In diesem Dokument werden die Voraussetzungen für die Verwendung des Tools zur automatischen interaktiven Bereitstellung in Workload Manager beschrieben.
Außerdem müssen Sie die folgenden Voraussetzungen erfüllen, die für die von Ihnen bereitgestellte Anwendung gelten:
- Voraussetzungen für die Bereitstellung einer SAP S/4HANA-Anwendung
- Voraussetzungen für die Bereitstellung einer SQL Server-Arbeitslast
| Voraussetzungen | Beschreibung |
|---|---|
| Google Cloud Rechnungskonto | Sie benötigen ein Google Cloud -Konto, das zu Ihrer Organisation gehört und für das die Abrechnung aktiviert ist. Weitere Informationen finden Sie unter Neues Rechnungskonto erstellen. |
| Google Cloud Projekt |
Ein Google Cloud -Projekt, in dem Sie die Anwendung bereitstellen möchten. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. Achten Sie darauf, dass das Projekt mit dem Rechnungskonto verknüpft ist. |
| APIs aktivieren | Aktivieren Sie die folgenden APIs in Ihrem Projekt: Während der Bereitstellung aktiviert Workload Manager automatisch zusätzliche erforderliche APIs, falls sie in Ihrem Projekt nicht aktiviert sind. |
| Workload Manager-Dienstkonto IAM-Rollen zuweisen | Workload Manager verwendet einen Dienst-Agent, dem die erforderlichen Rollen zugewiesen werden müssen, bevor Sie eine Anwendung bereitstellen können. Weitere Informationen finden Sie unter Workload Manager-Dienstkonto. |
| IAM-Rollen einem nutzerverwalteten Dienstkonto zuweisen | Erstellen Sie ein Dienstkonto und weisen Sie alle erforderlichen Rollen für die Bereitstellung Ihrer Anwendung zu. Weitere Informationen finden Sie unter Vom Nutzer verwaltetes Dienstkonto. |
| IAM-Rollen und -Berechtigungen | Nutzer, die eine Arbeitslast mit dem Tool „Geführte Bereitstellungsautomatisierung“ bereitstellen, müssen die erforderlichen Rollen und Berechtigungen haben oder erhalten, um die Bereitstellung zu konfigurieren. Diese Nutzer benötigen außerdem Berechtigungen zum Erstellen der erforderlichen Dienstkonten während der Bereitstellung. Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen. |
| Private Cloud Build-Pool | Optional. Wenn in Ihrer Organisation VPC Service Controls-Perimetereinstellungen zum Schutz von Workload Manager-Ressourcen und -Daten erzwungen werden, richten Sie einen privaten Cloud Build-Worker-Pool ein, der in Ihrer Bereitstellungsumgebung verwendet werden soll. Weitere Informationen finden Sie unter Privaten Cloud Build-Worker-Pool verwenden. |
| Kontingente | Prüfen Sie, ob in Ihrem Projekt ein ausreichendes Ressourcenkontingent für die Bereitstellung der Arbeitslast vorhanden ist. Weitere Informationen finden Sie unter Kontingente. |
Dienstkonto des Arbeitslastmanagers
Das Tool „Geführte Bereitstellungsautomatisierung“ verwendet einen Dienst-Agent zum Bereitstellen von Anwendungen.
Wenn Sie eine Bereitstellung erstellen, werden Sie in Workload Manager aufgefordert, diesem Dienstkonto die erforderlichen Rollen zu gewähren, falls dies noch nicht geschehen ist. Wenn Sie nicht die Berechtigung haben, diese Rollen zuzuweisen, bitten Sie einen Administrator, dem Workload Manager-Dienstkonto die folgenden Rollen zuzuweisen, bevor Sie eine Bereitstellung erstellen.
| Dienstkonto | Erforderliche Rollen |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Nutzerverwaltetes Dienstkonto
Workload Manager verwendet das Dienstkonto, das an Ihre Bereitstellung angehängt ist, um andere APIs und Dienste aufzurufen, um Ressourcen zu erstellen, die für die Bereitstellung erforderlich sind.
Sie können entweder ein vorhandenes Dienstkonto anhängen oder ein Dienstkonto erstellen, wenn Sie das Deployment konfigurieren. Je nach Anwendung und Konfiguration werden Sie von Workload Manager aufgefordert, Ihrem Dienstkonto eine der fehlenden Rollen zuzuweisen.
