本文件說明在 Workload Manager 中設定可觀察性服務的必要條件,協助您監控在 Google Cloud上執行的 SAP 工作負載。
| 修課條件 | 說明 |
|---|---|
| 啟用 API | 在專案中啟用下列 API: |
| 為服務代理授予 IAM 角色和權限 | 將必要的角色和權限授予 Workload Manager 服務代理。 詳情請參閱「Workload Manager 服務代理人角色和權限」。 |
| 將 IAM 角色和權限授予使用者 | 查看可觀察性資訊主頁的使用者必須具備或授予必要的角色和權限。詳情請參閱「使用者的身分與存取權管理角色和權限」。 |
| 設定執行 SAP 系統的每個 VM | 將必要角色授予 VM 附加的服務帳戶,並設定存取範圍。詳情請參閱「設定每個 VM 以傳送必要資訊」。 |
| 安裝及設定作業套件代理程式 | 安裝作業套件代理程式,並設定代理程式收集基礎架構指標。詳情請參閱「安裝及設定 Ops Agent」。 |
啟用 Workload Manager API
您必須在要監控 SAP 工作負載的專案中啟用 Workload Manager API。詳情請參閱「啟用 Workload Manager」。
啟用其他 API
Workload Manager 會使用儲存在其他雲端服務中的資料。除了 Workload Manager API 之外,您還必須在每個專案中啟用下列其他 API。
在工作負載管理工具中存取可觀察性服務時,系統會自動檢查這些 API。如果未啟用,則擁有必要權限的使用者可在該時啟用。
- Cloud Monitoring API
- Cloud Logging API
- Cloud Asset API
為了在 Google Cloud上執行 SAP 工作負載,您可能已啟用多種 API。這些 API 可能會因您選擇的設定和執行的工作負載而異。
Workload Manager 服務代理的 IAM 權限和角色
Workload Manager 會使用服務代理,而這項服務需要具備必要權限,才能存取 Cloud Monitoring、Cloud Logging 和 SAP 觀測性資訊主頁上顯示的指標和資訊。
下列 IAM 角色應指派給 Workload Manager 服務代理,該代理的電子郵件地址為 service-PROJECT_NUMBER@gcp-sa-workloadmanager.iam.gserviceaccount.com。或者,您也可以建立包含必要權限的自訂角色,並將這些角色指派給 Workload Manager 服務代理。
| 角色 | 所需權限 |
|---|---|
| Workload Manager 服務代理 | workloadmanager.insights.listSapSystems serviceusage.services.use cloudasset.assets.listResource cloudasset.assets.listIamPolicy cloudasset.assets.listOrgPolicy cloudasset.assets.listOSInventories cloudasset.assets.listAccessPolicy serviceusage.services.use |
前往觀測資訊主頁時,Workload Manager 會檢查 Workload Manager 服務代理是否具備必要的角色。具備必要權限的使用者可以授予缺少的角色。
使用者的身分與存取權管理角色和權限
如要在 Workload Manager 的觀測資訊主頁中查看系統和工作負載,您必須將下列 IAM 角色授予使用者。
| 角色 | 權限 |
|---|---|
| Workload Manager 工作負載檢視者 | resourcemanager.projects.get resourcemanager.projects.list workloadmanager.discoveredprofiles.get workloadmanager.discoveredprofiles.list workloadmanager.discoveredprofiles.getHealth |
除了工作負載管理員工作負載檢視者角色之外,使用者還必須獲得下列角色,才能使用觀察服務中的所有功能。
如要查看 SAP 的所有相關可觀察性資訊,請授予下列角色:
- Monitoring 檢視者 (
roles/monitoring.viewer) - 記錄檢視器 (
roles/logging.viewer)
如要建立自訂資訊主頁,請授予下列角色:
- Monitoring 編輯者 (
roles/monitoring.editor)
您可能需要額外權限才能使用選用功能。舉例來說,應用程式和資料庫資訊主頁會列出各層中的 VM 清單和 SSH 連結,但除了其他角色外,還必須授予 SSH 連線權限。
設定每個 VM 以傳送必要資訊
您必須在要納入可觀察性資訊主頁的 SAP 系統中,針對每個 Compute Engine VM 完成下列步驟。
服務帳戶
附加至每個 VM 執行個體的服務帳戶必須具備下列 IAM 角色,才能呼叫代理程式所需的 Google Cloud API,收集及傳送必要資訊。
| IAM 角色名稱 | IAM 角色 |
|---|---|
| Compute 檢視者 | roles/compute.viewer |
| Monitoring 檢視者 | roles/monitoring.viewer |
| Monitoring 指標寫入者 | roles/monitoring.metricWriter |
| Secret Manager 密鑰存取者* | roles/secretmanager.secretAccessor |
| Workload Manager 深入分析資訊寫入者 | roles/workloadmanager.insightWriter |
*僅在 SAP HANA 執行個體上,以及您使用 Secret Manager 儲存必要的讀取存取憑證時才需要。如果使用 hdbuserstore 金鑰進行驗證,則在非 HANA 執行個體或 HANA 執行個體上,不需要這個角色。
API 存取範圍
如果您將 Compute Engine 預設服務帳戶連結至 VM,就必須設定存取權範圍,以控管 VM 對 Cloud API 的存取權層級。
如果您使用 Compute Engine 預設服務帳戶,請確認任何執行個體的存取權範圍已設為「允許所有 Cloud API 的完整存取權」,或是至少具備下列 API 的存取權 (如果您使用「針對各個 API 設定存取權」進行控制):
| API | 需要存取權 |
|---|---|
| Compute Engine | 唯讀或讀寫 |
| Cloud Monitoring API | 唯寫或完整 |
| Cloud Logging API | 唯寫或完整 |
| Cloud Platform | 已啟用 |
安裝及設定作業套件代理程式
如要收集基礎架構指標,並將這些指標傳送至 Cloud Monitoring 和 Cloud Logging 以便進行觀察,您必須在執行 SAP 系統的每個 VM 上安裝作業套件代理程式。
安裝完成後,請設定作業套件代理程式的 hostmetrics 設定。主機指標的預設收集間隔為 60s。詳情請參閱「變更指標接收器中的收集間隔」。
後續步驟
- 瞭解如何設定 Agent for SAP 以便進行監控。
- 瞭解如何監控 SAP 工作負載。