In diesem Dokument werden die Voraussetzungen für die Einrichtung des Observability-Dienstes in Workload Manager beschrieben, mit dem Sie Ihre SAP-Arbeitslasten überwachen können, die auf Google Cloudausgeführt werden.
| Voraussetzungen | Beschreibung |
|---|---|
| APIs aktivieren | Aktivieren Sie die folgenden APIs in Ihrem Projekt: |
| Dienst-Agent IAM-Rollen und -Berechtigungen zuweisen | Weisen Sie dem Dienst-Agent des Arbeitslastmanagers die erforderlichen Rollen und Berechtigungen zu. Weitere Informationen finden Sie unter Rollen und Berechtigungen für Workload Manager-Dienst-Agents. |
| Nutzern IAM-Rollen und -Berechtigungen zuweisen | Nutzer, die die Observability-Dashboards aufrufen, müssen die erforderlichen Rollen und Berechtigungen haben oder erhalten. Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen für den Nutzer. |
| Jede VM, auf der das SAP-System ausgeführt wird, konfigurieren | Weisen Sie dem Dienstkonto, das an die VM angehängt ist, die erforderlichen Rollen zu und konfigurieren Sie Zugriffsbereiche. Weitere Informationen finden Sie unter Jede VM so konfigurieren, dass die erforderlichen Informationen gesendet werden. |
| Ops-Agent installieren und konfigurieren | Installieren Sie den Ops-Agent und konfigurieren Sie ihn so, dass die Infrastrukturmesswerte erfasst werden. Weitere Informationen finden Sie unter Ops-Agent installieren und konfigurieren. |
Workload Manager API aktivieren
Die Workload Manager API muss in dem Projekt aktiviert sein, in dem Sie Ihre SAP-Arbeitslasten überwachen möchten. Weitere Informationen finden Sie unter Workload Manager aktivieren.
Zusätzliche APIs aktivieren
Workload Manager verwendet Daten, die in anderen Cloud-Diensten gespeichert sind. Zusätzlich zur Workload Manager API müssen diese zusätzlichen APIs in jedem Projekt aktiviert sein.
Diese APIs werden automatisch geprüft, wenn Sie im Workload Manager auf den Observability-Dienst zugreifen. Wenn sie nicht aktiviert sind, können Nutzer mit den erforderlichen Berechtigungen sie dann aktivieren.
- Cloud Monitoring API
- Cloud Logging API
- Cloud Asset API
Es gibt auch eine Vielzahl von APIs, die wahrscheinlich bereits aktiviert sind, um eine SAP-Arbeitslast auf Google Cloudauszuführen. Diese APIs können je nach ausgewählter Konfiguration und ausgeführten Arbeitslasten variieren.
IAM-Berechtigungen und -Rollen für den Dienst-Agent des Arbeitslastmanagers
Workload Manager verwendet einen Dienst-Agenten, der die erforderlichen Berechtigungen für den Zugriff auf Messwerte und Informationen aus Cloud Monitoring, Cloud Logging und anderen Informationen benötigt, die in den Dashboards für die Beobachtbarkeit für SAP angezeigt werden.
Dem Dienst-Agent des Arbeitslastmanagers mit der E-Mail-Adresse service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com sollten die folgenden IAM-Rollen zugewiesen werden.
Alternativ können Sie benutzerdefinierte Rollen mit den erforderlichen Berechtigungen erstellen und dem Workload Manager-Dienst-Agent zuweisen.
| Rolle | Erforderliche Berechtigungen |
|---|---|
| Dienst-Agent des Arbeitslastmanagers | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
Wenn Sie zum Observability-Dashboard navigieren, prüft Workload Manager, ob der Dienst-Agent des Arbeitslastmanagers die erforderliche Rolle hat. Nutzer mit den erforderlichen Berechtigungen können die fehlenden Rollen zuweisen.
