Oracle-Datenbankimplementierung für SAP NetWeaver planen

Dieser Leitfaden enthält Details, die Sie bei der Planung der Implementierung von Oracle Database 19c oder höher auf Oracle Linux verwenden können, die SAP NetWeaver-basierte Anwendungen unterstützt, die auf Google Cloudausgeführt werden.

Informationen zum Bereitstellen von Oracle Database 19c oder höher auf Oracle Linux für SAP-Systeme, die auf Google Cloudausgeführt werden, finden Sie unter Oracle Database für SAP NetWeaver bereitstellen.

Lizenzen

Wenn Sie eine Oracle-Datenbank mit SAP-Systemen auf Google Cloudausführen möchten, benötigen Sie eine eigene Lizenz (Bring Your Own License, BYOL) für Oracle Database 19c oder höher.

Außerdem müssen Sie den Oracle Linux Premier-Support erwerben. Weitere Informationen finden Sie im SAP-Hinweis 3408032 – Oracle Linux: Betriebssystemsupportprozess.

Informationen zum Ausführen einer Oracle-Datenbank 19c mit SAP NetWeaver-basierten Produkten und Lösungen finden Sie im SAP-Hinweis 2799900 – Zentraler technischer Hinweis für Oracle Database 19c.

Google Cloud basics

Google Cloud setzt sich aus vielen cloudbasierten Diensten und Produkten zusammen. Wenn Sie SAP-Produkte auf Google Cloudausführen, verwenden Sie in erster Linie die IaaS-basierten Dienste, die über Compute Engine und Cloud Storage verfügbar sind, sowie verschiedene plattformweite Funktionen wie etwa Tools.

Wichtige Konzepte und Begriffe finden Sie im Google Cloud Plattformüberblick. Zur Vereinfachung und zum besseren Verständnis werden einige Informationen aus dem Überblick in diesem Leitfaden wiederholt.

Eine Übersicht über Überlegungen, die größere Unternehmen bei der Ausführung in Google Cloudberücksichtigen sollten, finden Sie im Google Cloud -Architektur-Framework.

Interaktionen mit Google Cloud

Google Cloud bietet drei Hauptmethoden für die Interaktion mit der Plattform und Ihren Ressourcen in der Cloud:

• Die Google Cloud Console, eine webbasierte Benutzeroberfläche.
• Das gcloud-Befehlszeilentool, das eine Obermenge der Funktionen darstellt, die die Google Cloud Console bietet.
• Clientbibliotheken, die APIs für den Zugriff auf Dienste und für die Verwaltung von Ressourcen bereitstellen. Clientbibliotheken sind hilfreich, wenn Sie Ihre eigenen Tools erstellen.

Google Cloud -Dienste

Bei SAP-Bereitstellungen sind in der Regel einige oder alle der folgenden Google Cloud Dienste beteiligt:

Dienst	Beschreibung
VPC-Netzwerk	Verbindet Ihre VM-Instanzen miteinander und mit dem Internet. Jede VM gehört entweder zu einem Legacy-Netzwerk mit einem einzelnen globalen IP-Bereich oder zu einem empfohlenen Subnetzwerk. In letzterem Fall gehört die VM-Instanz zu einem einzelnen Subnetzwerk, das wiederum in ein größeres Netzwerk eingebunden ist. Ein VPC-Netzwerk (Virtual Private Cloud) kann nicht mehrere Google Cloud-Projekte umfassen, aber ein Google Cloud-Projekt kann mehrere VPC-Netzwerke haben. Sie können eine freigegebene VPC verwenden, um Ressourcen aus mehreren Projekten mit einem gemeinsamen VPC-Netzwerk zu verbinden. So können die Ressourcen sicher und effizient über die internen IP-Adressen dieses Netzwerks miteinander kommunizieren. Informationen zum Bereitstellen einer freigegebenen VPC, einschließlich Anforderungen, Konfigurationsschritten und Nutzung, finden Sie unter Freigegebene VPC bereitstellen.
Compute Engine	Erstellt und verwaltet VMs mit dem Betriebssystem und Softwarepaket Ihrer Wahl.
Persistent Disk und Hyperdisk	Sie können Persistent Disk und Google Cloud Hyperdisk verwenden: Persistent Disk-Volumes stehen in Form von Standardlaufwerken (HDDs) oder Solid-State-Laufwerken (SSDs) zur Verfügung. Für abgestimmten nichtflüchtigen Speicher und nichtflüchtigen SSD-Speicher bietet PD Async Replication die asynchrone Replikation von SAP-Daten zwischen zwei Google Cloud -Regionen. Hyperdisk Extreme-Volumes bieten höhere maximale IOPS- und Durchsatzoptionen als Persistent Disk-Volumes vom Typ SSD. Standardmäßig verschlüsselt Compute Engine inaktive Kundeninhalte, einschließlich Inhalte auf Persistent Disk- und Hyperdisk-Volumes. Weitere Informationen zur Laufwerksverschlüsselung und möglichen Verschlüsselungsoptionen finden Sie unter Laufwerkverschlüsselung.
Google Cloud Console	Browserbasiertes Tool zum Verwalten von Compute Engine-Ressourcen. Mithilfe einer Vorlage können Sie Ihre benötigten Compute Engine-Ressourcen und -Instanzen beschreiben. Die Google Cloud Console übernimmt das Erstellen und Konfigurieren der Ressourcen und kümmert sich außerdem um Abhängigkeiten, sodass Sie dies nicht für jede Ressource einzeln tun müssen.
Cloud Storage	Sie können Ihre SAP-Datenbanksicherungen in Cloud Storage speichern, um die Langlebigkeit und Zuverlässigkeit Ihrer Daten durch Replikation weiter zu erhöhen.
Cloud Monitoring	Bietet Einblick in die Bereitstellung, Leistung, Betriebszeit und korrekte Funktion von Compute Engine, Netzwerken und nichtflüchtigem Speicher. Monitoring erfasst Messwerte, Ereignisse und Metadaten von Google Cloud und liefert die daraus gewonnenen Erkenntnisse über Dashboards, Tabellen oder Meldungen. Mit Monitoring können Sie die Messwerte kostenlos überwachen.
IAM	Bietet eine einheitliche Kontrolle über die Berechtigungen für Google Cloud -Ressourcen. Mit IAM steuern Sie, wer Vorgänge auf der Steuerungsebene für Ihre VMs ausführen kann. Dazu gehören das Erstellen, Ändern und Löschen von VMs und nichtflüchtigem Speicher sowie das Erstellen und Ändern von Netzwerken.

