이 문서에서는 Workload Manager에서 안내식 배포 자동화 도구를 사용하는 데 필요한 기본 요건을 설명합니다.
또한 배포하는 애플리케이션과 관련된 다음 기본 요건을 충족해야 합니다.
| 기본 요건 | 설명 |
|---|---|
| Google Cloud 결제 계정 | 결제가 활성 상태인 Google Cloud 조직의 계정이 있어야 합니다. 자세한 내용은 새 결제 계정 만들기를 참조하세요. |
| Google Cloud project |
애플리케이션을 배포하려는 Google Cloud 프로젝트입니다. 프로젝트 만들기 및 관리를 참고하세요. 프로젝트가 결제 계정에 연결되어 있는지 확인합니다. |
| API 사용 설정 | 프로젝트에서 다음 API를 사용 설정합니다. 배포 프로세스 중에 워크로드 관리자는 프로젝트에서 사용 설정되지 않은 추가 필수 API를 자동으로 사용 설정합니다. |
| 워크로드 관리자 서비스 계정에 IAM 역할 부여 | 워크로드 관리자는 애플리케이션을 배포하기 전에 필요한 역할이 부여되어야 하는 서비스 에이전트를 사용합니다. 자세한 내용은 워크로드 관리자 서비스 계정을 참고하세요. |
| 사용자 관리 서비스 계정에 IAM 역할 부여 | 서비스 계정을 만들고 애플리케이션 배포에 필요한 모든 역할을 부여합니다. 자세한 내용은 사용자 관리 서비스 계정을 참고하세요. |
| IAM 역할 및 권한 | 가이드 배포 자동화 도구를 사용하여 워크로드를 배포하는 사용자는 배포를 구성하는 데 필요한 역할과 권한을 보유하고 있거나 이러한 역할과 권한을 부여받아야 합니다. 이러한 사용자는 배포 중에 필요한 서비스 계정을 만드는 권한도 필요합니다. 자세한 내용은 IAM 역할 및 권한을 참조하세요. |
| Cloud Build 비공개 풀 | 선택사항입니다. 조직에서 워크로드 관리자 리소스 및 데이터를 보호하기 위해 VPC 서비스 제어 경계 설정을 적용하는 경우 배포 환경에서 사용할 Cloud Build 비공개 작업자 풀을 설정합니다. 자세한 내용은 Cloud Build 비공개 작업자 풀 사용을 참고하세요. |
| 할당량 | 프로젝트에 워크로드를 배포하기에 충분한 리소스 할당량이 있는지 확인합니다. 자세한 내용은 할당량을 참조하세요. |
워크로드 관리자 서비스 계정
가이드형 배포 자동화 도구는 애플리케이션 배포에 서비스 에이전트를 사용합니다.
배포를 만들 때 워크로드 관리자에서 아직 부여되지 않은 경우 이 서비스 계정에 필요한 역할을 부여하라는 메시지가 표시됩니다. 이러한 역할을 부여할 권한이 없는 경우 배포를 만들기 전에 관리자에게 워크로드 관리자 서비스 계정에 다음 역할을 부여해 달라고 요청하세요.
| 서비스 계정 | 필요한 역할 |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
사용자 관리형 서비스 계정
Workload Manager는 배포에 연결된 서비스 계정을 사용하여 다른 API 및 서비스를 호출하여 배포에 필요한 리소스를 만듭니다.
배포를 구성할 때 기존 서비스 계정을 연결하거나 서비스 계정을 만들 수 있습니다. 애플리케이션 및 구성에 따라 워크로드 관리자에서 누락된 역할을 서비스 계정에 부여하라는 메시지가 표시됩니다.
서비스 계정에 역할 부여에 대한 자세한 내용은 서비스 계정에 대한 액세스 관리를 참고하세요.
IAM 역할 및 권한
Workload Manager의 액세스 제어는 Identity and Access Management (IAM)를 사용하여 제어됩니다. Workload Manager는 각 역할에 권한 집합이 포함된 특정 사전 정의된 IAM 역할 집합을 제공합니다. IAM은 최소 권한의 보안 원칙을 채택하여 리소스에 대해 필요한 액세스 권한만 부여할 수 있게 해줍니다.
선택한 프로젝트에서 Workload Manager API를 사용 설정하려면 다음 권한이 필요합니다. 이 작업은 각 프로젝트에서 한 번만 실행하면 됩니다.
관리자 또는 권한이 있는 다른 사용자가 API를 사용 설정하면 다른 사용자가 워크로드 관리자에 액세스할 수 있습니다.
| 작업 | 권한 필요 | 역할 예 |
|---|---|---|
| Workload Manager API 사용 설정 | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
워크로드 관리자에는 배포 기능에 액세스할 수 있는 사용자를 제어하고 배포를 배포, 관리, 확인할 수 있는 사용자를 결정하는 역할도 있습니다. 각 역할에는 명시된 작업을 수행하는 데 필요한 권한이 있습니다.
자세한 내용은 IAM으로 액세스 제어를 참조하세요. 주 구성원에게 IAM 역할을 부여할 때는 최소 권한의 원칙을 적용하는 것이 좋습니다.
| 역할 | 배포 작업 |
|---|---|
| 워크로드 관리자 배포 관리자알파 | 배포를 만들고, 수정하고, 배포하고, 확인합니다. |
| 워크로드 관리자 배포 뷰어알파 | 배포 보기 |
Cloud Build 비공개 작업자 풀 사용
조직에서 VPC 서비스 제어 규정을 시행하는 경우 배포에 비공개 작업자 풀을 사용해야 합니다.
비공개 풀은 서비스 프로듀서 네트워크라고 하는 Google 소유의 Virtual Private Cloud 네트워크에서 호스팅됩니다. 비공개 풀을 만들기 전에 서비스 프로듀서 네트워크와 리소스가 포함된 VPC 네트워크 간에 비공개 연결을 설정합니다.
Cloud Build 비공개 풀을 만들고 사용하려면 비공개 풀 만들기 및 관리의 안내를 따르세요.
워크로드 관리자에서 사용할 비공개 작업자 풀을 설정할 때 다음 요구사항을 고려하세요.
- 배포에 Cloud Build 비공개 작업자 풀을 사용해야 합니다. 기본 Cloud Build 작업자 풀을 사용할 수 없습니다. 자세한 내용은 Cloud Build 문서의 제한사항을 참고하세요.
- Terraform 구성을 다운로드하려면 Cloud Build 비공개 풀에 공개 인터넷 호출이 사용 설정되어 있어야 합니다.
또한 다음 리소스가 동일한 VPC 서비스 제어 서비스 경계에 있어야 합니다.
- Cloud Build 비공개 작업자 풀.
- 워크로드 관리자 서비스 계정
- 워크로드 관리자가 배포에 사용하는 Cloud Storage 버킷입니다.
할당량
Google Cloud 은 할당량을 사용하여 특정 계정 또는 조직에서 사용할 수 있는 리소스 수를 보호하고 제어합니다. 지원되는 애플리케이션은 리소스의 상당 부분을 소비하는 경우가 많습니다. 데이터베이스 및 애플리케이션의 크기를 고려할 때 배포 프로세스 중에 할당량 문제가 발생할 수 있습니다.
할당량 문제를 방지하려면 다음 단계를 따르세요.
- 프로젝트에 사용 가능한 리소스 할당량 보기
- 필요한 경우 할당량 한도 상향을 요청하거나 프로젝트 관리자에게 문의하세요.
다음 단계
- 배포를 위한 SAP 설치 파일을 준비하는 방법을 알아보세요.
- SAP S/4HANA 워크로드를 배포하는 방법을 알아보세요.