Guía de planificación para SAP NetWeaver

En esta guía, se proporciona una descripción general de cómo funciona SAP NetWeaver en Google Cloud Platform (GCP) y se brindan detalles que puedes utilizar para planificar la migración de tu sistema SAP NetWeaver existente o implementar un nuevo sistema. GCP está certificado para ejecutar los servidores de aplicaciones SAP NetWeaver ABAP y Java, y los productos SAP basados en estas pilas de servidores de aplicaciones.

En esta guía, no se tratan los aspectos específicos de la implementación del sistema SAP NetWeaver. Si deseas obtener información sobre cómo planificar la implementación de SAP NetWeaver, consulta la Guía principal de SAP NetWeaver.

Conceptos básicos de GCP

GCP consta de varios servicios y productos basados en la nube. Cuando ejecutas productos SAP en GCP, utilizas, principalmente, los servicios basados en IaaS que se ofrecen a través de Compute Engine y Cloud Storage, así como algunas características de toda la plataforma, como las herramientas.

Consulta la descripción general de la plataforma GCP para obtener información acerca de la terminología y los conceptos importantes. En esta guía, se duplica parte de la información de la descripción general por conveniencia y contexto.

Para obtener una descripción general de las consideraciones que las organizaciones de escala empresarial deben tener en cuenta cuando se ejecutan en GCP, consulta las recomendaciones para las organizaciones empresariales.

Interactúa con GCP

GCP ofrece tres formas principales de interactuar con la plataforma y los recursos en la nube:

  • Google Cloud Platform Console, que es una interfaz de usuario basada en web.
  • La herramienta de línea de comandos de gcloud, que proporciona un superconjunto de la funcionalidad que ofrece GCP Console.
  • Bibliotecas cliente, que proporcionan API para servicios de acceso y administración de recursos, y son útiles para compilar tus propias herramientas.

Precios y cuotas

Puedes utilizar la calculadora de precios para calcular los costos de uso. Para obtener más información sobre precios, consulta Precios de Compute Engine, Precios de Cloud Storage y Precios de Stackdriver.

Los recursos de GCP están sujetos a cuotas. Si planeas usar máquinas con alta capacidad de CPU o de memoria, es posible que debas solicitar una cuota adicional. Para obtener más información, consulta Cuotas de recursos de Compute Engine.

Descripción general de SAP NetWeaver en GCP

En muchos sentidos, ejecutar SAP NetWeaver en GCP es similar a ejecutarlo en tu propio centro de datos. Aún debes tener en cuenta los recursos de procesamiento, el almacenamiento y las consideraciones de herramientas de redes. También debes considerar cómo controlar las copias de seguridad y la recuperación ante desastres para tu base de datos.

Estas son algunas de las diferencias que debes entender:

  • Interactúas con diversos componentes de la infraestructura a través de los servicios, que son abstracciones del hardware que normalmente usas. Por ejemplo, las computadoras siempre son máquinas virtuales (VM) y los componentes como redes, firewalls y almacenamiento masivo se administran como abstracciones.
  • Los servicios de GCP ofrecen características particulares y tienen ciertas limitaciones.
  • Los servicios de GCP trabajan juntos de maneras particulares.
  • SAP NetWeaver y los servicios de GCP trabajan juntos de maneras particulares.

En el siguiente diagrama, se proporciona una descripción general de alto nivel de SAP NetWeaver cuando se ejecuta en GCP:

Descripción general de SAP NetWeaver en GCP

Algunas de las cuestiones importantes del diagrama que debes tener en cuenta incluyen las siguientes opciones:

  • El sistema utiliza algunas VM y unidades de disco persistentes. Estos componentes alojan el software, incluido el sistema de base de datos principal.
  • El sistema SAP NetWeaver consta de sus componentes de aplicación habituales más un componente de agente de host.
  • El componente SAP Host Agent/SAPOSCOL recopila metadatos de supervisión de un componente de agente de supervisión que proporciona Google. El agente de supervisión de Google agrega las métricas de Stackdriver Monitoring, que es la solución de supervisión de GCP.
  • Toda la comunicación entre los componentes de GCP y los componentes externos pasa a través de una capa de herramienta de redes. Esta capa proporciona características de seguridad, incluidos firewall, rutas y puertas de enlace de Internet, VPN, etcétera.

Arquitectura de dos niveles

En el siguiente diagrama, se muestran algunos detalles de una arquitectura de 2 niveles en ejecución en Compute Engine.

Arquitectura de 2 niveles

En esta arquitectura, todos los componentes se ejecutan en una VM única. La VM tiene 5 unidades de disco conectadas, y cada unidad cumple una función específica. Las funciones incluyen las siguientes opciones:

  • Disco raíz: contiene el sistema operativo para la VM.
  • Disco de intercambio: contiene el archivo de paginación del sistema operativo.
  • SAP NetWeaver: contiene la instalación de NetWeaver y los archivos de perfil.
  • Volumen de datos: contiene los archivos de la base de datos.
  • Volumen de registros: contiene los registros del sistema de base de datos que se usan para mantener la coherencia de los datos, la copia de seguridad y las operaciones de recuperación.