IAM-Rollen und ‑Berechtigungen für den Nutzer
Damit Sie Systeme und Arbeitslasten in den Observability-Dashboards von Workload Manager ansehen können, müssen Sie dem Nutzer die folgenden IAM-Rollen zuweisen.
| Rolle | Berechtigungen |
|---|---|
| Workload Manager Workload Viewer | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
Zusätzlich zur Rolle „Workload Manager Workload Viewer“ muss dem Nutzer die folgenden Rollen zugewiesen werden, damit er alle Funktionen im Observability-Dienst nutzen kann.
Gewähren Sie die folgenden Rollen, um alle relevanten Informationen zur Beobachtbarkeit für SAP aufzurufen:
- Monitoring-Betrachter (
roles/monitoring.viewer) - Loganzeige (
roles/logging.viewer)
Um benutzerdefinierte Dashboards zu erstellen, müssen Sie die folgende Rolle zuweisen:
- Monitoring-Editor (
roles/monitoring.editor)
Für die optionalen Funktionen sind möglicherweise zusätzliche Berechtigungen erforderlich. Die Dashboards „Anwendung“ und „Datenbank“ enthalten beispielsweise eine Liste der VMs in jeder Ebene und einen Link zu SSH. Berechtigungen für die SSH-Verbindung müssen jedoch zusätzlich zu anderen Rollen gewährt werden.
Jede VM so konfigurieren, dass die erforderlichen Informationen gesendet werden
Die folgenden Schritte müssen auf jeder Compute Engine-VM in einem SAP-System ausgeführt werden, das Sie in die Observability-Dashboards aufnehmen möchten.
Dienstkonto
Das Dienstkonto, das an jede VM-Instanz angehängt ist, muss die folgenden IAM-Rollen haben, damit die erforderlichen Google Cloud APIs aufgerufen werden können, damit die Agents die erforderlichen Informationen erfassen und senden können.
| Name der IAM-Rolle | IAM-Rolle |
|---|---|
| Compute-Betrachter | roles/compute.viewer |
| Monitoring-Betrachter | roles/monitoring.viewer |
| Monitoring-Messwert-Autor | roles/monitoring.metricWriter |
| Zugriffsperson für Secret Manager-Secret* | roles/secretmanager.secretAccessor |
| Workload Manager Insights Writer | roles/workloadmanager.insightWriter |
* Nur für SAP HANA-Instanzen erforderlich und wenn Sie die erforderlichen Anmeldedaten für den Lesezugriff mit Secret Manager speichern. Diese Rolle ist nicht für Nicht-HANA-Instanzen oder für HANA-Instanzen erforderlich, wenn die Authentifizierung mit hdbuserstore-Schlüsseln erfolgt.
API-Zugriffsbereich
Wenn Sie das Compute Engine-Standarddienstkonto an die VMs anhängen, müssen Sie den Zugriffsbereich festlegen, der die Zugriffsebene der VM auf Cloud APIs steuert.
Prüfen Sie, ob der Zugriffsbereich für alle Instanzen, die das Compute Engine-Standarddienstkonto verwenden, entweder auf „Uneingeschränkten Zugriff auf alle Cloud APIs zulassen“ festgelegt ist oder mindestens Zugriff auf die folgenden APIs hat, wenn Sie den Zugriff für jede API festlegen:
| API | Zugriff erforderlich |
|---|---|
| Compute Engine | Schreibgeschützt oder Lese-/Schreibzugriff |
| Cloud Monitoring API | Nur Schreibzugriff oder vollständiger Zugriff |
| Cloud Logging API | Nur Schreibzugriff oder vollständiger Zugriff |
| Cloud-Plattform | Aktiviert |
Ops-Agent installieren und konfigurieren
Damit die zugrunde liegenden Infrastrukturmesswerte erfasst und zur Beobachtbarkeit an Cloud Monitoring und Cloud Logging gesendet werden, müssen Sie den Ops-Agent auf jeder VM installieren, auf der Ihr SAP-System ausgeführt wird.
Konfigurieren Sie nach der Installation die hostmetrics-Einstellungen des Ops-Agents.
Das Standarderfassungsintervall für Hostmesswerte ist 60s.
Weitere Informationen finden Sie unter Erfassungsintervall in den Messwertempfängern ändern.