Planifier l'implémentation de la base de données Oracle pour SAP NetWeaver

Ce guide fournit des informations que vous pouvez utiliser pour planifier l'implémentation d'Oracle Database 19c ou version ultérieure sur Oracle Linux, qui est compatible avec les applications basées sur SAP NetWeaver exécutées sur Google Cloud.

Pour savoir comment déployer Oracle Database 19c ou une version ultérieure sur Oracle Linux pour les systèmes SAP exécutés sur Google Cloud, consultez Déploiement d'Oracle Database pour SAP NetWeaver.

Licences

Pour exécuter une base de données Oracle avec des systèmes SAP sur Google Cloud, vous devez apporter votre propre licence (BYOL) pour Oracle Database 19c ou version ultérieure.

Vous devez également souscrire l'assistance Oracle Linux Premier. Pour en savoir plus, consultez la note SAP 3408032 - Oracle Linux: processus d'assistance pour les systèmes d'exploitation.

Pour en savoir plus sur l'exécution d'une base de données Oracle 19c avec des produits et solutions basés sur SAP NetWeaver, consultez la note SAP 2799900 – Note technique centrale pour Oracle Database 19c.

Google Cloud principes de base

Google Cloud comporte de nombreux services et produits basés sur le cloud. Lorsque vous exécutez des produits SAP sur Google Cloud, vous utilisez principalement les services IaaS proposés par Compute Engine et Cloud Storage, ainsi que certaines fonctionnalités communes au niveau de la plate-forme, telles que les outils.

Consultez la présentation de la plate-formeGoogle Cloud pour découvrir les principaux concepts et la terminologie. Ce guide reprend certaines informations de la présentation pour plus de facilité et de cohérence.

Pour une présentation des considérations que les entreprises doivent prendre en compte lors de l'exécution sur Google Cloud, consultez le framework d'architectureGoogle Cloud .

Interagir avec Google Cloud

Google Cloud propose trois méthodes principales pour interagir avec la plate-forme et vos ressources dans le cloud:

• Google Cloud Console, qui est une interface utilisateur Web.
• L'outil de ligne de commande gcloud, qui fournit un sur-ensemble des fonctionnalités offertes par la console Google Cloud.
• Les bibliothèques clientes, qui fournissent des API pour accéder aux services et gérer les ressources. Ces bibliothèques sont utiles pour créer vos propres outils.

Google Cloud  services

Les déploiements SAP utilisent généralement certains ou tous les services Google Cloudsuivants:

Service	Description
Mise en réseau VPC	Connectez vos instances de VM les unes aux autres et à Internet. Chaque instance de VM est membre d'un ancien réseau avec une plage d'adresses IP globale unique ou d'un réseau de sous-réseaux recommandé, où l'instance de VM appartient à un seul sous-réseau membre d'un réseau plus grand. Notez qu'un réseau cloud privé virtuel (VPC) ne peut pas s'étendre sur plusieurs projets Google Cloud, mais qu'un projet Google Cloud peut englober plusieurs réseaux VPC. Pour connecter des ressources provenant de différents projets à un réseau VPC commun, vous pouvez utiliser un VPC partagé. Cela permet aux ressources de communiquer entre elles de manière sécurisée et efficace à l'aide d'adresses IP internes de ce réseau. Pour en savoir plus sur le provisionnement d'un VPC partagé, y compris sur les conditions requises, les étapes de configuration et l'utilisation, consultez la page Provisionner un VPC partagé.
Compute Engine	Créez et gérez des VM avec le système d'exploitation et la pile logicielle de votre choix.
Persistent Disk et Hyperdisk	Vous pouvez utiliser Persistent Disk et Google Cloud Hyperdisk : Les volumes Persistent Disk sont disponibles sous forme de disques durs standards (HDD) ou de disques durs SSD. Pour les disques persistants avec équilibrage et les disques persistants SSD, la réplication asynchrone des disques persistants fournit une réplication asynchrone des données SAP entre deux régions Google Cloud . Les volumes Hyperdisk Extreme offrent des options d'IOPS et de débit maximales plus élevés que les volumes Persistent Disk SSD. Par défaut, Compute Engine chiffre le contenu client au repos, y compris le contenu des volumes Persistent Disk et Hyperdisk. Pour en savoir plus sur le chiffrement des disques et les options de chiffrement possibles, consultez la page À propos du chiffrement des disques.
Google Cloud Console	Outil basé sur un navigateur pour gérer les ressources de Compute Engine. Utilisez un modèle pour décrire toutes les ressources et instances de Compute Engine dont vous avez besoin. Il n'est pas nécessaire de créer et de configurer individuellement les ressources, ni de déterminer les dépendances : la console Google Cloud s'en charge pour vous.
Cloud Storage	Vous pouvez stocker vos sauvegardes de base de données SAP dans Cloud Storage pour plus de durabilité et de fiabilité, grâce à la réplication.
Cloud Monitoring	Ce service offre une visibilité sur le déploiement, les performances, le temps d'activité et la santé de Compute Engine, du réseau et des disques de stockage persistant. Monitoring collecte des métriques, des événements et des métadonnées à partir de Google Cloud , et les utilise pour générer des insights via des tableaux de bord, des graphiques et des alertes. Vous pouvez surveiller les métriques de calcul gratuitement grâce à Monitoring.
IAM	Fournit un contrôle unifié des autorisations pour les ressources Google Cloud . IAM vous permet de contrôler qui peut effectuer des opérations du plan de contrôle sur vos VM, y compris la création, la modification et la suppression de VM et de disques de stockage persistant, ainsi que la création et la modification de réseaux.

