Pianifica l'implementazione del database Oracle per SAP NetWeaver

Questa guida fornisce dettagli che puoi utilizzare per pianificare l'implementazione di Oracle Database 19c o versioni successive su Oracle Linux, che supporta le applicazioni basate su SAP NetWeaver in esecuzione su Google Cloud.

Per informazioni su come eseguire il deployment di un database Oracle 19c o versioni successive su Oracle Linux per i sistemi SAP in esecuzione su Google Cloud, consulta Eseguire il deployment di Oracle Database per SAP NetWeaver.

Licenze

Per eseguire un database Oracle con sistemi SAP su Google Cloud, devi portare la tua licenza (BYOL) per Oracle Database 19c o versioni successive.

Devi anche acquistare l'assistenza Premier di Oracle Linux. Per ulteriori informazioni, consulta la nota SAP 3408032 - Oracle Linux: operating system support process.

Per informazioni sull'esecuzione di un database Oracle 19c con prodotti e soluzioni basati su SAP NetWeaver, consulta la nota SAP 2799900 - Nota tecnica centrale per Oracle Database 19c.

Google Cloud basics

Google Cloud è composto da molti prodotti e servizi basati su cloud. Quando esegui i prodotti SAP su Google Cloud, utilizzi principalmente i servizi basati su IaaS offerti tramite Compute Engine e Cloud Storage, nonché alcune funzionalità a livello di piattaforma, come gli strumenti.

Consulta la panoramica della piattaforma per informazioni sui concetti e sulla terminologia importanti.Google Cloud Questa guida duplica alcune informazioni della panoramica per praticità e contesto.

Per una panoramica delle considerazioni che le organizzazioni di grandi dimensioni devono tenere conto quando eseguono Google Cloud, consulta il Framework di architettura.Google Cloud

Interazione con Google Cloud

Google Cloud offre tre modi principali per interagire con la piattaforma e le tue risorse nel cloud:

• La console Google Cloud, che è un'interfaccia utente basata sul web.
• Lo strumento a riga di comando gcloud, che fornisce un superset delle funzionalità offerte dalla console Google Cloud.
• Librerie client, che forniscono API per accedere ai servizi e gestire le risorse. Le librerie client sono utili per creare i tuoi strumenti.

Google Cloud servizi

I deployment SAP in genere utilizzano alcuni o tutti i seguenti Google Cloud servizi:

Servizio	Descrizione
Networking VPC	Connette le istanze VM tra loro e a internet. Ogni istanza VM fa parte di una rete precedente con un singolo intervallo IP globale o di una rete di subnet consigliata, in cui l'istanza VM fa parte di una singola subnet che fa parte di una rete più grande. Tieni presente che una rete Virtual Private Cloud (VPC) non può essere distribuita su più progetti Google Cloud, ma un progetto Google Cloud può avere più reti VPC. Per connettere risorse di più progetti a una rete VPC comune, puoi utilizzare la VPC condivisa, in modo che le risorse possano comunicare tra loro in modo sicuro ed efficiente utilizzando gli indirizzi IP interni di quella rete. Per informazioni su come eseguire il provisioning di un VPC condiviso, inclusi requisiti, passaggi di configurazione e utilizzo, consulta Eseguire il provisioning di un VPC condiviso.
Compute Engine	Crea e gestisce le VM con il sistema operativo e lo stack di software che preferisci.
Persistent Disk e Hyperdisk	Puoi utilizzare Persistent Disk e Google Cloud Hyperdisk: I volumi su disco permanente sono disponibili come unità disco rigido standard (HDD) o unità a stato solido (SSD). Per i dischi permanenti bilanciati e i dischi permanenti SSD, Replica asincrona DP fornisce la replica asincrona dei dati SAP tra due regioni Google Cloud . I volumi Hyperdisk Extreme offrono opzioni di IOPS e throughput massimi superiori rispetto ai volumi dei dischi permanenti SSD. Per impostazione predefinita, Compute Engine cripta i contenuti at-rest dei clienti, inclusi i contenuti all'interno dei volumi di dischi permanenti e Hyperdisk. Per ulteriori informazioni sulla crittografia del disco e sulle possibili opzioni di crittografia, consulta Informazioni sulla crittografia del disco.
Console Google Cloud	Uno strumento basato su browser per la gestione delle risorse Compute Engine. Utilizza un modello per descrivere tutte le risorse e le istanze Compute Engine di cui hai bisogno. Non devi creare e configurare singolarmente le risorse o capire le dipendenze perché la console Google Cloud lo fa per te.
Cloud Storage	Puoi archiviare i backup del database SAP in Cloud Storage per una maggiore durabilità e affidabilità, con la replica.
Cloud Monitoring	Offre visibilità sul deployment, sulle prestazioni, sull'uptime e sull'integrità dei dischi di Compute Engine, di rete e di archiviazione permanente. Monitoring raccoglie metriche, eventi e metadati da Google Cloud e li utilizza per generare informazioni significative tramite dashboard, grafici e avvisi. Puoi monitorare le metriche di calcolo senza costi tramite monitoring.
IAM	Fornisce un controllo unificato sulle autorizzazioni per le risorse Google Cloud . IAM ti consente di controllare chi può eseguire operazioni di piano di controllo sulle tue VM, tra cui creazione, modifica ed eliminazione di VM e dischi di archiviazione permanente, nonché creazione e modifica di reti.

