En este documento, se describen los requisitos previos para configurar el servicio de observabilidad en Workload Manager, que te ayuda a supervisar tus cargas de trabajo de SAP que se ejecutan en Google Cloud.
| Requisitos | Descripción |
|---|---|
| Habilita las APIs | Habilita las siguientes APIs en tu proyecto: |
| Otorga permisos y roles de IAM al agente de servicio | Otorga los roles y permisos necesarios al agente de servicio de Workload Manager. Para obtener más información, consulta Roles y permisos del agente de servicio de Workload Manager. |
| Otorga roles y permisos de IAM a los usuarios | Los usuarios que ven los paneles de observabilidad deben tener los roles y permisos necesarios, o bien se les deben otorgar. Para obtener más información, consulta Roles y permisos de IAM para el usuario. |
| Configura cada VM que ejecuta el sistema SAP | Otorga los roles necesarios a la cuenta de servicio adjunta a la VM y configura los permisos de acceso. Para obtener más información, consulta Configura cada VM para que envíe la información requerida. |
| Instala y configura el agente de operaciones | Instala el agente de operaciones y configúralo para recopilar las métricas de infraestructura. Para obtener más información, consulta Instala y configura el agente de operaciones. |
Habilita la API de Workload Manager
La API de Workload Manager debe estar habilitada en el proyecto en el que deseas supervisar tus cargas de trabajo de SAP. Para obtener más información, consulta Habilita Workload Manager.
Habilita APIs adicionales
Workload Manager usa datos almacenados en otros servicios en la nube. Además de la API de Workload Manager, estas APIs adicionales deben habilitarse en cada proyecto.
Estas APIs se verifican automáticamente cuando se accede al servicio de observabilidad dentro del Administrador de cargas de trabajo. Si no están habilitadas, los usuarios con los permisos necesarios pueden habilitarlas en ese momento.
- API de Cloud Monitoring
- API de Cloud Logging
- API de Cloud Asset
También hay una variedad de APIs que probablemente ya estén habilitadas para ejecutar una carga de trabajo de SAP en Google Cloud. Estas APIs pueden variar según la configuración que elijas y las cargas de trabajo que se ejecuten.
Permisos y roles de IAM del agente de servicio de Workload Manager
Workload Manager usa un agente de servicio que necesita los permisos necesarios para acceder a las métricas y la información de Cloud Monitoring, Cloud Logging y otra información que se muestra en los paneles de observabilidad para SAP.
Se deben asignar los siguientes roles de IAM al agente de servicio de Workload Manager, que tiene el correo electrónico service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com.
Como alternativa, puedes crear roles personalizados que contengan los permisos necesarios y asignarlos al agente de servicio de Workload Manager.
| Función | Permisos necesarios |
|---|---|
| Agente de servicio del Administrador de cargas de trabajo | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
Cuando navegas al panel de observabilidad, el Administrador de cargas de trabajo verifica si el agente de servicio del Administrador de cargas de trabajo tiene el rol requerido. Los usuarios que tienen los permisos necesarios pueden otorgar los roles faltantes.
Roles y permisos de IAM para el usuario
Para ver los sistemas y las cargas de trabajo en los paneles de observabilidad de Workload Manager, debes otorgar los siguientes roles de IAM al usuario.
| Función | Permisos |
|---|---|
| Visualizador de carga de trabajo de Workload Manager | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
Además del rol de Visualizador de cargas de trabajo de Workload Manager, se deben otorgar los siguientes roles al usuario para que pueda usar todas las funciones del servicio de observabilidad.
Para ver toda la información de observabilidad pertinente para SAP, otorga los siguientes roles:
- Visualizador de Monitoring (
roles/monitoring.viewer) - Visor de registros (
roles/logging.viewer)
Para crear paneles personalizados, otorga el siguiente rol:
- Editor de Monitoring (
roles/monitoring.editor)
Es posible que se requieran permisos adicionales para usar las funciones opcionales. Por ejemplo, los paneles de aplicaciones y bases de datos incluyen una lista de VMs en cada capa y un vínculo a SSH, pero los permisos para la conexión SSH se deben otorgar además de otros roles.
Configura cada VM para que envíe la información requerida
Los siguientes pasos se deben completar en cada VM de Compute Engine de un sistema SAP que desees incluir en los paneles de observabilidad.
Cuenta de servicio
La cuenta de servicio adjunta a cada instancia de VM debe tener los siguientes roles de IAM para llamar a las APIs de Google Cloud necesarias para que los agentes recopilen y envíen la información necesaria.
| Nombre del rol de IAM | Rol de IAM |
|---|---|
| Visualizador de Compute | roles/compute.viewer |
| Visualizador de Monitoring | roles/tracking.viewer |
| Escritor de métricas de Monitoring | roles/tracking.metricWriter |
| Usuario con acceso a secretos de Secret Manager* | roles/secretmanager.secretAccessor |
| Escritor de estadísticas del administrador de cargas de trabajo | roles/workloadmanager.insightWriter |
*Solo se requiere en instancias de SAP HANA y si almacenas las credenciales de acceso de lectura necesarias con Secret Manager. Este rol no es obligatorio en instancias que no son de HANA ni en instancias de HANA si la autenticación se realiza con claves de hdbuserstore.
Permiso de acceso a la API
Si adjuntas la cuenta de servicio predeterminada de Compute Engine a las VMs, debes establecer el permiso de acceso que controla el nivel de acceso que tiene la VM a las API de Cloud.
Verifica que el permiso de acceso en cualquier instancia que use la cuenta de servicio predeterminada de Compute Engine esté configurado como Permitir el acceso total a todas las API de Cloud o que tenga acceso a las siguientes APIs como mínimo si controlas el acceso con la opción Configurar acceso para cada API:
| API | Se requiere acceso |
|---|---|
| Compute Engine | Solo lectura o lectura y escritura |
| API de Cloud Monitoring | Solo escritura o Completo |
| API de Cloud Logging | Solo escritura o Completo |
| Cloud Platform | Habilitado |
Instala y configura el agente de operaciones
Para recopilar las métricas de infraestructura subyacentes y enviarlas a Cloud Monitoring y Cloud Logging para la observabilidad, debes instalar el agente de operaciones en cada VM que ejecute tu sistema SAP.
Después de la instalación, configura los parámetros de hostmetrics del agente de operaciones.
El intervalo de recopilación predeterminado para las métricas del host es 60s.
Para obtener más información, consulta Cambia el intervalo de recopilación en los receptores de métricas.
¿Qué sigue?
- Obtén más información para configurar el Agente para SAP para la observabilidad.
- Obtén más información para observar una carga de trabajo de SAP.