Preise und Kontingente

Mit dem Preisrechner können Sie Ihre Nutzungskosten abschätzen. Weitere Preisinformationen finden Sie in der jeweiligen Preisübersicht für Compute Engine, Cloud Storage und Google Cloud Observability.

FürGoogle Cloud -Ressourcen gelten Kontingente. Wenn Sie Maschinen mit hoher CPU- und Arbeitsspeicherleistung verwenden möchten, müssen Sie unter Umständen zusätzliche Kontingente anfordern. Weitere Informationen finden Sie unter Compute Engine-Ressourcenkontingente.

Compliance und Steuerung der Datenhoheit

Wenn Ihre SAP-Arbeitslast die Anforderungen an den Datenstandort, die Zugriffssteuerung oder die Supportmitarbeiter oder gesetzliche Anforderungen erfüllen muss, müssen Sie die Verwendung von Assured Workloads planen. Mit diesem Dienst können Sie sichere und konforme Arbeitslasten ausführen, ohne die Qualität der Cloud zu beeinträchtigen. Google Cloud Weitere Informationen finden Sie unter Compliance und Steuerung der Datenhoheit für SAP in Google Cloud.

Bereitstellungsarchitektur

Bei SAP NetWeaver-basierten Anwendungen, die auf Google Cloudausgeführt werden, besteht eine herkömmliche Oracle-Datenbankinstanz mit einem einzelnen Knoten aus den folgenden Komponenten:

• Eine Compute Engine-Instanz, auf der Ihre Oracle-Datenbank ausgeführt wird.

• Persistent Disk- oder Hyperdisk-Volumes für die folgenden Laufwerke: Wir empfehlen dringend, Hyperdisk-Volumes zu verwenden.

  Drive-Inhalt	Linux-Verzeichnis
  Oracle-Installation	/oracle/DB_SID /oracle/DB_SID/origlogA /oracle/DB_SID/origlogB /oracle/DB_SID/sapdata1 /oracle/DB_SID/sapdata2
  Oracle-Spiegel	/oracle/DB_SID/mirrlogA /oracle/DB_SID/mirrlogB /oracle/DB_SID/sapreorg /oracle/DB_SID/saptrace /oracle/DB_SID/saparch /oracle/DB_SID/sapbackup /oracle/DB_SID/sapcheck /oracle/DB_SID/sapdata3 /oracle/DB_SID/sapdata4 /oracle/DB_SID/sapprof
  Sicherung der Offline-Redo-Logdatei	/oracle/DB_SID/oraarch
  SAP NetWeaver-Installation	/usr/sap
  SAP NetWeaver-Verzeichnis mit Bereitstellungspunkten für freigegebene Dateisysteme	/sapmnt

• Optional können Sie Ihre Bereitstellung um ein NAT-Gateway erweitern. So können Sie eine Internetverbindung für Ihre Compute-Instanz bereitstellen und gleichzeitig den direkten Zugriff aus dem Internet auf diese Instanz verhindern. Sie können Ihre Compute-Instanz auch als Bastion Host konfigurieren, mit dem Sie SSH-Verbindungen zu den anderen Compute-Instanzen in Ihrem privaten Subnetz herstellen können. Weitere Informationen finden Sie unter NAT-Gateways und Bastion Hosts.

