이 문서에서는 Google Cloud에서 실행되는 SAP 워크로드를 모니터링하는 데 도움이 되는 워크로드 관리자에서 관측 가능성 서비스를 설정하기 위한 기본 요건을 설명합니다.
| 기본 요건 | 설명 |
|---|---|
| API 사용 설정 | 프로젝트에서 다음 API를 사용 설정합니다. |
| 서비스 에이전트에 IAM 역할 및 권한 부여 | 워크로드 관리자 서비스 에이전트에 필요한 역할과 권한을 부여합니다. 자세한 내용은 워크로드 관리자 서비스 에이전트 역할 및 권한을 참고하세요. |
| 사용자에게 IAM 역할 및 권한 부여 | 관측성 대시보드를 보는 사용자는 필요한 역할과 권한을 보유하고 있거나 이러한 권한을 부여받아야 합니다. 자세한 내용은 사용자의 IAM 역할 및 권한을 참고하세요. |
| SAP 시스템을 실행하는 각 VM 구성 | VM에 연결된 서비스 계정에 필요한 역할을 부여하고 액세스 범위를 구성합니다. 자세한 내용은 필요한 정보를 전송하도록 각 VM 구성을 참고하세요. |
| 운영 에이전트 설치 및 구성 | 운영 에이전트를 설치하고 인프라 측정항목을 수집하도록 에이전트를 구성합니다. 자세한 내용은 운영 에이전트 설치 및 구성을 참고하세요. |
Workload Manager API 사용 설정
SAP 워크로드를 모니터링하려는 프로젝트에서 Workload Manager API를 사용 설정해야 합니다. 자세한 내용은 워크로드 관리자 사용 설정을 참고하세요.
추가 API 사용 설정
워크로드 관리자는 다른 클라우드 서비스에 저장된 데이터를 사용합니다. Workload Manager API 외에도 각 프로젝트에서 다음 추가 API를 사용 설정해야 합니다.
이러한 API는 워크로드 관리자 내에서 관측성 서비스에 액세스할 때 자동으로 확인됩니다. 사용 설정되어 있지 않은 경우 필요한 권한이 있는 사용자는 언제든지 사용 설정할 수 있습니다.
- Cloud Monitoring API
- Cloud Logging API
- Cloud Asset API
또한 Google Cloud에서 SAP 워크로드를 실행하기 위해 이미 사용 설정된 다양한 API가 있습니다. 이러한 API는 선택한 구성 및 실행 중인 워크로드에 따라 다를 수 있습니다.
워크로드 관리자 서비스 에이전트 IAM 권한 및 역할
워크로드 관리자는 서비스 에이전트를 사용하며, 이 에이전트는 Cloud Monitoring, Cloud Logging의 측정항목 및 정보, SAP의 관측 가능성 대시보드에 표시되는 기타 정보에 액세스하는 데 필요한 권한이 필요합니다.
이메일이 service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com인 Workload Manager 서비스 에이전트에 다음 IAM 역할이 할당되어야 합니다.
또는 필요한 권한이 포함된 맞춤 역할을 만들고 워크로드 관리자 서비스 에이전트에 할당할 수 있습니다.
| 역할 | 필수 권한 |
|---|---|
| 워크로드 관리자 서비스 에이전트 | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
관측성 대시보드로 이동할 때 워크로드 관리자는 워크로드 관리자 서비스 에이전트에 필요한 역할이 있는지 확인합니다. 필요한 권한이 있는 사용자는 누락된 역할을 부여할 수 있습니다.
사용자의 IAM 역할 및 권한
Workload Manager의 관측성 대시보드에서 시스템과 워크로드를 보려면 사용자에게 다음 IAM 역할을 부여해야 합니다.
| 역할 | 권한 |
|---|---|
| 워크로드 관리자 워크로드 뷰어 | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
관측 서비스의 모든 기능을 사용하려면 사용자에게 워크로드 관리자 워크로드 보기 권한 외에도 다음 역할이 부여되어야 합니다.
SAP와 관련된 모든 관측 가능성 정보를 보려면 다음 역할을 부여합니다.
- 모니터링 뷰어(
roles/monitoring.viewer) - 로그 뷰어(
roles/logging.viewer)
커스텀 대시보드를 만들려면 다음 역할을 부여하세요.
- 모니터링 편집자(
roles/monitoring.editor)
선택적 기능을 사용하려면 추가 권한이 필요할 수 있습니다. 예를 들어 애플리케이션 및 데이터베이스 대시보드에는 각 레이어의 VM 목록과 SSH 링크가 포함되어 있지만 SSH 연결 권한은 다른 역할과 함께 부여되어야 합니다.
각 VM이 필수 정보를 전송하도록 구성
관측성 대시보드에 포함하려는 SAP 시스템의 각 Compute Engine VM에서 다음 단계를 완료해야 합니다.
서비스 계정
각 VM 인스턴스에 연결된 서비스 계정에 다음 IAM 역할이 있어야 상담사가 필요한 정보를 수집하고 전송하는 데 필요한 Google Cloud API를 호출할 수 있습니다.
| IAM 역할 이름 | IAM 역할 |
|---|---|
| Compute 뷰어 | roles/compute.viewer |
| 모니터링 뷰어 | roles/monitoring.viewer |
| 모니터링 측정항목 작성자 | roles/monitoring.metricWriter |
| Secret Manager 보안 비밀 접근자* | roles/secretmanager.secretAccessor |
| 워크로드 관리자 통계 작성자 | roles/workloadmanager.insightWriter |
*SAP HANA 인스턴스에서, 그리고 Secret Manager를 사용하여 필요한 읽기 액세스 사용자 인증 정보를 저장하는 경우에만 필요합니다. hdbuserstore 키를 사용하여 인증하는 경우 HANA가 아닌 인스턴스 또는 HANA 인스턴스에는 이 역할이 필요하지 않습니다.
API 액세스 범위
Compute Engine 기본 서비스 계정을 VM에 연결하는 경우 VM의 Cloud API 액세스 수준을 제어하는 액세스 범위를 설정해야 합니다.
Compute Engine 기본 서비스 계정을 사용하는 인스턴스의 액세스 범위가 '모든 Cloud API에 대한 전체 액세스 허용'으로 설정되어 있거나 각 API에 대한 액세스 설정을 사용하여 제어하는 경우 다음 API에 대한 액세스 권한이 있는지 확인합니다.
| API | 액세스 권한 필요 |
|---|---|
| Compute Engine | 읽기 전용 또는 읽기 쓰기 |
| Cloud Monitoring API | 쓰기 전용 또는 전체 |
| Cloud Logging API | 쓰기 전용 또는 전체 |
| Cloud Platform | 사용 설정됨 |
운영 에이전트 설치 및 구성
기본 인프라 측정항목을 수집하고 이러한 측정항목을 관찰 가능성을 위해 Cloud Monitoring 및 Cloud Logging으로 전송하려면 SAP 시스템을 실행하는 모든 VM에 Ops 에이전트를 설치해야 합니다.
설치 후 운영 에이전트의 hostmetrics 설정을 구성합니다.
호스트 측정항목의 기본 수집 간격은 60s입니다.
자세한 내용은 측정항목 수신자에서 수집 간격 변경을 참고하세요.
다음 단계
- 관측 가능성을 위해 SAP용 에이전트를 구성하는 방법을 알아보세요.
- SAP 워크로드를 관찰하는 방법을 알아보세요.