이 문서에서는 워크로드 관리자의 가이드형 배포 자동화 도구를 사용하기 위한 기본 요건을 설명합니다.
또한 배포하는 애플리케이션과 관련된 다음 기본 요건을 충족해야 합니다.
| 기본 요건 | 설명 |
|---|---|
| Google Cloud 결제 계정 | 활성 결제가 있는 조직의 Google Cloud 계정이 있어야 합니다. 자세한 내용은 새 결제 계정 만들기를 참조하세요. |
| Google Cloud 프로젝트 |
애플리케이션을 배포하려는 Google Cloud 프로젝트입니다. 프로젝트 만들기 및 관리를 참조하세요. |
| API 사용 설정 | 프로젝트에서 다음 API를 사용 설정합니다. 배포 프로세스 중에 프로젝트에서 사용 설정되지 않은 경우 워크로드 관리자가 필요한 추가 API를 자동으로 사용 설정합니다. |
| 워크로드 관리자 서비스 계정에 IAM 역할 부여 | 워크로드 관리자는 애플리케이션을 배포하기 전에 필요한 역할을 부여해야 하는 서비스 에이전트를 사용합니다. 자세한 내용은 워크로드 관리자 서비스 계정을 참조하세요. |
| 사용자 관리 서비스 계정에 IAM 역할 부여 | 서비스 계정을 만들고 애플리케이션 배포에 필요한 모든 역할을 부여합니다. 자세한 내용은 사용자 관리 서비스 계정을 참조하세요. |
| IAM 역할 및 권한 | 가이드형 배포 자동화 도구를 사용하여 워크로드를 배포하는 사용자는 배포를 구성하는 데 필요한 역할과 권한을 보유하거나 부여받아야 합니다. 또한 이러한 사용자에게는 배포 중에 필요한 서비스 계정을 만들 수 있는 권한이 필요합니다. 자세한 내용은 IAM 역할 및 권한을 참조하세요. |
| Cloud Build 비공개 풀 | 선택사항입니다. 조직에서 워크로드 관리자 리소스 및 데이터를 보호하기 위해 VPC 서비스 제어 경계 설정을 적용하는 경우 배포 환경에서 사용할 Cloud Build 비공개 작업자 풀을 설정합니다. 자세한 내용은 Cloud Build 비공개 작업자 풀 사용을 참조하세요. |
| 할당량 | 프로젝트에 워크로드를 배포할 수 있는 리소스 할당량이 충분한지 확인합니다. 자세한 내용은 할당량을 참조하세요. |
워크로드 관리자 서비스 계정
가이드형 배포 자동화 도구는 애플리케이션 배포에 서비스 에이전트 를 사용합니다.
배포를 만들 때 워크로드 관리자는 이 서비스 계정에 필요한 역할이 아직 부여되지 않은 경우 부여하라는 메시지를 표시합니다. 이러한 역할을 부여할 권한이 없는 경우 배포를 만들기 전에 관리자에게 워크로드 관리자 서비스 계정에 다음 역할을 부여해 달라고 요청하세요.
| 서비스 계정 | 필수 역할 |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
사용자 관리 서비스 계정
워크로드 관리자는 배포에 연결된 서비스 계정을 사용하여 배포에 필요한 리소스를 만들기 위해 다른 API 및 서비스를 호출합니다.
배포를 구성할 때 기존 서비스 계정을 연결하거나 서비스 계정을 만들 수 있습니다. 애플리케이션 및 구성에 따라 워크로드 관리자는 서비스 계정에 누락된 역할을 부여하라는 메시지를 표시합니다.
서비스 계정에 역할 부여에 대한 자세한 내용은 서비스 계정에 대한 액세스 관리를 참조하세요.
