Pré-requisitos para usar a ferramenta de automação de implantação guiada

Este documento descreve os pré-requisitos para usar a ferramenta de automação de implantação guiada no Workload Manager.

Além disso, você precisa atender aos seguintes pré-requisitos específicos do aplicativo que está implantando:

• Pré-requisitos para implantar um aplicativo SAP S/4HANA
• Pré-requisitos para implantar uma carga de trabalho do SQL Server

Pré-requisito	Descrição
Google Cloud conta de faturamento	Você precisa ter uma conta do Google Cloud que faça parte da sua organização com faturamento ativo. Para mais informações, consulte Criar uma nova conta de faturamento.
Google Cloud project	Um projeto Google Cloud em que você quer implantar o aplicativo. Consulte Criar e gerenciar projetos. Verifique se o projeto está vinculado à conta de faturamento.
Ativar APIs	Ative as seguintes APIs no seu projeto: API Workload Manager API Infrastructure Manager API Cloud Resource Manager Durante o processo de implantação, o gerenciador de cargas de trabalho ativa automaticamente outras APIs necessárias se elas não estiverem ativadas no seu projeto.
Conceder papéis do IAM à conta de serviço do Gerenciador de cargas de trabalho	O Workload Manager usa um agente de serviço que precisa receber os papéis necessários antes da implantação de um aplicativo. Para mais informações, consulte Conta de serviço do Gerenciador de cargas de trabalho.
Conceder papéis do IAM a uma conta serviço gerenciado pelo usuário	Crie uma conta de serviço e conceda todos os papéis necessários para implantar o aplicativo. Para mais informações, consulte Conta serviço gerenciado pelo usuário.
Permissões e papéis do IAM	Os usuários que implantam uma carga de trabalho usando a ferramenta Automação de implantação guiada precisam ter ou receber os papéis e as permissões necessários para configurar a implantação. Esses usuários também precisam de permissões para criar as contas de serviço necessárias durante a implantação. Para mais informações, consulte Papéis e permissões do IAM.
Pool particular do Cloud Build	Opcional. Se a sua organização aplicar configurações de perímetro do VPC Service Controls para proteger recursos e dados do Workload Manager, configure um pool de workers particulares do Cloud Build para usar no ambiente de implantação. Para mais informações, consulte Usar um pool de workers particular do Cloud Build.
Cotas	Verifique se você tem cota de recurso suficiente no projeto para implantar a carga de trabalho. Para mais informações, consulte Cotas.

Conta de serviço do gerenciador de cargas de trabalho

A ferramenta de automação de implantação guiada usa um agente de serviço para implantar aplicativos.

Ao criar uma implantação, o Workload Manager solicita que você conceda os papéis necessários a essa conta de serviço, caso ainda não tenham sido concedidos. Se você não tiver permissão para conceder esses papéis, peça a um administrador para conceder os seguintes papéis à conta de serviço do Workload Manager antes de criar uma implantação.

Conta de serviço	Papéis necessários
Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com	Administrador do Cloud Infrastructure Manager (roles/config.admin) Visualizador de registros (roles/logging.viewer) Usuário da conta de serviço (roles/iam.serviceAccountUser) Agente de serviço do Workload Manager (roles/workloadmanager.serviceAgent)

Conta de serviço gerenciada pelo usuário

O Workload Manager usa a conta de serviço anexada à sua implantação para chamar outras APIs e serviços e criar os recursos necessários para a implantação.

É possível anexar uma conta de serviço atual ou criar uma ao configurar a implantação. Dependendo do aplicativo e da configuração, o Gerenciador de cargas de trabalho vai pedir que você conceda os papéis ausentes à sua conta de serviço.

Para mais informações sobre como conceder papéis a contas de serviço, consulte Gerenciar o acesso a contas de serviço.

Permissões e papéis do IAM

O controle de acesso no Workload Manager é feito usando o gerenciamento de identidade e acesso (IAM, na sigla em inglês). O Workload Manager oferece um conjunto específico de papéis predefinidos do IAM, em que cada papel contém um conjunto de permissões. Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.
A permissão a seguir é necessária para ativar a API Workload Manager no projeto selecionado. Essa tarefa só precisa ser realizada uma vez em cada projeto. Um administrador ou outro usuário com a permissão pode ativar a API. Depois disso, outros usuários podem acessar o Workload Manager.

Ação	Permissão necessária	Exemplo de função
Ativar a API Workload Manager	serviceusage.services.enable	roles/editor roles/service.Usage.Admin

O Workload Manager também tem funções para controlar quem pode acessar os recursos de implantação e determinar quem pode implantar, gerenciar e visualizar implantações. Cada papel tem as permissões necessárias para realizar as tarefas declaradas.

Para mais informações, consulte Controle de acesso com o IAM. Ao conceder papéis do IAM a principais, o Google recomenda aplicar o princípio do privilégio mínimo.

Papel	Tarefa de implantação
Administrador de implantação do Workload ManagerAlfa	Criar, modificar, implantar e visualizar implantações.
Leitor de implantação do Workload ManagerAlfa	Ver implantações.

Usar um pool de worker particular do Cloud Build

Se a organização exigir a conformidade com o VPC Service Controls, use um pool de workers particular para sua implantação.

Os pools particulares são hospedados em uma rede de nuvem privada virtual do Google chamada rede do produtor de serviços. Antes de criar um pool particular, configure uma conexão particular entre a rede do produtor de serviços e a rede VPC que contém seus recursos.

Para criar e usar um pool particular do Cloud Build, siga as instruções em Criar e gerenciar pools particulares.

Considere os seguintes requisitos ao configurar um pool de workers particular para usar com o Workload Manager:

• Use um pool de workers particular do Cloud Build para a implantação. Não é possível usar o pool de workers padrão do Cloud Build. Para mais informações, consulte Limitações na documentação do Cloud Build.
• Para fazer o download da configuração do Terraform, o pool particular do Cloud Build precisa ter as chamadas públicas da Internet ativadas.

Também é necessário garantir que os seguintes recursos estejam no mesmo perímetro de serviço do VPC Service Controls:

• Pool de worker particular do Cloud Build.
• Conta de serviço do gerenciador de cargas de trabalho.
• O bucket do Cloud Storage que o Workload Manager usa para implantação.

Cotas

OGoogle Cloud usa cotas para proteger e controlar o número de recursos que uma conta ou organização específica pode usar. Os aplicativos compatíveis costumam consumir uma grande parte dos recursos. Devido ao tamanho dos bancos de dados e aplicativos, você pode ter problemas de cota durante o processo de implantação.

Para evitar problemas de cota, faça o seguinte:

1. Ver a cota de recursos disponível para seu projeto.
2. Se necessário, solicite um valor de cota maior ou entre em contato com o administrador do projeto.

A seguir

• Saiba como preparar arquivos de instalação do SAP para implantação.
• Saiba como implantar uma carga de trabalho do SAP S/4HANA.