In diesem Dokument werden die Voraussetzungen für die Einrichtung des Observability-Dienstes in Workload Manager beschrieben, mit dem Sie Ihre auf Google Cloudausgeführten SAP-Arbeitslasten überwachen können.
| Voraussetzungen | Beschreibung |
|---|---|
| APIs aktivieren | Aktivieren Sie die folgenden APIs in Ihrem Projekt: |
| Dem Kundenservicemitarbeiter IAM-Rollen und -Berechtigungen zuweisen | Weisen Sie dem Dienst-Agent des Arbeitslastmanagers die erforderlichen Rollen und Berechtigungen zu. Weitere Informationen finden Sie unter Rollen und Berechtigungen von Workload Manager-Dienst-Agents. |
| Nutzern IAM-Rollen und ‑Berechtigungen zuweisen | Nutzer, die sich die Observability-Dashboards ansehen, müssen die erforderlichen Rollen und Berechtigungen haben oder erhalten. Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen für den Nutzer. |
| Jede VM konfigurieren, auf der das SAP-System ausgeführt wird | Weisen Sie dem mit der VM verknüpften Dienstkonto die erforderlichen Rollen zu und konfigurieren Sie Zugriffsbereiche. Weitere Informationen finden Sie unter Jede VM so konfigurieren, dass die erforderlichen Informationen gesendet werden. |
| Ops-Agent installieren und konfigurieren | Installieren Sie den Ops-Agent und konfigurieren Sie ihn so, dass die Infrastrukturmesswerte erfasst werden. Weitere Informationen finden Sie unter Ops-Agent installieren und konfigurieren. |
Workload Manager API aktivieren
Die Workload Manager API muss in dem Projekt aktiviert sein, in dem Sie Ihre SAP-Arbeitslasten überwachen möchten. Weitere Informationen finden Sie unter Arbeitslastmanager aktivieren.
Zusätzliche APIs aktivieren
Workload Manager verwendet Daten, die in anderen Cloud-Diensten gespeichert sind. Zusätzlich zur Workload Manager API müssen in jedem Projekt diese zusätzlichen APIs aktiviert sein.
Diese APIs werden automatisch geprüft, wenn im Workload Manager auf den Observability-Dienst zugegriffen wird. Wenn sie nicht aktiviert sind, können Nutzer mit den erforderlichen Berechtigungen sie jederzeit aktivieren.
- Cloud Monitoring API
- Cloud Logging API
- Cloud Asset API
Es gibt auch eine Vielzahl von APIs, die wahrscheinlich bereits aktiviert sind, um eine SAP-Arbeitslast auf Google Cloudauszuführen. Diese APIs können je nach ausgewählter Konfiguration und ausgeführten Arbeitslasten variieren.
IAM-Berechtigungen und -Rollen für den Dienst-Agent des Arbeitslastmanagers
Der Arbeitslastmanager verwendet einen Dienst-Agenten, der die erforderlichen Berechtigungen zum Zugriff auf Messwerte und Informationen aus Cloud Monitoring, Cloud Logging und anderen Informationen benötigt, die in den Dashboards zur Beobachtbarkeit für SAP angezeigt werden.
Dem Workload Manager-Dienstagenten mit der E-Mail-Adresse service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com sollten die folgenden IAM-Rollen zugewiesen werden:
Alternativ können Sie benutzerdefinierte Rollen mit den erforderlichen Berechtigungen erstellen und dem Workload Manager-Dienst-Agent zuweisen.
| Rolle | Erforderliche Berechtigungen |
|---|---|
| Dienst-Agent des Arbeitslastmanagers | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
Wenn Sie das Dashboard für die Observability aufrufen, prüft der Arbeitslastmanager, ob der Dienst-Agent des Arbeitslastmanagers die erforderliche Rolle hat. Nutzer mit den erforderlichen Berechtigungen können die fehlenden Rollen gewähren.
IAM-Rollen und -Berechtigungen für den Nutzer
Damit Nutzer Systeme und Arbeitslasten in den Observability-Dashboards des Arbeitslastmanagers sehen können, müssen Sie ihnen die folgenden IAM-Rollen zuweisen.
| Rolle | Berechtigungen |
|---|---|
| Workload Manager Workload Viewer | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
Zusätzlich zur Rolle „Workload Viewer“ für den Workload Manager müssen dem Nutzer die folgenden Rollen zugewiesen werden, damit er alle Funktionen des Observability-Dienstes nutzen kann.
