Merencanakan penerapan Database Oracle untuk SAP NetWeaver

Panduan ini memberikan detail yang dapat Anda gunakan untuk merencanakan implementasi Oracle Database 19c atau yang lebih baru, di Oracle Linux, yang mendukung aplikasi berbasis SAP NetWeaver yang berjalan di Google Cloud.

Untuk informasi tentang cara men-deploy Oracle Database 19c atau yang lebih baru di Oracle Linux untuk sistem SAP yang berjalan di Google Cloud, lihat Men-deploy Oracle Database untuk SAP NetWeaver.

Lisensi

Untuk menjalankan Oracle Database dengan sistem SAP di Google Cloud, Anda harus membawa lisensi sendiri (BYOL) untuk Oracle Database 19c atau yang lebih baru.

Anda juga perlu membeli Dukungan Premier Oracle Linux. Untuk informasi selengkapnya, lihat catatan SAP 3408032 - Oracle Linux: proses dukungan sistem operasi.

Untuk informasi tentang cara menjalankan Oracle Database 19c dengan produk dan solusi berbasis SAP NetWeaver, lihat catatan SAP 2799900 - Central Technical Note for Oracle Database 19c.

Google Cloud dasar-dasar

Google Cloud terdiri dari banyak produk dan layanan berbasis cloud. Saat menjalankan produk SAP di Google Cloud, Anda terutama menggunakan layanan berbasis IaaS yang ditawarkan melalui Compute Engine dan Cloud Storage, serta beberapa fitur yang mencakup seluruh platform, seperti alat.

Lihat ringkasan platformGoogle Cloud untuk mengetahui konsep dan terminologi penting. Panduan ini menduplikasi beberapa informasi dari ringkasan untuk kemudahan dan konteks.

Untuk ringkasan pertimbangan yang harus dipertimbangkan oleh organisasi berskala perusahaan saat menjalankan Google Cloud, lihat Google Cloud Framework Arsitektur.

Berinteraksi dengan Google Cloud

Google Cloud menawarkan tiga cara utama untuk berinteraksi dengan platform dan resource Anda di cloud:

• Konsol Google Cloud, yang merupakan antarmuka pengguna berbasis web.
• Alat command line gcloud, yang menyediakan superset fungsi yang ditawarkan Konsol Google Cloud.
• Library klien, yang menyediakan API untuk mengakses layanan dan pengelolaan resource. Library klien berguna saat mem-build alat Anda sendiri.

layananGoogle Cloud

Deployment SAP biasanya menggunakan beberapa atau semua layanan Google Cloudberikut:

Layanan	Deskripsi
Jaringan VPC	Menghubungkan instance VM Anda satu sama lain dan ke internet. Setiap instance VM adalah anggota jaringan lama dengan satu rentang IP global, atau jaringan subnet yang direkomendasikan, dengan instance VM sebagai anggota dari satu subnetwork yang merupakan anggota dari jaringan yang lebih besar. Perhatikan bahwa jaringan Virtual Private Cloud (VPC) tidak dapat mencakup project Google Cloud, tetapi project Google Cloud dapat memiliki beberapa jaringan VPC. Untuk menghubungkan resource dari beberapa project ke jaringan VPC umum, Anda dapat menggunakan VPC Bersama, sehingga resource dapat berkomunikasi satu sama lain secara aman dan efisien dengan menggunakan alamat IP internal dari jaringan tersebut. Untuk mengetahui informasi tentang cara menyediakan VPC Bersama, termasuk persyaratan, langkah-langkah konfigurasi, dan penggunaan, lihat Menyediakan VPC Bersama.
Compute Engine	Membuat dan mengelola VM dengan sistem operasi dan stack software pilihan Anda.
Persistent Disk dan Hyperdisk	Anda dapat menggunakan Persistent Disk dan Google Cloud Hyperdisk: Volume Persistent Disk tersedia sebagai hard disk drive (HDD) standar atau solid state drive (SSD). Untuk persistent disk seimbang dan persistent disk SSD, Replikasi Asinkron PD menyediakan replikasi asinkron data SAP antara dua region Google Cloud . Volume Hyperdisk Extreme menyediakan opsi throughput dan IOPS maksimum yang lebih tinggi daripada volume SSD Persistent Disk. Secara default, Compute Engine mengenkripsi konten pelanggan dalam penyimpanan, termasuk konten di dalam volume Hyperdisk dan Persistent Disk. Untuk mengetahui informasi selengkapnya tentang enkripsi disk dan kemungkinan opsi enkripsi, lihat Tentang enkripsi disk.
Konsol Google Cloud	Alat berbasis browser untuk mengelola resource Compute Engine. Gunakan template untuk mendeskripsikan semua resource dan instance Compute Engine yang Anda butuhkan. Anda tidak perlu membuat dan mengonfigurasi resource satu per satu atau mencari tahu dependensi karena Konsol Google Cloud yang melakukannya untuk Anda.
Cloud Storage	Anda dapat menyimpan cadangan database SAP di Cloud Storage untuk ketahanan dan keandalan tambahan, dengan replikasi.
Cloud Monitoring	Memberikan visibilitas pada deployment, performa, waktu beroperasi, dan kondisi Compute Engine, jaringan, dan disk penyimpanan persisten. Monitoring mengumpulkan metrik, peristiwa, dan metadata dari Google Cloud dan menggunakannya untuk menghasilkan insight melalui dasbor, diagram, dan pemberitahuan. Anda dapat memantau metrik komputasi tanpa biaya melalui Monitoring.
IAM	Memberikan kontrol terpadu atas izin untuk resource Google Cloud . IAM memungkinkan Anda mengontrol siapa yang dapat menjalankan operasi bidang kontrol pada VM, termasuk membuat, mengubah, dan menghapus VM serta disk penyimpanan persisten, serta membuat dan mengubah jaringan.

Harga dan kuota

Anda dapat menggunakan kalkulator harga untuk memperkirakan biaya penggunaan. Untuk mengetahui informasi harga selengkapnya, lihat Harga Compute Engine, Harga Cloud Storage, dan Harga Google Cloud Observability.

ResourceGoogle Cloud tunduk pada kuota. Jika berencana menggunakan mesin dengan CPU tinggi atau bermemori tinggi, Anda mungkin perlu meminta kuota tambahan. Untuk informasi selengkapnya, lihat Kuota resource Compute Engine.

Kepatuhan dan sovereign controls

Jika ingin menjalankan workload SAP dengan mematuhi persyaratan residensi data, kontrol akses, staf dukungan, atau peraturan, Anda harus merencanakan penggunaan Assured Workloads, yaitu layanan yang membantu Anda menjalankan workload yang aman dan sesuai dengan standar Google Cloud tanpa mengurangi kualitas pengalaman cloud Anda. Untuk mengetahui informasi selengkapnya, lihat Kepatuhan dan sovereign controls untuk SAP di Google Cloud.

Arsitektur deployment

Untuk aplikasi berbasis SAP NetWeaver yang berjalan di Google Cloud, instance Database Oracle node tunggal konvensional terdiri dari komponen berikut:

• Instance Compute Engine yang menjalankan Database Oracle Anda.

• Volume Persistent Disk atau Hyperdisk untuk drive berikut. Sebaiknya gunakan volume Hyperdisk.

  Konten drive	Direktori Linux
  Penginstalan Oracle	/oracle/DB_SID /oracle/DB_SID/origlogA /oracle/DB_SID/origlogB /oracle/DB_SID/sapdata1 /oracle/DB_SID/sapdata2
  Mirror Oracle	/oracle/DB_SID/mirrlogA /oracle/DB_SID/mirrlogB /oracle/DB_SID/sapreorg /oracle/DB_SID/saptrace /oracle/DB_SID/saparch /oracle/DB_SID/sapbackup /oracle/DB_SID/sapcheck /oracle/DB_SID/sapdata3 /oracle/DB_SID/sapdata4 /oracle/DB_SID/sapprof
  Pencadangan file redolog offline	/oracle/DB_SID/oraarch
  Penginstalan SAP NetWeaver	/usr/sap
  Direktori SAP NetWeaver yang berisi titik pemasangan untuk sistem file bersama	/sapmnt

• Secara opsional, Anda dapat memperluas deployment untuk menyertakan gateway NAT, yang memungkinkan Anda menyediakan konektivitas internet untuk instance komputasi sekaligus menolak konektivitas internet langsung ke instance tersebut. Anda juga dapat mengonfigurasi instance compute sebagai bastion host yang memungkinkan Anda membuat koneksi SSH ke instance compute lain di subnet pribadi. Untuk mengetahui informasi selengkapnya, lihat gateway NAT dan bastion host.