Las unidades de disco que se requieren para el servidor de base de datos pueden ser diferentes que las que se muestran en la figura anterior, según el servidor de base de datos que estés utilizando.

Por ejemplo, estas son las características para una implementación de SAP HANA:

  • El disco marcado como “Volumen de datos” contiene los archivos de datos.
  • El disco marcado como “Registros” contiene los archivos de registro de HANA.
  • Los archivos binarios y compartidos de HANA se pueden alojar en el disco con la etiqueta “NetWeaver”.
  • Necesitas un volumen adicional para almacenar las copias de seguridad de la base de datos.

Consulta la Guía de planificación de HANA para obtener más información sobre la arquitectura de implementación de SAP HANA en GCP.

Si deseas obtener una lista de las unidades de disco necesarias para SAP ASE, consulta la Guía de planificación de SAP ASE.

Si deseas obtener una lista de las unidades de disco necesarias para SAP MaxDB, consulta la Guía de planificación de SAP MaxDB.

En una implementación de IBM Db2 para Linux, UNIX y Windows (IBM Db2), se requieren más unidades de disco que las que se muestran en la figura anterior. Si deseas obtener una lista de las unidades de disco necesarias, consulta la Guía de planificación de IBM Db2 para SAP.

Para obtener información sobre el servidor de Microsoft SQL en GCP, consulta Windows en Compute Engine.

En las secciones a continuación, obtendrás detalles y recomendaciones para estos componentes.

Arquitectura de tres niveles

En el diagrama siguiente, se muestran algunos detalles de una arquitectura de 3 niveles en ejecución en Compute Engine.

Arquitectura de 3 niveles

En esta arquitectura, el sistema SAP NetWeaver distribuye el trabajo a través de varios NetWeaver Application Servers (AS) que se alojan en varias VM. Todos los nodos de NetWeaver AS comparten la misma base de datos, que está alojada en una VM independiente. Todos los nodos NetWeaver AS se activan y acceden a un sistema de archivos compartidos que aloja los perfiles de SAP NetWeaver. Este sistema de archivos compartidos está contenido en un disco persistente que se adjunta a la VM 1, junto con los servicios centrales de SAP.

Máquinas virtuales

GCP proporciona recursos de procesamiento como las VM, también llamadas instancias de VM, a través de Compute Engine. Cuando ejecutas SAP NetWeaver en GCP, utilizas las VM de Compute Engine para lo siguiente:

  • Ejecutar sistemas operativos
  • Alojar servicios centrales de SAP
  • Alojar SAP AS
  • Alojar servidores de bases de datos

Cuando planificas la implementación de SAP, considera lo siguiente:

  • La cantidad de VM que requiere tu arquitectura de implementación. Este número puede variar desde una VM para un sistema de desarrollo, entrenamiento o producción pequeña, hasta muchas VM en caso de un sistema de producción escalable.
  • Tipos de máquinas particulares, que determinan la potencia de procesamiento (tipos de CPU, cantidad de núcleos, etc.) y memoria volátil disponible.
  • Tipos de imágenes, que determinan el sistema operativo y el tipo de base de datos si eliges usar SQL Server.
  • La ubicación de las VM. Los recursos de Compute Engine se ejecutan en los centros de datos de Google en todo el mundo, y estos centros de datos están organizados por región y zona. Obtén más información en Planifica regiones y zonas.

Las siguientes secciones proporcionan más detalles.

Tipos de máquina

Puedes utilizar cualquiera de los siguientes tipos de máquinas estándar y con alta capacidad de memoria. Los tipos de máquina estándar proporcionan 3.75 GB de RAM por CPU virtual y los tipos de máquina con alta capacidad de memoria proporcionan 6.50 GB de RAM por CPU virtual.

La base de datos puede afectar a la red, lo que, a su vez, puede afectar la latencia. El ancho de banda de la red se basa en la cantidad de CPU virtuales, por lo que si esperas un tráfico de red alto, debes elegir un tipo de máquina con al menos 8 CPU virtuales. Para obtener más información sobre los tipos de máquina de GCP y el rendimiento de SAP, consulta la Nota de SAP 2456432: Aplicaciones SAP en Google Cloud Platform: productos compatibles y tipos de VM de Google.

Nombre de la máquina CPU virtuales Memoria (GB) Cantidad máxima de discos persistentes (PD) Tamaño total máximo de PD (TB)

n1-standard-8

8 30 16 (64 en Beta) 64

n1-standard-16

16 60 16 (64 en Beta) 64

n1-standard-32

32 120 16 (64 en Beta) 64

n1-standard-64

64 240 16 (64 en Beta) 64

n1-highmem-2

2 13 16 (64 en Beta) 64

n1-highmem-4

4 26 16 (64 en Beta) 64

n1-highmem-8

8 52 16 (128 en Beta) 64

n1-highmem-16

16 104 16 (128 en Beta) 64

n1-highmem-32

32 208 16 (128 en Beta) 64

n1-highmem-64

64 416 16 (128 en Beta) 64
Tipos de máquinas personalizadas Nota 1 o cualquier número par hasta 96 3.75 GB por CPU virtual para uso de memoria estándar o 6.5 GB por CPU virtual en caso de uso de memoria alto. 16 (128 en Beta) 64