Für andere Anwendungsfälle sind möglicherweise zusätzliche Geräte erforderlich. Weitere Informationen finden Sie in der SAP-Dokumentation SAP on Oracle.

Ressourcenanforderungen

Das Ausführen einer Oracle-Datenbank in einem SAP NetWeaver-basierten System ist in vielerlei Hinsicht mit der Ausführung in Ihrem eigenen Rechenzentrum vergleichbar. Trotzdem müssen Sie sich Gedanken über Rechenressourcen, Speicher und Netzwerke machen.

Informationen von SAP zu den Ressourcenanforderungen für die Ausführung einer Oracle-Datenbank finden Sie im SAP-Hinweis 2799900 – Central Technical Note for Oracle Database 19c.

Konfiguration der Compute-Instanz

Für die Ausführung einer Oracle-Datenbank für SAP NetWeaver-basierte Anwendungen aufGoogle Cloudhat SAP die Verwendung aller Compute Engine-Maschinentypen zertifiziert, einschließlich benutzerdefinierter Maschinentypen. Wenn Sie die Oracle-Datenbank jedoch auf derselben Compute-Instanz wie SAP NetWeaver oder Application Server Central Services (ASCS) ausführen möchten, müssen Sie eine Compute-Instanz verwenden, die von SAP für die Verwendung mit SAP NetWeaver zertifiziert ist. Informationen zu den Compute Engine-Maschinentypen, mit denen Sie SAP NetWeaver ausführen können, finden Sie im Planungsleitfaden für SAP NetWeaver.

Informationen zu allen in der Google Cloudverfügbaren Maschinentypen und ihren Anwendungsfällen finden Sie im Compute Engine-Leitfaden Ressourcen- und Vergleichsanleitung für Maschinenfamilien.

CPU-Konfiguration

Die Anzahl der vCPUs, die Sie zum Ausführen einer Oracle-Datenbank benötigen, hängt von der Auslastung Ihrer SAP-Anwendung und Ihren Leistungszielen ab. Sie müssen Ihrer Oracle-Datenbankinstallation mindestens zwei vCPUs zuweisen. Für eine optimale Leistung müssen Sie die Anzahl der vCPUs und die Größe Ihres Blockspeichers entsprechend skalieren, damit Sie Ihre Leistungsziele erreichen können.

Arbeitsspeicherkonfiguration

Die Größe des Arbeitsspeichers, den Sie für Ihre Oracle-Datenbank zuweisen, hängt vom Anwendungsfall ab. Die optimale Größe für den jeweiligen Anwendungsfall hängt von der Komplexität der ausgeführten Abfragen, der Menge Ihrer Daten, dem Grad des Parallelismus und dem erwarteten Leistungsniveau ab.

Speicherkonfiguration

Standardmäßig erstellt die Compute Engine automatisch ein Bootlaufwerk, wenn Sie eine Instanz erstellen. Sie stellen zusätzliche Laufwerke für Ihre Datenbankdaten, Ihre Protokolle und optional für Ihre Datenbanksicherungen bereit.

Verwenden Sie für die Volumes Ihrer Oracle Database-Instanz Laufwerke, die Ihre Leistungsanforderungen erfüllen. Informationen zu den Faktoren, die die Laufwerksleistung bestimmen, finden Sie unter Laufwerke so konfigurieren, dass sie die Leistungsanforderungen erfüllen.

Für geschäftskritische Arbeitslasten empfehlen wir dringend die Verwendung von Hyperdisk-Volumes. Weitere Informationen zum Blockspeicher für Ihre Oracle-Datenbank finden Sie unter Blockspeicher.

Unterstützte Oracle-Datenbankversionen und ‑Features

Für die Verwendung von Oracle-Datenbanken mit SAP NetWeaver-basierten Anwendungen, die aufGoogle Cloudausgeführt werden, hat SAP Folgendes zertifiziert:

• Oracle Database 19c oder höher
• Die Datenbank muss den Unicode-Zeichensatz verwenden.
• Die Datenbank muss ein von Oracle validiertes Dateisystem verwenden.
• Sie benötigen ein Premier-Supportabo für Ihre Oracle-Datenbank.

Real Application Cluster (RAC) und Pacemaker-basierte Hochverfügbarkeitslösungen (HA) werden nicht unterstützt.

Weitere Informationen finden Sie im SAP-Hinweis 3559536.