Kasus penggunaan yang berbeda mungkin memerlukan perangkat tambahan. Untuk informasi selengkapnya, lihat dokumentasi SAP SAP di Oracle.

Persyaratan resource

Dalam banyak hal, menjalankan Database Oracle di sistem berbasis SAP NetWeaver mirip dengan menjalankannya di pusat data Anda sendiri. Anda masih perlu mempertimbangkan resource komputasi, penyimpanan, dan jaringan.

Untuk informasi dari SAP tentang persyaratan resource untuk menjalankan database Oracle, lihat catatan SAP 2799900 - Central Technical Note for Oracle Database 19c.

Konfigurasi instance Compute

Untuk menjalankan Database Oracle untuk aplikasi berbasis SAP NetWeaver di Google Cloud, SAP telah memberikan sertifikasi penggunaan semua jenis mesin Compute Engine, termasuk jenis mesin kustom. Namun, jika Anda menjalankan database Oracle pada instance komputasi yang sama dengan SAP NetWeaver atau Application Server Central Services (ASCS), Anda harus menggunakan instance komputasi yang disertifikasi oleh SAP untuk digunakan dengan SAP NetWeaver. Untuk mengetahui informasi tentang jenis mesin Compute Engine yang dapat Anda gunakan untuk menjalankan SAP NetWeaver, lihat panduan perencanaan SAP NetWeaver.

Untuk mengetahui informasi tentang semua jenis mesin yang tersedia di Google Clouddan kasus penggunaannya, lihat Panduan perbandingan dan resource kelompok mesin dalam dokumentasi Compute Engine.

Konfigurasi CPU

Jumlah vCPU yang Anda perlukan untuk menjalankan Database Oracle bergantung pada beban aplikasi SAP dan tujuan performa Anda. Anda harus mengalokasikan minimum 2 vCPU ke penginstalan Oracle Database. Untuk mendapatkan performa terbaik, skalakan jumlah vCPU dan ukuran block storage hingga tujuan performa Anda terpenuhi.

Konfigurasi memori

Memori yang Anda alokasikan untuk Database Oracle bergantung pada kasus penggunaan Anda. Jumlah memori optimal untuk kasus penggunaan Anda bergantung pada kompleksitas kueri yang Anda jalankan, ukuran data Anda, jumlah paralelisme yang Anda gunakan, dan tingkat performa yang Anda harapkan.

Konfigurasi penyimpanan

Secara default, Compute Engine akan otomatis membuat disk booting saat Anda membuat instance. Anda menyediakan disk tambahan untuk data database, log, dan secara opsional, cadangan database.

Untuk volume instance Database Oracle, gunakan disk yang memenuhi persyaratan performa Anda. Untuk informasi tentang faktor yang menentukan performa disk, lihat Mengonfigurasi disk untuk memenuhi persyaratan performa.

Untuk workload yang sangat penting, sebaiknya gunakan volume Hyperdisk. Untuk mengetahui informasi selengkapnya tentang block storage untuk Oracle Database, lihat Block storage.

Versi dan fitur Database Oracle yang didukung

Untuk menggunakan Database Oracle dengan aplikasi berbasis SAP NetWeaver yang berjalan di Google Cloud, SAP telah memberikan sertifikasi berikut:

• Oracle Database 19c atau yang lebih baru
• Database harus menggunakan kumpulan karakter Unicode.
• Database harus menggunakan sistem file yang telah divalidasi oleh Oracle.
• Anda harus memiliki langganan Dukungan Premier untuk Database Oracle.

Solusi ketersediaan tinggi (HA) berbasis Real Application Clusters (RAC) dan Pacemaker tidak didukung.

Untuk mengetahui informasi selengkapnya, lihat catatan SAP 3559536.