Imágenes

Cuando creas una VM de Compute Engine, utilizas una imagen que contiene los componentes básicos que necesitas. Por ejemplo, una imagen puede contener un sistema operativo de Microsoft Windows Server con una instalación de SQL Server. Existen varias formas de especificar una imagen para tus VM. Por ejemplo:

  • Usa la secuencia de comandos de Cloud Deployment Manager que proporciona Google, que está diseñada para facilitar la configuración de SAP NetWeaver. Para obtener detalles sobre cómo usar la secuencia de comandos de Cloud Deployment Manager, consulta la Guía de implementación de SAP NetWeaver en GCP para tu sistema operativo.
  • Usa una imagen pública. Google proporciona una variedad de imágenes públicas. Debes elegir una imagen que contenga componentes compatibles con SAP NetWeaver.
  • Crea tu propia imagen personalizada. Puedes configurar tu propio sistema base desde cero y crear una imagen personalizada que puedas volver a usar. También puedes crear una imagen mediante la importación de un disco de arranque existente a Compute Engine.

Plantillas de Deployment Manager

Cloud Deployment Manager proporciona un método para declarar un conjunto de recursos de GCP y, luego, implementarlos de manera coherente y repetitiva. Para SAP NetWeaver, Google proporciona plantillas de Deployment Manager que facilitan la configuración en GCP de una arquitectura SAP NetWeaver certificada por SAP.

Las plantillas que se proporcionan crean una instancia de los siguientes recursos:

  • Tipo de VM de tu elección
  • Windows Server 2012 R2, SUSE Linux Enterprise Server (SLES) 12.1 SO premium o Red Hat Enterprise Linux (RHEL) 7
  • Discos persistentes para SAP NetWeaver
  • Para Linux, la plantilla crea una instancia del sistema de archivos XFS

Imágenes públicas compatibles

Puedes utilizar imágenes públicas de las siguientes familias de imágenes.

Red Hat Linux

Estas familias de imágenes contienen imágenes RHEL compatibles:

  • rhel-6
  • rhel-7
  • rhel-7-4-sap
  • rhel-7-6-sap-ha
SUSE Linux

Estas familias de imágenes contienen imágenes SLES compatibles:

  • sles-11 (solo versiones sp4)
  • sles-12
  • sles-12-sp2-sap
  • sles-12-sp3-sap
Windows Server

Estas familias de imágenes contienen imágenes de Windows Server compatibles:

  • windows-2016
  • windows-2016-core
  • windows-2012-r2
  • windows-2012-r2-core
SQL Server Enterprise

Estas familias de imágenes contienen imágenes de Windows Server compatibles con SQL Server Enterprise:

  • sql-ent-2016-win-2016
  • sql-ent-2016-win-2012-r2
  • sql-ent-2014-win-2012-r2
  • sql-ent-2012-win-2012-r2

Para obtener más información sobre el estado de compatibilidad de una versión del sistema operativo, consulta Compatibilidad del sistema operativo para SAP NetWeaver en GCP: track-type="userGuide" track-name="internalLink" track-metadata-position="body" }.

Planifica la administración de imágenes

Una vez que tu sistema esté en funcionamiento, puedes crear imágenes personalizadas. Crea imágenes personalizadas cuando modifiques el estado de tu disco raíz persistente para que puedas restablecer fácilmente el estado nuevo en caso de que sea necesario. Planifica la administración de las imágenes personalizadas que crees. A fin de obtener más información, consulta Recomendaciones para la administración de imágenes.

Planifica regiones y zonas

Cuando implementas una VM, debes elegir una región y una zona. Una región es una ubicación geográfica específica donde puedes ejecutar tus recursos y corresponde a una ubicación de centro de datos. Cada región tiene una o más zonas.

En regiones y zonas se puede acceder a los recursos globales, como imágenes de disco preconfiguradas y, también, instantáneas de disco. A los recursos regionales, como las direcciones IP externas estáticas, solo pueden acceder recursos que se encuentran en la misma región. A los recursos zonales, como las VM y los discos, solo pueden acceder los recursos que se encuentran en la misma zona.

Regiones y zonas de GCP

Cuando eliges una región y una zona para las VM, considera lo siguiente:

  • La ubicación de tus usuarios y recursos internos, como el centro de datos o red corporativa. Para disminuir la latencia, selecciona una ubicación cercana a los usuarios y recursos.
  • Las plataformas de la CPU que están disponibles para esa región y zona. SAP NetWeaver en GCP es compatible con los procesadores Broadwell, Haswell y Skylake de Intel para cargas de trabajo de producción.

  • Tu SAP AS y tu base de datos deben estar en la misma región.

