Questo documento descrive i prerequisiti per l'utilizzo dello strumento di automazione guidata del deployment in Workload Manager.
Inoltre, devi soddisfare i seguenti prerequisiti specifici per l'applicazione di cui stai eseguendo il deployment:
- Prerequisiti per il deployment di un'applicazione SAP S/4HANA
- Prerequisiti per il deployment di un workload SQL Server
- Prerequisiti per il deployment di un workload Oracle Database
| Prerequisito | Descrizione |
|---|---|
| Google Cloud Account di fatturazione | Devi avere un Google Cloud account che fa parte della tua organizzazione con la fatturazione attiva. Per saperne di più, consulta Creare un nuovo account di fatturazione. |
| Google Cloud Progetto |
Un Google Cloud progetto in cui vuoi eseguire il deployment dell'applicazione. Consulta Creare e gestire i progetti. Assicurati che il progetto sia collegato all'account di fatturazione. |
| Abilita le API | Abilita le seguenti API nel tuo progetto: Durante il processo di deployment, Workload Manager abilita automaticamente le API aggiuntive richieste se non sono abilitate nel tuo progetto. |
| Concedi i ruoli IAM al service account Workload Manager | Workload Manager utilizza un service agent a cui devono essere concessi i ruoli richiesti prima di poter eseguire il deployment di un'applicazione. Per saperne di più, consulta Service account Workload Manager. |
| Concedi i ruoli IAM a un service account gestito dall'utente | Crea un account di servizio e concedi tutti i ruoli richiesti per il deployment dell'applicazione. Per saperne di più, consulta Service account gestito dall'utente. |
| Ruoli e autorizzazioni IAM | Gli utenti che eseguono il deployment di un workload utilizzando lo strumento di automazione guidata del deployment devono disporre dei ruoli e delle autorizzazioni richiesti per configurare il deployment o devono essere loro concessi. Questi utenti hanno anche bisogno delle autorizzazioni per creare i service account necessari durante il deployment. Per saperne di più, consulta Ruoli e autorizzazioni IAM. |
| Pool di worker privato di Cloud Build | Facoltativo. Se la tua organizzazione applica le impostazioni del perimetro dei Controlli di servizio VPC per proteggere le risorse e i dati di Workload Manager, configura un pool di worker privato di Cloud Build da utilizzare nell'ambiente di deployment. Per saperne di più, consulta Utilizzare un pool di worker privato di Cloud Build. |
| Quote | Assicurati di avere una quota di risorse sufficiente nel tuo progetto per eseguire il deployment del workload. Per saperne di più, consulta Quote. |
Account di servizio Workload Manager
Lo strumento di automazione guidata del deployment utilizza un service agent per il deployment delle applicazioni.
Quando crei un deployment, Workload Manager ti chiede di concedere i ruoli richiesti a questo account di servizio se non sono già stati concessi. Se non hai l'autorizzazione per concedere questi ruoli, chiedi a un amministratore di concedere i seguenti ruoli al account di servizio Workload Manager prima di creare un deployment.
| Service account | Ruoli richiesti |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Account di servizio gestito dall'utente
Workload Manager utilizza il account di servizio collegato al deployment per chiamare altre API e altri servizi per la creazione delle risorse necessarie per il deployment.
Puoi collegare un account di servizio esistente o crearne uno quando configuri il deployment. A seconda dell'applicazione e della configurazione, Workload Manager ti chiede di concedere i ruoli mancanti al tuo account di servizio.
Per saperne di più sulla concessione dei ruoli ai service account, consulta Gestire l'accesso ai service account.
Ruoli e autorizzazioni IAM
Il controllo dell'accesso in Workload Manager viene eseguito utilizzando
Identity and Access Management (IAM). Workload Manager fornisce un insieme specifico di ruoli IAM predefiniti
ognuno dei quali contiene un insieme di autorizzazioni. Con IAM puoi adottare il
principio del privilegio minimo,
e quindi concedere solo l'accesso necessario alle tue risorse.
Per abilitare l'API Workload Manager nel progetto selezionato è necessaria la seguente autorizzazione. Questa attività deve essere eseguita una sola volta in ogni progetto.
Un amministratore o un altro utente con l'autorizzazione può abilitare l'API e, dopodiché, altri utenti possono accedere a Workload Manager.
| Azione | Autorizzazione richiesta | Ruolo di esempio |
|---|---|---|
| Abilita l'API Workload Manager | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Workload Manager dispone anche di ruoli per controllare chi può accedere alle funzionalità di deployment e determinare chi può eseguire il deployment, gestire e visualizzare i deployment. Ogni ruolo dispone delle autorizzazioni necessarie per eseguire le attività indicate.
Per saperne di più, consulta Controllo dell'accesso con IAM. Quando concedi i ruoli IAM alle entità, Google consiglia di applicare il principio del privilegio minimo.
| Ruolo | Attività di deployment |
|---|---|
| Workload Manager Deployment AdminBeta | Crea, modifica, esegui il deployment e visualizza i deployment. |
| Workload Manager Deployment ViewerBeta | Visualizza i deployment. |
Utilizzare un pool di worker privato di Cloud Build
Se la tua organizzazione applica la conformità ai Controlli di servizio VPC, devi utilizzare un pool di worker privato per il deployment.
I pool privati sono ospitati in una rete Virtual Private Cloud di proprietà di Google chiamata rete del producer di servizi. Prima di creare un pool privato, configura una connessione privata tra la rete del producer di servizi e la rete VPC che contiene le tue risorse.
Per creare e utilizzare un pool privato di Cloud Build, segui le istruzioni riportate in Creare e gestire i pool privati.
Tieni presente i seguenti requisiti quando configuri un pool di worker privato da utilizzare con Workload Manager:
- Per il deployment devi utilizzare un pool di worker privato di Cloud Build. Non puoi utilizzare il pool di worker di Cloud Build predefinito. Per saperne di più, consulta Limitazioni nella documentazione di Cloud Build.
- Per scaricare la configurazione di Terraform, il pool privato di Cloud Build deve avere le chiamate internet pubbliche abilitate.
Devi anche assicurarti che le seguenti risorse si trovino nello stesso perimetro di servizio dei Controlli di servizio VPC:
- Pool di worker privato di Cloud Build.
- Service account Workload Manager.
- Il bucket Cloud Storage utilizzato da Workload Manager per il deployment.
Quote
Google Cloud utilizza le quote per proteggere e controllare il numero di risorse che un determinato account o una determinata organizzazione può utilizzare. Le applicazioni supportate spesso consumano una parte consistente delle risorse. Date le dimensioni dei database e delle applicazioni, potresti riscontrare problemi di quota durante il processo di deployment.
Per evitare problemi di quota:
- Visualizza i valori e l'utilizzo della quota.
- Se necessario, richiedi un valore di quota più elevato o contatta l'amministratore del progetto.
Passaggi successivi
- Scopri come preparare i file di installazione SAP per il deployment.
- Scopri come eseguire il deployment di un workload SAP S/4HANA.
- Scopri come eseguire il deployment di un workload Oracle Database.