Questo documento descrive i prerequisiti per la configurazione del servizio di osservabilità in Workload Manager, che ti aiuta a monitorare i carichi di lavoro SAP in esecuzione su Google Cloud.
| Prerequisito | Descrizione |
|---|---|
| Abilita le API | Abilita le seguenti API nel tuo progetto: |
| Concedi ruoli e autorizzazioni IAM all'agente di servizio | Concedi i ruoli e le autorizzazioni richiesti all'agente di servizio Workload Manager. Per ulteriori informazioni, consulta Ruoli e autorizzazioni dell'agente di servizio Workload Manager. |
| Concedere ruoli e autorizzazioni IAM agli utenti | Gli utenti che visualizzano le dashboard di osservabilità devono disporre o ricevere i ruoli e le autorizzazioni richiesti. Per maggiori informazioni, vedi Ruoli e autorizzazioni IAM per l'utente. |
| Configura ogni VM che esegue il sistema SAP | Concedi i ruoli richiesti al account di servizio collegato alla VM e configura gli ambiti di accesso. Per maggiori informazioni, consulta Configurare ogni VM per inviare le informazioni richieste. |
| Installa e configura Ops Agent | Installa Ops Agent e configuralo per raccogliere le metriche dell'infrastruttura. Per maggiori informazioni, vedi Installare e configurare Ops Agent. |
Abilita l'API Workload Manager
L'API Workload Manager deve essere abilitata nel progetto in cui vuoi monitorare i tuoi workload SAP. Per maggiori informazioni, vedi Abilitare Workload Manager.
Abilitare API aggiuntive
Workload Manager utilizza i dati archiviati in altri servizi cloud. Oltre all'API Workload Manager, queste API aggiuntive devono essere abilitate in ogni progetto.
Queste API vengono controllate automaticamente quando si accede al servizio di osservabilità in Workload Manager. Se non sono attivate, gli utenti con le autorizzazioni necessarie possono attivarle in quel momento.
- API Cloud Monitoring
- API Cloud Logging
- API Cloud Asset
Esistono anche diverse API che probabilmente sono già abilitate per eseguire un carico di lavoro SAP su Google Cloud. Queste API possono variare in base alla configurazione e ai carichi di lavoro in esecuzione.
Ruoli e autorizzazioni IAM dell'agente di servizio Workload Manager
Workload Manager utilizza un service agent, che necessita delle autorizzazioni necessarie per accedere a metriche e informazioni da Cloud Monitoring, Cloud Logging e altre informazioni visualizzate nelle dashboard di osservabilità per SAP.
I seguenti ruoli IAM devono essere assegnati all'agente di servizio Workload Manager, che ha l'indirizzo email
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com.
In alternativa, puoi creare ruoli personalizzati che contengano le autorizzazioni necessarie e assegnarli all'agente di servizio Gestore carichi di lavoro.
| Role | Autorizzazioni obbligatorie |
|---|---|
| Agente di servizio Workload Manager | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
Quando vai alla dashboard di osservabilità, Workload Manager controlla se l'agente di servizio Workload Manager ha il ruolo richiesto. Gli utenti che dispongono delle autorizzazioni necessarie possono concedere i ruoli mancanti.
Ruoli e autorizzazioni IAM per l'utente
Per visualizzare i sistemi e i carichi di lavoro nelle dashboard di osservabilità di Gestore carichi di lavoro, devi concedere all'utente i seguenti ruoli IAM.
| Role | Autorizzazioni |
|---|---|
| Workload Manager Workload Viewer | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
Oltre al ruolo Visualizzatore workload di Workload Manager, all'utente devono essere concessi i seguenti ruoli per utilizzare tutte le funzionalità del servizio di osservabilità.
Per visualizzare tutte le informazioni di osservabilità pertinenti per SAP, concedi i seguenti ruoli:
- Visualizzatore Monitoring (
roles/monitoring.viewer) - Visualizzatore log (
roles/logging.viewer)
Per creare dashboard personalizzate, concedi il seguente ruolo:
- Editor del monitoraggio (
roles/monitoring.editor)
Per utilizzare le funzionalità facoltative potrebbero essere richieste autorizzazioni aggiuntive. Ad esempio, le dashboard Applicazione e Database includono un elenco di VM in ogni livello e un link a SSH, ma le autorizzazioni per la connessione SSH devono essere concesse oltre ad altri ruoli.
Configura ogni VM per inviare le informazioni richieste
I seguenti passaggi devono essere completati su ogni VM Compute Engine in un sistema SAP che vuoi includere nei dashboard di osservabilità.
Service account
Il account di servizio collegato a ogni istanza VM deve disporre dei seguenti ruoli IAM per chiamare le API Google Cloud richieste affinché gli agenti raccolgano e inviino le informazioni necessarie.
| Nome del ruolo IAM | Ruolo IAM |
|---|---|
| Compute Viewer | roles/compute.viewer |
| Monitoring Viewer | roles/monitoring.viewer |
| Monitoring Metric Writer | roles/monitoring.metricWriter |
| Secret Manager Secret Accessor* | roles/secretmanager.secretAccessor |
| Workload Manager Insights Writer | roles/workloadmanager.insightWriter |
*Obbligatorio solo sulle istanze SAP HANA e se memorizzi le credenziali di accesso in lettura necessarie utilizzando Secret Manager. Questo ruolo non è obbligatorio per le istanze non HANA o per le istanze HANA se l'autenticazione viene eseguita utilizzando le chiavi hdbuserstore.
Ambito di accesso API
Se colleghi il account di servizio Compute Engine predefinito alle VM, devi impostare l'ambito di accesso che controlla il livello di accesso della VM alle API Cloud.
Verifica che l'ambito di accesso di qualsiasi istanza che utilizza il account di servizio predefinito Compute Engine sia impostato su Consenti l'accesso completo a tutte le API Cloud o abbia accesso alle seguenti API almeno se controlli l'utilizzo di Imposta accesso per ogni API:
| API | Accesso richiesto |
|---|---|
| Compute Engine | Sola lettura o lettura/scrittura |
| API Cloud Monitoring | Solo scrittura o Completo |
| API Cloud Logging | Solo scrittura o Completo |
| Piattaforma cloud | Abilitato |
Installa e configura Ops Agent
Per raccogliere le metriche dell'infrastruttura sottostante e inviarle a Cloud Monitoring e Cloud Logging per l'osservabilità, devi installare l'agente operativo su ogni VM che esegue il tuo sistema SAP.
Dopo l'installazione, configura le impostazioni hostmetrics di Ops Agent.
L'intervallo di raccolta predefinito per le metriche host è 60s.
Per ulteriori informazioni, vedi Modificare l'intervallo di raccolta nei ricevitori di metriche.
Passaggi successivi
- Scopri come configurare l'agente per SAP per l'osservabilità.
- Scopri come osservare un carico di lavoro SAP.