Prezzi e quote

Puoi utilizzare il Calcolatore prezzi per stimare i costi di utilizzo. Per ulteriori informazioni sui prezzi, consulta Prezzi di Compute Engine, Prezzi di Cloud Storage e Prezzi di Google Cloud Observability.

Google Cloud sono soggette a quote. Se prevedi di utilizzare macchine con più CPU o con molta memoria, potresti dover richiedere una quota aggiuntiva. Per ulteriori informazioni, consulta Quote delle risorse di Compute Engine.

Conformità e controlli di sovranità

Se vuoi che il tuo carico di lavoro SAP venga eseguito in conformità con i requisiti di residenza dei dati, controllo dell'accesso, personale di assistenza o normativi, devi pianificare l'utilizzo di Assured Workloads, un servizio che ti aiuta a eseguire carichi di lavoro sicuri e conformi su Google Cloud senza compromettere la qualità della tua esperienza cloud. Per ulteriori informazioni, vedi Controlli di conformità e sovranità per SAP su Google Cloud.

Architettura di deployment

Per le applicazioni basate su SAP NetWeaver in esecuzione su Google Cloud, un'istanza Oracle Database a un solo nodo convenzionale è composta dai seguenti componenti:

• Un'istanza Compute Engine che esegue il tuo database Oracle.

• Volumi di dischi permanenti o Hyperdisk per le seguenti unità. Ti consigliamo vivamente di utilizzare i volumi Hyperdisk.

  Contenuti di Drive	Directory Linux
  Installazione di Oracle	/oracle/DB_SID /oracle/DB_SID/origlogA /oracle/DB_SID/origlogB /oracle/DB_SID/sapdata1 /oracle/DB_SID/sapdata2
  Specchio Oracle	/oracle/DB_SID/mirrlogA /oracle/DB_SID/mirrlogB /oracle/DB_SID/sapreorg /oracle/DB_SID/saptrace /oracle/DB_SID/saparch /oracle/DB_SID/sapbackup /oracle/DB_SID/sapcheck /oracle/DB_SID/sapdata3 /oracle/DB_SID/sapdata4 /oracle/DB_SID/sapprof
  Backup del file redolog offline	/oracle/DB_SID/oraarch
  Installazione di SAP NetWeaver	/usr/sap
  Directory SAP NetWeaver contenente i punti di montaggio per i sistemi di file condivisi	/sapmnt

• Se vuoi, puoi espandere il tuo deployment in modo da includere un gateway NAT, che consente di fornire connettività a internet per l'istanza di calcolo, impedendo al contempo la connettività a internet diretta. Puoi anche configurare l'istanza di calcolo come bastion host che ti consente di stabilire connessioni SSH alle altre istanze di calcolo nella tua subnet privata. Per ulteriori informazioni, consulta Gateway NAT e host bastioni.

Casi d'uso diversi potrebbero richiedere dispositivi aggiuntivi. Per ulteriori informazioni, consulta la documentazione di SAP su SAP on Oracle.

Requisiti delle risorse

In molti modi, l'esecuzione di un database Oracle in un sistema basato su SAP NetWeaver è simile all'esecuzione nel tuo data center. Devi comunque tenere conto delle considerazioni relative a risorse di calcolo, archiviazione e networking.

Per informazioni di SAP sui requisiti delle risorse per l'esecuzione di un database Oracle, consulta la nota SAP 2799900 - Nota tecnica centrale per Oracle Database 19c.

