In diesem Dokument werden die Voraussetzungen für die Verwendung des Tools „Geführte Bereitstellungsautomatisierung“ im Arbeitslastmanager beschrieben.
Außerdem müssen Sie die folgenden Voraussetzungen erfüllen, die für die bereitgestellte Anwendung spezifisch sind:
- Voraussetzungen für die Bereitstellung einer SAP S/4HANA-Anwendung
- Voraussetzungen für die Bereitstellung einer SQL Server-Arbeitslast
- Voraussetzungen für die Bereitstellung einer Oracle Database-Arbeitslast
| Voraussetzungen | Beschreibung |
|---|---|
| Google Cloud Rechnungskonto | Sie benötigen ein Google Cloud Konto, das Teil Ihrer Organisation ist und für das die Abrechnung aktiviert ist. Weitere Informationen finden Sie unter Neues Rechnungskonto erstellen. |
| Google Cloud Projekt |
Ein Google Cloud Projekt, in dem Sie die Anwendung bereitstellen möchten. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. Achten Sie darauf, dass das Projekt mit dem Rechnungskonto verknüpft ist. |
| APIs aktivieren | Aktivieren Sie die folgenden APIs in Ihrem Projekt: Während der Bereitstellung aktiviert der Arbeitslastmanager automatisch zusätzliche erforderliche APIs falls sie in Ihrem Projekt nicht aktiviert sind. |
| Dienstkonto des Arbeitslastmanagers IAM-Rollen zuweisen | Der Arbeitslastmanager verwendet einen Dienst-Agent, dem die erforderlichen Rollen zugewiesen werden müssen, bevor Sie eine Anwendung bereitstellen können. Weitere Informationen finden Sie unter Dienstkonto des Arbeitslastmanagers. |
| Nutzerverwaltetem Dienstkonto IAM-Rollen zuweisen | Erstellen Sie ein Dienstkonto und weisen Sie alle erforderlichen Rollen für die Bereitstellung Ihrer Anwendung zu. Weitere Informationen finden Sie unter Nutzerverwaltetes Dienstkonto. |
| IAM-Rollen und -Berechtigungen | Nutzer, die eine Arbeitslast mit dem Tool „Geführte Bereitstellungsautomatisierung“ bereitstellen, müssen die erforderlichen Rollen und Berechtigungen haben oder ihnen müssen diese zugewiesen werden, um die Bereitstellung zu konfigurieren. Diese Nutzer benötigen außerdem Berechtigungen, um während der Bereitstellung die erforderlichen Dienstkonten zu erstellen. Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen. |
| Privater Cloud Build-Pool | Optional. Wenn Ihre Organisation VPC Service Controls Perimetereinstellungen zum Schutz von Arbeitslastmanager-Ressourcen und -Daten erzwingt, richten Sie einen privaten Cloud Build-Worker-Pool ein, der in Ihrer Bereitstellungsumgebung verwendet werden soll. Weitere Informationen finden Sie unter Privaten Cloud Build-Worker-Pool verwenden. |
| Kontingente | Prüfen Sie, ob Ihr Projekt ein ausreichendes Ressourcenkontingent für die Bereitstellung der Arbeitslast hat. Weitere Informationen finden Sie unter Kontingente. |
Dienstkonto des Arbeitslastmanagers
Das Tool „Geführte Bereitstellungsautomatisierung“ verwendet einen Dienst-Agenten zum Bereitstellen von Anwendungen.
Wenn Sie eine Bereitstellung erstellen, werden Sie vom Arbeitslastmanager aufgefordert, diesem Dienstkonto die erforderlichen Rollen zuzuweisen, falls dies noch nicht geschehen ist. Wenn Sie nicht die Berechtigung haben, diese Rollen zuzuweisen, bitten Sie einen Administrator, dem Dienstkonto des Arbeitslastmanagers die folgenden Rollen zuzuweisen, bevor Sie eine Bereitstellung erstellen.
| Dienstkonto | Erforderliche Rollen |
|---|---|
| Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com |
|
Nutzerverwaltetes Dienstkonto
Der Arbeitslastmanager verwendet das Dienstkonto, das mit Ihrer Bereitstellung verknüpft ist, um andere APIs und Dienste aufzurufen, um Ressourcen zu erstellen, die für die Bereitstellung erforderlich sind.
Sie können entweder ein vorhandenes Dienstkonto anhängen oder ein Dienstkonto erstellen, wenn Sie die Bereitstellung konfigurieren. Je nach Anwendung und Konfiguration werden Sie vom Arbeitslastmanager aufgefordert, Ihrem Dienstkonto fehlende Rollen zuzuweisen.