Unterstützte Betriebssysteme

Für die Verwendung von Oracle-Datenbanken mit SAP NetWeaver-basierten Anwendungen, die aufGoogle Cloudausgeführt werden, hat SAP die folgenden Betriebssysteme zertifiziert:

• Oracle Linux 9 oder Oracle Linux 8 mit dem folgenden Kernel:
  • UEK 7: 5.15.0-1.43.4.2.el9uek.x86_64 oder höher
  • UEK 7: 5.15.0-202.135.2.el8uek.x86_64 oder höher

Sie müssen den Oracle Linux Premier Support erworben haben.

Überlegungen zur Bereitstellung

Dieser Abschnitt enthält Informationen zur Planung von Aspekten wie Bereitstellungsort, Blockspeicher, Nutzeridentifikation und Zugriffssteuerung, Netzwerk sowie Sicherung und Wiederherstellung Ihrer Oracle-Datenbank.

Regionen und Zonen planen

Wenn Sie eine Compute Engine-Instanz bereitstellen, müssen Sie eine Region und eine Zone auswählen. Eine Region ist ein bestimmter geografischer Standort, an dem Sie Ihre Ressourcen ausführen können. Sie entspricht einem oder mehreren Rechenzentrumsstandorten, die sich in großer Nähe zueinander befinden. Jede Region hat eine oder mehrere Zonen mit redundanter Konnektivität, Stromversorgung und Kühlung.

Der Zugriff auf globale Ressourcen wie vorkonfigurierte Laufwerk-Images und Laufwerk-Snapshots kann regions- und zonenübergreifend erfolgen. Auf regionale Ressourcen wie statische externe IP-Adressen können nur Ressourcen zugreifen, die sich in derselben Region befinden. Auf zonale Ressourcen wie Compute-Instanzen und Laufwerke kann nur zugegriffen werden, wenn sich die Ressourcen in derselben Zone befinden. Weitere Informationen finden Sie unter Globale, regionale und zonale Ressourcen.

Berücksichtigen Sie bei der Auswahl einer Region und Zone für Ihre Compute-Instanzen Folgendes:

• Den Standort der Nutzer und der internen Ressourcen, beispielsweise des Rechenzentrums oder Unternehmensnetzwerks. Wählen Sie zum Reduzieren der Latenz einen Standort aus, der sich in unmittelbarer Nähe Ihrer Nutzer und Ressourcen befindet.
• Die für diese Region und Zone verfügbaren CPU-Plattformen. Beispielsweise werden die Broadwell-, Haswell-, Skylake- und Ice Lake-Prozessoren von Intel für Arbeitslasten von SAP NetWeaver in Google Cloudunterstützt.
  • Weitere Informationen finden Sie im SAP-Hinweis SAP-Hinweis 2456432 – SAP-Anwendungen in Google Cloud: Unterstützte Produkte und Google Cloud -Maschinentypen.
  • Informationen dazu, für welche Regionen die Haswell-, Broadwell-, Skylake- und Ice Lake-Prozessoren zur Verwendung mit Compute Engine verfügbar sind, finden Sie unter Verfügbare Regionen und Zonen.
• Prüfen Sie, ob sich Ihr SAP-Anwendungsserver und Ihre Datenbank in derselben Region befinden.

Blockspeicher

Für nichtflüchtigen Blockspeicher können Sie Ihren Compute Engine-Instanzen Hyperdisk- und Persistent Disk-Volumes zuordnen.

Compute Engine bietet verschiedene Arten von Hyperdisk und Persistent Disk. Jeder Typ hat unterschiedliche Leistungsmerkmale.Google Cloud verwaltet die zugrunde liegende Hardware dieser Laufwerke, um die Datenredundanz zu gewährleisten und die Leistung zu optimieren.

Mit SAP NetWeaver können Sie jeden der folgenden Hyperdisk- oder Persistent Disk-Typen verwenden:

• Hyperdisk-Typen: Hyperdisk Balanced (hyperdisk-balanced) und Hyperdisk Extreme (hyperdisk-extreme)
  • Hyperdisk Extreme bietet höhere IOPS- und Durchsatzoptionen als Persistent Disk-Typen.
  • Für Hyperdisk Extreme wählen Sie durch die Bereitstellung von IOPS die gewünschte Leistung aus, wodurch auch Ihr Durchsatz bestimmt wird. Weitere Informationen finden Sie unter Durchsatz.
  • Für Hyperdisk Balanced wählen Sie die gewünschte Leistung aus, indem Sie IOPS und Durchsatz bereitstellen. Weitere Informationen finden Sie unter Informationen zu IOPS- und Durchsatzbereitstellung für Hyperdisk.
  • Informationen zu den Maschinentypen, die Hyperdisk unterstützen, finden Sie unter Unterstützung für Maschinentypen.
• Persistent Disk-Typen: Leistung oder SSD (pd-ssd)
  • Nichtflüchtige SSD-Speicher werden von Solid State Disks (SSD) abgesichert. Er bietet kostengünstigen und zuverlässigen Blockspeicher.
  • Nichtflüchtige SSD-Speicher unterstützen die asynchrone Replikation von nichtflüchtigen Speichern. Sie können diese Funktion für die regionenübergreifende Aktiv-Passiv-Notfallwiederherstellung verwenden. Weitere Informationen finden Sie unter Asynchrone Replikation eines nichtflüchtigen Speichers.
  • Die Leistung von SSD-Persistent-Disk-Volumes wird automatisch mit der Größe skaliert. Sie können die Leistung daher anpassen, indem Sie die Größe der vorhandenen Persistent Disk-Volumes ändern oder einer Compute Engine-Instanz weitere Persistent Disk-Volumes hinzufügen.