Implementa las VM

Puedes utilizar los métodos de GCP estándar para implementar tus VM en Compute Engine: la IU web de GCP Console, la herramienta de línea de comandos de gcloud, Deployment Manager y la API de REST. En las siguientes páginas, se proporciona información generalmente útil sobre cómo implementar VM:

A fin de obtener información detallada y, también, instrucciones para implementar el sistema SAP NetWeaver en Compute Engine, consulta la Guía de implementación de NetWeaver para tu sistema operativo:

Accede a las VM

El creador de una VM tiene privilegios con permisos de administrador.

  • En una VM basada en Linux, el creador tiene capacidad SSH y puede usar GCP Console para otorgar capacidad SSH a otros usuarios.
  • En una VM basada en Windows, el creador puede usar GCP Console para generar un nombre de usuario y una contraseña. Después de eso, cualquier persona que conozca el nombre de usuario y la contraseña puede conectarse a la VM con RDP.

Una vez que un usuario con privilegios de administrador se haya conectado a una instancia a través de SSH o RDP, puede agregar otros usuarios del sistema con comandos estándar de Linux o administración de cuentas de usuario de Windows. En las páginas siguientes, se proporciona información generalmente útil sobre cómo conectarse a las VM de Compute Engine:

Si usas instancias de Linux, debes planificar cómo usarás las Llaves SSH. En general, Compute Engine administra las Llaves SSH para ti. Puedes decidir administrar tus propias Llaves SSH, pero debes comprender los riesgos asociados. Para obtener detalles, consulta Llaves SSH.

Para obtener instrucciones y detalles sobre cómo conectarte a las VM de Compute Engine en tu implementación de SAP NetWeaver, consulta la Guía de implementación de SAP NetWeaver para tu sistema operativo:

Bases de datos

Puedes usar los siguientes sistemas de administración de bases de datos con SAP NetWeaver en GCP:

  • SAP HANA en Linux
  • SAP ASE en Linux o Windows
  • SAP MaxDB en Linux o Windows
  • IBM Db2 en Linux o Windows
  • Microsoft SQL Server Enterprise en Windows

SAP HANA

SAP HANA está certificado para ejecutarse en GCP en los siguientes sistemas operativos de Linux:

Para obtener más información sobre los tipos de VM y sistemas operativos compatibles, consulta la Guía de planificación de SAP HANA.

Para obtener más información sobre SAP HANA, consulta la Guía de operaciones de SAP HANA y la documentación de SAP.

Para determinar las normas y recomendaciones de tamaño de SAP HANA, consulta la calculadora de tamaños de SAP.

SAP ASE

SAP ASE en GCP es compatible con los siguientes sistemas operativos:

Para obtener más información sobre los tipos de VM y los sistemas operativos compatibles, consulta la Guía de planificación de SAP ASE.

Si deseas implementar SAP ASE en GCP, consulta la Guía de implementación de ASE para tu sistema operativo:

Para obtener más información sobre SAP ASE, consulta la documentación de SAP.

SAP MaxDB

SAP MaxDB en Google Cloud Platform es compatible con los siguientes sistemas operativos:

Para obtener más información sobre los tipos de VM y sistemas operativos compatibles, consulta la Guía de planificación de SAP MaxDB. Si deseas implementar SAP MaxDB en GCP, consulta la Guía de implementación de SAP MaxDB para tu sistema operativo:

Para obtener más información sobre SAP MaxDB, consulta la Biblioteca SAP MaxDB.

IBM Db2 para Linux, UNIX y Windows

IBM Db2 es compatible con SLES 12 SP2, RHEL 7.4, Windows Server 2012 R2 y versiones posteriores. Si deseas obtener más información sobre los tipos de VM y sistemas operativos compatibles, consulta la Guía de planificación de IBM Db2 para SAP. Si deseas implementar IBM Db2 en GCP, consulta la Guía de implementación de IBM Db2 para SAP.

Si quieres obtener más información sobre IBM Db2, consulta SAP en IBM Db2 para Linux, UNIX y Windows.

Microsoft SQL Server

Puedes instalar SQL Server de varias maneras:

  • Puedes utilizar una imagen pública que proporciona Google con SQL Server Enterprise. La imagen de SQL Server en Windows Server es una imagen premium, lo que significa que el costo de la imagen se incluye en el costo del tipo de máquina.
  • Puedes descargar el DVD de SQL Server desde SAP y usar la secuencia de comandos específica de SAP SQL4SAP.bat que instala SQL Server con la configuración correcta.
  • Puedes descargar el DVD de SQL Server, ya sea de SAP o Microsoft, y utilizar el setup.exe estándar de Microsoft para instalar SQL Server, de manera que puedas personalizar tu configuración.

Si usas SQL Server como base de datos, debes asegurarte de que SQL Server esté configurado para usar la intercalación de SAP, SQL_Latin1_General_CP850_BIN2, de modo que sea compatible con los sistemas SAP.

Puedes confirmar la intercalación del SQL Server en las propiedades de tu servidor:

Diálogo de SQL Server que muestra la configuración de intercalación

Si ya configuraste SQL Server, puedes actualizar la intercalación, pero deberás volver a crear las bases de datos más adelante. Para obtener más detalles sobre cómo especificar o cambiar la intercalación, consulta la Guía de implementación de SAP NetWeaver en Windows.