Sistem operasi yang didukung

Untuk menggunakan Database Oracle dengan aplikasi berbasis SAP NetWeaver yang berjalan di Google Cloud, SAP telah memberikan sertifikasi pada sistem operasi berikut:

• Oracle Linux 9 atau Oracle Linux 8, dengan kernel berikut:
  • UEK 7: 5.15.0-1.43.4.2.el9uek.x86_64 atau yang lebih baru
  • UEK 7: 5.15.0-202.135.2.el8uek.x86_64 atau yang lebih baru

Pastikan Anda telah membeli Dukungan Premier Oracle Linux.

Pertimbangan deployment

Bagian ini memberikan informasi untuk merencanakan aspek-aspek seperti lokasi deployment, penyimpanan blok, identifikasi pengguna dan kontrol akses, jaringan, serta pencadangan dan pemulihan untuk Database Oracle Anda.

Merencanakan region dan zona

Saat men-deploy instance Compute Engine, Anda harus memilih region dan zona. Region adalah lokasi geografis tertentu tempat Anda dapat menjalankan resource, dan sesuai dengan satu atau beberapa lokasi pusat data yang relatif dekat satu sama lain. Setiap region memiliki satu atau beberapa zona dengan konektivitas, daya, dan pendingin redundan.

Resource global, seperti disk image dan snapshot disk yang telah dikonfigurasi sebelumnya, dapat diakses di seluruh region dan zona. Resource regional, seperti alamat IP eksternal statis regional, hanya dapat diakses oleh resource yang berada di region yang sama. Resource zonal, seperti instance komputasi dan disk, hanya dapat diakses oleh resource yang terletak di zona yang sama. Untuk mengetahui informasi selengkapnya, lihat Resource global, regional, dan zona.

Saat memilih region dan zona untuk instance komputasi, pertimbangkan hal-hal berikut:

• Lokasi pengguna dan resource internal Anda, seperti pusat data atau jaringan perusahaan. Untuk mengurangi latensi, pilih lokasi yang dekat dengan pengguna dan resource Anda.
• Platform CPU yang tersedia untuk region dan zona tersebut. Misalnya, prosesor Intel Broadwell, Haswell, Skylake, dan Ice Lake didukung untuk workload SAP NetWeaver di Google Cloud.
  • Untuk mengetahui informasi selengkapnya, lihat catatan SAP SAP Note 2456432 - SAP Applications on Google Cloud: Supported Products and Google Cloud machine types .
  • Untuk mengetahui detail tentang region prosesor Haswell, Broadwell, Skylake, dan Ice Lake yang tersedia untuk digunakan dengan Compute Engine, lihat Region dan zona yang tersedia.
• Pastikan Server Aplikasi SAP dan database Anda berada di region yang sama.

Block storage

Untuk persistent block storage, Anda dapat memasang volume Hyperdisk dan Persistent Disk ke instance Compute Engine.

Compute Engine menawarkan berbagai jenis Hyperdisk dan Persistent Disk. Setiap jenis memiliki karakteristik performa yang berbeda. Google Cloud mengelola hardware dasar disk ini untuk memastikan redundansi data, dan mengoptimalkan performa.

Dengan SAP NetWeaver, Anda dapat menggunakan salah satu jenis Hyperdisk atau Persistent Disk berikut:

• Jenis hyperdisk: Hyperdisk Balanced (hyperdisk-balanced) dan Hyperdisk Extreme (hyperdisk-extreme)
  • Hyperdisk Extreme menyediakan opsi throughput dan IOPS maksimum yang lebih tinggi daripada jenis Persistent Disk.
  • Untuk Hyperdisk Extreme, Anda dapat memilih performa yang diperlukan dengan menyediakan IOPS, yang juga menentukan throughput. Untuk mengetahui informasi selengkapnya, lihat Throughput.
  • Untuk Hyperdisk Balanced, Anda dapat memilih performa yang diperlukan dengan menyediakan IOPS dan throughput. Untuk mengetahui informasi selengkapnya, lihat Tentang IOPS dan penyediaan throughput untuk Hyperdisk.
  • Untuk informasi tentang jenis mesin yang mendukung penggunaan Hyperdisk, lihat Dukungan jenis mesin.
• Jenis Persistent Disk: Performa atau SSD (pd-ssd)
  • SSD Persistent Disk didukung oleh solid state drive (SSD). Jenis ini menyediakan block storage yang hemat biaya dan andal.
  • Persistent Disk SSD mendukung Replikasi Asinkron PD. Anda dapat menggunakan fitur ini untuk pemulihan dari bencana aktif-pasif lintas region. Untuk mengetahui informasi selengkapnya, lihat Tentang Replikasi Asinkron Persistent Disk.
  • Performa volume SSD Persistent Disk diskalakan secara otomatis sesuai ukuran. Oleh karena itu, Anda dapat menyesuaikan performa dengan mengubah ukuran volume Persistent Disk yang ada atau menambahkan lebih banyak volume Persistent Disk ke instance Compute Engine.

