版本 1：Google Cloud 的 Agent for SAP 问题排查指南

本指南介绍如何解决 Google Cloud的 Agent for SAP 版本 1 的问题。

日志记录

检查特定于您的操作系统的目录中的日志。

如需查看 Google Cloud的 Agent for SAP 的日志，请前往以下路径：

Linux

/var/log/google-cloud-sap-agent.log

Windows

C:\Program Files\Google\google-cloud-sap-agent\logs\google-cloud-sap-agent.log

常见问题

问题：IAM 权限不足

问题： Google Cloud的 Agent for SAP 日志显示 IAM 权限不足错误。

原因：服务账号没有访问 Cloud Monitoring API 所需的 IAM 权限。

解决方法：在 Google Cloud 控制台的“虚拟机实例详细信息”页面上，记下虚拟机服务账号的名称。例如：sap-example@example-project-123456.iam.gserviceaccount.com。在“IAM 和管理”首页上，确保服务账号具有以下 IAM 角色：

功能	所需 IAM 角色
SAP Host Agent 指标收集	Compute Viewer (`roles/compute.viewer`) Monitoring Viewer (`roles/monitoring.viewer`)
Process Monitoring 指标收集	Compute Viewer (`roles/compute.viewer`) Monitoring Metric Writer (`roles/monitoring.metricWriter`) Secret Manager Secret Accessor (`roles/secretmanager.secretAccessor`) （此角色在您使用 Secret Manager 对 SAP HANA 的数据库用户账号进行身份验证时是必需的。）
Workload Manager 评估指标收集	Compute Viewer (`roles/compute.viewer`) Monitoring Metric Writer (`roles/monitoring.metricWriter`) Secret Manager Secret Accessor (`roles/secretmanager.secretAccessor`) （此角色在您使用 Secret Manager 对 SAP HANA 的数据库用户账号进行身份验证时是必需的。）

如需详细了解Google Cloud的 Agent for SAP 所需的身份验证，请参阅身份验证和访问权限。

如需确认 Cloud Monitoring 代理所需的权限，请参阅以下 Monitoring 文档：

问题：计算服务账号的访问权限范围不正确

问题：如果您限制主机计算实例的访问权限范围，则Google Cloud的 Agent for SAP 日志可能会显示 IAM 权限不足错误。

原因： Google Cloud的 Agent for SAP 要求主机计算实例具有最小 Cloud API 访问权限范围。当服务账号没有所需的访问权限范围时，会发生此错误。

解决方法：访问权限范围是为计算实例指定权限的传统方法。Compute Engine 建议将计算实例配置为允许使用针对所有 Cloud API 的所有访问权限范围，并且仅使用计算服务账号的 IAM 权限来控制对 Google Cloud 资源的访问权限。

如需解决此问题，最佳实践是对计算实例设置所有 cloud-platform 访问权限范围，然后使用 IAM 角色安全地限制服务账号的 API 访问权限。例如：

https://www.googleapis.com/auth/cloud-platform

如果您限制了计算实例的访问权限范围，则必须确保主机计算实例具有以下访问权限范围：

https://www.googleapis.com/auth/source.read_write
https://www.googleapis.com/auth/compute
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/logging.admin
https://www.googleapis.com/auth/monitoring
https://www.googleapis.com/auth/trace.append
https://www.googleapis.com/auth/devstorage.full_control

如果您启用了 Process Monitoring 指标收集功能或 Workload Manager 评估指标收集功能，则主机计算实例的访问权限范围还必须具有将指标数据发布到 Google Cloud 项目的写入权限：

https://www.googleapis.com/auth/monitoring.write

如需更改访问权限范围，您需要停止计算实例，进行更改，然后重启计算实例。如需查看相关说明，请参阅 Compute Engine 文档。您无需针对此问题对 IAM 角色的权限进行任何更改。

问题：SAP Host Agent 缺失或不正确

问题： Google Cloud的 Agent for SAP 日志显示 SAP Host Agent 缺失或不正确错误。

原因：未安装 SAP Host Agent 或 SAP Host Agent 所需的最低级别的补丁。为了使 Google Cloud的 Agent for SAP 正常运行，SAP 系统必须安装 SAP Host Agent，并保持 Host Agent 所需的最低补丁级别。

解决方法：如需解决此问题，请安装所需的 SAP Host Agent 版本。如需了解如何安装 SAP Host Agent，请参阅 SAP 文档。

如需了解 SAP Host Agent 的版本要求，请参阅以下 SAP 说明：

Linux：SAP 说明 2460297 - Google Cloud Platform 上的 Linux 系统的 SAP：增强监控
Windows：SAP 说明 1409604 - Windows 系统的虚拟化：增强监控

问题： Google Cloud的 Agent for SAP 安装失败

问题：执行软件包管理系统安装命令（yum、zypper 或 googet）时，代理安装失败。

原因：代理安装失败，因为运行代理的主机服务器是在没有公共或外部 IP 地址的情况下创建的。

解决方法：如需解决此问题，请设置一个 NAT 网关，以授予主机服务器对互联网的出站访问权限。如需了解如何设置 NAT 网关，请参阅你的 SAP 系统对应的部署指南。例如，对于 SAP NetWeaver，请参阅：

问题：连接遭拒错误

问题：SAP Host Agent 日志显示连接遭拒错误。

原因： Google Cloud的 Agent for SAP 无法启动，因为端口 18181 不可用。 Google Cloud的 Agent for SAP 监听端口 18181 上的请求。此端口必须可用，代理才能启动。

解决方法：如需解决此问题，请确保端口 18181 可用于 Google Cloud的 Agent for SAP。如果其他服务正在使用端口 18181，则您可能需要重启该服务，或将其重新配置为使用其他端口。

获取 Google Cloud的 Agent for SAP 支持

如果您在解决 Google Cloud的 Agent for SAP 的问题时需要帮助，请收集所需的诊断信息并与 Cloud Customer Care 联系。如需了解详情，请参阅 Google Cloud的 Agent for SAP 诊断信息。