Ce document décrit les conditions préalables à l'utilisation de l'outil d'automatisation guidée du déploiement dans Workload Manager.
De plus, vous devez répondre aux conditions préalables suivantes, spécifiques à l'application que vous déployez :
- Conditions préalables au déploiement d'une application SAP S/4HANA
- Conditions préalables au déploiement d'une charge de travail SQL Server
- Conditions préalables au déploiement d'une charge de travail Oracle Database
| Conditions préalables | Description |
|---|---|
| Google Cloud Compte de facturation | Vous devez disposer d'un Google Cloud compte qui fait partie de votre organisation et pour lequel la facturation est activée. Pour plus d'informations, consultez la section Créer un compte de facturation. |
| Google Cloud Projet |
Un Google Cloud projet dans lequel vous souhaitez déployer l'application. Consultez la page Créer et gérer des projets. Assurez-vous que le projet est associé au compte de facturation. |
| Activer les API | Activez les API suivantes dans votre projet : Lors du processus de déploiement, Workload Manager active automatiquement les API requises supplémentaires si elles ne sont pas activées dans votre projet. |
| Accorder des rôles IAM au compte de service Workload Manager | Workload Manager utilise un agent de service auquel vous devez accorder les rôles requis avant de pouvoir déployer une application. Pour en savoir plus, consultez la section Compte de service Workload Manager. |
| Accorder des rôles IAM à un compte de service géré par l'utilisateur | Créez un compte de service et accordez tous les rôles requis pour déployer votre application. Pour en savoir plus, consultez la section Compte de service géré par l'utilisateur. |
| Rôles et autorisations IAM | Les utilisateurs qui déploient une charge de travail à l'aide de l'outil d'automatisation guidée du déploiement doivent disposer des rôles et autorisations requis pour configurer le déploiement ou se les voir accorder. Ces utilisateurs ont également besoin d'autorisations pour créer les comptes de service nécessaires lors du déploiement. Pour en savoir plus, consultez la section Rôles et autorisations IAM. |
| Pool privé Cloud Build | Facultatif. Si votre organisation applique les paramètres de périmètre VPC Service Controls pour protéger les ressources et les données Workload Manager, configurez un pool privé de nœuds de calcul Cloud Build à utiliser dans votre environnement de déploiement. Pour en savoir plus, consultez la section Utiliser un pool privé de nœuds de calcul Cloud Build. |
| Quotas | Assurez-vous que votre projet dispose d'un quota de ressources suffisant pour déployer la charge de travail. Pour en savoir plus, consultez la section Quotas. |
Compte de service Workload Manager
L'outil d'automatisation guidée du déploiement utilise un agent de service pour déployer des applications.
Lorsque vous créez un déploiement, Workload Manager vous invite à accorder les rôles requis à ce compte de service s'ils ne l'ont pas déjà été. Si vous n'êtes pas autorisé à accorder ces rôles, demandez à un administrateur d'accorder les rôles suivants au compte de service Workload Manager avant de créer un déploiement.
| Compte de service | Rôles requis |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Compte de service géré par l'utilisateur
Workload Manager utilise le compte de service associé à votre déploiement pour appeler d'autres API et services afin de créer les ressources nécessaires au déploiement.
Vous pouvez associer un compte de service existant ou en créer un lorsque vous configurez le déploiement. En fonction de votre application et de votre configuration, Workload Manager vous invite à accorder les rôles manquants à votre compte de service.
Pour en savoir plus sur l'attribution de rôles à des comptes de service, consultez la section Gérer l'accès aux comptes de service.
Rôles et autorisations IAM
Le contrôle des accès dans Workload Manager est contrôlé à l'aide de
la gestion de l'authentification et des accès (IAM). Workload Manager fournit un ensemble spécifique de rôles IAM prédéfinis
dans lesquels chaque rôle contient un ensemble d'autorisations. IAM vous permet d'adopter le
principe de sécurité du moindre privilège,
afin de n'accorder que l'accès nécessaire à vos ressources.
L'autorisation suivante est requise pour activer l'API Workload Manager dans le projet sélectionné. Cette tâche ne doit être effectuée qu'une seule fois dans chaque projet.
Un administrateur ou un autre utilisateur disposant de l'autorisation peut activer l'API, après quoi d'autres utilisateurs peuvent accéder à Workload Manager.
| Action | Autorisation requise | Exemple de rôle |
|---|---|---|
| Activer l'API Workload Manager | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Workload Manager dispose également de rôles permettant de contrôler qui peut accéder aux fonctionnalités de déploiement et déterminer qui peut déployer, gérer et afficher les déploiements. Chaque rôle dispose des autorisations nécessaires pour effectuer les tâches indiquées.
Pour en savoir plus, consultez la section Contrôle des accès avec IAM. Lorsque vous accordez des rôles IAM à des principaux, Google vous recommande d'appliquer le principe du moindre privilège.
| Rôle | Tâche de déploiement |
|---|---|
| Administrateur de déploiement Workload ManagerBêta | Créer, modifier, déployer et afficher des déploiements. |
| Lecteur de déploiement Workload ManagerBêta | Afficher les déploiements. |
Utiliser un pool privé de nœuds de calcul Cloud Build
Si votre organisation applique la conformité VPC Service Controls, vous devez utiliser un pool privé de nœuds de calcul pour votre déploiement.
Les pools privés sont hébergés dans un réseau cloud privé virtuel appartenant à Google, appelé réseau de producteurs de services. Avant de créer un pool privé, configurez une connexion privée entre le réseau du producteur de services et le réseau VPC qui contient vos ressources.
Pour créer et utiliser un pool privé Cloud Build, suivez les instructions de la section Créer et gérer des pools privés.
Tenez compte des exigences suivantes lorsque vous configurez un pool privé de nœuds de calcul à utiliser avec Workload Manager :
- Vous devez utiliser un pool privé de nœuds de calcul Cloud Build pour le déploiement. Vous ne pouvez pas utiliser le pool de nœuds de calcul Cloud Build par défaut. Pour en savoir plus, consultez la section Limites de la documentation Cloud Build.
- Pour télécharger la configuration Terraform, le pool privé Cloud Build doit avoir les appels à l'Internet public activés.
Vous devez également vous assurer que les ressources suivantes se trouvent dans le même périmètre de service VPC Service Controls :
- Pool privé de nœuds de calcul Cloud Build.
- Compte de service Workload Manager.
- Bucket Cloud Storage utilisé par Workload Manager pour le déploiement.
Quotas
Google Cloud utilise des quotas pour protéger et contrôler le nombre de ressources qu'un compte ou une organisation spécifique peut utiliser. Les applications compatibles consomment souvent une grande partie des ressources. Compte tenu de la taille des bases de données et des applications, vous pouvez rencontrer des problèmes de quota lors du processus de déploiement.
Pour éviter les problèmes de quota, procédez comme suit :
- Affichez vos valeurs de quota et votre utilisation.
- Si nécessaire, demandez une valeur de quota plus élevée ou contactez l'administrateur de votre projet.
Étape suivante
- Découvrez comment préparer les fichiers d'installation SAP pour le déploiement.
- Découvrez comment déployer une charge de travail SAP S/4HANA.
- Découvrez comment déployer une charge de travail Oracle Database.