Jenis instance komputasi yang Anda gunakan dan jumlah vCPU yang ada di dalamnya juga dapat memengaruhi atau membatasi performa persistent disk.

Volume Persistent Disk dan Hyperdisk ditempatkan secara terpisah dari instance komputasi, sehingga Anda dapat melepas atau memindahkan disk untuk menyimpan data, bahkan setelah Anda menghapus instance komputasi.

Di halaman VM instances di konsol Google Cloud, Anda dapat melihat disk yang terpasang di instance VM di bagian Additional disks pada halaman VM instance details untuk setiap instance VM.

Untuk mengetahui informasi selengkapnya tentang berbagai jenis penyimpanan blok yang ditawarkan oleh Compute Engine, karakteristik performanya, dan cara menggunakannya, lihat dokumentasi Compute Engine:

• Memilih jenis disk
• Mengonfigurasikan disk untuk memenuhi persyaratan performa
• Tentang Google Cloud Hyperdisk
• Faktor lain yang memengaruhi performa
• Membuat volume Persistent Disk baru
• Membuat snapshot disk standar dan arsip

Gateway NAT dan bastion host

Jika kebijakan keamanan memerlukan instance komputasi yang benar-benar internal, Anda perlu menyiapkan proxy NAT secara manual di jaringan dan rute yang sesuai agar instance komputasi dapat menjangkau internet. Penting untuk diperhatikan bahwa Anda tidak dapat terhubung ke instance komputasi yang sepenuhnya internal secara langsung menggunakan SSH. Untuk terhubung ke instance internal tersebut, Anda harus menyiapkan instance bastion yang memiliki alamat IP eksternal, lalu melakukan tunnel melaluinya. Jika instance komputasi tidak memiliki alamat IP eksternal, instance tersebut hanya dapat dijangkau oleh instance lain di jaringan, atau melalui gateway VPN terkelola. Anda dapat menyediakan instance komputasi di jaringan Anda agar berfungsi sebagai relai tepercaya untuk koneksi masuk, yang disebut bastion host, atau traffic keluar jaringan, yang disebut gateway NAT. Untuk konektivitas yang lebih transparan tanpa menyiapkan koneksi tersebut, Anda dapat menggunakan resource gateway VPN terkelola.

Menggunakan bastion host untuk koneksi masuk

Bastion host menyediakan titik masuk eksternal yang terhubung ke jaringan yang berisi instance komputasi jaringan pribadi. Host ini dapat menyediakan satu titik fortifikasi atau audit, dan dapat dimulai dan dihentikan untuk mengaktifkan atau menonaktifkan komunikasi SSH masuk dari internet.

Gambar berikut menunjukkan cara host bastion yang menghubungkan instance komputasi eksternal dan internal terhubung menggunakan SSH:

Untuk menggunakan SSH guna terhubung ke instance komputasi yang tidak memiliki alamat IP eksternal, Anda harus terhubung ke bastion host terlebih dahulu. Hardening lengkap host bastion berada di luar cakupan panduan ini, tetapi Anda dapat mengambil beberapa langkah awal, termasuk:

• Membatasi rentang IP sumber CIDR yang dapat berkomunikasi dengan bastion.
• Konfigurasikan aturan firewall untuk mengizinkan traffic SSH ke instance komputasi pribadi hanya dari host bastion.

