Este documento descreve os pré-requisitos para configurar o serviço de observabilidade no Gerenciador de cargas de trabalho, que ajuda a monitorar as cargas de trabalho SAP em execução no Google Cloud.
| Pré-requisito | Descrição |
|---|---|
| Ativar APIs | Ative as seguintes APIs no seu projeto: |
| Conceder papéis e permissões do IAM ao agente de serviço | Conceda os papéis e as permissões necessárias ao agente de serviço do Gerenciador de cargas de trabalho. Para mais informações, consulte Papéis e permissões do agente de serviço do Workload Manager. |
| Conceder papéis e permissões do IAM aos usuários | Os usuários que visualizam os painéis de observabilidade precisam ter ou receber as funções e permissões necessárias. Para mais informações, consulte Papéis e permissões do IAM para o usuário. |
| Configurar cada VM que executa o sistema SAP | Conceda os papéis necessários à conta de serviço anexada à VM e configure os escopos de acesso. Para mais informações, consulte Configurar cada VM para enviar as informações necessárias. |
| Instalar e configurar o Agente de operações | Instale e configure o Agente de operações para coletar as métricas de infraestrutura. Para mais informações, consulte Instalar e configurar o agente de operações. |
Ativar a API Workload Manager
A API Workload Manager precisa estar ativada no projeto em que você quer monitorar suas cargas de trabalho do SAP. Para mais informações, consulte Ativar o Gerenciador de cargas de trabalho.
Ativar outras APIs
O Workload Manager usa dados armazenados em outros serviços de nuvem. Além da API Workload Manager, essas APIs extras precisam ser ativadas em cada projeto.
Essas APIs são verificadas automaticamente ao acessar o serviço de observabilidade no Workload Manager. Se não estiverem ativadas, os usuários com as permissões necessárias poderão ativá-las nesse momento.
- API Cloud Monitoring
- API Cloud Logging
- API Cloud Asset
Há também várias APIs que provavelmente já estão ativadas para executar uma carga de trabalho do SAP no Google Cloud. Essas APIs podem variar de acordo com a configuração escolhida e as cargas de trabalho em execução.
Permissões e papéis do IAM do agente de serviço do Workload Manager
O Gerenciador de carga de trabalho usa um agente de serviço, que precisa das permissões necessárias para acessar métricas e informações do Cloud Monitoring, do Cloud Logging e outras informações exibidas nos painéis de observabilidade do SAP.
Os seguintes papéis do IAM precisam ser atribuídos ao agente de serviço do Workload Manager,
que tem o e-mail
service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com.
Como alternativa, é possível criar papéis personalizados com as permissões necessárias e atribuí-los ao agente de serviço do Gerenciador de cargas de trabalho.
| Papel | Permissões necessárias |
|---|---|
| Agente de serviço do gerenciador de cargas de trabalho | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
Ao navegar até o painel de observabilidade, o Gerenciador de cargas de trabalho verifica se o agente de serviço do Gerenciador de cargas de trabalho tem o papel necessário. Os usuários que têm as permissões necessárias podem conceder as funções ausentes.
Permissões e papéis do IAM para o usuário
Para ver sistemas e cargas de trabalho nos painéis de observabilidade do Gerenciador de cargas de trabalho, é necessário conceder ao usuário os seguintes papéis do IAM.
| Papel | Permissões |
|---|---|
| Leitor da carga de trabalho do gerenciador de cargas de trabalho | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
Além da função "Leitor de carga de trabalho do Workload Manager", o usuário precisa receber as seguintes funções para usar todos os recursos do serviço de observabilidade.
Para conferir todas as informações relevantes de observabilidade do SAP, conceda os seguintes papéis:
- Leitor do Monitoring (
roles/monitoring.viewer) - Visualizador de registros (
roles/logging.viewer)
Para criar painéis personalizados, conceda o seguinte papel:
- Editor do Monitoring (
roles/monitoring.editor)
Outras permissões podem ser necessárias para usar os recursos opcionais. Por exemplo, os painéis "Aplicativo" e "Banco de dados" incluem uma lista de VMs em cada camada e um link para SSH, mas as permissões de conexão SSH precisam ser concedidas além de outras funções.
Configurar cada VM para enviar as informações necessárias
As etapas a seguir precisam ser concluídas em cada VM do Compute Engine em um sistema SAP que você quer incluir nos painéis de observabilidade.
Conta de serviço
A conta de serviço anexada a cada instância de VM precisa ter os seguintes papéis do IAM para chamar as APIs Google Cloud necessárias para que os agentes coletem e enviem as informações necessárias.
| Nome do papel do IAM | Papel do IAM |
|---|---|
| Leitor do Compute | roles/compute.viewer |
| Visualizador de monitoramento | roles/monitoring.viewer |
| Gravador da métrica de monitoramento | roles/monitoring.metricWriter |
| Acessador de secrets do Secret Manager* | roles/secretmanager.secretAccessor |
| Gravador de insights do gerenciador de cargas de trabalho | roles/workloadmanager.insightWriter |
*Necessário apenas em instâncias do SAP HANA e se você estiver armazenando as credenciais de acesso de leitura necessárias usando o Secret Manager. Essa função não é necessária em instâncias que não são do HANA ou em instâncias do HANA se a autenticação for feita usando chaves hdbuserstore.
Escopo de acesso à API
Se você anexar a conta de serviço padrão do Compute Engine às VMs, defina o escopo de acesso que controla o nível de acesso da VM às APIs do Cloud.
Verifique se o escopo de acesso em qualquer instância que use a conta de serviço padrão do Compute Engine está definido como "Permitir acesso total a todas as APIs do Cloud" ou tem acesso às seguintes APIs, no mínimo, se você estiver controlando usando "Definir acesso para cada API":
| API | Acesso necessário |
|---|---|
| Compute Engine | Somente leitura ou leitura/gravação |
| API Cloud Monitoring | Somente gravação ou Completo |
| API Cloud Logging | Somente gravação ou Completo |
| Cloud Platform | Ativado |
Instalar e configurar o Agente de operações
Para coletar as métricas de infraestrutura subjacentes e enviá-las ao Cloud Monitoring e ao Cloud Logging para observabilidade, instale o agente do Ops em todas as VMs que executam seu sistema SAP.
Após a instalação, configure as definições de hostmetrics do Agente de operações.
O intervalo de coleta padrão para métricas de host é 60s.
Para mais informações, consulte Como mudar o intervalo de coleta nos receptores de métricas.
A seguir
- Saiba como configurar o agente para SAP para observabilidade.
- Saiba como observar uma carga de trabalho do SAP.