Copia de seguridad y recuperación de la base de datos

Debes saber cómo restablecer tu sistema a las condiciones de funcionamiento si sucede lo peor. Para obtener asesoramiento general sobre cómo planificar la recuperación ante desastres con GCP, consulta las siguientes referencias:

Para obtener información sobre la copia de seguridad y recuperación de SAP HANA, consulta la Guía de operaciones de SAP HANA en GCP.

Para obtener información sobre la copia de seguridad y recuperación de SAP ASE, consulta Serie de ajustes y rendimiento de SAP ASE: ajuste físico de la base de datos.

Para obtener información sobre la copia de seguridad y recuperación de SAP MaxDB, consulta Administración de la base de datos de SAP MaxDB.

Para obtener información sobre la copia de seguridad y recuperación de IBM Db2, consulta Copia de seguridad y recuperación.

Para obtener información sobre cómo crear un plan de copia de seguridad y recuperación de SQL Server, consulta Crea un plan de recuperación ante desastres de Microsoft SQL Server en Compute Engine.

Almacenamiento

Por configuración predeterminada, cada VM de Compute Engine tiene un disco raíz persistente pequeño que contiene el sistema operativo. Puedes agregar discos adicionales a las VM de modo que actúen como almacenamiento para los diferentes componentes de tu sistema.

Discos persistentes

Los discos persistentes son dispositivos de almacenamiento duraderos que funcionan de manera similar a los discos físicos en una computadora de escritorio o un servidor. Google administra el hardware detrás de estos dispositivos para garantizar la redundancia de datos y optimizar el rendimiento. Los discos persistentes están disponibles como unidades de disco duro estándar (HDD) o unidades de estado sólido (SSD). Los discos persistentes HDD estándar son eficientes y económicos si se desea controlar operaciones de lectura y escritura secuenciales, pero no están optimizados para controlar tasas altas de operaciones aleatorias de entrada y salida por segundo (IOPS).

Los discos persistentes están ubicados independientemente de las VM, de modo que puedes separar o mover discos persistentes para mantener tus datos, incluso después de borrar las VM. El rendimiento del disco persistente escala automáticamente con el tamaño, por lo que puedes cambiar el tamaño de tus discos persistentes existentes o agregar más discos persistentes a una VM para satisfacer tus requisitos de espacio de almacenamiento y rendimiento.

Agrega un disco persistente a tu instancia cuando necesites un almacenamiento confiable y asequible con características de rendimiento coherente.

Si usas un SSD con al menos 1.7 terabytes para los datos de tu base de datos, puedes lograr la siguiente capacidad de procesamiento máximo sostenido:

CPU virtuales Lecturas (MB/s) Escrituras (MB/s)
16 480 240
32 (consulta la nota) 800 400

SSD local (no persistente)

GCP ofrece unidades de disco SSD locales. Aunque los SSD locales pueden ofrecer algunas ventajas sobre los discos persistentes, no los uses como parte de un sistema SAP NetWeaver. Las instancias de VM con SSD locales adjuntas no se pueden detener y reiniciar inmediatamente.

Usa Cloud Storage para almacenar objetos

Cloud Storage es un depósito de objetos para archivos de cualquier tipo o formato. Tiene un almacenamiento prácticamente ilimitado, y no debes preocuparte por aprovisionarlo o agregar más capacidad. Un objeto en Cloud Storage contiene datos de archivos y sus metadatos asociados, y puede tener un tamaño de hasta 5 terabytes. Un depósito de Cloud Storage puede almacenar cualquier cantidad de objetos.

Es una práctica común usar Cloud Storage con el fin de almacenar archivos de copia de seguridad para casi cualquier propósito. Por ejemplo, para las copias de seguridad de SAP HANA, Cloud Storage es un buen lugar donde almacenar los archivos. Para planificar la copia de seguridad de la base de datos, consulta los recursos en Copia de seguridad y recuperación de la base de datos. También puedes utilizar Cloud Storage como parte de un proceso de migración.

Elige tu opción de Cloud Storage según la frecuencia con la que necesites acceder a los datos. Para acceder de manera frecuente varias veces al mes, selecciona clases Multi-Regional o Regional Storage. Para el acceso poco frecuente, selecciona Nearline o Coldline Storage.

Cuando planifiques las opciones de almacenamiento, comienza con el nivel al que se accede con más frecuencia y mueve tus datos de copia de seguridad antiguos a los niveles de acceso poco frecuentes, ya que las copias de seguridad rara vez se usan cuando se vuelven antiguas. La probabilidad de necesitar una copia de seguridad que tenga 3 años de antigüedad es extremadamente baja, y puedes mover esta copia de seguridad al nivel Coldline para optimizar costos.

Para obtener una comparación más detallada, consulta Clases de almacenamiento. Para conocer las diferentes opciones de almacenamiento disponibles, consulta Elige una opción de almacenamiento.

Herramientas de redes y seguridad

Considera la información en las secciones siguientes cuando planifiques la seguridad y las herramientas de redes.