Tarifs et quotas

Vous pouvez utiliser le simulateur de coût pour estimer vos coûts d'utilisation. Pour en savoir plus sur la tarification, consultez les pages Tarifs de Compute Engine, Tarifs de Cloud Storage, et Tarifs de Google Cloud Observability.

Les ressourcesGoogle Cloud sont soumises à des quotas. Si vous envisagez d'utiliser des machines à haute capacité de processeur ou de mémoire, vous devrez peut-être demander un quota supplémentaire. Pour en savoir plus, consultez la section sur les quotas des ressources de Compute Engine.

Contrôles de conformité et de souveraineté

Si vous souhaitez que votre charge de travail SAP s'exécute conformément aux exigences liées à la résidence des données, au contrôle des accès, au personnel d'assistance ou à la réglementation, vous devez planifier l'utilisation d'Assured Workloads, un service qui vous permet d'exécuter des charges de travail sécurisées et conformes sans compromettre la qualité de votre expérience cloud. Google Cloud Pour en savoir plus, consultez la page Contrôles de conformité et de souveraineté pour SAP sur Google Cloud.

Architecture de déploiement

Pour les applications basées sur SAP NetWeaver exécutées sur Google Cloud, une instance Oracle Database à nœud unique classique comprend les composants suivants:

• Une instance Compute Engine qui exécute votre base de données Oracle.

• Volumes Persistent Disk ou Hyperdisk pour les disques suivants : Nous vous recommandons vivement d'utiliser des volumes Hyperdisk.

  Contenu du lecteur	Répertoire Linux
  Installation d'Oracle	/oracle/DB_SID /oracle/DB_SID/origlogA /oracle/DB_SID/origlogB /oracle/DB_SID/sapdata1 /oracle/DB_SID/sapdata2
  Miroir Oracle	/oracle/DB_SID/mirrlogA /oracle/DB_SID/mirrlogB /oracle/DB_SID/sapreorg /oracle/DB_SID/saptrace /oracle/DB_SID/saparch /oracle/DB_SID/sapbackup /oracle/DB_SID/sapcheck /oracle/DB_SID/sapdata3 /oracle/DB_SID/sapdata4 /oracle/DB_SID/sapprof
  Sauvegarde du fichier de journalisation hors connexion	/oracle/DB_SID/oraarch
  Installation de SAP NetWeaver	/usr/sap
  Répertoire SAP NetWeaver contenant des points d'installation pour les systèmes de fichiers partagés	/sapmnt

• Vous pouvez éventuellement étendre votre déploiement pour inclure une passerelle NAT, qui vous permet de fournir une connectivité Internet à votre instance de calcul tout en lui refusant une connectivité Internet directe. Vous pouvez également configurer votre instance de calcul en tant qu'hôte bastion, ce qui vous permet d'établir des connexions SSH avec les autres instances de calcul de votre sous-réseau privé. Pour plus d'informations, consultez la section Passerelles NAT et hôtes bastions.