Die Art der verwendeten Compute-Instanz und die Anzahl der darin enthaltenen vCPUs können sich auch auf die Leistung des nichtflüchtigen Speichers auswirken oder diese begrenzen.

Persistent Disk- und Hyperdisk-Volumes sind unabhängig von Ihren Compute-Instanzen. Sie können sie also trennen oder verschieben, um Ihre Daten auch nach dem Löschen der Compute-Instanzen beizubehalten.

Auf der Seite VM-Instanzen der Google Cloud Console finden Sie die Laufwerke, die Ihren VM-Instanzen zugeordnet sind, unter Zusätzliche Laufwerke auf der Seite VM-Instanzdetails für jede VM-Instanz.

Weitere Informationen zu den verschiedenen Arten von Blockspeichern, die von der Compute Engine angeboten werden, ihren Leistungsmerkmalen und ihrer Verwendung finden Sie in der Compute Engine-Dokumentation:

• Laufwerktyp auswählen
• Laufwerke so konfigurieren, dass sie die Leistungsanforderungen erfüllen
• Google Cloud Hyperdisk
• Andere Faktoren, die sich auf die Leistung auswirken
• Neues Persistent Disk-Volume erstellen
• Archiv- und Standard-Snapshots für Laufwerke erstellen

NAT-Gateways und Bastion Hosts

Wenn Ihre Sicherheitsrichtlinien echte interne Compute-Instanzen vorschreiben, müssen Sie manuell einen NAT-Proxy für Ihr Netzwerk und eine entsprechende Route einrichten, damit Compute-Instanzen das Internet erreichen können. Sie können über SSH keine direkte Verbindung zu einer vollständig internen Compute-Instanz herstellen. Zum Herstellen einer Verbindung zu solchen internen Instanzen müssen Sie eine Bastion-Instanz mit einer externen IP-Adresse einrichten und den Traffic dann darüber leiten. Wenn Compute-Instanzen keine externen IP-Adressen haben, können sie nur von anderen Instanzen im Netzwerk oder über ein verwaltetes VPN-Gateway erreicht werden. Sie können Compute-Instanzen in Ihrem Netzwerk als vertrauenswürdige Relays für eingehende Verbindungen (Bastion Hosts) oder ausgehenden Netzwerktraffic (NAT-Gateways) bereitstellen. Wenn Sie mehr Verbindungstransparenz ohne Einrichtung solcher Verbindungen benötigen, können Sie eine verwaltete VPN-Gateway-Ressource verwenden.

Bastion Hosts für eingehende Verbindungen verwenden

Bastion Hosts stellen einen Zugangspunkt von außen in ein Netzwerk mit Compute-Instanzen in privaten Netzwerken dar. Dieser Host kann als ein einziger Verteidigungs- oder Prüfpunkt des Netzwerkschutzes dienen und gestartet und gestoppt werden, um die eingehende SSH-Kommunikation aus dem Internet zu aktivieren oder zu deaktivieren.

Das folgende Bild zeigt, wie ein Bastion Host, der externe und interne Compute-Instanzen verbindet, eine SSH-Verbindung herstellt:

Wenn Sie über SSH eine Verbindung zu Compute-Instanzen herstellen möchten, die keine externe IP-Adresse haben, müssen Sie zuerst eine Verbindung zu einem Bastion Host herstellen. Die vollständige Härtung eines Bastion Hosts wird in diesem Leitfaden nicht behandelt. Sie können aber erste Schritte ausführen, z. B. die folgenden:

• Einschränkung des CIDR-Bereichs der Quell-IPs, die mit dem Bastion Host kommunizieren können.
• Konfigurieren Sie Firewallregeln, um SSH-Traffic an private Compute-Instanzen nur vom Bastion-Host aus zuzulassen.

