Quando esegui le valutazioni di Workload Manager nei progetti protetti dai Controlli di servizio VPC, devi configurare le regole in entrata e in uscita per il account di servizio collegato all'istanza Compute Engine che esegue l'Agent for Compute Workloads. Queste regole consentono al account di servizio di accedere alle API richieste all'interno del perimetro dei Controlli di servizio VPC. Se non configuri queste regole, l'agente non può inviare dati a Workload Manager e le valutazioni non vanno a buon fine.
Per saperne di più, consulta la panoramica dei Controlli di servizio VPC.
Prima di iniziare
Prima di configurare i Controlli di servizio VPC per il progetto:
- Configura un perimetro dei Controlli di servizio VPC.
- Identifica il account di servizio collegato all'istanza Compute Engine che esegue l'Agent for Compute Workloads. Ad esempio,
sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com. Puoi trovarlo nella pagina Dettagli istanza VM nella Google Cloud consolle. - Verifica che il account di servizio disponga dei ruoli richiesti. Ad esempio, consulta Ruoli richiesti per l'agente e i carichi di lavoro SAP.
Ruoli richiesti
Per ottenere le autorizzazioni necessarie per configurare Workload Manager per l'utilizzo all'interno dei perimetri dei Controlli di servizio VPC, chiedi all'amministratore di concederti ilruolo IAM Editor di Gestore contesto accesso (roles/accesscontextmanager.policyEditor) nel progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Creare regole in entrata e in uscita per un perimetro di servizio
Per consentire all'Agent for Compute Workloads di comunicare con i servizi richiesti, devi configurare le regole in entrata e in uscita nel perimetro dei Controlli di servizio VPC.
Per saperne di più su come creare regole in entrata, consulta Configurazione delle policy in entrata e in uscita.
Console
Nella Google Cloud console, vai alla pagina Controlli di servizio VPC.
Seleziona il progetto.
Fai clic sul nome del perimetro di servizio, quindi su Modifica.
Fai clic su Policy in entrata o Policy in uscita.
Fai clic su Aggiungi una regola in entrata.
Nella sezione Da, specifica l'identità del service agent:
- In Identità, seleziona Seleziona identità e gruppi.
- Fai clic su Aggiungi identità.
- Inserisci l'indirizzo email del account di servizio dell'agente. Ad esempio,
sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com.
Nella sezione A, specifica le operazioni consentite:
- In Risorse, seleziona Tutti i progetti.
- In Operazioni, seleziona Seleziona operazioni.
- Fai clic su Aggiungi operazioni, quindi aggiungi i seguenti servizi con Tutti i metodi selezionati:
compute.googleapis.comworkloadmanager.googleapis.comsecretmanager.googleapis.com
Fai clic su Fine e poi su Salva.
gcloud
Per aggiungere la regola in entrata, crea un file YAML che la contenga e utilizza il gcloud access-context-manager perimeters update comando con il --set-ingress-policies flag.
Crea un file YAML della policy in entrata denominato
ingress_policy.yamlcon i seguenti contenuti:- ingressFrom: identities: - serviceAccount:SERVICE_ACCOUNT_EMAIL sources: - accessLevel: '*' ingressTo: operations: - serviceName: compute.googleapis.com methodSelectors: - method: "*" - serviceName: workloadmanager.googleapis.com methodSelectors: - method: "*" - serviceName: secretmanager.googleapis.com methodSelectors: - method: "*" resources: - "*"Sostituisci
SERVICE_ACCOUNT_EMAILcon l'indirizzo email del account di servizio collegato all'istanza Compute Engine che esegue l'Agent for Compute Workloads.Aggiungi la policy in entrata al perimetro:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --set-ingress-policies=ingress_policy.yamlSostituisci
PERIMETER_NAMEcon il nome del perimetro di servizio. Ad esempio,accessPolicies/1234567890/servicePerimeters/example_perimeter.
Risolvere i problemi relativi alle violazioni dei Controlli di servizio VPC
Per visualizzare le violazioni dei Controlli di servizio VPC nel progetto e risolvere i problemi, utilizza Esplora log.
Per saperne di più, consulta Risoluzione dei problemi relativi ai Controlli di servizio VPC.