Des cas d'utilisation différents peuvent nécessiter des appareils supplémentaires. Pour en savoir plus, consultez la documentation SAP SAP sur Oracle.

Ressources nécessaires

À bien des égards, exécuter une base de données Oracle dans un système basé sur SAP NetWeaver est semblable à l'exécuter dans votre propre centre de données. Vous devez là encore tenir compte des considérations liées aux ressources informatiques, au stockage et au réseau.

Pour en savoir plus sur les ressources requises pour exécuter une base de données Oracle, consultez la note SAP 2799900 – Note technique centrale pour Oracle Database 19c.

Configuration de l'instance de calcul

Pour exécuter une base de données Oracle pour des applications basées sur SAP NetWeaver surGoogle Cloud, SAP a certifié l'utilisation de tous les types de machines Compute Engine, y compris les types de machines personnalisés. Toutefois, si vous exécutez la base de données Oracle sur la même instance de calcul que SAP NetWeaver ou Application Server Central Services (ASCS), vous devez utiliser une instance de calcul certifiée par SAP pour une utilisation avec SAP NetWeaver. Pour en savoir plus sur les types de machines Compute Engine que vous pouvez utiliser pour exécuter SAP NetWeaver, consultez le guide de planification SAP NetWeaver.

Pour en savoir plus sur tous les types de machines disponibles sur Google Cloudet leurs cas d'utilisation, consultez le guide des ressources et de comparaison des familles de machines dans la documentation Compute Engine.

Configuration du processeur

Le nombre de processeurs virtuels dont vous avez besoin pour exécuter une base de données Oracle dépend de la charge de votre application SAP et de vos objectifs de performances. Vous devez allouer au moins deux vCPU à votre installation Oracle Database. Pour optimiser les performances, mettez à l'échelle le nombre de processeurs virtuels et la taille de votre stockage de blocs jusqu'à ce que vos objectifs de performance soient atteints.

Configuration de la mémoire

La mémoire que vous allouez à votre base de données Oracle dépend de votre cas d'utilisation. La quantité de mémoire optimale pour votre cas d'utilisation dépend de la complexité des requêtes que vous exécutez, de la taille de vos données, de la quantité de parallélisme que vous utilisez et du niveau de performance auquel vous vous attendez.

Configuration de l'espace de stockage

Par défaut, Compute Engine crée automatiquement un disque de démarrage lorsque vous créez une instance. Vous provisionnez des disques supplémentaires pour vos données de base de données, vos journaux et, éventuellement, pour vos sauvegardes de base de données.

Pour les volumes de votre instance Oracle Database, utilisez des disques qui répondent à vos exigences de performances. Pour en savoir plus sur les facteurs qui déterminent les performances des disques, consultez la section Configurer des disques pour répondre aux exigences de performances.

Pour les charges de travail critiques, nous vous recommandons vivement d'utiliser des volumes Hyperdisk. Pour en savoir plus sur le stockage de blocs pour votre base de données Oracle, consultez la section Stockage de blocs.

Versions et fonctionnalités de la base de données Oracle compatibles

Pour utiliser des bases de données Oracle avec des applications basées sur SAP NetWeaver exécutées surGoogle Cloud, SAP a certifié les éléments suivants:

• Oracle Database 19c ou version ultérieure
• La base de données doit utiliser le jeu de caractères Unicode.
• La base de données doit utiliser un système de fichiers validé par Oracle.
• Vous devez disposer d'un abonnement Premier Support pour votre base de données Oracle.

Les solutions de haute disponibilité (HA) basées sur Real Application Clusters (RAC) et Pacemaker ne sont pas compatibles.

Pour en savoir plus, consultez la note SAP 3559536.