Weitere Informationen zum Zuweisen von Rollen zu Dienstkonten, siehe Zugriff auf Dienstkonten verwalten.
IAM-Rollen und -Berechtigungen
Die Zugriffssteuerung im Arbeitslastmanager erfolgt mithilfe von
Identity and Access Management (IAM). Der Arbeitslastmanager bietet einen bestimmten Satz vordefinierter IAM-Rollen
bei denen jede Rolle eine Reihe von Berechtigungen enthält. Durch IAM haben Sie die Möglichkeit, das
Prinzip der geringsten Berechtigunganzuwenden
und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.
Die folgende Berechtigung ist erforderlich, um die Workload Manager API im ausgewählten Projekt zu aktivieren. Diese Aufgabe muss nur einmal in jedem Projekt ausgeführt werden.
Ein Administrator oder ein anderer Nutzer mit der Berechtigung kann die API aktivieren. Danach können andere Nutzer auf den Arbeitslastmanager zugreifen.
| Aktion | Erforderliche Berechtigung | Beispielrolle |
|---|---|---|
| Workload Manager API aktivieren | serviceusage.services.enable |
roles/editorroles/service.Usage.Admin |
Der Arbeitslastmanager hat auch Rollen, mit denen gesteuert werden kann, wer auf die Bereitstellungsfunktionen zugreifen kann und wer Bereitstellungen bereitstellen, verwalten und ansehen kann. Jede Rolle hat die erforderlichen Berechtigungen, um die angegebenen Aufgaben auszuführen.
Weitere Informationen finden Sie unter Zugriffssteuerung mit IAM. Wenn Sie IAM-Rollen für Principals zuweisen, empfiehlt Google, das Prinzip der geringsten Berechtigung anzuwenden.
| Rolle | Bereitstellungsaufgabe |
|---|---|
| Arbeitslastmanager-BereitstellungsadministratorBeta | Bereitstellungen erstellen, ändern, bereitstellen und ansehen. |
| Arbeitslastmanager-BereitstellungsbetrachterBeta | Bereitstellungen ansehen. |
Privaten Cloud Build-Worker-Pool verwenden
Wenn Ihre Organisation die VPC Service Controls-Compliance erzwingt, müssen Sie einen privaten Worker-Pool für Ihre Bereitstellung verwenden.
Private Pools werden in einem Virtual Private Cloud-Netzwerk von Google gehostet, das als Diensterstellernetzwerk bezeichnet wird. Bevor Sie einen privaten Pool erstellen, richten Sie eine private Verbindung ein zwischen dem Diensterstellernetzwerk und dem VPC-Netzwerk, das Ihre Ressourcen enthält.
Eine Anleitung zum Erstellen und Verwenden eines privaten Cloud Build-Pools finden Sie unter Private Pools erstellen und verwalten.
Beachten Sie die folgenden Anforderungen, wenn Sie einen privaten Worker-Pool für die Verwendung mit dem Arbeitslastmanager einrichten:
- Sie müssen einen privaten Cloud Build-Worker-Pool für die Bereitstellung verwenden. Sie können den Cloud Build-Standardworker-Pool nicht verwenden. Weitere Informationen finden Sie unter Einschränkungen in der Cloud Build-Dokumentation.
- Damit die Terraform-Konfiguration heruntergeladen werden kann, müssen im privaten Cloud Build-Pool Aufrufe über das öffentliche Internet aktiviert sein.
Außerdem müssen sich die folgenden Ressourcen im selben VPC Service Controls Dienstperimeter befinden:
- Privater Cloud Build-Worker-Pool
- Dienstkonto des Arbeitslastmanagers
- Der Cloud Storage-Bucket, den der Arbeitslastmanager für die Bereitstellung verwendet
Kontingente
Google Cloud verwendet Kontingente, um die Anzahl der Ressourcen zu schützen und zu steuern, die von einem bestimmten Konto oder einer bestimmten Organisation verwendet werden können. Die unterstützten Anwendungen verbrauchen oft einen großen Teil der Ressourcen. Angesichts der Größe der Datenbanken und Anwendungen können während der Bereitstellung Kontingentprobleme auftreten.
So vermeiden Sie Kontingentprobleme:
- Sehen Sie sich Ihre Kontingentwerte und die Nutzung an.
- Beantragen Sie bei Bedarf einen höheren Kontingentwert oder wenden Sie sich an Ihren Projektadministrator.
Nächste Schritte
- Informationen zum Vorbereiten von SAP-Installationsdateien für die Bereitstellung.
- Informationen zum Bereitstellen einer SAP S/4HANA-Arbeitslast.
- Informationen zum Bereitstellen einer Oracle Database-Arbeitslast.