Questo documento descrive i prerequisiti per la configurazione del servizio di osservabilità in Workload Manager che ti aiuta a monitorare i carichi di lavoro SAP in esecuzione su Google Cloud.
| Prerequisito | Descrizione |
|---|---|
| Abilita le API | Abilita le seguenti API nel progetto: |
| Concedi ruoli e autorizzazioni IAM all'agente di servizio | Concedi i ruoli e le autorizzazioni richiesti all'agente di servizio Workload Manager. Per ulteriori informazioni, consulta Ruoli e autorizzazioni dell'agente di servizio Workload Manager. |
| Concedere ruoli e autorizzazioni IAM agli utenti | Gli utenti che visualizzano le dashboard di osservabilità devono disporre o devono aver ricevuto i ruoli e le autorizzazioni richiesti. Per saperne di più, consulta Ruoli e autorizzazioni IAM per l'utente. |
| Configura ogni VM che esegue il sistema SAP | Concedi i ruoli richiesti all'account di servizio associato alla VM e configura gli ambiti di accesso. Per ulteriori informazioni, consulta Configurare ogni VM per inviare le informazioni richieste. |
| Installa e configura Ops Agent | Installa l'agente operativo e configuralo per raccogliere le metriche dell'infrastruttura. Per ulteriori informazioni, vedi Installare e configurare Ops Agent. |
Abilita l'API Workload Manager
L'API Workload Manager deve essere abilitata nel progetto in cui vuoi monitorare i workload SAP. Per saperne di più, consulta Abilitare Workload Manager.
Abilita API aggiuntive
Workload Manager utilizza i dati archiviati in altri servizi cloud. Oltre all'API Workload Manager, queste API aggiuntive devono essere abilitate in ogni progetto.
Queste API vengono controllate automaticamente quando si accede al servizio di osservabilità all'interno di Workload Manager. Se non sono attive, gli utenti con le autorizzazioni necessarie possono attivarle in quel momento.
- API Cloud Monitoring
- API Cloud Logging
- API Cloud Asset
Esistono anche diverse API che probabilmente sono già abilitate per eseguire un carico di lavoro SAP su Google Cloud. Queste API possono variare in base alla configurazione scelta e ai carichi di lavoro in esecuzione.
Autorizzazioni e ruoli IAM dell'agente di servizio Workload Manager
Workload Manager utilizza un agente di servizio, che ha bisogno delle autorizzazioni necessarie per accedere alle metriche e alle informazioni di Cloud Monitoring, Cloud Logging e altre informazioni visualizzate nelle dashboard di osservabilità per SAP.
I seguenti ruoli IAM devono essere assegnati all'agente di servizio Workload Manager,
che ha l'indirizzo email
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com.
In alternativa, puoi creare ruoli personalizzati che contengono le autorizzazioni necessarie e assegnarli all'agente di servizio Workload Manager.
| Role | Autorizzazioni obbligatorie |
|---|---|
| Agente di servizio Workload Manager | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
Quando accedi alla dashboard di osservabilità, Workload Manager controlla se l'agente di servizio Workload Manager ha il ruolo richiesto. Gli utenti che dispongono delle autorizzazioni necessarie possono concedere i ruoli mancanti.
Ruoli e autorizzazioni IAM per l'utente
Per visualizzare i sistemi e i carichi di lavoro nelle dashboard di osservabilità di Workload Manager, devi concedere all'utente i seguenti ruoli IAM.
| Role | Autorizzazioni |
|---|---|
| Workload Manager Workload Viewer | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
Oltre al ruolo Visualizzatore del carico di lavoro di Workload Manager, all'utente devono essere concessi i seguenti ruoli per utilizzare tutte le funzionalità del servizio di osservabilità.
Per visualizzare tutte le informazioni di osservabilità pertinenti per SAP, concedi i seguenti ruoli:
- Visualizzatore Monitoring (
roles/monitoring.viewer) - Logs Viewer (
roles/logging.viewer)
Per creare dashboard personalizzate, concedi il seguente ruolo:
- Monitoring Editor (
roles/monitoring.editor)
Per utilizzare le funzionalità facoltative potrebbero essere necessarie autorizzazioni aggiuntive. Ad esempio, le dashboard di applicazioni e database includono un elenco di VM in ogni livello e un link a SSH, ma le autorizzazioni per la connessione SSH devono essere concesse oltre ad altri ruoli.
Configurare ogni VM per inviare le informazioni richieste
I passaggi che seguono devono essere completati su ogni VM Compute Engine in un sistema SAP che vuoi includere nelle dashboard di osservabilità.
Service account
L'account di servizio associato a ogni istanza VM deve disporre dei seguenti ruoli IAM per chiamare le API Google Cloud richieste per consentire agli agenti di raccogliere e inviare le informazioni necessarie.
| Nome del ruolo IAM | Ruolo IAM |
|---|---|
| Compute Viewer | roles/compute.viewer |
| Monitoring Viewer | roles/monitoring.viewer |
| Monitoring Metric Writer | roles/monitoring.metricWriter |
| Secret Manager Secret Accessor* | roles/secretmanager.secretAccessor |
| Workload Manager Insights Writer | roles/workloadmanager.insightWriter |
* Obbligatorio solo sulle istanze SAP HANA e se memorizzi le credenziali di accesso in lettura necessarie utilizzando Secret Manager. Questo ruolo non è obbligatorio nelle istanze non HANA o nelle istanze HANA se l'autenticazione viene eseguita utilizzando le chiavi hdbuserstore.
Ambito di accesso API
Se colleghi l'account di servizio predefinito di Compute Engine alle VM, devi impostare l'ambito di accesso che controlla il livello di accesso della VM alle API Cloud.
Verifica che l'ambito di accesso su qualsiasi istanza che utilizza l'account di servizio predefinito di Compute Engine sia impostato su Consenti l'accesso completo a tutte le API Cloud o abbia accesso almeno alle seguenti API se controlli l'utilizzo di Imposta accesso per ogni API:
| API | Accesso richiesto |
|---|---|
| Compute Engine | Sola lettura o Lettura/scrittura |
| API Cloud Monitoring | Solo scrittura o Completa |
| API Cloud Logging | Solo scrittura o Completa |
| Piattaforma cloud | Abilitato |
Installa e configura Ops Agent
Per raccogliere le metriche di infrastruttura sottostanti e inviarle a Cloud Monitoring e Cloud Logging per l'osservabilità, devi installare l'agente operativo su ogni VM che esegue il sistema SAP.
Dopo l'installazione, configura le impostazioni hostmetrics di Ops Agent.
L'intervallo di raccolta predefinito per le metriche dell'host è 60s.
Per ulteriori informazioni, vedi Modificare l'intervallo di raccolta nei ricevitori delle metriche.
Passaggi successivi
- Scopri come configurare Agent for SAP per l'osservabilità.
- Scopri come osservare un carico di lavoro SAP.