このドキュメントでは、Workload Manager でガイド付きデプロイ自動化ツールを使用する前提条件について説明します。
また、デプロイするアプリケーションに固有の次の前提条件を満たす必要があります。
| 前提条件 | 説明 |
|---|---|
| Google Cloud 請求先アカウント | Google Cloud アクティブな請求が行われている組織に属するアカウントが必要です。 詳細は、新しい請求先アカウントの作成をご覧ください。 |
| Google Cloud プロジェクト |
アプリケーションをデプロイする Google Cloud プロジェクト。プロジェクトの作成と管理をご覧ください。 プロジェクトが請求先アカウントにリンクされていることを確認します。 |
| API を有効にする | プロジェクトで次の API を有効にします。 デプロイ プロセス中に、プロジェクトで有効になっていない場合、Workload Manager は追加の必要な API を自動的に有効にします。 |
| Workload Manager サービス アカウントに IAM ロールを付与する | Workload Manager はサービス エージェントを使用します。アプリケーションをデプロイする前に、このエージェントに必要なロールを付与する必要があります。詳細については、 Workload Manager サービス アカウントをご覧ください。 |
| ユーザーが管理するサービス アカウントに IAM ロールを付与する | サービス アカウントを作成し、アプリケーションのデプロイに必要なすべてのロールを付与します。詳細については、ユーザー管理のサービス アカウントをご覧ください。 |
| IAM のロールと権限 | ガイド付きデプロイ自動化ツールを使用してワークロードをデプロイするユーザーには、デプロイを構成するために必要なロールと権限が付与されている必要があります。また、これらのユーザーには、デプロイ時に必要なサービス アカウントを作成する権限も必要です。詳細については、IAM のロールと権限をご覧ください。 |
| Cloud Build プライベート プール | 省略可。組織で Workload Manager のリソースとデータを保護するために VPC Service Controls の境界設定を適用している場合は、デプロイ環境で使用する Cloud Build プライベート ワーカープールを設定します。詳細については、Cloud Build プライベート ワーカープールを使用するをご覧ください。 |
| 割り当て | ワークロードをデプロイするために十分なリソース割り当てがプロジェクトにあることを確認します。詳しくは、割り当てをご覧ください。 |
Workload Manager サービス アカウント
ガイド付きデプロイ自動化ツールは、サービス エージェントを使用してアプリケーションをデプロイします。
デプロイメントを作成するときに、必要なロールがまだ付与されていない場合は、このサービス アカウントにロールを付与するよう求められます。これらのロールを付与する権限がない場合は、デプロイメントを作成する前に、Workload Manager サービス アカウントに次のロールを付与するよう管理者に依頼してください。
| サービス アカウント | 必要なロール |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
ユーザー管理のサービス アカウント
Workload Manager は、デプロイメントに接続されているサービス アカウントを使用して、他の API とサービスを呼び出し、デプロイに必要なリソースを作成します。
デプロイを構成するときに、既存のサービス アカウントを接続するか、サービス アカウントを作成できます。アプリケーションと構成によっては、不足しているロールをサービス アカウントに付与するよう求めるメッセージが表示されます。
サービス アカウントへのロールの付与の詳細については、サービス アカウントに対するアクセスの管理をご覧ください。
IAM のロールと権限
Workload Manager のアクセス制御は、Identity and Access Management(IAM)を使用して制御されます。Workload Manager には、事前定義された IAM ロールのセットが用意されています。各ロールには、一連の権限が含まれています。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。
選択したプロジェクトで Workload Manager API を有効にするには、次の権限が必要です。このタスクは、各プロジェクトで 1 回だけ行う必要があります。管理者または権限を持つ他のユーザーが API を有効にすると、他のユーザーは Workload Manager にアクセスできるようになります。
| 操作 | 必要な権限 | ロールの例 |
|---|---|---|
| Workload Manager API を有効にする | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Workload Manager には、デプロイ機能にアクセスできるユーザーを制御し、デプロイをデプロイ、管理、表示できるユーザーを決定するロールもあります。各ロールには、指定されたタスクを実行するために必要な権限が付与されています。
詳細については、IAM によるアクセス制御をご覧ください。プリンシパルに IAM ロールを付与する場合は、最小権限の原則を適用することをおすすめします。
| 役割 | デプロイ タスク |
|---|---|
| Workload Manager デプロイ管理者アルファ版 | Deployment の作成、変更、デプロイ、表示。 |
| Workload Manager デプロイ閲覧者アルファ版 | デプロイメントを表示します。 |
Cloud Build プライベート ワーカープールを使用する
組織で VPC Service Controls コンプライアンスを適用している場合は、デプロイにプライベート ワーカー プールを使用する必要があります。
プライベート プールは、サービス プロデューサー ネットワークと呼ばれる Google 所有の Virtual Private Cloud ネットワークでホストされます。プライベート プールを作成する前に、サービス プロデューサー ネットワークとリソースを含む VPC ネットワークの間にプライベート接続を設定します。
Cloud Build プライベート プールを作成して使用するには、プライベート プールの作成と管理の手順に沿って操作します。
Workload Manager で使用するプライベート ワーカープールを設定する場合は、次の要件を考慮してください。
- デプロイには Cloud Build プライベート ワーカープールを使用する必要があります。デフォルトの Cloud Build ワーカープールは使用できません。詳細については、Cloud Build ドキュメントの制限事項をご覧ください。
- Terraform 構成をダウンロードするには、Cloud Build プライベート プールで公共のインターネット呼び出しを有効にする必要があります。
また、次のリソースが同じ VPC Service Controls サービス境界内にあることも確認する必要があります。
- Cloud Build プライベート ワーカープール。
- Workload Manager サービス アカウント。
- Workload Manager がデプロイに使用する Cloud Storage バケット。
割り当て
Google Cloud は、割り当てを使用して、特定のアカウントまたは組織が使用できるリソースの数を保護および制御します。サポートされているアプリケーションは、多くの場合、リソースの大部分を消費します。データベースとアプリケーションのサイズによっては、デプロイ プロセス中に割り当ての問題が発生する可能性があります。
割り当てに関する問題を回避するには、次の操作を行います。
- プロジェクトで使用可能なリソース割り当てを表示する。
- 必要に応じて、割り当て上限の引き上げをリクエストするか、プロジェクト管理者にお問い合わせください。
次のステップ
- デプロイ用の SAP インストール ファイルを準備する方法を学習する。
- SAP S/4HANA ワークロードをデプロイする方法を学習する。