Wenn Sie alle relevanten Informationen zur Beobachtbarkeit für SAP sehen möchten, gewähren Sie die folgenden Rollen:
- Monitoring-Betrachter (
roles/monitoring.viewer) - Loganzeige (
roles/logging.viewer)
Wenn Sie benutzerdefinierte Dashboards erstellen möchten, gewähren Sie die folgende Rolle:
- Monitoring-Editor (
roles/monitoring.editor)
Für die Verwendung der optionalen Funktionen sind möglicherweise zusätzliche Berechtigungen erforderlich. Die Dashboards für Anwendungen und Datenbanken enthalten beispielsweise eine Liste der VMs in jeder Schicht und einen Link zu SSH. Zusätzlich zu anderen Rollen müssen jedoch Berechtigungen für SSH-Verbindungen gewährt werden.
Jede VM so konfigurieren, dass die erforderlichen Informationen gesendet werden
Die folgenden Schritte müssen auf jeder Compute Engine-VM in einem SAP-System ausgeführt werden, das Sie in die Dashboards zur Observability aufnehmen möchten.
Dienstkonto
Das Dienstkonto, das mit jeder VM-Instanz verknüpft ist, muss die folgenden IAM-Rollen haben, um die erforderlichen Google Cloud APIs aufzurufen, damit die Kundenservicemitarbeiter die erforderlichen Informationen erfassen und senden können.
| Name der IAM-Rolle | IAM-Rolle |
|---|---|
| Compute-Betrachter | roles/compute.viewer |
| Monitoring-Betrachter | roles/monitoring.viewer |
| Monitoring-Messwert-Autor | roles/monitoring.metricWriter |
| Zugriffsperson für Secret Manager-Secret* | roles/secretmanager.secretAccessor |
| Workload Manager Insights Writer | roles/workloadmanager.insightWriter |
*Nur für SAP HANA-Instanzen erforderlich und wenn Sie die erforderlichen Anmeldedaten für den Lesezugriff mit Secret Manager speichern. Diese Rolle ist für Nicht-HANA-Instanzen oder HANA-Instanzen nicht erforderlich, wenn die Authentifizierung mit hdbuserstore-Schlüsseln erfolgt.
API-Zugriffsbereich
Wenn Sie den Compute Engine-Standarddienstkonten die VMs zuweisen, müssen Sie den Zugriffsbereich festlegen, der die Zugriffsebene der VM auf Cloud APIs steuert.
Prüfen Sie, ob der Zugriffsbereich für jede Instanz, die das Compute Engine-Standarddienstkonto verwendet, entweder auf „Uneingeschränkten Zugriff auf alle Cloud APIs zulassen“ gesetzt ist oder mindestens Zugriff auf die folgenden APIs hat, wenn Sie die Zugriffssteuerung mit „Zugriff für jede API festlegen“ verwenden:
| API | Zugriff erforderlich |
|---|---|
| Compute Engine | Schreibgeschützt oder Lese-/Schreibzugriff |
| Cloud Monitoring API | Nur Schreibzugriff oder Vollzugriff |
| Cloud Logging API | Nur Schreibzugriff oder Vollzugriff |
| Cloud-Plattform | Aktiviert |
Ops-Agent installieren und konfigurieren
Wenn Sie die zugrunde liegenden Infrastrukturmesswerte erfassen und zur Observabilität an Cloud Monitoring und Cloud Logging senden möchten, müssen Sie den Ops-Agenten auf jeder VM installieren, auf der Ihr SAP-System ausgeführt wird.
Konfigurieren Sie nach der Installation die hostmetrics-Einstellungen des Ops-Agents.
Das Standarderfassungsintervall für Hostmesswerte beträgt 60s.
Weitere Informationen finden Sie unter Erfassungsintervall in den Messwertempfängern ändern.
Nächste Schritte
- Informationen zum Konfigurieren des Agents für SAP für die Observabilitӓt
- Weitere Informationen zum Beobachten einer SAP-Arbeitslast