En este documento, se describen los requisitos previos para configurar el servicio de visibilidad en Workload Manager, que te ayuda a supervisar tus cargas de trabajo de SAP que se ejecutan en Google Cloud.
| Requisitos | Descripción |
|---|---|
| Habilita las APIs | Habilita las siguientes APIs en tu proyecto: |
| Otorga roles y permisos de IAM al agente de servicio | Otorga los roles y permisos necesarios al agente de servicio del Administrador de cargas de trabajo. Para obtener más información, consulta Roles y permisos del agente de servicio de Workload Manager. |
| Otorga roles y permisos de IAM a los usuarios | Los usuarios que ven los paneles de visibilidad deben tener o se les deben otorgar los roles y permisos necesarios. Para obtener más información, consulta Roles y permisos de IAM para el usuario. |
| Configura cada VM que ejecuta el sistema SAP | Otorga los roles necesarios a la cuenta de servicio conectada a la VM y configura los permisos de acceso. Para obtener más información, consulta Configura cada VM para que envíe la información requerida. |
| Instala y configura el agente de operaciones | Instala el agente de operaciones y configúralo para que recopile las métricas de la infraestructura. Para obtener más información, consulta Instala y configura el agente de operaciones. |
Habilita la API de Workload Manager
La API de Workload Manager debe estar habilitada en el proyecto en el que deseas supervisar tus cargas de trabajo de SAP. Para obtener más información, consulta Habilita Workload Manager.
Habilita APIs adicionales
Workload Manager usa datos almacenados en otros servicios en la nube. Además de la API de Workload Manager, estas APIs adicionales deben estar habilitadas en cada proyecto.
Estas APIs se verifican automáticamente cuando se accede al servicio de observabilidad dentro del Administrador de cargas de trabajo. Si no están habilitados, los usuarios con los permisos necesarios pueden habilitarlos en ese momento.
- API de Cloud Monitoring
- API de Cloud Logging
- API de Cloud Asset
También hay una variedad de APIs que es probable que ya estén habilitadas para ejecutar una carga de trabajo de SAP en Google Cloud. Estas APIs pueden variar según la configuración que elijas y las cargas de trabajo que se ejecuten.
Roles y permisos de IAM del agente de servicio de Workload Manager
Workload Manager usa un agente de servicio, que necesita los permisos necesarios para acceder a las métricas y la información de Cloud Monitoring, Cloud Logging y otra información que se muestra en los paneles de observabilidad de SAP.
Se deben asignar los siguientes roles de IAM al agente de servicio de Workload Manager, que tiene el correo electrónico service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com.
Como alternativa, puedes crear roles personalizados que contengan los permisos necesarios y asignarlos al agente de servicio de Workload Manager.
| Función | Permisos necesarios |
|---|---|
| Agente de servicio del Administrador de cargas de trabajo | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
Cuando navegas al panel de observabilidad, el Administrador de cargas de trabajo verifica si el agente de servicio del Administrador de cargas de trabajo tiene el rol requerido. Los usuarios que tengan los permisos necesarios pueden otorgar los roles faltantes.
Roles y permisos de IAM del usuario
Para ver los sistemas y las cargas de trabajo en los paneles de visibilidad de Workload Manager, debes otorgar los siguientes roles de IAM al usuario.
| Función | Permisos |
|---|---|
| Visualizador de carga de trabajo de Workload Manager | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
Además del rol de visor de cargas de trabajo del Administrador de cargas de trabajo, se deben otorgar al usuario los siguientes roles para usar todas las funciones del servicio de observabilidad.
Para ver toda la información de observabilidad relevante para SAP, otorga los siguientes roles:
- Visualizador de Monitoring (
roles/monitoring.viewer) - Visor de registros (
roles/logging.viewer)
Para crear paneles personalizados, otorga el siguiente rol:
- Editor de Monitoring (
roles/monitoring.editor)
Es posible que se requieran permisos adicionales para usar las funciones opcionales. Por ejemplo, los paneles de aplicaciones y bases de datos incluyen una lista de VMs en cada capa y un vínculo a SSH, pero se deben otorgar permisos para la conexión SSH, además de otros roles.
Configura cada VM para que envíe la información requerida
Los siguientes pasos se deben completar en cada VM de Compute Engine en un sistema de SAP que desees incluir en los paneles de visibilidad.
Cuenta de servicio
La cuenta de servicio que se adjunta a cada instancia de VM debe tener los siguientes roles de IAM para llamar a las Google Cloud APIs requeridas para que los agentes recopilen y envíen la información necesaria.
| Nombre del rol de IAM | Rol de IAM |
|---|---|
| Lector de Compute | roles/compute.viewer |
| Visualizador de Monitoring | roles/tracking.viewer |
| Escritor de métricas de Monitoring | roles/tracking.metricWriter |
| Usuario con acceso a secretos de Secret Manager* | roles/secretmanager.secretAccessor |
| Escritor de estadísticas del administrador de cargas de trabajo | roles/workloadmanager.insightWriter |
*Solo es obligatorio en instancias de SAP HANA y si almacenas las credenciales de acceso de lectura necesarias con Secret Manager. Este rol no es obligatorio en instancias que no sean de HANA ni en instancias de HANA si se realiza la autenticación con claves hdbuserstore.
Alcance de acceso a la API
Si adjuntas la cuenta de servicio predeterminada de Compute Engine a las VMs, debes configurar el permiso de acceso que controla el nivel de acceso que tiene la VM a las APIs de Cloud.
Verifica que el nivel de acceso en cualquier instancia que use la cuenta de servicio predeterminada de Compute Engine esté configurado para permitir el acceso completo a todas las APIs de Cloud o que tenga acceso, como mínimo, a las siguientes APIs si controlas el acceso mediante la opción Configurar acceso para cada API:
| API | Acceso obligatorio |
|---|---|
| Compute Engine | Solo lectura o lectura y escritura |
| API de Cloud Monitoring | Solo escritura o Completo |
| API de Cloud Logging | Solo escritura o Completo |
| Cloud Platform | Habilitado |
Instala y configura el agente de operaciones
Para recopilar las métricas subyacentes de la infraestructura y enviarlas a Cloud Monitoring y Cloud Logging para la observabilidad, debes instalar el Agente de Ops en cada VM que ejecute tu sistema SAP.
Después de la instalación, configura la configuración de hostmetrics del Agente de operaciones.
El intervalo de recopilación predeterminado para las métricas de host es 60s.
Para obtener más información, consulta Cómo cambiar el intervalo de recopilación en los receptores de métricas.
¿Qué sigue?
- Obtén más información para configurar el Agente para SAP para la observabilidad.
- Obtén información para observar una carga de trabajo de SAP.