Ce document décrit les conditions préalables à la configuration du service d'observabilité dans le gestionnaire de charges de travail, qui vous aide à surveiller vos charges de travail SAP exécutées sur Google Cloud.
| Conditions préalables | Description |
|---|---|
| Activer les API | Activez les API suivantes dans votre projet : |
| Accorder des rôles et des autorisations IAM à l'agent de service | Attribuez les rôles et autorisations requis à l'agent de service Workload Manager. Pour en savoir plus, consultez Rôles et autorisations de l'agent de service Workload Manager. |
| Accorder des rôles et des autorisations IAM aux utilisateurs | Les utilisateurs qui consultent les tableaux de bord d'observabilité doivent disposer des rôles et autorisations requis, ou se les voir attribuer. Pour en savoir plus, consultez Rôles et autorisations IAM pour l'utilisateur. |
| Configurer chaque VM qui exécute le système SAP | Attribuez les rôles requis au compte de service associé à la VM et configurez les niveaux d'accès. Pour en savoir plus, consultez Configurer chaque VM pour qu'elle envoie les informations requises. |
| Installer et configurer l'agent Ops | Installez l'agent Ops et configurez-le pour collecter les métriques d'infrastructure. Pour en savoir plus, consultez Installer et configurer l'agent Ops. |
Activer l'API Workload Manager
L'API Workload Manager doit être activée dans le projet dans lequel vous souhaitez surveiller vos charges de travail SAP. Pour en savoir plus, consultez Activer le gestionnaire de charges de travail.
Activer des API supplémentaires
Workload Manager utilise les données stockées dans d'autres services cloud. En plus de l'API Workload Manager, ces API supplémentaires doivent être activées dans chaque projet.
Ces API sont vérifiées automatiquement lorsque vous accédez au service d'observabilité dans Workload Manager. Si elles ne sont pas activées, les utilisateurs disposant des autorisations nécessaires peuvent les activer à ce moment-là.
- API Cloud Monitoring
- API Cloud Logging
- API Cloud Asset
De plus, il existe différentes API qui sont probablement déjà activées pour exécuter une charge de travail SAP sur Google Cloud. Ces API peuvent varier en fonction de la configuration choisie et des charges de travail exécutées.
Autorisations et rôles IAM de l'agent de service Workload Manager
Workload Manager utilise un agent de service qui a besoin des autorisations nécessaires pour accéder aux métriques et aux informations de Cloud Monitoring, Cloud Logging et d'autres informations affichées sur les tableaux de bord d'observabilité pour SAP.
Les rôles IAM suivants doivent être attribués à l'agent de service Workload Manager, dont l'adresse e-mail est service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com.
Vous pouvez également créer des rôles personnalisés contenant les autorisations nécessaires et les attribuer à l'agent de service Workload Manager.
| Rôle | Autorisations requises |
|---|---|
| Agent de service Workload Manager | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
Lorsque vous accédez au tableau de bord d'observabilité, Workload Manager vérifie si l'agent de service Workload Manager dispose du rôle requis. Les utilisateurs disposant des autorisations nécessaires peuvent attribuer les rôles manquants.
Rôles et autorisations IAM de l'utilisateur
Pour afficher les systèmes et les charges de travail dans les tableaux de bord d'observabilité de Workload Manager, vous devez accorder les rôles IAM suivants à l'utilisateur.
| Rôle | Autorisations |
|---|---|
| Lecteur de charge de travail du gestionnaire de charges de travail | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
En plus du rôle Lecteur de charge de travail Workload Manager, l'utilisateur doit disposer des rôles suivants pour utiliser toutes les fonctionnalités du service d'observabilité.
Pour afficher toutes les informations d'observabilité pertinentes pour SAP, accordez les rôles suivants :
- Lecteur Monitoring (
roles/monitoring.viewer) - Visionneuse de journaux (
roles/logging.viewer)
Pour créer des tableaux de bord personnalisés, accordez le rôle suivant :
- Éditeur Monitoring (
roles/monitoring.editor)
Des autorisations supplémentaires peuvent être nécessaires pour utiliser les fonctionnalités facultatives. Par exemple, les tableaux de bord "Application" et "Base de données" incluent une liste des VM de chaque couche et un lien vers SSH, mais les autorisations de connexion SSH doivent être accordées en plus des autres rôles.
Configurer chaque VM pour qu'elle envoie les informations requises
Les étapes suivantes doivent être effectuées sur chaque VM Compute Engine d'un système SAP que vous souhaitez inclure dans les tableaux de bord d'observabilité.
Compte de service
Le compte de service associé à chaque instance de VM doit disposer des rôles IAM suivants pour appeler les API Google Cloud requises afin que les agents puissent collecter et envoyer les informations nécessaires.
| Nom du rôle IAM | Rôle IAM |
|---|---|
| Lecteur de Compute | roles/compute.viewer |
| Lecteur Monitoring | roles/monitoring.viewer |
| Rédacteur de métriques Monitoring | roles/monitoring.metricWriter |
| Accesseur de secrets Secret Manager* | roles/secretmanager.secretAccessor |
| Rédacteur d'insights Workload Manager | roles/workloadmanager.insightWriter |
* Obligatoire uniquement sur les instances SAP HANA et si vous stockez les identifiants d'accès en lecture nécessaires à l'aide de Secret Manager. Ce rôle n'est pas requis sur les instances non-HANA ni sur les instances HANA si l'authentification s'effectue à l'aide de clés hdbuserstore.
Niveau d'accès l'API
Si vous associez le compte de service Compute Engine par défaut aux VM, vous devez définir le niveau d'accès qui contrôle le niveau d'accès de la VM aux APIs Cloud.
Vérifiez que le champ d'application d'accès de toute instance utilisant le compte de service Compute Engine par défaut est défini sur "Autoriser l'accès complet à toutes les APIs Cloud" ou qu'il a accès au minimum aux API suivantes si vous utilisez l'option "Définir l'accès pour chaque API" :
| API | Accès requis |
|---|---|
| Compute Engine | Lecture seule ou lecture/écriture |
| API Cloud Monitoring | Écriture seule ou complet |
| API Cloud Logging | Écriture seule ou complet |
| Cloud Platform | Activé |
Installer et configurer l'agent Ops
Pour collecter les métriques d'infrastructure sous-jacentes et les envoyer à Cloud Monitoring et Cloud Logging à des fins d'observabilité, vous devez installer l'agent Ops sur chaque VM qui exécute votre système SAP.
Après l'installation, configurez les paramètres hostmetrics de l'agent Ops.
L'intervalle de collecte par défaut pour les métriques d'hôte est de 60s.
Pour en savoir plus, consultez Modifier l'intervalle de collecte dans les récepteurs de métriques.
Étapes suivantes
- Découvrez comment configurer l'agent pour SAP pour l'observabilité.
- Découvrez comment observer une charge de travail SAP.