SAP のオブザーバビリティの前提条件

このドキュメントでは、 Google Cloudで実行されている SAP ワークロードのモニタリングに役立つ、Workload Manager でオブザーバビリティ サービスを設定するための前提条件について説明します。

前提条件 説明
API を有効にする プロジェクトで次の API を有効にします。
サービス エージェントに IAM ロールと権限を付与する Workload Manager サービス エージェントに必要なロールと権限を付与します。詳細については、Workload Manager サービス エージェントのロールと権限をご覧ください。
IAM ロールと権限をユーザーに付与する オブザーバビリティ ダッシュボードを表示するユーザーには、必要なロールと権限が付与されている必要があります。詳細については、ユーザーの IAM ロールと権限をご覧ください。
SAP システムを実行する各 VM を構成する VM に関連付けられたサービス アカウントに必要なロールを付与し、アクセス スコープを構成します。詳細については、必要な情報を送信するように各 VM を構成するをご覧ください。
Ops エージェントをインストールして構成する Ops エージェントをインストールし、インフラストラクチャ指標を収集するようにエージェントを構成します。詳細については、Ops エージェントのインストールと構成をご覧ください。

Workload Manager API を有効にする

SAP ワークロードをモニタリングするプロジェクトで Workload Manager API を有効にする必要があります。詳細については、Workload Manager を有効にするをご覧ください。

追加の API を有効にする

Workload Manager は、他のクラウド サービスに保存されているデータを使用します。Workload Manager API に加えて、各プロジェクトで次の追加の API を有効にする必要があります。

これらの API は、Workload Manager 内のオブザーバビリティ サービスにアクセスするときに自動的にチェックされます。有効になっていない場合は、必要な権限を持つユーザーがその時点で有効にできます。

  • Cloud Monitoring API
  • Cloud Logging API
  • Cloud Asset API

また、 Google Cloudで SAP ワークロードを実行するために、すでに有効になっている可能性のあるさまざまな API もあります。これらの API は、選択した構成と実行中のワークロードによって異なる場合があります。

Workload Manager サービス エージェントの IAM 権限とロール

Workload Manager はサービス エージェントを使用します。このエージェントには、Cloud Monitoring、Cloud Logging の指標と情報、および SAP のオブザーバビリティ ダッシュボードに表示されるその他の情報にアクセスするための必要な権限が必要です。

メールアドレスが service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com の Workload Manager サービス エージェントに、次の IAM ロールを割り当てる必要があります。また、必要な権限を含むカスタムロールを作成し、Workload Manager サービス エージェントに割り当てることもできます。

役割 必要な権限
Workload Manager サービス エージェント workloadmanager.insights.listSapSystems
serviceusage.services.use
cloudasset.assets.listResource
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
cloudasset.assets.listAccessPolicy
serviceusage.services.use

オブザーバビリティ ダッシュボードに移動すると、Workload Manager サービス エージェントに必要なロールがあるかどうかがチェックされます。必要な権限を持つユーザーは、不足しているロールを付与できます。

ユーザーの IAM ロールと権限

Workload Manager のオブザーバビリティ ダッシュボードでシステムとワークロードを表示するには、ユーザーに次の IAM ロールを付与する必要があります。

役割 権限
Workload Manager ワークロード閲覧者 resourcemanager.projects.get
resourcemanager.projects.list
workloadmanager.discoveredprofiles.get
workloadmanager.discoveredprofiles.list
workloadmanager.discoveredprofiles.getHealth

オブザーバビリティ サービスのすべての機能を使用するには、Workload Manager ワークロード閲覧者のロールに加えて、次のロールがユーザーに付与されている必要があります。

SAP に関連するすべてのオブザーバビリティ情報を表示するには、次のロールを付与します。

  • モニタリング閲覧者(roles/monitoring.viewer
  • ログビューア(roles/logging.viewer

カスタム ダッシュボードを作成するには、次のロールを付与します。

  • モニタリング編集者(roles/monitoring.editor

オプション機能を使用するには、追加の権限が必要になる場合があります。たとえば、アプリケーション ダッシュボードとデータベース ダッシュボードには、各レイヤの VM のリストと SSH へのリンクが含まれていますが、SSH 接続の権限は他のロールに加えて付与する必要があります。

必要な情報を送信するように各 VM を構成する

オブザーバビリティ ダッシュボードに含める SAP システムの各 Compute Engine VM で、次の手順を完了する必要があります。

サービス アカウント

各 VM インスタンスに接続されているサービス アカウントには、エージェントが必要な情報を収集して送信するために必要な Google Cloud API を呼び出すための次の IAM ロールが必要です。

IAM ロール名 IAM ロール
Compute 閲覧者 roles/compute.viewer
モニタリング閲覧者 roles/monitoring.viewer
モニタリング指標の書き込み roles/monitoring.metricWriter
Secret Manager のシークレット アクセサー* roles/secretmanager.secretAccessor
Workload Manager Insights ライター roles/workloadmanager.insightWriter

*SAP HANA インスタンスで、および Secret Manager を使用して必要な読み取りアクセス認証情報を保存している場合にのみ必要です。このロールは、HANA 以外のインスタンスや、hdbuserstore 鍵を使用して認証する場合の HANA インスタンスでは必要ありません。

API アクセス スコープ

Compute Engine のデフォルトのサービス アカウントを VM に接続する場合は、VM が Cloud APIs にアクセスできるレベルを制御するアクセス スコープを設定する必要があります。

Compute Engine のデフォルト サービス アカウントを使用するインスタンスのアクセス スコープが、すべての Cloud API に完全アクセス権を許可するように設定されているか、各 API にアクセス権を設定を使用して制御している場合は、少なくとも次の API にアクセスできることを確認します。

API アクセス権が必要
Compute Engine 読み取り専用または読み取りと書き込み
Cloud Monitoring API 書き込み専用またはフル
Cloud Logging API 書き込み専用またはフル
Cloud Platform 有効

Ops エージェントをインストールして構成する

基盤となるインフラストラクチャ指標を収集し、これらの指標を Cloud Monitoring と Cloud Logging に送信してオブザーバビリティを確保するには、SAP システムを実行するすべての VM に Ops エージェントをインストールする必要があります。

インストール後、Ops エージェントの hostmetrics 設定を構成します。ホスト指標のデフォルトの収集間隔は 60s です。詳細については、指標レシーバーでの収集間隔の変更をご覧ください。

次のステップ