Ce document décrit les conditions préalables à la configuration du service d'observabilité dans le gestionnaire de charges de travail, qui vous aide à surveiller vos charges de travail SAP exécutées sur Google Cloud.
| Conditions préalables | Description |
|---|---|
| Activer les API | Activez les API suivantes dans votre projet: |
| Accorder des rôles et des autorisations IAM à l'agent de service | Attribuez les rôles et autorisations requis à l'agent de service Workload Manager. Pour en savoir plus, consultez la section Rôles et autorisations des agents de service Workload Manager. |
| Accorder des rôles et des autorisations IAM aux utilisateurs | Les utilisateurs qui consultent les tableaux de bord d'observabilité doivent disposer des rôles et des autorisations requis ou en être autorisés. Pour en savoir plus, consultez la section Rôles et autorisations IAM de l'utilisateur. |
| Configurer chaque VM exécutant le système SAP | Attribuez les rôles requis au compte de service associé à la VM et configurez les niveaux d'accès. Pour en savoir plus, consultez la section Configurer chaque VM pour qu'elle envoie les informations requises. |
| Installer et configurer l'agent Ops | Installez l'agent Ops et configurez-le pour collecter les métriques d'infrastructure. Pour en savoir plus, consultez la section Installer et configurer l'agent Ops. |
Activer l'API Workload Manager
L'API Workload Manager doit être activée dans le projet dans lequel vous souhaitez surveiller vos charges de travail SAP. Pour en savoir plus, consultez Activer le gestionnaire de charges de travail.
Activer des API supplémentaires
Le Gestionnaire de charges de travail utilise les données stockées dans d'autres services cloud. En plus de l'API Workload Manager, ces API supplémentaires doivent être activées dans chaque projet.
Ces API sont vérifiées automatiquement lorsque vous accédez au service d'observabilité dans le Gestionnaire de charges de travail. Si elles ne sont pas activées, les utilisateurs disposant des autorisations nécessaires peuvent les activer à ce moment-là.
- API Cloud Monitoring
- API Cloud Logging
- API Cloud Asset
De nombreuses API sont également probablement déjà activées pour exécuter une charge de travail SAP sur Google Cloud. Ces API peuvent varier en fonction de la configuration choisie et des charges de travail exécutées.
Autorisations et rôles IAM de l'agent de service Workload Manager
Le gestionnaire de charges de travail utilise un agent de service, qui a besoin des autorisations nécessaires pour accéder aux métriques et aux informations de Cloud Monitoring, de Cloud Logging et d'autres informations affichées dans les tableaux de bord d'observabilité pour SAP.
Les rôles IAM suivants doivent être attribués à l'agent de service Workload Manager, qui dispose de l'adresse e-mail service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com.
Vous pouvez également créer des rôles personnalisés contenant les autorisations nécessaires et les attribuer à l'agent de service Workload Manager.
| Rôle | Autorisations requises |
|---|---|
| Agent de service du gestionnaire de charges de travail | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
Lorsque vous accédez au tableau de bord d'observabilité, Workload Manager vérifie si l'agent de service Workload Manager dispose du rôle requis. Les utilisateurs disposant des autorisations nécessaires peuvent accorder les rôles manquants.
Rôles et autorisations IAM de l'utilisateur
Pour afficher les systèmes et les charges de travail dans les tableaux de bord d'observabilité de Workload Manager, vous devez accorder les rôles IAM suivants à l'utilisateur.
| Rôle | Autorisations |
|---|---|
| Lecteur de charge de travail du gestionnaire de charges de travail | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
En plus du rôle de lecteur de charge de travail du Gestionnaire de charges de travail, l'utilisateur doit disposer des rôles suivants pour pouvoir utiliser toutes les fonctionnalités du service d'observabilité.
Pour afficher toutes les informations d'observabilité pertinentes pour SAP, accordez les rôles suivants:
- Lecteur Monitoring (
roles/monitoring.viewer) - Visionneuse de journaux (
roles/logging.viewer)
Pour créer des tableaux de bord personnalisés, accordez le rôle suivant:
- Éditeur Monitoring (
roles/monitoring.editor)
Des autorisations supplémentaires peuvent être requises pour utiliser les fonctionnalités facultatives. Par exemple, les tableaux de bord "Application" et "Base de données" incluent une liste de VM dans chaque couche et un lien vers SSH, mais les autorisations de connexion SSH doivent être accordées en plus des autres rôles.
Configurer chaque VM pour qu'elle envoie les informations requises
Vous devez suivre les étapes suivantes sur chaque VM Compute Engine d'un système SAP que vous souhaitez inclure dans les tableaux de bord d'observabilité.
Compte de service
Le compte de service associé à chaque instance de VM doit disposer des rôles IAM suivants pour appeler les API Google Cloud requises afin que les agents puissent collecter et envoyer les informations nécessaires.
| Nom du rôle IAM | Rôle IAM |
|---|---|
| Lecteur de Compute | roles/compute.viewer |
| Lecteur Monitoring | roles/monitoring.viewer |
| Rédacteur de métriques Monitoring | roles/monitoring.metricWriter |
| Accesseur de secrets Secret Manager* | roles/secretmanager.secretAccessor |
| Rédacteur d'insights Workload Manager | roles/workloadmanager.insightWriter |
* Uniquement requis sur les instances SAP HANA et si vous stockez les identifiants d'accès en lecture nécessaires à l'aide de Secret Manager. Ce rôle n'est pas obligatoire sur les instances autres que HANA ni sur les instances HANA si l'authentification est effectuée à l'aide de clés hdbuserstore.
Champ d'application de l'accès aux API
Si vous associez le compte de service par défaut Compute Engine aux VM, vous devez définir le niveau d'accès de la VM aux API Cloud.
Vérifiez que le champ d'application d'accès de toute instance utilisant le compte de service Compute Engine par défaut est défini sur "Autoriser l'accès complet à l'ensemble des API Cloud" ou dispose d'un accès minimal aux API suivantes si vous contrôlez l'accès à l'aide de l'option "Définir l'accès pour chaque API" :
| API | Accès requis |
|---|---|
| Compute Engine | Lecture seule ou lecture/écriture |
| API Cloud Monitoring | Écriture seule ou complète |
| API Cloud Logging | Écriture seule ou complète |
| Cloud Platform | Activé |
Installer et configurer l'agent Ops
Pour collecter les métriques d'infrastructure sous-jacentes et les envoyer à Cloud Monitoring et Cloud Logging à des fins d'observabilité, vous devez installer l'agent Ops sur chaque VM exécutant votre système SAP.
Après l'installation, configurez les paramètres hostmetrics de l'agent Ops.
L'intervalle de collecte par défaut pour les métriques de l'hôte est 60s.
Pour en savoir plus, consultez Modifier l'intervalle de collecte dans les récepteurs de métriques.
Étape suivante
- Découvrez comment configurer l'Agent pour SAP pour l'observabilité.
- Découvrez comment observer une charge de travail SAP.