SSH ist auf Compute Engine-Instanzen standardmäßig so konfiguriert, dass private Schlüssel für die Authentifizierung verwendet werden. Bei Verwendung eines Bastion Hosts melden Sie sich zuerst beim Bastion Host und dann bei der privaten Ziel-Compute-Instanz an. Aufgrund dieser zweistufigen Anmeldung müssen Sie die Zielinstanz über die SSH-Agent-Weiterleitung ansteuern und nicht den privaten Schlüssel der Zielinstanz auf dem Bastion Host speichern. Dies ist auch erforderlich, wenn Sie dasselbe Schlüsselpaar sowohl für den Bastion Host als auch für die Zielinstanzen verwenden, da der Bastion Host lediglich zur öffentlichen Hälfte des Schlüsselpaares direkten Zugang hat.

NAT-Gateways für ausgehenden Traffic verwenden

Wenn einer Compute Engine-Instanz keine externe IP-Adresse zugewiesen wurde, kann sie keine direkten Verbindungen zu externen Diensten, einschließlich andererGoogle Cloud -Dienste, herstellen. Damit diese Instanzen Dienste im Internet erreichen können, können Sie ein NAT-Gateway einrichten und konfigurieren. Das NAT-Gateway ist eine Instanz, die Traffic im Namen einer anderen Instanz im Netzwerk weiterleiten kann. Sie dürfen nur ein NAT-Gateway pro Netzwerk haben. Ein NAT-Gateway mit einer einzelnen Instanz sollte nicht als hochverfügbar angesehen werden und kann keinen hohen Trafficdurchsatz für mehrere Instanzen unterstützen. Informationen zum Einrichten einer Compute-Instanz als NAT-Gateway finden Sie unter NAT-Gateway einrichten.

Benutzerdefinierte Images

Wenn Ihr System einsatzbereit ist, können Sie benutzerdefinierte Images erstellen. Wir empfehlen, diese Images zu erstellen, wenn Sie den Zustand Ihres Bootlaufwerks ändern und den neuen Zustand wiederherstellen möchten. Legen Sie sich außerdem zum Verwalten Ihrer benutzerdefinierten Images einen Plan zurecht. Weitere Informationen finden Sie unter Best Practices für die Image-Verwaltung.

Nutzeridentifizierung und Ressourcenzugriff

Bei der Planung der Sicherheit für eine SAP-Bereitstellung in Google Cloudmüssen Sie Folgendes ermitteln:

• Die Nutzerkonten und Anwendungen, die Zugriff auf dieGoogle Cloud Ressourcen in Ihrem Google Cloud Projekt benötigen
• Die spezifischen Google Cloud Ressourcen in Ihrem Projekt, auf die jeder Nutzer zugreifen muss

Sie müssen jeden Nutzer Ihrem Projekt hinzufügen, indem Sie dessen Google-Konto-ID in das Projekt als Hauptkonto einfügen. Für ein Anwendungsprogramm, dasGoogle Cloud -Ressourcen verwendet, erstellen Sie ein Dienstkonto, das eine Nutzeridentität für das Programm innerhalb Ihres Projekts bereitstellt.

Compute Engine-VMs haben ein eigenes Dienstkonto. Alle Programme, die auf einer VM ausgeführt werden, können das VM-Dienstkonto verwenden, solange es die Ressourcenberechtigungen hat, die das Programm benötigt.

Nachdem Sie die Google Cloud Ressourcen ermittelt haben, die jeder Nutzer benötigt, erteilen Sie den Nutzern die Berechtigung, diese Ressourcen zu verwenden. Dazu weisen Sie dem jeweiligen Nutzer ressourcenspezifische Rollen zu. Prüfen Sie die vordefinierten IAM-Rollen, die IAM für jede Ressource bereitstellt, und weisen Sie jedem Nutzer Rollen zu, die genau so viele Berechtigungen enthalten, wie für das Erledigen der Aufgaben oder Funktionen des Nutzers erforderlich sind.

Wenn Sie eine detailliertere oder restriktivere Kontrolle über Berechtigungen benötigen, als die vordefinierten IAM-Rollen bieten, können Sie benutzerdefinierte Rollen erstellen.

Weitere Informationen zu den IAM-Rollen, die SAP-Programme in Google Cloudbenötigen, finden Sie unter Identitäts- und Zugriffsverwaltung für SAP-Programme in Google Cloud.

Eine Übersicht über die Identitäts- und Zugriffsverwaltung für SAP inGoogle Cloudfinden Sie unter Übersicht: Identitäts- und Zugriffsverwaltung für SAP in Google Cloud.

Netzwerke und Sicherheit

Beachten Sie die Informationen in den folgenden Abschnitten, wenn Sie das Netzwerk und die Sicherheit planen.