Systèmes d'exploitation compatibles

Pour utiliser des bases de données Oracle avec des applications basées sur SAP NetWeaver exécutées surGoogle Cloud, SAP a certifié les systèmes d'exploitation suivants:

• Oracle Linux 9 ou Oracle Linux 8, avec le noyau suivant :
  • UEK 7: 5.15.0-1.43.4.2.el9uek.x86_64 ou version ultérieure
  • UEK 7: 5.15.0-202.135.2.el8uek.x86_64 ou version ultérieure

Assurez-vous d'avoir souscrit l'assistance Premier d'Oracle Linux.

Remarques relatives au déploiement

Cette section fournit des informations pour planifier des aspects tels que l'emplacement de déploiement, le stockage en mode bloc, l'identification et le contrôle des accès des utilisateurs, le réseau, ainsi que la sauvegarde et la récupération de votre base de données Oracle.

Planifier les régions et les zones

Lorsque vous déployez une instance Compute Engine, vous devez choisir une région et une zone. Une région est un emplacement géographique spécifique où vous pouvez exécuter vos ressources et correspond à un ou plusieurs emplacements de centre de données relativement proches les uns des autres. Chaque région possède une ou plusieurs zones avec une connectivité, une alimentation et un refroidissement redondants.

Les ressources globales, telles que les images de disque préconfigurées et les instantanés de disque, sont accessibles dans toutes les régions et les zones. Les ressources régionales, telles que les adresses IP externes statiques régionales, ne sont accessibles qu'aux ressources situées dans la même région. Les ressources zonales, telles que les instances de calcul et les disques, ne sont accessibles qu'aux ressources situées dans la même zone. Pour en savoir plus, consultez la page Ressources globales, régionales et zonales.

Lorsque vous choisissez une région et une zone pour vos instances de calcul, tenez compte des points suivants:

• L'emplacement de vos utilisateurs et de vos ressources internes, telles que votre centre de données ou votre réseau d'entreprise. Pour réduire la latence, sélectionnez un emplacement situé à proximité de vos utilisateurs et de vos ressources.
• Les plates-formes de processeur disponibles pour cette région et cette zone. Par exemple, les processeurs Intel Broadwell, Haswell, Skylake et Ice Lake sont compatibles avec les charges de travail SAP NetWeaver sur Google Cloud.
  • Pour en savoir plus, consultez la note SAP 2456432 - Applications SAP sur Google Cloud: produits et types de machines Google Cloud compatibles.
  • Pour en savoir plus sur les régions dans lesquelles les processeurs Haswell, Broadwell, Skylake et Ice Lake peuvent être utilisés avec Compute Engine, consultez la section Régions et zones disponibles.
• Assurez-vous que votre serveur d'applications SAP et votre base de données se trouvent dans la même région.

Stockage de blocs

Pour le stockage de blocs persistants, vous pouvez associer des volumes Hyperdisk et Persistent Disk à vos instances Compute Engine.

Compute Engine propose différents types de volumes Hyperdisk et Persistent Disk. Chaque type présente des caractéristiques de performances différentes.Google Cloud gère le matériel sous-jacent de ces disques pour garantir la redondance des données et optimiser les performances.

Avec SAP NetWeaver, vous pouvez utiliser l'un des types de volumes Hyperdisk ou Persistent Disk suivants:

• Types de volume Hyperdisk : Hyperdisk Balanced (hyperdisk-balanced) et Hyperdisk Extreme (hyperdisk-extreme)
  • Les volumes Hyperdisk Extreme offrent des options d'IOPS et de débit maximum plus élevées que les volumes Persistent Disk.
  • Pour les volumes Hyperdisk Extreme, vous sélectionnez les performances dont vous avez besoin en provisionnant les IOPS, qui déterminent également votre débit. Pour en savoir plus, consultez la section Débit.
  • Pour les volumes Hyperdisk Balanced, vous sélectionnez les performances dont vous avez besoin en provisionnant les IOPS et le débit. Pour en savoir plus, consultez la section À propos du provisionnement des IOPS et du débit pour Hyperdisk.
  • Pour en savoir plus sur les types de machines compatibles avec Hyperdisk, consultez la section Compatibilité avec les types de machines.
• Types de disques persistants: Performance ou SSD (pd-ssd)
  • Les disques persistants SSD sont secondés par des disques durs SSD. Il fournit un stockage de blocs économique et fiable.
  • Les disques persistants SSD sont compatibles avec la réplication asynchrone des disques persistants. Vous pouvez utiliser cette fonctionnalité pour la reprise après sinistre active/passive interrégionale. Pour en savoir plus, consultez la section À propos de la réplication asynchrone des disques persistants.
  • Les performances des volumes Persistent Disk SSD évoluent automatiquement en fonction de la taille. Par conséquent, vous pouvez ajuster les performances en redimensionnant vos volumes Persistent Disk existants ou en ajoutant des volumes Persistent Disk à une instance Compute Engine.

Le type d'instance de calcul que vous utilisez et le nombre de processeurs virtuels qu'elle contient peuvent également affecter ou limiter les performances des disques persistants.

Les volumes Persistent Disk et Hyperdisk sont hébergés indépendamment de vos instances de calcul. Vous pouvez donc dissocier ou déplacer les disques pour conserver vos données, même après avoir supprimé vos instances de calcul.

Sur la page Instances de VM de la console Google Cloud, vous pouvez voir les disques associés à vos instances de VM sous Disques supplémentaires, sur la page Informations sur l'instance de VM correspondant à chaque instance de VM.

Pour plus d'informations sur les différents types de stockage de blocs proposés par Compute Engine, leurs caractéristiques de performances et leur utilisation, consultez la documentation de Compute Engine :

• Choisir un type de disque
• Configurer les disques pour répondre aux exigences de performances
• À propos de Google Cloud Hyperdisk
• Autres facteurs ayant une incidence sur les performances
• Créer un volume Persistent Disk
• Créer des instantanés de disque d'archive et standards

Passerelles NAT et hôtes bastion

Si votre stratégie de sécurité requiert des instances de calcul véritablement internes, vous devez configurer manuellement un proxy NAT sur votre réseau et une route correspondante afin que les instances de calcul puissent accéder à Internet. Il est important de noter que vous ne pouvez pas vous connecter directement à une instance de calcul entièrement interne à l'aide de SSH. Pour ce faire, vous devez configurer une instance bastion dotée d'une adresse IP externe et vous en servir comme tunnel. Lorsque les instances de calcul n'ont pas d'adresses IP externes, elles ne sont accessibles que par les autres instances du réseau ou via une passerelle VPN gérée. Vous pouvez provisionner des instances de calcul sur votre réseau pour qu'elles agissent en tant que relais de confiance pour les connexions entrantes (appelées hôtes bastions) ou pour les sorties réseau (appelées passerelles NAT). Pour une connectivité plus transparente sans configurer de telles connexions, vous pouvez utiliser une ressource de passerelle VPN gérée.

Utiliser des hôtes bastion pour les connexions entrantes

Les hôtes bastion constituent un point d'entrée externe dans un réseau contenant des instances de calcul de réseau privé. Cet hôte peut fournir un point de fortification ou d'audit unique, et peut être démarré et arrêté pour activer ou désactiver la communication SSH entrante depuis Internet.

L'image suivante montre comment un hôte bastion qui connecte des instances de calcul externes et internes se connecte à l'aide de SSH:

Pour vous connecter à des instances de calcul qui ne disposent pas d'adresse IP externe à l'aide de SSH, vous devez d'abord vous connecter à un hôte bastion. Le renforcement complet d'un hôte bastion n'entre pas dans le cadre de ce guide, mais vous pouvez suivre certaines étapes initiales, y compris:

• Limiter la plage CIDR d'adresses IP sources pouvant communiquer avec le bastion
• Configurer des règles de pare-feu qui autorisent uniquement le trafic SSH provenant de l'hôte bastion vers des instances de calcul privées

Par défaut, SSH sur les instances Compute Engine est configuré pour utiliser des clés privées pour l'authentification. Lorsque vous utilisez un hôte bastion, vous devez d'abord vous connecter à cet hôte, puis à votre instance de calcul privée cible. En raison de cette connexion en deux étapes, vous devez utiliser le transfert d'agent SSH pour atteindre l'instance cible au lieu de stocker la clé privée de l'instance cible sur l'hôte bastion. Vous devez procéder ainsi même si vous utilisez la même paire de clés pour les instances bastion et cible, car le bastion n'a un accès direct qu'à la moitié publique de la paire de clés.