Configurazione dell'istanza di calcolo

Per eseguire un database Oracle per applicazioni basate su SAP NetWeaver su Google Cloud, SAP ha certificato l'utilizzo di tutti i tipi di macchine Compute Engine, inclusi i tipi di macchine personalizzate. Tuttavia, se esegui il database Oracle sulla stessa istanza di calcolo di SAP NetWeaver o Application Server Central Services (ASCS), devi utilizzare un'istanza di calcolo certificata da SAP per l'utilizzo con SAP NetWeaver. Per informazioni sui tipi di macchine Compute Engine che puoi utilizzare per eseguire SAP NetWeaver, consulta la guida alla pianificazione di SAP NetWeaver.

Per informazioni su tutti i tipi di macchine disponibili su Google Cloud e sui relativi casi d'uso, consulta Guida alle risorse e al confronto per le famiglie di macchine nella documentazione di Compute Engine.

Configurazione della CPU

Il numero di vCPU necessarie per eseguire un database Oracle dipende dal carico dell'applicazione SAP e dagli obiettivi di rendimento. Devi allocare almeno 2 vCPU all'installazione di Oracle Database. Per ottenere le migliori prestazioni, scala il numero di vCPU e le dimensioni dell'archiviazione a blocchi fino a raggiungere i tuoi obiettivi di prestazioni.

Configurazione della memoria

La memoria allocata per il database Oracle dipende dal caso d'uso. La quantità ottimale di memoria per il tuo caso d'uso dipende dalla complessità delle query che stai eseguendo, dalle dimensioni dei dati, dalla quantità di parallelismo che stai utilizzando e dal livello di prestazioni che prevedi.

Configurazione dello spazio di archiviazione

Per impostazione predefinita, Compute Engine crea automaticamente un disco di avvio quando crei un'istanza. Esegui il provisioning di dischi aggiuntivi per i dati, i log e, facoltativamente, i backup del database.

Per i volumi dell'istanza Oracle Database, utilizza i dischi che soddisfano i tuoi requisiti di prestazioni. Per informazioni sui fattori che determinano le prestazioni del disco, consulta Configurare i dischi per soddisfare i requisiti di prestazioni.

Per i carichi di lavoro mission-critical, ti consigliamo vivamente di utilizzare i volumi Hyperdisk. Per ulteriori informazioni sullo spazio di archiviazione a blocchi per il tuo database Oracle, consulta Spazio di archiviazione a blocchi.

Versioni e funzionalità del database Oracle supportate

Per utilizzare i database Oracle con applicazioni basate su SAP NetWeaver in esecuzione su Google Cloud, SAP ha certificato quanto segue:

• Oracle Database 19c o versioni successive
• Il database deve utilizzare il set di caratteri Unicode.
• Il database deve utilizzare un file system convalidato da Oracle.
• Devi disporre di un abbonamento Premier Support per il tuo database Oracle.

Le soluzioni ad alta disponibilità (HA) basate su Real Application Clusters (RAC) e Pacemaker non sono supportate.

Per ulteriori informazioni, consulta la nota SAP 3559536.

Sistemi operativi supportati

Per utilizzare i database Oracle con applicazioni basate su SAP NetWeaver in esecuzione su Google Cloud, SAP ha certificato i seguenti sistemi operativi:

• Oracle Linux 9 o Oracle Linux 8, con il seguente kernel:
  • UEK 7: 5.15.0-1.43.4.2.el9uek.x86_64 o versioni successive
  • UEK 7: 5.15.0-202.135.2.el8uek.x86_64 o versioni successive

Assicurati di aver acquistato l'assistenza Premier di Oracle Linux.

Considerazioni sul deployment

Questa sezione fornisce informazioni per la pianificazione di aspetti quali posizione del deployment, archiviazione a blocchi, identificazione utente e controllo dell'accesso, rete, backup e recupero per il tuo database Oracle.

Pianificare regioni e zone

Quando esegui il deployment di un'istanza Compute Engine, devi scegliere una regione e una zona. Una regione è una località geografica specifica in cui puoi eseguire le tue risorse e corrisponde a una o più sedi di data center relativamente vicine tra loro. Ogni regione è composta da una o più zone con connettività, alimentazione e raffreddamento ridondanti.