IAM 역할 및 권한
워크로드 관리자의 액세스 제어는
Identity and Access Management (IAM)를 사용하여 제어됩니다. 워크로드 관리자는 각 역할에 권한 집합이 포함된 특정 사전 정의된 IAM 역할
집합을 제공합니다. IAM은 최소 권한의
보안 원칙을
채택하여 리소스에 대해 필요한 액세스 권한만 부여할 수 있게 해줍니다.
선택한 프로젝트에서 워크로드 관리자 API를 사용 설정하려면 다음 권한이 필요합니다. 이 작업은 각 프로젝트에서 한 번만 수행하면 됩니다.
관리자 또는 권한이 있는 다른 사용자는 API를 사용 설정할 수 있으며, 그 후 다른 사용자가 워크로드 관리자에 액세스할 수 있습니다.
| 작업 | 필요한 권한 | 역할 예시 |
|---|---|---|
| 워크로드 관리자 API 사용 설정 | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
워크로드 관리자에는 배포 기능에 액세스할 수 있는 사용자를 제어하고 배포를 배포, 관리, 볼 수 있는 사용자를 결정하는 역할도 있습니다. 각 역할에는 명시된 작업을 수행하는 데 필요한 권한이 있습니다.
자세한 내용은 IAM으로 액세스 제어를 참조하세요. 보안 주체에 IAM 역할을 부여할 때는 Google에서 최소 권한의 원칙을 적용하는 것이 좋습니다.
| 역할 | 배포 작업 |
|---|---|
| 워크로드 관리자 배포 관리베타 | 배포를 만들고, 수정하고, 배포하고, 봅니다. |
| 워크로드 관리자 배포 뷰어베타 | 배포를 봅니다. |
Cloud Build 비공개 작업자 풀 사용
조직에서 VPC 서비스 제어 규정 준수를 적용하는 경우 배포에 비공개 작업자 풀을 사용해야 합니다.
비공개 풀은 서비스 프로듀서 네트워크 라고 하는 Google 소유의 Virtual Private Cloud 네트워크에서 호스팅됩니다. 비공개 풀을 만들기 전에 서비스 프로듀서 네트워크와 리소스가 포함된 VPC 네트워크 간에 비공개 연결을 설정합니다.
Cloud Build 비공개 풀을 만들고 사용하려면 비공개 풀 만들기 및 관리의 안내를 따르세요.
워크로드 관리자와 함께 사용할 비공개 작업자 풀을 설정할 때는 다음 요구사항을 고려하세요.
- 배포에 Cloud Build 비공개 작업자 풀을 사용해야 합니다. 기본 Cloud Build 작업자 풀을 사용할 수 없습니다. 자세한 내용은 Cloud Build 문서의 제한사항 을 참조하세요.
- Terraform 구성을 다운로드하려면 Cloud Build 비공개 풀 공개 인터넷 호출이 사용 설정되어 있어야 합니다.
또한 다음 리소스가 동일한 VPC 서비스 제어 서비스 경계에 있는지 확인해야 합니다.
- Cloud Build 비공개 작업자 풀.
- 워크로드 관리자 서비스 계정.
- 워크로드 관리자가 배포에 사용하는 Cloud Storage 버킷.
할당량
Google Cloud 은 특정 계정 또는 조직에서 사용할 수 있는 리소스 수를 보호하고 제어하기 위해 할당량을 사용합니다. 지원되는 애플리케이션은 리소스의 상당 부분을 사용하는 경우가 많습니다. 데이터베이스와 애플리케이션의 크기를 고려할 때 배포 프로세스 중에 할당량 문제가 발생할 수 있습니다.
할당량 문제를 방지하려면 다음 단계를 따르세요.
- 할당량 값과 사용량을 확인합니다.
- 필요한 경우 더 높은 할당량 값을 요청하거나 프로젝트 관리자에게 문의합니다.
다음 단계
- 배포를 위해 SAP 설치 파일을 준비하는 방법을 알아봅니다.
- SAP S/4HANA 워크로드를 배포하는 방법을 알아봅니다.
- Oracle Database 워크로드를 배포하는 방법을 알아봅니다.