Utiliser des passerelles NAT pour le trafic sortant

Lorsqu'une instance Compute Engine n'a pas d'adresse IP externe attribuée, elle ne peut pas établir de connexions directes avec des services externes, y compris d'autres servicesGoogle Cloud . Pour permettre à ces instances d'accéder aux services sur Internet, vous pouvez configurer une passerelle NAT. La passerelle NAT est une instance pouvant acheminer le trafic pour le compte de toute autre instance du réseau. Vous ne devez avoir qu'une seule passerelle NAT par réseau. Sachez qu'une passerelle NAT à instance unique ne doit pas être considérée comme hautement disponible et ne peut pas prendre en charge un débit de trafic élevé pour plusieurs instances. Pour savoir comment configurer une instance de calcul en tant que passerelle NAT, consultez la page Configurer une passerelle NAT.

Images personnalisées

Une fois votre système configuré, vous pouvez créer des images personnalisées. Nous vous recommandons de créer ces images lorsque vous modifiez l'état de votre disque de démarrage et que vous souhaitez pouvoir restaurer le nouvel état. Vous devez également avoir un plan de gestion des images personnalisées que vous créez. Pour en savoir plus, consultez les bonnes pratiques pour la gestion des images.

Identification de l'utilisateur et accès aux ressources

Lorsque vous planifiez la sécurité d'un déploiement SAP sur Google Cloud, vous devez identifier les éléments suivants:

• Les comptes utilisateur et les applications qui ont besoin d'accéder aux ressourcesGoogle Cloud de votre projet Google Cloud
• Les ressources Google Cloud spécifiques de votre projet auxquelles chaque utilisateur doit accéder

Vous devez ajouter chaque utilisateur à votre projet en ajoutant son ID de compte Google au projet en tant que compte principal. Pour un programme d'application qui utilise les ressourcesGoogle Cloud , vous devez créer un compte de service. Il fournit une identité d'utilisateur pour le programme au sein de votre projet.

Les VM Compute Engine possèdent leur propre compte de service. Tous les programmes qui s'exécutent sur une VM peuvent utiliser le compte de service de la VM, à condition que celui-ci dispose des autorisations liées aux ressources dont le programme a besoin.

Après avoir identifié les Google Cloud ressources dont chaque utilisateur a besoin, accordez à chaque utilisateur l'autorisation d'utiliser chaque ressource en attribuant des rôles spécifiques à l'utilisateur. Examinez les rôles prédéfinis fournis par IAM pour chaque ressource et attribuez des rôles à chaque utilisateur afin de lui accorder les autorisations minimales nécessaires pour exécuter ses tâches ou ses fonctions.

Si vous avez besoin d'exercer un contrôle plus précis et plus restrictif sur les autorisations que celui fourni par les rôles IAM prédéfinis, créez des rôles personnalisés.

Pour en savoir plus sur les rôles IAM dont les programmes SAP ont besoin sur Google Cloud, consultez la page Gestion de l'authentification et des accès pour les programmes SAP sur Google Cloud.

Pour en savoir plus sur la gestion de l'authentification et des accès pour SAP surGoogle Cloud, consultez la présentation de la gestion de l'authentification et des accès pour SAP sur Google Cloud.

Mise en réseau et sécurité réseau

Lorsque vous planifiez la mise en réseau et la sécurité, tenez compte des informations des sections suivantes.

Modèle de privilège minimum

L'une de vos premières lignes de défense consiste à limiter le nombre de personnes pouvant accéder à votre réseau et à vos VM à l'aide de pare-feu. Par défaut, tout le trafic vers les VM, même celui provenant d'autres VM, est bloqué par le pare-feu, sauf si vous créez des règles pour autoriser l'accès. La seule exception est le réseau par défaut créé automatiquement avec chaque projet, et pour lequel des règles de pare-feu sont créées par défaut.

