Prasyarat untuk visibilitas SAP

Dokumen ini menjelaskan prasyarat untuk menyiapkan layanan visibilitas di Workload Manager yang membantu Anda memantau workload SAP yang berjalan di Google Cloud.

Prasyarat Deskripsi
Aktifkan API Aktifkan API berikut di project Anda:
Memberikan peran dan izin IAM ke agen layanan Berikan peran dan izin yang diperlukan ke agen layanan Workload Manager. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin agen layanan Workload Manager.
Memberikan peran dan izin IAM kepada pengguna Pengguna yang melihat dasbor visibilitas harus memiliki atau diberi peran dan izin yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM untuk pengguna.
Mengonfigurasi setiap VM yang menjalankan sistem SAP Berikan peran yang diperlukan ke akun layanan yang terpasang ke VM dan konfigurasikan cakupan akses. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setiap VM untuk mengirim informasi yang diperlukan.
Menginstal dan mengonfigurasi agen Ops Instal Agen Operasional dan konfigurasikan agen untuk mengumpulkan metrik infrastruktur. Untuk informasi selengkapnya, lihat Menginstal dan mengonfigurasi Agen Operasional.

Mengaktifkan Workload Manager API

Workload Manager API harus diaktifkan di project tempat Anda ingin memantau workload SAP. Untuk informasi selengkapnya, lihat Mengaktifkan Workload Manager.

Mengaktifkan API tambahan

Workload Manager menggunakan data yang disimpan di layanan cloud lainnya. Selain Workload Manager API, API tambahan ini harus diaktifkan di setiap project.

API ini diperiksa secara otomatis saat mengakses layanan visibilitas dalam Pengelola Beban Kerja. Jika tidak diaktifkan, pengguna dengan izin yang diperlukan dapat mengaktifkannya pada saat itu.

  • Cloud Monitoring API
  • Cloud Logging API
  • Cloud Asset API

Ada juga berbagai API yang mungkin sudah diaktifkan untuk menjalankan beban kerja SAP di Google Cloud. API ini dapat bervariasi berdasarkan konfigurasi yang Anda pilih dan workload yang sedang dijalankan.

Peran dan izin IAM agen layanan Workload Manager

Workload Manager menggunakan agen layanan, yang memerlukan izin yang diperlukan untuk mengakses metrik dan informasi dari Cloud Monitoring, Cloud Logging, dan informasi lainnya yang ditampilkan di dasbor visibilitas untuk SAP.

Peran IAM berikut harus ditetapkan ke agen layanan Workload Manager, yang memiliki email service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com. Atau, Anda dapat membuat peran kustom yang berisi izin yang diperlukan dan menetapkannya ke agen layanan Workload Manager.

Peran Izin yang diperlukan
Agen layanan Workload Manager workloadmanager.insights.listSapSystems
serviceusage.services.use
cloudasset.assets.listResource
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
cloudasset.assets.listAccessPolicy
serviceusage.services.use

Saat membuka dasbor visibilitas, Workload Manager akan memeriksa apakah agen layanan Workload Manager memiliki peran yang diperlukan. Pengguna yang memiliki izin yang diperlukan dapat memberikan peran yang tidak ada.

Peran dan izin IAM untuk pengguna

Untuk melihat sistem dan beban kerja di dasbor visibilitas Workload Manager, Anda harus memberikan peran IAM berikut kepada pengguna.

Peran Izin
Workload Viewer Workload Manager resourcemanager.projects.get
resourcemanager.projects.list
workloadmanager.discoveredprofiles.get
workloadmanager.discoveredprofiles.list
workloadmanager.discoveredprofiles.getHealth

Selain peran Pelihat Beban Kerja Pengelola Beban Kerja, pengguna harus diberi peran berikut untuk menggunakan semua fitur di layanan observabilitas.

Untuk melihat semua informasi visibilitas yang relevan untuk SAP, berikan peran berikut:

  • Monitoring Viewer (roles/monitoring.viewer)
  • Logs Viewer (roles/logging.viewer)

Untuk membuat dasbor kustom, berikan peran berikut:

  • Monitoring Editor (roles/monitoring.editor)

Izin tambahan mungkin diperlukan untuk menggunakan fitur opsional. Misalnya, dasbor Aplikasi dan Database menyertakan daftar VM di setiap lapisan dan link ke SSH, tetapi izin untuk koneksi SSH harus diberikan selain peran lainnya.

Mengonfigurasi setiap VM untuk mengirim informasi yang diperlukan

Langkah-langkah berikut harus diselesaikan di setiap VM Compute Engine dalam sistem SAP yang ingin Anda sertakan di dasbor visibilitas.

Akun layanan

Akun layanan yang dilampirkan ke setiap instance VM harus memiliki peran IAM berikut untuk memanggil API Google Cloud yang diperlukan agar agen dapat mengumpulkan dan mengirim informasi yang diperlukan.

Nama Peran IAM Peran IAM
Compute Viewer roles/compute.viewer
Penampil Pemantauan roles/monitoring.viewer
Penulis Metrik Pemantauan roles/monitoring.metricWriter
Secret Manager Secret Accessor* roles/secretmanager.secretAccessor
Workload Manager Insights Writer roles/workloadmanager.insightWriter

*Hanya diperlukan di instance SAP HANA dan jika Anda menyimpan kredensial akses baca yang diperlukan menggunakan Secret Manager. Peran ini tidak diperlukan di instance non-HANA atau di instance HANA jika melakukan autentikasi menggunakan kunci hdbuserstore.

Cakupan akses API

Jika Anda memasang akun layanan default Compute Engine ke VM, Anda harus menetapkan cakupan akses yang mengontrol tingkat akses VM ke Cloud API.

Pastikan Cakupan Akses di instance mana pun yang menggunakan akun layanan default Compute Engine ditetapkan ke Allow full access to all Cloud APIs atau memiliki akses ke API berikut setidaknya jika Anda mengontrol menggunakan Set access for each API:

API Akses diperlukan
Compute Engine Hanya baca atau Baca Tulis
Cloud Monitoring API Hanya Tulis atau Lengkap
Cloud Logging API Hanya Tulis atau Lengkap
Cloud Platform Aktif

Menginstal dan mengonfigurasi Agen Operasional

Untuk mengumpulkan metrik infrastruktur yang mendasarinya dan mengirim metrik ini ke Cloud Monitoring dan Cloud Logging untuk visibilitas, Anda harus menginstal Ops Agent di setiap VM yang menjalankan sistem SAP Anda.

Setelah penginstalan, konfigurasikan setelan hostmetrics Agen Operasional. Interval pengumpulan default untuk metrik host adalah 60s. Untuk informasi selengkapnya, lihat Mengubah interval pengumpulan di penerima metrik.

Langkah selanjutnya