Conditions préalables à l'utilisation de l'outil Automatisation guidée du déploiement

Ce document décrit les conditions préalables à l'utilisation de l'outil d'automatisation du déploiement guidé dans Workload Manager.

De plus, vous devez remplir les conditions préalables suivantes, spécifiques à l'application que vous déployez :

• Prérequis pour déployer une application SAP S/4HANA
• Conditions préalables au déploiement d'une charge de travail SQL Server

Conditions préalables	Description
Google Cloud compte de facturation	Vous devez disposer d'un compte Google Cloud faisant partie de votre organisation et pour lequel la facturation est active. Pour plus d'informations, consultez la section Créer un compte de facturation.
Google Cloud project	Un projet Google Cloud dans lequel vous souhaitez déployer l'application. Consultez Créer et gérer des projets. Assurez-vous que le projet est associé au compte de facturation.
Activer les API	Activez les API suivantes dans votre projet : API Workload Manager API Infrastructure Manager API Cloud Resource Manager Lors du déploiement, Workload Manager active automatiquement les API requises si elles ne le sont pas déjà dans votre projet.
Accorder des rôles IAM au compte de service Workload Manager	Workload Manager utilise un agent de service auquel vous devez attribuer les rôles requis avant de pouvoir déployer une application. Pour en savoir plus, consultez Compte de service Workload Manager.
Accorder des rôles IAM à un compte de service géré par l'utilisateur	Créez un compte de service et accordez-lui tous les rôles requis pour déployer votre application. Pour en savoir plus, consultez Compte de service géré par l'utilisateur.
Rôles et autorisations IAM	Les utilisateurs qui déploient une charge de travail à l'aide de l'outil d'automatisation guidée du déploiement doivent disposer des rôles et autorisations requis pour configurer le déploiement, ou se les voir accorder. Ces utilisateurs doivent également disposer des autorisations nécessaires pour créer les comptes de service requis lors du déploiement. Pour en savoir plus, consultez Rôles et autorisations IAM.
Pool privé Cloud Build	Facultatif. Si votre organisation applique les paramètres de périmètre VPC Service Controls pour protéger les ressources et les données Workload Manager, configurez un pool de nœuds de calcul privés Cloud Build à utiliser dans votre environnement de déploiement. Pour en savoir plus, consultez Utiliser un pool de nœuds de calcul privé Cloud Build.
Quotas	Assurez-vous que votre projet dispose d'un quota de ressources suffisant pour déployer la charge de travail. Pour en savoir plus, consultez la page consacrée aux quotas.

Compte de service du gestionnaire de charges de travail

L'outil d'automatisation du déploiement guidé utilise un agent de service pour déployer les applications.

Lorsque vous créez un déploiement, le gestionnaire de charges de travail vous invite à attribuer les rôles requis à ce compte de service s'ils ne l'ont pas déjà été. Si vous n'êtes pas autorisé à attribuer ces rôles, demandez à un administrateur d'attribuer les rôles suivants au compte de service Workload Manager avant de créer un déploiement.

Compte de service	Rôles requis
Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com	Administrateur Cloud Infrastructure Manager (roles/config.admin) Visionneuse de journaux (roles/logging.viewer) Utilisateur du compte de service (roles/iam.serviceAccountUser) Agent de service du gestionnaire de charges de travail (roles/workloadmanager.serviceAgent)

Compte de service géré par l'utilisateur

Workload Manager utilise le compte de service associé à votre déploiement pour appeler d'autres API et services afin de créer les ressources nécessaires pour le déploiement.

Vous pouvez associer un compte de service existant ou en créer un lorsque vous configurez le déploiement. En fonction de votre application et de votre configuration, Workload Manager vous invite à accorder les rôles manquants à votre compte de service.

Pour en savoir plus sur l'attribution de rôles aux comptes de service, consultez Gérer l'accès aux comptes de service.

Rôles et autorisations IAM

Le contrôle des accès dans Workload Manager est contrôlé à l'aide de Identity and Access Management (IAM). Workload Manager fournit un ensemble spécifique de rôles IAM prédéfinis dans lesquels chaque rôle contient un ensemble d'autorisations. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.
L'autorisation suivante est requise pour activer l'API Workload Manager dans le projet sélectionné. Cette tâche ne doit être effectuée qu'une seule fois par projet. Un administrateur ou un autre utilisateur disposant de l'autorisation peut activer l'API, après quoi d'autres utilisateurs peuvent accéder à Workload Manager.

Action	Autorisation requise	Exemple de rôle
Activer l'API Workload Manager	serviceusage.services.enable	roles/editor roles/service.Usage.Admin

Workload Manager propose également des rôles permettant de contrôler qui peut accéder aux fonctionnalités de déploiement et de déterminer qui peut déployer, gérer et afficher les déploiements. Chaque rôle dispose des autorisations nécessaires pour effectuer les tâches indiquées.

Pour en savoir plus, consultez la page Contrôle des accès avec IAM. Lorsque vous accordez des rôles IAM à des comptes principaux, Google vous recommande d'appliquer le principe du moindre privilège.

Rôle	Tâche de déploiement
Administrateur de déploiement du gestionnaire de charges de travailAlpha	Créer, modifier, déployer et afficher des déploiements
Lecteur de déploiement du gestionnaire de charges de travailAlpha	Affichez les déploiements.

Utiliser un pool privé de nœuds de calcul Cloud Build

Si votre organisation applique la conformité VPC Service Controls, vous devez utiliser un pool de nœuds de calcul privés pour votre déploiement.

Les pools privés sont hébergés dans un réseau cloud privé virtuel appartenant à Google, appelé réseau de producteurs de services. Avant de créer un pool privé, configurez une connexion privée entre le réseau du producteur de services et le réseau VPC qui contient vos ressources.

Pour créer et utiliser un pool privé Cloud Build, suivez les instructions de la section Créer et gérer des pools privés.

Tenez compte des exigences suivantes lorsque vous configurez un pool de nœuds de calcul privés à utiliser avec Workload Manager :

• Vous devez utiliser un pool de nœuds de calcul privé Cloud Build pour le déploiement. Vous ne pouvez pas utiliser le pool de nœuds de calcul Cloud Build par défaut. Pour en savoir plus, consultez la section Limites de la documentation Cloud Build.
• Pour télécharger la configuration Terraform, les appels Internet publics doivent être activés pour le pool privé Cloud Build.

Vous devez également vous assurer que les ressources suivantes se trouvent dans le même périmètre de service VPC Service Controls :

• Pool privé de nœuds de calcul Cloud Build.
• Compte de service Workload Manager
• Le bucket Cloud Storage que Workload Manager utilise pour le déploiement.

Quotas

Google Cloud utilise des quotas pour protéger et contrôler le nombre de ressources qu'un compte ou une organisation spécifiques peuvent utiliser. Les applications compatibles consomment souvent une grande partie des ressources. Compte tenu de la taille des bases de données et des applications, vous pouvez rencontrer des problèmes de quota lors du déploiement.

Pour éviter tout problème de quota, procédez comme suit :

1. Affichez le quota de ressources disponibles pour votre projet.
2. Si nécessaire, demandez une valeur de quota plus élevée ou contactez l'administrateur de votre projet.

Étapes suivantes

• Découvrez comment préparer les fichiers d'installation SAP pour le déploiement.
• Découvrez comment déployer une charge de travail SAP S/4HANA.