此页面由 Cloud Translation API 翻译。

使用引导式部署自动化工具的前提条件

本文档介绍了在 Workload Manager 中使用引导式部署自动化工具的前提条件。

此外，您还必须满足以下特定于所部署应用的先决条件：

前提条件	说明
Google Cloud 结算账号	您必须拥有 Google Cloud 账号，该账号是贵组织的一部分，且具备有效的结算功能。如需了解详情，请参阅创建新结算账号。
Google Cloud 项目	您要在其中部署应用的 Google Cloud 项目。请参阅创建和管理项目。确保项目已与结算账号相关联。
启用 API	在项目中启用以下 API： Workload Manager API Infrastructure Manager API Cloud Resource Manager API 在部署过程中，如果您的项目中未启用其他必需的 API，Workload Manager 会自动启用这些 API。
向 Workload Manager 服务账号授予 IAM 角色	Workload Manager 使用服务代理，您需要先向该代理授予所需的角色，然后才能部署应用。如需了解详情，请参阅 Workload Manager 服务账号。
向用户代管式服务账号授予 IAM 角色	创建服务账号并授予部署应用所需的所有角色。如需了解详情，请参阅用户代管式服务。
IAM 角色和权限	使用引导式部署自动化工具部署工作负载的用户必须拥有或被授予配置部署所需的角色和权限。这些用户还需要在部署期间创建必要服务账号的权限。如需了解详情，请参阅 IAM 角色和权限。
Cloud Build 专用池	可选。如果您的组织强制执行 VPC Service Controls 边界设置来保护 Workload Manager 资源和数据，请设置 Cloud Build 专用工作器池以在部署环境中使用。如需了解详情，请参阅使用 Cloud Build 专用工作器池。
配额	确保您的项目中有足够的资源配额来部署工作负载。如需了解详情，请参阅配额。

Workload Manager 服务账号

引导式部署自动化工具使用服务代理来部署应用。

创建部署时，如果尚未向此服务账号授予所需角色，工作负载管理器会提示您授予这些角色。如果您无权授予这些角色，请让管理员在创建部署之前向 Workload Manager 服务账号授予以下角色。

服务账号	所需角色
Service-`PROJECT_ID`@gcp-sa-workloadmanager.iam.gserviceaccount.com	Cloud Infrastructure Manager Admin (`roles/config.admin`) Logs Viewer (`roles/logging.viewer`) Service Account User (`roles/iam.serviceAccountUser`) Workload Manager Service Agent (`roles/workloadmanager.serviceAgent`)

用户管理的服务账号

Workload Manager 使用附加到部署的服务账号来调用其他 API 和服务，以创建部署所需的资源。

您可以在配置部署时关联现有服务账号，也可以创建服务账号。根据您的应用和配置，工作负载管理器会提示您向服务账号授予任何缺少的角色。

如需详细了解如何向服务账号授予角色，请参阅管理对服务账号的访问权限。

IAM 角色和权限

Workload Manager 中的访问权限控制使用 Identity and Access Management (IAM) 进行控制。Workload Manager 提供了一组特定的预定义 IAM 角色，其中每个角色都包含一组权限。IAM 允许您采用最小权限安全原则，您只需授予对您资源的必要访问权限。
如需在所选项目中启用 Workload Manager API，您需要具备以下权限。此任务只需在每个项目中执行一次。管理员或具有相应权限的其他用户可以启用该 API，之后其他用户便可访问 Workload Manager。

操作	所需权限	角色示例
启用 Workload Manager API	`serviceusage.services.enable`	`roles/editor` `roles/service.Usage.Admin`

Workload Manager 还提供了一些角色，用于控制哪些人可以访问部署功能，以及哪些人可以部署、管理和查看部署。每个角色都拥有执行所述任务所需的必要权限。

如需了解详情，请参阅使用 IAM 进行访问权限控制。向主账号授予 IAM 角色时，Google 建议您应用最小权限原则。

角色	部署任务
Workload Manager Deployment Admin^{Alpha 版}	创建、修改、部署和查看部署。
Workload Manager Deployment Viewer^{Alpha 版}	查看部署。

使用 Cloud Build 专用工作器池

如果您的组织强制执行 VPC Service Controls 合规性，则您必须为部署使用专用工作器池。

专用池托管在 Google 拥有的 Virtual Private Cloud 网络中，该网络称为服务提供方网络。创建专用池之前，请在服务提供方网络和包含您的资源的 VPC 网络之间设置专用连接。

如需创建和使用 Cloud Build 专用池，请按照创建和管理专用池中的说明操作。

设置专用工作器池以与 Workload Manager 搭配使用时，请考虑以下要求：

您必须使用 Cloud Build 专用工作器池进行部署。您不能使用默认的 Cloud Build 工作器池。如需了解详情，请参阅 Cloud Build 文档中的限制。
如需下载 Terraform 配置，Cloud Build 专用池必须启用公共互联网调用。

您还必须确保以下资源位于同一 VPC Service Controls 服务边界内：

Cloud Build 专用工作器池。
Workload Manager 服务账号。
Workload Manager 用于部署的 Cloud Storage 存储桶。

配额

Google Cloud 使用配额来保护和控制特定账号或组织可以使用的资源数量。支持的应用通常会消耗大量资源。鉴于数据库和应用的大小，您在部署过程中可能会遇到配额问题。

为避免配额问题，请执行以下操作：

查看项目的可用资源配额。
如有需要，请申请提高配额值或与项目管理员联系。

后续步骤

了解如何准备 SAP 安装文件以进行部署。
了解如何部署 SAP S/4HANA 工作负载。

使用引导式部署自动化工具的前提条件 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。