SAP のオブザーバビリティの前提条件

このドキュメントでは、 Google Cloudで実行されている SAP ワークロードのモニタリングに役立つ Workload Manager でオブザーバビリティ サービスを設定するための前提条件について説明します。

前提条件 説明
API を有効にする プロジェクトで次の API を有効にします。
サービス エージェントに IAM のロールと権限を付与する Workload Manager サービス エージェントに必要なロールと権限を付与します。詳細については、Workload Manager サービス エージェントのロールと権限をご覧ください。
IAM のロールと権限をユーザーに付与する オブザーバビリティ ダッシュボードを表示するユーザーには、必要なロールと権限が付与されている必要があります。詳細については、ユーザーの IAM ロールと権限をご覧ください。
SAP システムを実行する各 VM を構成する VM に関連付けられたサービス アカウントに必要なロールを付与し、アクセス スコープを構成します。詳細については、必要な情報を送信するように各 VM を構成するをご覧ください。
Ops エージェントをインストールして構成する Ops エージェントをインストールし、インフラストラクチャ指標を収集するようにエージェントを構成します。詳細については、Ops エージェントのインストールと構成をご覧ください。

Workload Manager API を有効にする

SAP ワークロードをモニタリングするプロジェクトで Workload Manager API を有効にする必要があります。詳細については、Workload Manager を有効にするをご覧ください。

追加の API を有効にする

Workload Manager は、他のクラウド サービスに保存されているデータを使用します。Workload Manager API に加えて、各プロジェクトで次の追加の API を有効にする必要があります。

これらの API は、Workload Manager 内のオブザーバビリティ サービスにアクセスするときに自動的にチェックされます。有効になっていない場合は、必要な権限を持つユーザーがその時点で有効にできます。

  • Cloud Monitoring API
  • Cloud Logging API
  • Cloud Asset API

Google Cloudで SAP ワークロードを実行するために、すでに有効になっている可能性のあるさまざまな API もあります。これらの API は、選択した構成と実行中のワークロードによって異なる場合があります。

Workload Manager サービス エージェントの IAM の権限とロール

Workload Manager はサービス エージェントを使用します。このエージェントには、Cloud Monitoring、Cloud Logging、SAP のオブザーバビリティ ダッシュボードに表示されるその他の情報から指標と情報にアクセスするために必要な権限が必要です。

次の IAM ロールは、メールアドレスが service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com の Workload Manager サービス エージェントに割り当てる必要があります。また、必要な権限を含むカスタムロールを作成して、Workload Manager サービス エージェントに割り当てることもできます。

役割 必要な権限
Workload Manager サービス エージェント workloadmanager.insights.listSapSystems
serviceusage.services.use
cloudasset.assets.listResource
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
cloudasset.assets.listAccessPolicy
serviceusage.services.use

オブザーバビリティ ダッシュボードに移動すると、Workload Manager は Workload Manager サービス エージェントに必要なロールがあるかどうかを確認します。必要な権限を持つユーザーは、不足しているロールを付与できます。

ユーザーの IAM ロールと権限

Workload Manager のオブザーバビリティ ダッシュボードでシステムとワークロードを表示するには、ユーザーに次の IAM ロールを付与する必要があります。

役割 権限
Workload Manager ワークロード閲覧者 resourcemanager.projects.get
resourcemanager.projects.list
workloadmanager.discoveredprofiles.get
workloadmanager.discoveredprofiles.list
workloadmanager.discoveredprofiles.getHealth

オブザーバビリティ サービスのすべての機能を使用するには、Workload Manager ワークロード閲覧者のロールに加えて、次のロールをユーザーに付与する必要があります。

SAP の関連するオブザーバビリティ情報をすべて表示するには、次のロールを付与します。

  • モニタリング閲覧者(roles/monitoring.viewer
  • ログビューア(roles/logging.viewer

カスタム ダッシュボードを作成するには、次のロールを付与します。

  • モニタリング編集者(roles/monitoring.editor

オプション機能を使用するには、追加の権限が必要になる場合があります。たとえば、アプリケーション ダッシュボードとデータベース ダッシュボードには、各レイヤの VM のリストと SSH へのリンクが含まれていますが、他のロールに加えて SSH 接続の権限を付与する必要があります。

必要な情報を送信するように各 VM を構成する

次の手順は、オブザーバビリティ ダッシュボードに含める SAP システムの各 Compute Engine VM で完了する必要があります。

サービス アカウント

各 VM インスタンスに接続されているサービス アカウントには、エージェントが必要な情報を収集して送信するために必要な Google Cloud API を呼び出すために、次の IAM ロールが必要です。

IAM ロール名 IAM ロール
Compute 閲覧者 roles/compute.viewer
モニタリング閲覧者 roles/monitoring.viewer
モニタリング指標の書き込み roles/monitoring.metricWriter
Secret Manager のシークレット アクセサー* roles/secretmanager.secretAccessor
Workload Manager Insights ライター roles/workloadmanager.insightWriter

*SAP HANA インスタンスで、必要な読み取りアクセス認証情報を Secret Manager を使用して保存する場合にのみ必要です。このロールは、非 HANA インスタンス、または hdbuserstore 鍵を使用して認証を行う HANA インスタンスでは必要ありません。

API アクセス スコープ

Compute Engine のデフォルト サービス アカウントを VM に関連付ける場合は、VM が Cloud APIs にアクセスできるレベルを制御するアクセス スコープを設定する必要があります。

Compute Engine のデフォルト サービス アカウントを使用するインスタンスのアクセス スコープが、[すべての Cloud API に完全アクセス権を許可] に設定されているか、[各 API にアクセス権を設定] を使用して制御している場合は、次の API へのアクセス権が少なくとも付与されていることを確認します。

API 必要なアクセス権
Compute Engine 読み取り専用または読み取りと書き込み
Cloud Monitoring API 書き込みのみまたはフル
Cloud Logging API 書き込みのみまたはフル
Cloud Platform 有効

Ops エージェントをインストールして構成する

基盤となるインフラストラクチャの指標を収集し、これらの指標を Cloud Monitoring と Cloud Logging に送信してオブザーバビリティを実現するには、SAP システムを実行するすべての VM に Ops エージェントをインストールする必要があります。

インストール後、Ops エージェントの hostmetrics 設定を構成します。ホスト指標のデフォルトの収集間隔は 60s です。詳細については、指標レシーバーでの収集間隔の変更をご覧ください。

次のステップ