Esta página se ha traducido con Cloud Translation API.

Requisitos previos para la observabilidad de SAP

En este documento se describen los requisitos previos para configurar el servicio de observabilidad en Workload Manager, que le ayuda a monitorizar sus cargas de trabajo de SAP que se ejecutan en Google Cloud.

Requisitos previos	Descripción
Habilitar APIs	Habilita las siguientes APIs en tu Google Cloud proyecto : API Workload Manager API de Cloud Monitoring API de Cloud Logging API Cloud Asset
Concede roles y permisos de gestión de identidades y accesos al agente de servicio	Asigna los roles y permisos necesarios al agente de servicio de Workload Manager. Para obtener más información, consulta Roles y permisos del agente de servicio de Workload Manager.
Conceder roles y permisos de IAM a los usuarios	Los usuarios que consulten los paneles de observabilidad deben tener o recibir los roles y permisos necesarios. Para obtener más información, consulta Roles y permisos de gestión de identidades y accesos para el usuario.
Configurar cada VM que ejecute el sistema SAP	Concede los roles necesarios a la cuenta de servicio asociada a la VM y configura los permisos de acceso. Para obtener más información, consulta Configurar cada VM para que envíe la información necesaria.
Instalar y configurar el agente de operaciones	Instala el agente de operaciones y configúralo para que recoja las métricas de infraestructura. Para obtener más información, consulta Instalar y configurar Ops Agent.

Habilitar la API Workload Manager

La API Workload Manager debe estar habilitada en el proyecto en el que quieras monitorizar tus cargas de trabajo de SAP. Para obtener más información, consulta Habilitar Workload Manager.

Habilitar APIs adicionales

Workload Manager usa datos almacenados en otros servicios en la nube. Además de la API Workload Manager, debes habilitar las siguientes APIs en cada proyecto:

API de Cloud Monitoring
API de registro en la nube
API Cloud Asset

Estas APIs se comprueban automáticamente al acceder al servicio de observabilidad en Gestor de cargas de trabajo. Si no están habilitadas, los usuarios con los permisos necesarios pueden habilitarlas mientras acceden a los paneles de observabilidad.

También hay varias APIs que probablemente ya estén habilitadas para ejecutar una carga de trabajo de SAP en Google Cloud. Estas APIs pueden variar en función de la configuración que elijas y de las cargas de trabajo que se estén ejecutando.

Permisos y roles de gestión de identidades y accesos del agente de servicio de Workload Manager

Workload Manager usa un agente de servicio que necesita los permisos necesarios para acceder a métricas e información de Cloud Monitoring, Cloud Logging y otra información que se muestra en los paneles de observabilidad de SAP.

Los siguientes roles de gestión de identidades y accesos deben asignarse al agente de servicio de Workload Manager, que tiene el correo service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com. También puedes crear roles personalizados que contengan los permisos necesarios y asignarlos al agente de servicio de Workload Manager.

Rol de gestión de identidades y accesos	Permisos de gestión de identidades y accesos necesarios
Agente de servicio de Workload Manager	`workloadmanager.insights.listSapSystems` `serviceusage.services.use` `cloudasset.assets.listResource` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listAccessPolicy` `serviceusage.services.use`

Al acceder al panel de control de observabilidad, Workload Manager comprueba si el agente de servicio de Workload Manager tiene el rol necesario. Los usuarios que tengan los permisos necesarios pueden conceder los roles que faltan.

Roles y permisos de IAM del usuario

Para ver los sistemas y las cargas de trabajo en los paneles de observabilidad de Workload Manager, debes conceder los siguientes roles de gestión de identidades y accesos al usuario.

Rol de gestión de identidades y accesos	Permisos de gestión de identidades y accesos necesarios
Lector de cargas de trabajo de Workload Manager	`resourcemanager.projects.get` `resourcemanager.projects.list` `workloadmanager.discoveredprofiles.get` `workloadmanager.discoveredprofiles.list` `workloadmanager.discoveredprofiles.getHealth`

Además del rol Lector de cargas de trabajo de Workload Manager, el usuario debe tener los siguientes roles para usar todas las funciones del servicio de observabilidad.

Para ver toda la información de observabilidad relevante de SAP, concede los siguientes roles:

Lector de Monitoring (roles/monitoring.viewer)
Visualizador de registros (roles/logging.viewer)

Para crear paneles de control personalizados, debe asignar el siguiente rol:

Editor de Monitoring (roles/monitoring.editor)

Es posible que se necesiten permisos adicionales para usar las funciones opcionales. Por ejemplo, los paneles de aplicaciones y de bases de datos incluyen una lista de las máquinas virtuales de cada capa y un enlace a SSH, pero los permisos para la conexión SSH deben concederse además de otros roles.

Configurar cada VM para que envíe la información necesaria

Debes completar los siguientes pasos en cada VM de Compute Engine de un sistema SAP que quieras incluir en los paneles de observabilidad.

Cuenta de servicio

La cuenta de servicio asociada a cada instancia de VM debe tener los siguientes roles de gestión de identidades y accesos para llamar a las APIs necesarias para que los agentes recojan y envíen la información necesaria. Google Cloud

Nombre del rol de gestión de identidades y accesos	Rol de gestión de identidades y accesos
Lector de Compute	`roles/compute.viewer`
Lector de supervisión	`roles/monitoring.viewer`
Escritor de las métricas de supervisión	`roles/monitoring.metricWriter`
Lector de recursos de Secret Manager^*	`roles/secretmanager.secretAccessor`
Escritor de estadísticas de Workload Manager	`roles/workloadmanager.insightWriter`

^* Solo es necesario en instancias de SAP HANA y si almacenas las credenciales de acceso de lectura necesarias con Secret Manager. Este rol no es obligatorio en instancias que no sean de HANA ni en instancias de HANA si la autenticación se realiza mediante claves hdbuserstore.

Permiso de acceso a la API

Si asocias la cuenta de servicio predeterminada de Compute Engine a las VMs, debes definir el permiso de acceso que controla el nivel de acceso que tiene la VM a las APIs de Cloud.

Verifica que el permiso de acceso de cualquier instancia que use la cuenta de servicio predeterminada de Compute Engine esté configurado como Permitir el acceso completo a todas las APIs de Cloud o que tenga acceso a las siguientes APIs como mínimo si usas la opción Definir acceso para cada API:

API	Se necesita acceso
API de Compute Engine	Solo lectura o Lectura y escritura
API de Monitoring	Solo escritura o Completo
Logging API	Solo escritura o Completo
Plataforma en la nube	Habilitado

Instalar y configurar el agente de operaciones

Para recoger las métricas de la infraestructura subyacente y enviarlas a Cloud Monitoring y Cloud Logging para la observabilidad, debes instalar el agente de operaciones en todas las VMs que ejecuten tu sistema SAP.

Después de la instalación, configura los ajustes de hostmetrics del Agente de operaciones. El intervalo de recogida predeterminado de las métricas de host es 60s. Para obtener más información, consulta Cambiar el intervalo de recogida en los receptores de métricas.

Siguientes pasos

Consulta cómo configurar el agente de SAP para la observabilidad.
Consulta cómo observar una carga de trabajo de SAP.