En créant des règles de pare-feu, vous pouvez limiter tout le trafic sur un ensemble de ports donné à des adresses IP source spécifiques. Nous vous recommandons de suivre le modèle de privilège minimum pour limiter l'accès aux adresses IP, protocoles et ports spécifiques qui nécessitent un accès. Par exemple, nous vous recommandons de toujours configurer un hôte bastion et d'autoriser les connexions SSH à votre système SAP NetWeaver uniquement à partir de cet hôte.

Gestion des accès

Une bonne compréhension du fonctionnement de la gestion des accès dans Google Cloud est essentielle pour planifier la mise en œuvre. Vous devrez décider des points suivants :

• Organiser vos ressources dans Google Cloud
• Quels membres de l'équipe peuvent accéder aux ressources et travailler avec elles.
• Quelles sont les autorisations spécifiques pour chaque membre de l'équipe.
• Quels services et applications pour quels comptes de service et quel niveau d'autorisations accorder dans chaque cas.

La première étape consiste à identifier la hiérarchie des ressources Cloud Platform. Il est important de connaître les divers conteneurs de ressources, leurs relations ainsi que l'emplacement de création des limites d'accès.

Identity and Access Management (IAM) fournit un contrôle unifié des autorisations pour les ressourcesGoogle Cloud . Vous pouvez gérer le contrôle d'accès en définissant qui a quel accès aux ressources. Par exemple, vous pouvez déterminer qui peut effectuer des opérations du plan de contrôle sur vos instances SAP, telles que la création et la modification de VM, de disques persistants et de la mise en réseau.

Pour plus d'informations sur IAM, reportez-vous à la section de présentation d'IAM.

Pour obtenir une présentation d'IAM dans Compute Engine, consultez la section sur les options de contrôle des accès.

Les rôles IAM sont essentiels pour accorder des autorisations aux utilisateurs. Pour en savoir plus sur les rôles et les autorisations qu'ils fournissent, consultez la page sur les rôles de gestion de l'authentification et des accès.

Les comptes de serviceGoogle Cloudvous permettent d'attribuer des autorisations à des applications et à des services. Il est important de comprendre le fonctionnement des comptes de service dans Compute Engine. Pour en savoir plus, consultez la page Comptes de service.

Réseaux personnalisés et règles de pare-feu

Vous pouvez utiliser un réseau pour définir une adresse IP de passerelle et la plage de réseau des VM connectées à ce réseau. Tous les réseaux Compute Engine utilisent le protocole IPv4. Chaque projet Google Cloud est associé à un réseau par défaut doté de configurations et de règles de pare-feu prédéfinies. Cependant, nous vous recommandons d'ajouter un sous-réseau personnalisé et des règles de pare-feu basées sur un modèle de privilège minimum. Par défaut, un réseau nouvellement créé n'a pas de règles de pare-feu et donc pas d'accès au réseau.

Selon vos besoins, vous souhaiterez peut-être ajouter des sous-réseaux supplémentaires pour isoler des parties de votre réseau. Pour plus d'informations, consultez la section sur les sous-réseaux.

Les règles de pare-feu s'appliquent à l'ensemble du réseau et à toutes les VM du réseau. Vous pouvez ajouter une règle de pare-feu qui autorise le trafic entre les VM du même réseau et pour tous les sous-réseaux. Vous pouvez également configurer des pare-feu à appliquer à des VM cibles spécifiques à l'aide du mécanisme de marquage.

Certains produits SAP, tels que SAP NetWeaver, nécessitent l'accès à certains ports. Assurez-vous d'ajouter des règles de pare-feu pour permettre l'accès aux ports indiqués par SAP.

Routes

Les routes sont des ressources globales associées à un seul réseau. Les routes créées par l'utilisateur s'appliquent à toutes les VM d'un réseau. Cela signifie que vous pouvez ajouter une route qui transfère le trafic d'une VM à une autre au sein du même réseau et entre sous-réseaux sans requérir d'adresses IP externes.