Weitere Informationen zum Zuweisen von Rollen zu Dienstkonten finden Sie unter Zugriff auf Dienstkonten verwalten.
IAM-Rollen und -Berechtigungen
Die Zugriffssteuerung in Workload Manager erfolgt über Identity and Access Management (IAM). Workload Manager bietet einen bestimmten Satz vordefinierter IAM-Rollen, bei denen jede Rolle eine Reihe von Berechtigungen enthält. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.
Die folgende Berechtigung ist erforderlich, um die Workload Manager API im ausgewählten Projekt zu aktivieren. Diese Aufgabe muss nur einmal pro Projekt ausgeführt werden.
Ein Administrator oder ein anderer Nutzer mit der Berechtigung kann die API aktivieren. Danach können andere Nutzer auf Workload Manager zugreifen.
| Aktion | Berechtigung erforderlich | Beispielrolle |
|---|---|---|
| Workload Manager API aktivieren | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Workload Manager bietet auch Rollen, mit denen Sie steuern können, wer auf die Bereitstellungsfunktionen zugreifen darf und wer Bereitstellungen vornehmen, verwalten und ansehen darf. Jede Rolle hat die erforderlichen Berechtigungen, um die angegebenen Aufgaben auszuführen.
Weitere Informationen finden Sie unter Zugriffssteuerung mit IAM. Wenn Sie Hauptkonten IAM-Rollen zuweisen, empfiehlt Google, das Prinzip der geringsten Berechtigung anzuwenden.
| Rolle | Bereitstellungsaufgabe |
|---|---|
| Workload Manager Deployment AdminAlpha | Bereitstellungen erstellen, ändern, bereitstellen und ansehen |
| Workload Manager Deployment ViewerAlpha | Bereitstellungen ansehen. |
Privaten Cloud Build-Worker-Pool verwenden
Wenn Ihre Organisation die Einhaltung von VPC Service Controls erzwingt, müssen Sie für Ihre Bereitstellung einen privaten Worker-Pool verwenden.
Private Pools werden in einem Virtual Private Cloud-Netzwerk von Google gehostet, das als Diensterstellernetzwerk bezeichnet wird. Bevor Sie einen privaten Pool erstellen, richten Sie eine private Verbindung zwischen dem Diensterstellernetzwerk und dem VPC-Netzwerk ein, das Ihre Ressourcen enthält.
Wenn Sie einen privaten Cloud Build-Pool erstellen und verwenden möchten, folgen Sie der Anleitung unter Private Pools erstellen und verwalten.
Beachten Sie die folgenden Anforderungen, wenn Sie einen privaten Worker-Pool für die Verwendung mit Workload Manager einrichten:
- Sie müssen einen privaten Cloud Build-Worker-Pool für die Bereitstellung verwenden. Sie können den standardmäßigen Cloud Build-Worker-Pool nicht verwenden. Weitere Informationen finden Sie in der Cloud Build-Dokumentation unter Einschränkungen.
- Damit die Terraform-Konfiguration heruntergeladen werden kann, müssen im privaten Cloud Build-Pool öffentliche Internetaufrufe aktiviert sein.
Außerdem müssen sich die folgenden Ressourcen im selben VPC Service Controls-Dienstperimeter befinden:
- Privater Cloud Build-Worker-Pool.
- Dienstkonto des Arbeitslastmanagers.
- Der Cloud Storage-Bucket, den Workload Manager für die Bereitstellung verwendet.
Kontingente
Google Cloud verwendet Kontingente, um die Anzahl der Ressourcen zu schützen und zu steuern, die von einem bestimmten Konto oder einer bestimmten Organisation verwendet werden können. Die unterstützten Anwendungen verbrauchen oft einen großen Teil der Ressourcen. Angesichts der Größe der Datenbanken und Anwendungen kann es während der Bereitstellung zu Kontingentproblemen kommen.
So vermeiden Sie Kontingentprobleme:
- Verfügbares Ressourcenkontingent für Ihr Projekt ansehen
- Fordern Sie bei Bedarf ein höheres Kontingent an oder wenden Sie sich an Ihren Projektadministrator.
Nächste Schritte
- SAP-Installationsdateien für die Bereitstellung vorbereiten
- Informationen zum Bereitstellen einer SAP S/4HANA-Arbeitslast