Secara default, SSH pada instance Compute Engine dikonfigurasi untuk menggunakan kunci pribadi untuk autentikasi. Saat menggunakan bastion host, Anda login ke bastion host terlebih dahulu, lalu ke instance komputasi pribadi target Anda. Karena login dengan dua langkah ini, Anda harus menggunakan penerusan agen SSH untuk menjangkau instance target, bukan menyimpan kunci pribadi instance target di bastion host. Meskipun jika bastion menggunakan pasangan kunci yang sama, Anda tetap harus melakukannya karena bastion hanya memiliki akses langsung ke separuh pasangan kunci secara publik.

Menggunakan gateway NAT untuk traffic keluar

Jika tidak memiliki alamat IP eksternal yang ditetapkan, instance Compute Engine tidak dapat membuat koneksi langsung ke layanan eksternal, termasuk layananGoogle Cloud lainnya. Agar instance ini dapat menjangkau layanan di internet, Anda dapat menyiapkan dan mengonfigurasi gateway NAT. Gateway NAT adalah instance yang dapat merutekan traffic atas nama instance lain di jaringan. Anda hanya boleh memiliki satu gateway NAT untuk setiap jaringan. Perhatikan bahwa gateway NAT instance tunggal tidak boleh dianggap sangat tersedia, dan tidak dapat mendukung throughput traffic tinggi untuk beberapa instance. Untuk informasi tentang cara menyiapkan instance komputasi agar berfungsi sebagai gateway NAT, lihat Menyiapkan gateway NAT.

Image kustom

Setelah sistem aktif dan berjalan, Anda dapat membuat image kustom. Sebaiknya buat image ini saat Anda mengubah status disk booting dan ingin dapat memulihkan status baru. Anda juga harus memiliki rencana untuk mengelola image kustom yang dibuat. Untuk informasi selengkapnya, lihat Praktik terbaik pengelolaan image.

Identifikasi pengguna dan akses resource

Saat merencanakan keamanan untuk deployment SAP di Google Cloud, Anda harus mengidentifikasi:

• Akun pengguna dan aplikasi yang memerlukan akses ke resourceGoogle Cloud di project Google Cloud Anda
• Resource Google Cloud tertentu dalam project Anda yang perlu diakses oleh setiap pengguna

Anda harus menambahkan setiap pengguna ke project dengan menambahkan ID akun Google-nya ke project sebagai akun utama. Untuk program aplikasi yang menggunakan resourceGoogle Cloud , Anda membuat akun layanan, yang memberikan identitas pengguna untuk program dalam project Anda.

VM Compute Engine memiliki akun layanannya sendiri. Setiap program yang berjalan di VM dapat menggunakan akun layanan VM, selama akun layanan VM tersebut memiliki izin resource yang diperlukan program.

Setelah mengidentifikasi resource Google Cloud yang perlu digunakan oleh setiap pengguna, Anda memberikan izin kepada setiap pengguna untuk menggunakan setiap resource dengan menetapkan peran khusus resource kepada pengguna tersebut. Tinjau peran yang telah ditetapkan yang disediakan IAM untuk setiap resource, dan tetapkan peran kepada setiap pengguna yang memberikan izin cukup untuk menyelesaikan tugas atau fungsi pengguna, dan tidak lebih dari itu.

Jika memerlukan kontrol yang lebih terperinci atau ketat atas izin daripada yang diberikan oleh peran IAM yang telah ditetapkan, Anda dapat membuat peran khusus.

Untuk mengetahui informasi selengkapnya tentang peran IAM yang diperlukan program SAP di Google Cloud, lihat Pengelolaan akses dan identitas untuk program SAP di Google Cloud.

Untuk mengetahui ringkasan pengelolaan akses dan identitas untuk SAP diGoogle Cloud, lihat Ringkasan pengelolaan akses dan identitas untuk SAP di Google Cloud.

Networking dan keamanan jaringan

Saat Anda merencanakan jaringan dan keamanan, pertimbangkan informasi di bagian berikut.

