本文档介绍了在 Workload Manager 中设置可观测性服务的先决条件。该服务可帮助您监控在 Google Cloud上运行的 SAP 工作负载。
| 前提条件 | 说明 |
|---|---|
| 启用 API | 在您的项目中启用以下 API: |
| 向服务代理授予 IAM 角色和权限 | 向 Workload Manager Service Agent 授予所需的角色和权限。 如需了解详情,请参阅 Workload Manager 服务代理角色和权限。 |
| 向用户授予 IAM 角色和权限 | 查看可观测性信息中心的用户必须拥有或被授予所需的角色和权限。 如需了解详情,请参阅用户的 IAM 角色和权限。 |
| 配置运行 SAP 系统的每个虚拟机 | 向关联到虚拟机的服务账号授予所需角色,并配置访问权限范围。 如需了解详情,请参阅配置每个虚拟机以发送所需信息。 |
| 安装和配置 Ops Agent | 安装 Ops Agent 并配置该代理以收集基础架构指标。 如需了解详情,请参阅安装和配置 Ops Agent。 |
启用 Workload Manager API
您必须在要监控 SAP 工作负载的项目中启用 Workload Manager API。如需了解详情,请参阅启用 Workload Manager。
启用其他 API
Workload Manager 会使用存储在其他云服务中的数据。除了 Workload Manager API 之外,每个项目还必须启用以下额外的 API。
在 Workload 管理器中访问可观测性服务时,系统会自动检查这些 API。如果未启用,则具有必要权限的用户可以随时启用。
- Cloud Monitoring API
- Cloud Logging API
- Cloud Asset API
此外,系统可能还已启用多种 API,以便在 Google Cloud上运行 SAP 工作负载。这些 API 可能会因您选择的配置和正在运行的工作负载而异。
Workload Manager 服务代理 IAM 权限和角色
Workload Manager 使用服务代理,该代理需要拥有必要的权限才能访问 Cloud Monitoring、Cloud Logging 中的指标和信息,以及 SAP 可观测性信息中心中显示的其他信息。
应将以下 IAM 角色分配给电子邮件地址为 service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com 的工作负载管理器服务代理。或者,您也可以创建包含必要权限的自定义角色,并将其分配给 Workload Manager 服务代理。
| 角色 | 所需权限 |
|---|---|
| Workload Manager 服务代理 | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
在转到可观测性信息中心时,Workload Manager 会检查 Workload Manager 服务代理是否具有所需的角色。拥有必要权限的用户可以授予缺少的角色。
用户的 IAM 角色和权限
如需在 Workload Manager 的可观测性信息中心内查看系统和工作负载,您需要向用户授予以下 IAM 角色。
| 角色 | 权限 |
|---|---|
| Workload Manager Workload Viewer | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
除了 Workload Manager Workload Viewer 角色之外,用户还必须被授予以下角色,才能使用可观测性服务中的所有功能。
如需查看 SAP 的所有相关可观测性信息,请授予以下角色:
- Monitoring Viewer (
roles/monitoring.viewer) - Logs Viewer (
roles/logging.viewer)
如需创建自定义信息中心,请授予以下角色:
- Monitoring Editor (
roles/monitoring.editor)
您可能需要额外的权限才能使用可选功能。 例如,“应用”和“数据库”信息中心包含每个层中的虚拟机列表和 SSH 链接,但除了其他角色之外,还必须授予 SSH 连接权限。
配置每个虚拟机以发送所需信息
您必须在要添加到可观测性信息中心的 SAP 系统中的每个 Compute Engine 虚拟机上完成以下步骤。
服务账号
关联到每个虚拟机实例的服务账号需要具有以下 IAM 角色,才能调用所需的 API,以便代理收集和发送必要的信息。 Google Cloud
| IAM 角色名称 | IAM 角色 |
|---|---|
| Compute Viewer | roles/compute.viewer |
| Monitoring Viewer | roles/monitoring.viewer |
| Monitoring Metric Writer | roles/monitoring.metricWriter |
| Secret Manager Secret Accessor* | roles/secretmanager.secretAccessor |
| Workload Manager Insights Writer | roles/workloadmanager.insightWriter |
*仅在 SAP HANA 实例上以及您使用 Secret Manager 存储必要的读取权限凭据时才需要。在非 HANA 实例或使用 hdbuserstore 密钥进行身份验证的 HANA 实例中,无需此角色。
API 访问权限范围
如果您将 Compute Engine 默认服务账号附加到虚拟机,则必须设置访问权限范围,以控制虚拟机对 Cloud API 的访问权限级别。
如果您使用的是 Compute Engine 默认服务账号,请验证使用该账号的任何实例的“访问权限范围”是否设为了“允许所有 Cloud API 的全面访问权限”,或者至少对以下 API 具有访问权限:
| API | 需要访问权限 |
|---|---|
| Compute Engine | 只读或读写 |
| Cloud Monitoring API | 只写或完整 |
| Cloud Logging API | 只写或完整 |
| Cloud Platform | 已启用 |
安装和配置 Ops Agent
如需收集底层基础架构指标并将这些指标发送到 Cloud Monitoring 和 Cloud Logging 以实现可观测性,您必须在运行 SAP 系统的每个虚拟机上安装 Ops Agent。
安装完成后,请配置 Ops Agent 的 hostmetrics 设置。主机指标的默认收集间隔为 60s。如需了解详情,请参阅更改指标接收器中的收集时间间隔。
后续步骤
- 了解如何配置 Agent for SAP 以实现可观测性。
- 了解如何观察 SAP 工作负载。