Modell der geringsten Berechtigung

Eine der wichtigsten Sicherheitsmaßnahmen besteht darin, den Zugang zu Ihrem Netzwerk und Ihren VMs mithilfe von Firewalls zu beschränken. Der gesamte Traffic an VMs, auch der von anderen VMs, wird standardmäßig von der Firewall blockiert, sofern Sie keine Regeln erstellen, die den Zugriff zulassen. Die einzige Ausnahme hiervon ist das Standardnetzwerk "default", das für jedes Projekt automatisch erstellt wird und Standardfirewallregeln besitzt.

Mithilfe von Firewallregeln können Sie den gesamten Traffic mit einem bestimmten Satz von Ports auf bestimmte Quell-IP-Adressen beschränken. Wir empfehlen, das Modell der geringsten Berechtigung zu verwenden, um den Zugriff auf die jeweiligen IP-Adressen, Protokolle und Ports zu beschränken, die zugänglich sein müssen. Wir empfehlen beispielsweise, immer einen Bastion Host einzurichten und SSH-Verbindungen zum SAP NetWeaver-System nur von diesem Host aus zuzulassen.

Zugriffsverwaltung

Damit Sie Ihre Implementierung richtig planen können, müssen Sie wissen, wie das Zugriffsmanagement in Google Cloud funktioniert. Folgende Entscheidungen sind zu treffen:

• So organisieren Sie Ihre Ressourcen in Google Cloud.
• Welche Teammitglieder auf Ressourcen zugreifen und mit diesen arbeiten können
• Welche Berechtigungen jedes Teammitglied genau haben darf
• Welche Dienste und Anwendungen welche Dienstkonten verwenden müssen und welche Berechtigungsstufen in den einzelnen Fällen zu erteilen sind

Machen Sie sich zuerst mit der Cloud Platform-Ressourcenhierarchie vertraut. Sie müssen die verschiedenen Ressourcencontainer kennen und wissen, in welcher Beziehung sie zueinander stehen. Sie müssen außerdem wissen, wo die Zugriffsbeschränkungen erstellt werden.

Die Identitäts- und Zugriffsverwaltung (IAM) bietet eine einheitliche Kontrolle über die Berechtigungen fürGoogle Cloud -Ressourcen. Sie können damit die Zugriffssteuerung verwalten und vorgeben, wer welchen Zugriff auf Ressourcen hat. So lässt sich festlegen, wer auf Steuerungsebene Vorgänge für Ihre SAP-Instanzen ausführen und beispielsweise VMs, nichtflüchtige Speicher und Netzwerke erstellen und ändern kann.

Weitere Einzelheiten zu IAM finden Sie in der IAM-Übersicht.

Eine Übersicht über IAM in Compute Engine finden Sie unter Zugriffssteuerungsoptionen.

IAM-Rollen sind der Schlüsselfaktor beim Erteilen von Berechtigungen an Nutzer. Eine Referenz zu Rollen und den damit verbundenen Berechtigungen finden Sie unter Rollen von Identity and Access Management.

Die Dienstkonten vonGoogle Cloudbieten die Möglichkeit, Anwendungen und Diensten Berechtigungen zu erteilen. Dafür müssen Sie wissen, wie Dienstkonten in Compute Engine angewendet werden. Einzelheiten finden Sie unter Dienstkonten.

Benutzerdefinierte Netzwerke und Firewallregeln

Mithilfe eines Netzwerks können Sie eine Gateway-IP-Adresse und den Netzwerkbereich für die mit diesem Netzwerk verbundenen VMs definieren. Alle Compute Engine-Netzwerke verwenden das IPv4-Protokoll. Für jedes Google Cloud-Projekt wird ein Standardnetzwerk mit vordefinierten Konfigurationen und Firewallregeln bereitgestellt. Wir empfehlen jedoch, ein benutzerdefiniertes Subnetzwerk sowie Firewallregeln hinzuzufügen, die auf dem Modell der geringsten Berechtigung basieren. Standardmäßig gelten für ein neu erstelltes Netzwerk keine Firewallregeln, d. h. es ist kein Netzwerkzugriff möglich.

Je nach Ihren Anforderungen möchten Sie eventuell zusätzliche Subnetzwerke hinzufügen, um Teile Ihres Netzwerks zu isolieren. In diesem Fall finden Sie weitere Informationen unter Subnetzwerke.

Die Firewallregeln gelten für das gesamte Netzwerk und alle VMs im Netzwerk. Sie können eine Firewallregel erstellen, die den Traffic zwischen VMs im selben Netzwerk und über Subnetzwerke hinweg zulässt. Außerdem bietet der Tagging-Mechanismus die Möglichkeit, Firewalls gezielt für bestimmte VMs zu konfigurieren.

Einige SAP-Produkte wie SAP NetWeaver benötigen Zugriff auf bestimmte Ports. Sie sollten also unbedingt Firewallregeln erstellen, die den Zugriff auf die von SAP beschriebenen Ports zulassen.

