本文档介绍了在 Workload Manager 中设置可观测性服务的前提条件,该服务可帮助您监控在 Google Cloud上运行的 SAP 工作负载。
| 前提条件 | 说明 |
|---|---|
| 启用 API | 在项目中启用以下 API: |
| 向服务代理授予 IAM 角色和权限 | 向 Workload Manager 服务代理授予所需的角色和权限。 如需了解详情,请参阅 Workload Manager 服务代理角色和权限。 |
| 向用户授予 IAM 角色和权限 | 查看可观测性信息中心的用户必须拥有或被授予所需的角色和权限。 如需了解详情,请参阅用户的 IAM 角色和权限。 |
| 配置运行 SAP 系统的每个虚拟机 | 向附加到虚拟机的服务账号授予所需角色,并配置访问权限范围。 如需了解详情,请参阅将每个虚拟机配置为发送所需信息。 |
| 安装和配置 Ops Agent | 安装 Ops Agent 并配置该代理以收集基础架构指标。 如需了解详情,请参阅安装和配置 Ops Agent。 |
启用 Workload Manager API
您必须在要监控 SAP 工作负载的项目中启用 Workload Manager API。如需了解详情,请参阅启用 Workload Manager。
启用其他 API
Workload Manager 使用存储在其他云服务中的数据。除了 Workload Manager API 之外,还必须在每个项目中启用以下附加 API。
在 Workload Manager 中访问可观测性服务时,系统会自动检查这些 API。如果未启用,则具有必要权限的用户可以在此时启用。
- Cloud Monitoring API
- Cloud Logging API
- Cloud Asset API
此外,为了在 Google Cloud上运行 SAP 工作负载,您可能还需要启用各种 API。这些 API 可能会因您选择的配置和正在运行的工作负载而异。
Workload Manager 服务代理 IAM 权限和角色
Workload Manager 使用服务代理,该代理需要获得必要的权限才能访问 Cloud Monitoring、Cloud Logging 中的指标和信息,以及 SAP 可观测性信息中心上显示的其他信息。
应将以下 IAM 角色分配给电子邮件地址为 service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com 的 Workload Manager 服务代理。
或者,您也可以创建包含必要权限的自定义角色,并将其分配给 Workload Manager 服务代理。
| 角色 | 所需权限 |
|---|---|
| Workload Manager 服务代理 | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
当您前往可观测性信息中心时,Workload Manager 会检查 Workload Manager 服务代理是否具有所需的角色。拥有必要权限的用户可以授予缺少的角色。
用户的 IAM 角色和权限
如需在 Workload Manager 的可观测性信息中心内查看系统和工作负载,您需要向用户授予以下 IAM 角色。
| 角色 | 权限 |
|---|---|
| Workload Manager Workload Viewer | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
除了 Workload Manager Workload Viewer 角色之外,用户还必须获得以下角色,才能使用可观测性服务中的所有功能。
如需查看 SAP 的所有相关可观测性信息,请授予以下角色:
- Monitoring Viewer (
roles/monitoring.viewer) - Logs Viewer (
roles/logging.viewer)
如需创建自定义信息中心,请授予以下角色:
- Monitoring Editor (
roles/monitoring.editor)
您可能需要其他权限才能使用可选功能。 例如,“应用”和“数据库”信息中心包含每个层中的虚拟机列表以及指向 SSH 的链接,但除了其他角色之外,还必须授予 SSH 连接的权限。
配置每个虚拟机以发送所需信息
您必须在 SAP 系统中要纳入可观测性信息中心的每个 Compute Engine 虚拟机上完成以下步骤。
服务账号
附加到每个虚拟机实例的服务账号需要拥有以下 IAM 角色,才能调用所需的 Google Cloud API,以便代理收集和发送必要的信息。
| IAM 角色名称 | IAM 角色 |
|---|---|
| Compute Viewer | roles/compute.viewer |
| Monitoring Viewer | roles/monitoring.viewer |
| Monitoring Metric Writer | roles/monitoring.metricWriter |
| Secret Manager Secret Accessor* | roles/secretmanager.secretAccessor |
| Workload Manager Insights Writer | roles/workloadmanager.insightWriter |
* 仅在 SAP HANA 实例上需要,并且仅当您使用 Secret Manager 存储必要的读取访问权限凭据时需要。如果使用 hdbuserstore 密钥进行身份验证,则非 HANA 实例或 HANA 实例不需要此角色。
API 访问权限范围
如果您将 Compute Engine 默认服务账号附加到虚拟机,则必须设置访问权限范围,以控制虚拟机对 Cloud API 的访问权限级别。
验证使用 Compute Engine 默认服务账号的任何实例的访问权限范围是否设置为“授予对所有 Cloud API 的完整访问权限”,或者是否至少有权访问以下 API(如果您使用“针对每个 API 设置访问权限”进行控制):
| API | 需要访问权限 |
|---|---|
| Compute Engine | 只读或读写 |
| Cloud Monitoring API | 仅写入或完整 |
| Cloud Logging API | 仅写入或完整 |
| Cloud Platform | 已启用 |
安装和配置 Ops Agent
如需收集底层基础架构指标并将这些指标发送到 Cloud Monitoring 和 Cloud Logging 以实现可观测性,您必须在运行 SAP 系统的每个虚拟机上安装 Ops 代理。
安装后,配置 Ops Agent 的 hostmetrics 设置。
主机指标的默认收集时间间隔为 60s。
如需了解详情,请参阅更改指标接收器中的收集时间间隔。
后续步骤
- 了解如何配置 Agent for SAP 以实现可观测性。
- 了解如何观测 SAP 工作负载。