Modelo de privilegio mínimo

Una de tus primeras líneas de defensa es restringir quién puede llegar a tu red y VM con firewalls. Por configuración predeterminada, todo el tráfico a las VM, incluso desde otras VM, está bloqueado por el firewall, a menos que crees reglas para permitir el acceso. La excepción es la red default que se crea automáticamente con cada proyecto y tiene reglas de firewall predeterminadas.

Cuando creas reglas de firewall, puedes restringir todo el tráfico en un conjunto determinado de puertos a direcciones IP de origen específicas. Sigue el modelo de privilegios mínimos para restringir el acceso a las direcciones IP, protocolos y puertos específicos que necesitan acceso. Por ejemplo, siempre configura un Host de bastión y permite SSH en tu sistema SAP NetWeaver solo desde ese host.

Administración de acceso

Comprender cómo funciona la administración de acceso en GCP es clave para planificar tu implementación. Debes tomar las siguientes decisiones:

  • Cómo organizar tus recursos en GCP
  • Qué miembros del equipo pueden acceder y trabajar con recursos
  • Qué permisos puede tener cada miembro del equipo exactamente
  • Qué servicios y aplicaciones necesita usar cada cuenta de servicio y qué nivel de permisos otorgar en cada caso

Para comenzar, debes comprender la jerarquía de recursos de Cloud Platform. Es importante que entiendas qué son los diversos contenedores de recursos, cómo se relacionan entre sí y dónde se crean los límites de acceso.

Cloud Identity and Access Management (Cloud IAM) proporciona un control unificado sobre los permisos para los recursos de GCP. Puedes administrar el control de acceso mediante la definición de los accesos a los recursos. Por ejemplo, puedes controlar quién puede realizar operaciones de plano de control en tus instancias de SAP, como crear y modificar VM, discos persistentes y herramientas de redes.

Para obtener más detalles sobre Cloud IAM, consulta la Descripción general de Cloud IAM.

Para obtener una descripción general de Cloud IAM en Compute Engine, consulta Opciones de control de acceso.

Las funciones de Cloud IAM en la nube son clave para otorgar permisos a los usuarios. Para obtener una referencia sobre las funciones y los permisos que proporcionan, consulta Funciones de administración de identidades y accesos.

Las cuentas de servicio de GCP te brindan una forma de otorgar permisos a aplicaciones y servicios. Es importante que entiendas cómo funcionan las cuentas de servicio en Compute Engine. Para obtener más detalles, consulta Cuentas de servicio.

Redes personalizadas y reglas de firewall

Puedes usar una red a fin de definir una IP de puerta de enlace y el rango de red para las VM adjuntas a esa red. Todas las redes de Compute Engine utilizan el protocolo IPv4. Todos los proyectos de GCP se proporcionan con una red predeterminada con configuraciones predeterminadas y reglas de firewall, pero debes agregar una subred personalizada y reglas de firewall según un modelo de privilegio mínimo. Por configuración predeterminada, una red recién creada no tiene reglas de firewall y, por lo tanto, no tiene acceso a la red.

Te recomendamos agregar más de una subred si deseas aislar partes de tu red, y según tus requisitos. Para obtener más información, consulta Subredes.

Las reglas del firewall aplican a toda la red y a todas las VM en ella. Puedes agregar una regla de firewall que permita el tráfico entre VM en la misma red y entre subredes. Para configurar que los firewalls apliquen de VM destino específicas, usa el mecanismo de etiquetado.

Debido a que SAP requiere acceso a ciertos puertos, debes agregar reglas de firewall para permitir el acceso a los puertos que indica SAP.

Rutas

Las rutas son recursos globales conectados a una red única. Las rutas que crea el usuario aplican a todas las VM en una red. Esto significa que puedes agregar una ruta que dirige el tráfico de VM a VM dentro de la misma red y a través de subredes sin requerir direcciones IP externas.

Para otorgar acceso externo a recursos de Internet, inicia una VM sin dirección IP externa y configura otra máquina virtual como una puerta de enlace NAT. Esta configuración requiere que agregues tu puerta de enlace NAT como una ruta para tu instancia de SAP.

Usa Hosts de bastión y puertas de enlace NAT

Si tu política de seguridad requiere VM realmente internas, debes configurar de forma manual un proxy de NAT en tu red y una ruta correspondiente para que las VM puedan acceder a Internet. Es importante tener en cuenta que no puedes conectarte de forma directa a una instancia de VM totalmente interna mediante SSH. Para hacerlo, debes configurar una instancia de bastión que tenga una dirección IP externa y, luego, usarla como túnel. Cuando las VM no tienen direcciones IP externas, a ellas solo pueden acceder otras VM en la red o mediante una puerta de enlace de VPN administrada. Puedes aprovisionar las VM en tu red a fin de que actúen como retransmisiones de confianza para las conexiones entrantes, llamadas Hosts de bastión, o salidas de red, llamadas puertas de enlace NAT. Para obtener una conectividad más transparente sin configurar esas conexiones, puedes usar un recurso de puerta de enlace de VPN administrado.