Le risorse globali, come le immagini e gli snapshot dei dischi preconfigurati, possono essere accesse in regioni e zone diverse. Le risorse regionali, come gli indirizzi IP esterni statici regionali, sono accessibili solo alle risorse che si trovano nella stessa regione. Le risorse di zona, come istanze di calcolo e dischi, possono essere accedute solo da risorse che si trovano nella stessa zona. Per ulteriori informazioni, consulta Risorse globali, regionali e a livello di zona.

Quando scegli una regione e una zona per le tue istanze di calcolo, tieni presente quanto segue:

• La posizione degli utenti e delle risorse interne, ad esempio il data center o la rete aziendale. Per ridurre la latenza, seleziona una località in prossimità di utenti e risorse.
• Le piattaforme CPU disponibili per la regione e la zona. Ad esempio, i processori Intel Broadwell, Haswell, Skylake e Ice Lake sono supportati per i carichi di lavoro di SAP NetWeaver su Google Cloud.
  • Per saperne di più, consulta la nota SAP Nota SAP 2456432 - Applicazioni SAP su Google Cloud: prodotti e Google Cloud tipi di macchine supportati .
  • Per informazioni dettagliate sulle regioni in cui è possibile utilizzare i processori Haswell, Broadwell, Skylake e Ice Lake con Compute Engine, consulta Regioni e zone disponibili.
• Assicurati che il server di applicazioni SAP e il database si trovino nella stessa regione.

Archiviazione a blocchi

Per lo spazio di archiviazione a blocchi permanente, puoi collegare i volumi Hyperdisk e Persistent Disk alle tue istanze Compute Engine.

Compute Engine offre diversi tipi di Hyperdisk e Persistent Disk. Ogni tipo ha caratteristiche di prestazioni diverse. Google Cloud gestisce l'hardware sottostante di questi dischi per garantire la ridondanza dei dati e ottimizzare le prestazioni.

Con SAP NetWeaver, puoi utilizzare uno dei seguenti tipi di Hyperdisk o disco permanente:

• Tipi di Hyperdisk: Hyperdisk bilanciato (hyperdisk-balanced) e Hyperdisk Extreme (hyperdisk-extreme)
  • Hyperdisk Extreme offre opzioni di IOPS e throughput massimi superiori rispetto ai tipi di disco permanente.
  • Per Hyperdisk Extreme, seleziona le prestazioni di cui hai bisogno tramite il provisioning delle IOPS, che determinano anche il throughput. Per maggiori informazioni, consulta la sezione Throughput.
  • Per Hyperdisk bilanciato, seleziona le prestazioni di cui hai bisogno mediante il provisioning di IOPS e throughput. Per ulteriori informazioni, consulta Informazioni sul provisioning di IOPS e throughput per HyperDisk.
  • Per informazioni sui tipi di macchine che supportano l'utilizzo di Hyperdisk, consulta Supporto dei tipi di macchine.
• Tipi di dischi permanenti: prestazionale o SSD (pd-ssd)
  • Il disco permanente SSD è supportato da unità a stato solido (SSD). Fornisce un'archiviazione a blocchi affidabile e conveniente.
  • Il disco permanente SSD supporta la replica asincrona del disco permanente. Puoi utilizzare questa funzionalità per il disaster recovery attivo-passivo tra regioni. Per ulteriori informazioni, consulta Informazioni sulla replica asincrona dei dischi permanenti.
  • Le prestazioni dei volumi dei dischi permanenti SSD aumentano automaticamente in base alle dimensioni. Di conseguenza, puoi regolare le prestazioni ridimensionando i volumi dei dischi permanenti esistenti o aggiungendone altri a un'istanza Compute Engine.

Anche il tipo di istanza di calcolo in uso e il numero di vCPU che contiene possono influire o limitare le prestazioni del disco permanente.

I volumi di dischi permanenti e Hyperdisk si trovano indipendentemente dalle istanze di calcolo, per consentirti di scollegare o spostare i dischi per conservare i dati, anche dopo aver eliminato le istanze di calcolo.

Nella pagina Istanze VM della console Google Cloud, puoi vedere i dischi collegati alle tue istanze VM in Dischi aggiuntivi nella pagina Dettagli istanza VM per ogni istanza VM.

