取權」選項控管存取權)：

API	需要存取權
Compute Engine API	唯讀或讀寫
Monitoring API	唯寫或完整
Logging API	唯寫或完整
Cloud Platform	已啟用

安裝及設定作業套件代理程式

如要收集基礎架構指標，並將這些指標傳送至 Cloud Monitoring 和 Cloud Logging 以進行可觀測性分析，您必須在執行 SAP 系統的每個 VM 上安裝作業套件代理程式。

安裝完成後，請設定作業套件代理程式的hostmetrics設定。主機指標的預設收集間隔為 60s。詳情請參閱「變更指標接收器的收集間隔」。

後續步驟

瞭解如何設定 Agent for SAP，以便進行可觀測性作業。
瞭解如何監控 SAP 工作負載。