Usa hosts de bastión para conexiones entrantes

Los hosts de bastión proporcionan un punto de entrada externo hacia una red que contiene VM de red privada. Este host puede proporcionar un punto único de fortificación o auditoría y puede iniciarse y detenerse para habilitar o inhabilitar la comunicación SSH entrante desde Internet.

Muestra de Host de bastión en SSH

El acceso SSH a las VM que no tienen una dirección IP externa se puede lograr si primero te conectas a un host de bastión. Aunque el endurecimiento completo de un host de bastión no está incluido en este artículo, te presentamos algunos pasos iniciales que se pueden seguir:

  • Limitar el rango CIDR de las IP de origen que se pueden comunicar con el bastión
  • Configurar las reglas de firewall para permitir el tráfico SSH a VM privadas solo desde el Host de bastión

Por configuración predeterminada, SSH en las VM está configurado de modo que se usen claves privadas para la autenticación. Cuando usas un Host de bastión, primero debes acceder a él y, luego, a tu VM privada de destino. Debido a este acceso de dos pasos, debes usar el desvío del agente SSH para llegar a la VM de destino en lugar de almacenar la clave privada de la VM de destino en el Host del bastión. Debes hacer esto incluso si estás usando el mismo par de claves para las VM de bastión y destino, ya que el bastión tiene acceso directo solo a la mitad pública del par de claves.

Usa puertas de enlace NAT para la salida del tráfico

Cuando una VM no tiene una dirección IP externa asignada, no puede hacer conexiones directas a servicios externos, incluidos otros servicios de GCP. Para permitir que estas VM lleguen a servicios en Internet, puedes configurar una puerta de enlace NAT. La puerta de enlace NAT es una VM que puede enrutar en representación de cualquier otra VM en la red. Utiliza una puerta de enlace NAT por red. Una puerta de enlace NAT de una VM única no tiene alta disponibilidad y no puede admitir una alta capacidad de procesamiento de tráfico para varias VM. Si deseas obtener instrucciones a fin de configurar una VM de modo que actúe como una puerta de enlace NAT, consulta la Guía de implementación de NetWeaver para tu sistema operativo:

Cloud VPN

Con Cloud VPN, puedes conectar de forma segura tu red existente a GCP a través de una conexión de VPN que utiliza IPsec. Una puerta de enlace de VPN encripta el tráfico que viaja entre las dos redes, el que, luego, es desencriptado por la otra puerta de enlace de VPN. Esto protege tus datos a medida que viajan por Internet. Puedes controlar de forma dinámica cuáles VM pueden enviar tráfico a través de la VPN con etiquetas de instancia en las rutas. Los túneles VPN de Cloud se facturan a una tarifa mensual fija más los cargos estándar de salida. Ten en cuenta que la conexión de dos redes en el mismo proyecto genera cargos estándar de salida. Para obtener más información, consulta:

Asegúrate un depósito de Cloud Storage

Si usas Cloud Storage para alojar copias de seguridad de tus datos y registros, asegúrate de usar TLS (HTTPS) cuando envíes datos a Cloud Storage desde tus VM para proteger los datos en tránsito. Cloud Storage encripta automáticamente los datos en reposo. Puedes especificar tus propias claves de encriptación si tienes tu propio sistema de administración de claves.

Para conocer las recomendaciones de seguridad, consulta Seguridad de Cloud Storage.

Envía correos electrónicos

A fin de ayudar a proteger tus sistemas y los de Google ante abusos, GCP impone limitaciones para enviar correos electrónicos desde Compute Engine. Para obtener más información, consulta Envía correos electrónicos desde una instancia.

Consulta los siguientes recursos de seguridad adicionales para tu entorno SAP en GCP:

Supervisa SAP NetWeaver en GCP

Para ayudarte a realizar tareas como analizar el rendimiento del sistema y detectar y diagnosticar problemas en forma temprana, SAP NetWeaver proporciona un sistema de supervisión central que recopila datos sobre los componentes y las actividades de todo el sistema. GCP proporciona su propio sistema de supervisión, Stackdriver Monitoring, para recopilar métricas, eventos y metadatos. A medida que implementas y operas SAP NetWeaver en GCP, lidiar con dos sistemas desconectados y tratar de descubrir dónde están los problemas realmente puede convertirse en un desafío para el personal de asistencia. A fin de hacerlo más simple, Google y SAP trabajaron en conjunto y crearon un agente de supervisión para SAP NetWeaver cuando se ejecuta en GCP.

El agente de supervisión de Google proporciona datos al sistema de supervisión de SAP. El agente de supervisión proporciona métricas acerca de lo siguiente:

  • La CPU, por ejemplo, el uso de CPU
  • El almacenamiento, por ejemplo, la latencia y la capacidad de procesamiento del disco
  • La memoria, por ejemplo, el consumo de la memoria
  • Las redes, por ejemplo, el ancho de banda de red
  • La configuración, por ejemplo, información de la VM

El agente de supervisión de Google está disponible para su instalación junto con SAP NetWeaver en GCP. Para obtener instrucciones y detalles sobre cómo instalar el agente de supervisión de Google, consulta la Guía de implementación de NetWeaver para tu sistema operativo:

Para obtener detalles sobre el ciclo de vida y las operaciones de supervisión, consulta la Guía de operaciones de SAP NetWeaver en GCP.