Routen

Routen sind globale Ressourcen, die mit einem einzelnen Netzwerk verbunden sind. Von Nutzern erstellte Routen gelten für alle VMs in einem Netzwerk. Sie können also eine Route erstellen, die Traffic ohne erforderliche externe IP-Adresse von VM zu VM innerhalb desselben Netzwerks und über Subnetzwerke weiterleitet.

Für den externen Zugriff auf Internetressourcen starten Sie eine VM ohne externe IP-Adresse und konfigurieren eine weitere virtuelle Maschine als NAT-Gateway. Dieser Konfiguration müssen Sie das NAT-Gateway als Route für Ihre SAP-Instanz hinzufügen. Weitere Informationen finden Sie unter NAT-Gateways und Bastion Hosts.

Cloud VPN

Mit einer VPN-Verbindung und IPsec können Sie über Cloud VPN eine sichere Verbindung von einem vorhandenen Netzwerk zu Google Cloud herstellen. Der Traffic zwischen den beiden Netzwerken ist durch ein VPN-Gateway verschlüsselt und wird anschließend von dem anderen VPN-Gateway wieder entschlüsselt. Dies schützt Ihre Daten, wenn sie über das Internet übertragen werden. Mithilfe von Instanztags auf Routen lässt sich dynamisch steuern, welche VMs Traffic über das VPN senden können. Cloud VPN-Tunnel werden bei gleichbleibendem Preis monatlich berechnet. Hinzu kommen die Standardkosten für ausgehenden Traffic, die auch dann anfallen, wenn zwei Netzwerke im selben Projekt verbunden werden. Weitere Informationen finden Sie in der Cloud VPN-Übersicht und unter VPN erstellen.

Cloud Storage-Bucket sichern

Wenn Sie Ihre Daten- und Logsicherungen auf Cloud Storage hosten, sollten Sie für die Datenübertragung von Ihren VMs zu Cloud Storage unbedingt TLS (HTTPS) verwenden. Damit sind die Daten während der Übertragung geschützt, Cloud Storage verschlüsselt inaktive Daten automatisch. Sie können Ihre eigenen Verschlüsselungsschlüssel angeben, wenn Sie mit einem eigenen Schlüsselverwaltungssystem arbeiten.

Zugehörige Dokumente zum Thema Sicherheit

Weitere Sicherheitsressourcen für Ihre SAP-Umgebung aufGoogle Cloudfinden Sie hier:

• Sichere Verbindung zu VM-Instanzen herstellen
• Google Cloud Sicherheit
• Center für Compliance-Ressourcen
• Sicherheit bei Google
• Übersicht über das Sicherheitsdesign der Infrastruktur von Google

Sicherung und Wiederherstellung

Sie müssen sich überlegen, wie Sie den Betriebszustand Ihres Systems im Ernstfall wiederherstellen können. Allgemeine Hinweise zur Planung einer Notfallwiederherstellung mit Google Cloudfinden Sie im Leitfaden zur Planung der Notfallwiederherstellung.

Support

Bei Problemen mit der Infrastruktur oder den Diensten von Google Cloud wenden Sie sich an den Kundenservice. Kontaktdaten finden Sie in der Google Cloud Console auf der Seite Supportübersicht. Wenn Customer Care feststellt, dass sich um ein Problem Ihres SAP-Systems handelt, werden Sie an den SAP-Support verwiesen.

Reichen Sie bei Problemen in Zusammenhang mit SAP-Produkten Ihre Supportanfrage beim SAP-Support ein. SAP wertet das Support-Ticket aus und leitet es, wenn es sich um ein Problem mit der Google Cloud-Infrastruktur handelt, gegebenenfalls an die entsprechendeGoogle Cloud -Komponente in seinem System weiter: BC-OP-LNX-GOOGLE oder BC-OP-NT-GOOGLE.

Supportanforderungen

Wenn Sie Support von Oracle und SAP für Ihre Oracle-Datenbank auf Oracle Linux erhalten möchten, müssen Sie Oracle Linux Premier Support erworben haben.

Bevor Sie Support für SAP-Systeme sowie für dieGoogle Cloud-Infrastruktur und ‑Dienste erhalten können, müssen Sie die Mindestanforderungen für den Supportplan erfüllen.

Weitere Informationen zu den Mindestsupportanforderungen für SAP aufGoogle Cloudfinden Sie hier:

• Support für SAP auf Google Cloud
• SAP-Hinweis 2456406 – SAP auf der Google Cloud Platform: Support-Voraussetzungen (SAP-Nutzerkonto erforderlich)

Nächste Schritte

• Informationen zum Bereitstellen einer Oracle-Datenbank mit Oracle Linux für SAP NetWeaver-basierte Anwendungen, die auf Google Cloudausgeführt werden, finden Sie unter Oracle-Datenbank für SAP NetWeaver bereitstellen.