Pour un accès externe aux ressources Internet, lancez une VM sans adresse IP externe et configurez une autre VM en tant que passerelle NAT. Cette configuration nécessite que vous ajoutiez votre passerelle NAT en tant que route pour votre instance SAP. Pour plus d'informations, consultez la section Passerelles NAT et hôtes bastions.

Cloud VPN

Vous pouvez connecter de manière sécurisée votre réseau existant à Google Cloud via une connexion VPN avec IPsec en utilisant Cloud VPN. Le trafic circulant entre les deux réseaux est chiffré par une passerelle VPN, puis déchiffré par l'autre passerelle VPN. Ce procédé protège les données lors des transferts via Internet. Vous pouvez contrôler de manière dynamique quelles VM peuvent envoyer du trafic via le VPN à l'aide de tags d'instance sur les routes. Les tunnels Cloud VPN sont facturés à un tarif mensuel fixe, majoré des frais de sortie standards. Notez que vous devez quand même payer les frais de sortie standards lorsque vous connectez deux réseaux dans un même projet. Pour en savoir plus, consultez les pages Présentation de Cloud VPN et Créer un VPN.

Sécuriser un bucket Cloud Storage

Si vous utilisez Cloud Storage pour héberger les sauvegardes de vos données et journaux, assurez-vous d'utiliser TLS (HTTPS) lors de l'envoi de données à Cloud Storage à partir de vos VM, afin de protéger les données en transit. Cloud Storage chiffre automatiquement les données au repos. Vous pouvez spécifier vos propres clés de chiffrement si vous disposez de votre propre système de gestion de clés.

Documents de sécurité associés

Pour obtenir des ressources de sécurité supplémentaires pour votre environnement SAP surGoogle Cloud, consultez les ressources suivantes:

• Se connecter en toute sécurité aux instances de VM
• SécuritéGoogle Cloud
• Centre de ressources pour la conformité
• Présentation de la sécurité Google
• Présentation de la sécurité sur l'infrastructure de Google

Sauvegarde et récupération

Vous devez mettre en place une marche à suivre pour remettre votre système en état de fonctionnement si le pire se produisait. Pour obtenir des conseils généraux sur la planification de la reprise après sinistre à l'aide de Google Cloud, consultez le guide de planification de la reprise après sinistre.

Assistance

Pour les problèmes liés à l'infrastructure ou aux services Google Cloud , contactez le service client. Ses coordonnées sont disponibles sur la page de présentation de l'assistance dans la console Google Cloud. Si l'assistance Customer Care détecte un problème dans vos systèmes SAP, vous serez redirigé vers l'assistance SAP.

Pour les problèmes liés au produit SAP, entrez votre demande d'assistance avec l'outil de l'assistance SAP. SAP évalue la demande d'assistance et, s'il semble s'agir d'un problème d'infrastructure Google Cloud, transfère cette demande au composantGoogle Cloud approprié dans son système: BC-OP-LNX-GOOGLE ouBC-OP-NT-GOOGLE.

Exigences liées à l'assistance

Pour bénéficier de l'assistance d'Oracle et de SAP pour votre base de données Oracle basée sur Oracle Linux, assurez-vous d'avoir souscrit l'assistance Premier d'Oracle Linux.

Pour bénéficier d'une assistance pour les systèmes SAP ainsi que pour l'infrastructure et les servicesGoogle Cloudqu'ils utilisent, vous devez satisfaire aux exigences minimales de la formule d'assistance.

Pour en savoir plus sur les exigences minimales concernant l'assistance pour SAP surGoogle Cloud, consultez les ressources suivantes:

• Obtenir de l'aide concernant SAP sur Google Cloud
• Note SAP 2456406 – SAP sur Google Cloud Platform: prérequis pour l'assistance (compte utilisateur SAP requis)

Étape suivante

• Pour déployer une base de données Oracle avec Oracle Linux pour les applications basées sur SAP NetWeaver exécutées sur Google Cloud, consultez Déploiement de la base de données Oracle pour SAP NetWeaver.