Model hak istimewa minimum

Salah satu garis pertahanan pertama Anda adalah membatasi siapa yang dapat menjangkau jaringan dan VM Anda dengan menggunakan firewall. Secara default, semua traffic ke VM, bahkan dari VM lain, diblokir oleh firewall, kecuali jika Anda membuat aturan untuk mengizinkan akses. Pengecualiannya adalah jaringan default yang dibuat secara otomatis dengan setiap project dan memiliki aturan firewall default.

Dengan membuat aturan firewall, Anda dapat membatasi semua traffic di sekumpulan port tertentu ke alamat IP sumber tertentu. Sebaiknya ikuti model hak istimewa minimum untuk membatasi akses ke alamat IP, protokol, dan port tertentu yang memerlukan akses. Misalnya, sebaiknya Anda selalu menyiapkan bastion host dan mengizinkan koneksi SSH ke sistem SAP NetWeaver hanya dari host tersebut.

Pengelolaan Akses

Memahami cara kerja pengelolaan akses di Google Cloud adalah kunci untuk merencanakan penerapan Anda. Anda perlu membuat keputusan tentang:

• Cara mengatur resource Anda di Google Cloud.
• Anggota tim mana yang dapat mengakses dan bekerja dengan resource.
• Izin yang dapat dimiliki setiap anggota tim.
• Layanan dan aplikasi mana yang perlu menggunakan akun layanan tertentu, dan tingkat izin yang harus diberikan dalam setiap kasus.

Mulailah dengan memahami Hierarki Resource Cloud Platform. Penting bagi Anda untuk memahami berbagai container resource, bagaimana terkait satu sama lain, dan di mana batas akses dibuat.

Identity and Access Management (IAM) memberikan kontrol terpadu atas izin untuk resourceGoogle Cloud . Anda dapat mengelola kontrol akses dengan menentukan siapa yang memiliki akses apa ke resource. Misalnya, Anda dapat mengontrol siapa yang dapat menjalankan operasi bidang kontrol pada instance SAP, seperti membuat dan mengubah VM, persistent disk, dan jaringan.

Untuk mengetahui detail selengkapnya tentang IAM, lihat Ringkasan IAM.

Untuk ringkasan IAM di Compute Engine, lihat Opsi Kontrol Akses.

Peran IAM adalah kunci untuk memberikan izin kepada pengguna. Untuk referensi tentang peran dan izin yang diberikan, lihat Peran Identity and Access Management.

Akun layananGoogle Cloudmenyediakan cara bagi Anda untuk memberikan izin ke aplikasi dan layanan. Anda perlu memahami cara kerja akun layanan di Compute Engine. Untuk mengetahui detailnya, lihat Akun Layanan.

Jaringan kustom dan aturan firewall

Anda dapat menggunakan jaringan untuk menentukan IP gateway dan rentang jaringan untuk VM yang terpasang ke jaringan tersebut. Semua jaringan Compute Engine menggunakan protokol IPv4. Setiap project Google Cloud dilengkapi dengan jaringan default dengan konfigurasi preset dan aturan firewall. Namun, sebaiknya tambahkan aturan firewall dan subnetwork kustom berdasarkan model hak istimewa minimum. Secara default, jaringan yang baru dibuat tidak memiliki aturan firewall sehingga tidak memiliki akses jaringan.

Bergantung pada persyaratannya, Anda dapat menambahkan subnetwork tambahan untuk mengisolasi bagian jaringan. Untuk mengetahui informasi selengkapnya, lihat Subnetwork.

Aturan firewall berlaku untuk seluruh jaringan dan semua VM di jaringan. Anda dapat menambahkan aturan firewall yang mengizinkan traffic antara VM di jaringan yang sama dan di seluruh subnetwork. Anda juga dapat mengonfigurasi firewall untuk diterapkan ke VM target tertentu menggunakan mekanisme pemberian tag.

Beberapa produk SAP, seperti SAP NetWeaver, memerlukan akses ke port tertentu. Pastikan untuk menambahkan aturan firewall guna mengizinkan akses ke port yang diuraikan oleh SAP.

Rute

Rute adalah resource global yang terhubung ke satu jaringan. Rute yang dibuat pengguna berlaku untuk semua VM di jaringan. Artinya, Anda dapat menambahkan rute yang meneruskan traffic dari VM ke VM dalam jaringan yang sama dan di seluruh subnetwork tanpa memerlukan alamat IP eksternal.

