本文將說明在 Workload Manager 中使用輔助部署自動化工具的必要條件。
此外,您必須符合下列特定於所部署應用程式的先決條件:
| 修課條件 | 說明 |
|---|---|
| Google Cloud 帳單帳戶 | 您必須具備 Google Cloud 帳戶,且該帳戶屬於有啟用帳單功能的機構。 詳情請參閱「建立新的帳單帳戶」。 |
| Google Cloud project |
您要部署應用程式的 Google Cloud 專案。請參閱「建立及管理專案」。 請確認 專案已連結至帳單帳戶。 |
| 啟用 API | 在專案中啟用下列 API: 在部署程序期間,如果專案中未啟用其他必要 API,Workload Manager 會自動啟用這些 API。 |
| 將 IAM 角色授予 Workload Manager 服務帳戶 | Workload Manager 會使用服務代理程式,您必須先授予必要角色,才能部署應用程式。詳情請參閱「 Workload Manager 服務帳戶」一文。 |
| 將 IAM 角色授予使用者管理的服務帳戶 | 建立服務帳戶,並授予部署應用程式所需的所有角色。 詳情請參閱「使用者管理的服務帳戶」。 |
| 身分與存取權管理角色和權限 | 使用者必須具備或取得必要的角色和權限,才能使用引導式部署自動化工具部署工作負載,進而設定部署作業。這些使用者也需要權限,才能在部署期間建立必要的服務帳戶。詳情請參閱「身分與存取權管理角色和權限」。 |
| Cloud Build 私人資源池 | (非必要) 如果貴機構為了保護 Workload Manager 資源和資料而強制執行 VPC Service Control 範圍設定,請設定 Cloud Build 私人工作池,以便在部署環境中使用。詳情請參閱「使用 Cloud Build 私人工作站集區」。 |
| 配額 | 請確認專案具備足夠的資源配額,可用於部署工作負載。詳情請參閱「配額」。 |
Workload Manager 服務帳戶
引導式部署作業自動化工具會使用服務代理程式來部署應用程式。
建立部署時,Workload Manager 會提示您為服務帳戶授予必要角色 (如果尚未授予)。如果您沒有授予這些角色的權限,請要求管理員在建立部署前,先將下列角色授予工作負載管理員服務帳戶。
| 服務帳戶 | 必要角色 |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
使用者自行管理的服務帳戶
Workload Manager 會使用部署項目附加的服務帳戶,呼叫其他 API 和服務,建立部署作業所需的資源。
您可以在設定部署作業時,附加現有的服務帳戶或建立服務帳戶。視應用程式和設定而定,Workload Manager 會提示您將缺少的角色授予服務帳戶。
如要進一步瞭解如何將角色授予服務帳戶,請參閱「管理服務帳戶的存取權」。
IAM 角色和權限
Workload Manager 中的存取權控管使用 Identity and Access Management (IAM) 控管。Workload Manager 提供一組特定的預先定義 IAM 角色,每個角色都包含一組權限。IAM 能讓您採用最低權限安全性原則,僅授予必要的資源存取權限給使用者。
如要在所選專案中啟用 Workload Manager API,必須具備下列權限。每個專案只需執行這項工作一次。管理員或其他具備權限的使用者可以啟用 API,之後其他使用者就能存取 Workload Manager。
| 動作 | 需要權限 | 示例角色 |
|---|---|---|
| 啟用 Workload Manager API | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Workload Manager 也提供角色,可控管誰能存取部署功能,並決定誰可以部署、管理及查看部署作業。每個角色都具備執行上述工作所需的權限。
詳情請參閱「使用 IAM 控管存取權」。為主體授予 IAM 角色時,Google 建議您套用最低權限原則。
| 角色 | 部署工作 |
|---|---|
| Workload Manager 部署作業管理員Alpha 版 | 建立、修改、部署及查看部署項目。 |
| Workload Manager 部署作業檢視器 (Alpha 版) | 查看部署作業。 |
使用 Cloud Build 私人工作站集區
如果貴機構強制執行 VPC Service Controls 合規性,則您必須使用私人工作站集區進行部署。
私人集區會託管在 Google 自有的虛擬私有雲網路中,稱為服務供應商網路。建立私人集區前,請在服務供應商網路與含有資源的虛擬私有雲端網路之間設定私人連線。
如要建立及使用 Cloud Build 私人集區,請按照「建立及管理私人集區」一文的說明操作。
設定私人工作站集區以搭配 Workload Manager 使用時,請考量下列規定:
- 您必須使用 Cloud Build 私人工作站集區進行部署作業。您無法使用預設的 Cloud Build 工作站集區。詳情請參閱 Cloud Build 說明文件中的「限制」一節。
- 如要下載 Terraform 設定,Cloud Build 私人集區必須啟用公開網際網路呼叫。
您也必須確保下列資源位於同一個 VPC Service Controls 服務範圍中:
- Cloud Build 私人工作站集區。
- Workload Manager 服務帳戶。
- Workload Manager 用於部署作業的 Cloud Storage 值區。
配額
Google Cloud 會使用配額保護及控管特定帳戶或機構可使用的資源數量。支援的應用程式通常會耗用大量資源。考量資料庫和應用程式的大小,您可能會在部署程序中遇到配額問題。
如要避免配額問題,請採取下列做法:
- 查看專案的可用資源配額。
- 如有需要,請要求提高配額上限,或與專案管理員聯絡。
後續步驟
- 瞭解如何準備 SAP 安裝檔案以便部署。
- 瞭解如何部署 SAP S/4HANA 工作負載。