Escala horizontalmente los servidores de aplicaciones SAP NetWeaver

SAP es compatible con una arquitectura de escalamiento horizontal que utiliza varios servidores de aplicaciones, los cuales admiten una carga de trabajo mayor.

Si estás usando Windows Server como sistema operativo, puedes usar Active Directory que se ejecuta en la VM como controlador de dominio. Para obtener más información, consulta Configura Active Directory en Google Compute Engine. Como alternativa, puedes conectar las VM de Compute Engine a tu controlador de dominio de Active Directory local mediante una VPN.

En la configuración de escalamiento horizontal, los nodos deben acceder a un sistema de archivos compartidos. Para Windows Server, especifica dónde se activa el sistema de archivos compartidos durante la instalación a través del instalador de SAP. Para Linux, usa Network File System (NFS) como recurso compartido de archivos en el disco de perfiles/objetos binarios de NetWeaver del sistema central (/sapmnt/[SID], en el cual [SID] es el ID del sistema). Consulta la documentación de SAP para obtener más detalles.

Migra un sistema SAP NetWeaver existente

Si migras un entorno de SAP NetWeaver existente, puedes aprovechar la inversión en tu configuración existente en la nube. La migración de un sistema de cualquier escalamiento significativo requiere una planificación cuidadosa y una migración paso a paso para evitar la pérdida de coherencia entre los componentes del sistema.

Para las migraciones, sigue las prácticas de migración estándar de SAP. SAP recomienda seguir sus recomendaciones para copiar componentes de tu sistema de origen a un sistema de destino recién creado. Cuando los sistemas de origen y destino usan los mismos SO y sistema de base de datos, utiliza copia homogénea del sistema, y cuando los sistemas de origen y destino usan un SO o sistema de base de datos diferentes, utiliza copia heterogénea del sistema.

Licencias

En esta sección, se brinda información sobre los requisitos de licencia.

Licencias de SAP

Para ejecutar SAP en GCP, debes tener tu propia licencia (BYOL).

Consulta las siguientes notas de SAP:

Para obtener más información de SAP sobre la administración de tus licencias de SAP NetWeaver, consulta Procedimiento de licencias de SAP.

Microsoft Windows Server y SQL Server

Existen dos formas de conceder licencias para el software de Microsoft en Compute Engine:

  • Con las licencias prepago, el costo por hora de la VM de Compute Engine incluye las licencias. Google administra la logística de las licencias con Microsoft. Tus costos por hora son más altos, pero cuentas con una flexibilidad total para aumentar y disminuir los costos, según sea necesario. Este es el modelo de licencias que se utiliza para las imágenes públicas de GCP que incluyen Windows Server, con o sin SQL Server.

  • Con BYOL, los costos de la VM de Compute Engine son más bajos porque no se incluye la licencia. Debes migrar una licencia existente o comprar tu propia licencia, lo que significa pagar por adelantado, y tendrás menos flexibilidad. Sin embargo, con necesidades de uso muy estables, o con licencias sin cargo o con descuento a través de los acuerdos de licencia de Microsoft, esta opción podría resultar menos costosa.

Los términos de Microsoft para migrar licencias son diferentes en Windows Server y SQL Server. Para obtener detalles completos sobre BYOL en GCP, consulta Usa licencias de aplicaciones de Microsoft existentes.

A fin de obtener información sobre las restricciones de licencia de SAP para SQL Server, consulta la Nota de SAP 2139358.

Linux

Existen dos formas de conceder licencias para SLES o RHEL en Compute Engine:

  • Con las licencias prepago, el costo por hora de la VM de Compute Engine incluye las licencias. Google gestiona la logística de las licencias. Tus costos por hora son más altos, pero cuentas con una flexibilidad total para aumentar y disminuir los costos, según sea necesario. Este es el modelo de licencias que se utiliza para las imágenes públicas de GCP que incluyen SLES o RHEL

  • Con BYOL, los costos de la VM de Compute Engine son más bajos porque no se incluye la licencia. Debes migrar una licencia existente o comprar tu propia licencia, lo que significa pagar por adelantado, y tendrás menos flexibilidad.

Asistencia

Los clientes de Google Cloud Platform con una función de Asistencia de producción o con Asistencia para empresas pueden solicitar asistencia con el aprovisionamiento y la configuración de los recursos de GCP que se requieren para los sistemas SAP. Se requiere Asistencia para empresas o Asistencia a nivel de producción de GCP a fin de asistir sistemas SAP en entornos de producción.

Para obtener más información sobre las opciones de asistencia de GCP, consulta Asistencia de Google Cloud Platform.

Por problemas relacionados con el producto SAP, registra una solicitud de asistencia en Asistencia de SAP. SAP evalúa el ticket de asistencia y, si parece tratarse de un problema de infraestructura de GCP, lo transfiere a la cola de GCP.

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...