Untuk akses eksternal ke resource internet, luncurkan VM tanpa alamat IP eksternal dan konfigurasikan mesin virtual lain sebagai gateway NAT. Konfigurasi ini mengharuskan Anda menambahkan gateway NAT sebagai rute untuk instance SAP. Untuk mengetahui informasi selengkapnya, lihat gateway NAT dan bastion host.

Cloud VPN

Anda dapat menghubungkan jaringan yang ada ke Google Cloud dengan aman melalui koneksi VPN menggunakan IPsec dengan menggunakan Cloud VPN. Traffic yang beralih di antara dua jaringan tersebut dienkripsi oleh satu gateway VPN, lalu didekripsi oleh gateway VPN lainnya. Ini melindungi data Anda saat berpindah melalui internet. Anda dapat secara dinamis mengontrol VM yang dapat mengirimkan traffic ke VPN menggunakan tag instance pada rute. Tunnel Cloud VPN ditagih dengan tarif bulanan statis ditambah tagihan traffic keluar standar. Perlu diperhatikan bahwa menghubungkan dua jaringan dalam project yang sama masih akan dikenai biaya traffic keluar standar. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud VPN dan Membuat VPN.

Mengamankan bucket Cloud Storage

Jika menggunakan Cloud Storage untuk menghosting cadangan untuk data dan log, pastikan Anda menggunakan TLS (HTTPS) saat mengirim data ke Cloud Storage dari VM untuk melindungi data dalam pengiriman. Cloud Storage secara otomatis mengenkripsi data dalam penyimpanan. Anda dapat menentukan kunci enkripsi sendiri jika memiliki sistem pengelolaan kunci Anda sendiri.

Dokumen keamanan terkait

Untuk referensi keamanan tambahan bagi lingkungan SAP Anda di Google Cloud, lihat hal berikut:

• Menghubungkan ke Instance VM dengan aman
• Google Cloud security
• Pusat referensi kepatuhan
• Ringkasan keamanan Google
• Ringkasan desain keamanan infrastruktur Google

Pencadangan dan pemulihan

Anda harus memiliki rencana cara memulihkan sistem ke kondisi operasi jika terjadi hal terburuk. Untuk panduan umum terkait cara merencanakan pemulihan dari bencana menggunakan Google Cloud, lihat Panduan perencanaan pemulihan dari bencana.

Dukungan

Untuk masalah terkait infrastruktur atau layanan Google Cloud , hubungi Layanan Pelanggan. Anda dapat menemukan informasi kontak di halaman Ringkasan Dukungan di Konsol Google Cloud. Jika Layanan Pelanggan menentukan bahwa ada masalah dalam sistem SAP, Anda akan dirujuk ke Dukungan SAP.

Untuk masalah terkait produk SAP, catat permintaan dukungan Anda ke dalam log dengan dukungan SAP. SAP mengevaluasi tiket dukungan dan, jika tampaknya merupakan masalah infrastruktur Google Cloud, SAP akan mentransfer tiket tersebut ke komponenGoogle Cloud yang sesuai dalam sistemnya: BC-OP-LNX-GOOGLE atau BC-OP-NT-GOOGLE.

Persyaratan dukungan

Untuk menerima dukungan dari Oracle dan SAP untuk Database Oracle berbasis Oracle Linux, pastikan Anda telah membeli Dukungan Premier Oracle Linux.

Sebelum dapat menerima dukungan untuk sistem SAP serta infrastruktur dan layananGoogle Cloudyang digunakannya, Anda harus memenuhi persyaratan paket dukungan minimum.

Untuk mengetahui informasi selengkapnya tentang persyaratan dukungan minimum untuk SAP diGoogle Cloud, lihat:

• Mendapatkan dukungan untuk SAP di Google Cloud
• Catatan SAP 2456406 - SAP di Google Cloud Platform: Prasyarat Dukungan (Akun pengguna SAP diperlukan)

Langkah selanjutnya

• Untuk men-deploy Database Oracle dengan Oracle Linux untuk aplikasi berbasis SAP NetWeaver yang berjalan di Google Cloud, lihat Men-deploy Database Oracle untuk SAP NetWeaver.