Per ulteriori informazioni sui diversi tipi di archiviazione a blocchi offerti da Compute Engine, sulle relative caratteristiche di prestazioni e su come utilizzarli, consulta la documentazione di Compute Engine:

• Scegliere un tipo di disco
• Configurare i dischi per soddisfare i requisiti di prestazioni
• Informazioni su Google Cloud Hyperdisk
• Altri fattori che influiscono sul rendimento
• Creare un nuovo volume del disco permanente
• Creare snapshot di dischi standard e di archivio

Gateway NAT e host bastioni

Se i tuoi criteri di sicurezza richiedono istanze di calcolo veramente interne, devi configurare manualmente un proxy NAT sulla tua rete e una route corrispondente in modo che le istanze di calcolo possano raggiungere internet. È importante notare che non puoi connetterti direttamente a un'istanza di calcolo completamente interna utilizzando SSH. Per collegarti a queste istanze interne, devi configurare un'istanza bastionata con un indirizzo IP esterno e poi eseguire il tunnel tramite questa istanza. Quando le istanze di calcolo non hanno indirizzi IP esterni, possono essere raggiunte solo da altre istanze sulla rete o tramite un gateway VPN gestito. Puoi eseguire il provisioning di istanze di calcolo nella tua rete in modo che agiscano da relè attendibili per le connessioni in entrata, chiamate bastioni host, o per l'uscita della rete, chiamate gateway NAT. Per una connettività più trasparente senza configurare queste connessioni, puoi utilizzare una risorsa gateway VPN gestita.

Utilizzo di bastion host per le connessioni in entrata

I bastion host forniscono un punto di accesso rivolto verso l'esterno per entrare in una rete contenente istanze di calcolo di reti private. Questo host può fornire un unico punto di fortification o audit e può essere avviato e interrotto per attivare o disattivare la comunicazione SSH in entrata da internet.

L'immagine seguente mostra come un bastion host che connette istanze di calcolo esterne e interne si connette tramite SSH:

Per utilizzare SSH per connetterti alle istanze di calcolo che non dispongono di un indirizzo IP esterno, devi prima connetterti a un bastion host. L'hardening completo di un bastion host non rientra nell'ambito di questa guida, ma puoi seguire alcuni passaggi iniziali, tra cui:

• Limita l'intervallo CIDR degli IP di origine che possono comunicare con il bastion.
• Configura le regole del firewall per consentire il traffico SSH alle istanze di calcolo private solo dal bastion host.

Per impostazione predefinita, SSH sulle istanze Compute Engine è configurato per utilizzare chiavi private per l'autenticazione. Quando utilizzi un bastion host, accedi prima al bastion host e poi all'istanza di calcolo privata di destinazione. A causa di questo accesso in due passaggi, devi utilizzare il reindirizzamento dell'agente SSH per raggiungere l'istanza di destinazione anziché memorizzare la chiave privata dell'istanza di destinazione sul bastion host. Devi farlo anche se utilizzi la stessa coppia di chiavi sia per l'istanza bastion che per quella di destinazione, poiché il bastion ha accesso diretto solo alla metà pubblica della coppia di chiavi.

Utilizzo di gateway NAT per l'uscita del traffico

Quando un'istanza Compute Engine non ha un indirizzo IP esterno assegnato, non può effettuare collegamenti diretti a servizi esterni, inclusi altri serviziGoogle Cloud . Per consentire a queste istanze di raggiungere i servizi su internet, puoi impostare e configurare un gateway NAT. Il gateway NAT è un'istanza che può instradare il traffico per conto di qualsiasi altra istanza sulla rete. Devi avere un solo gateway NAT per ogni rete. Tieni presente che un gateway NAT a istanza singola non deve essere considerato ad alta disponibilità e non può supportare un throughput elevato del traffico per più istanze. Per informazioni su come configurare un'istanza di calcolo in modo che agisca come gateway NAT, consulta Configurare un gateway NAT.

Immagini personalizzate

Una volta che il sistema è attivo e funzionante, puoi creare immagini personalizzate. Ti consigliamo di creare queste immagini quando modifichi lo stato del disco di avvio e vuoi poter ripristinare il nuovo stato. Devi anche avere un piano per gestire le immagini personalizzate che crei. Per ulteriori informazioni, consulta le best practice per la gestione delle immagini.

Identificazione utente e accesso alle risorse

Quando pianifichi la sicurezza per un deployment SAP su Google Cloud, devi identificare:

• Gli account utente e le applicazioni che devono accedere alle Google Cloud risorse del tuo Google Cloud progetto
• Le risorse Google Cloud specifiche del progetto a cui ogni utente deve accedere

Devi aggiungere ogni utente al progetto aggiungendo il relativo ID Account Google come principale. Per un programma di applicazione che utilizza risorseGoogle Cloud , crei un account di servizio che fornisce un'identità utente per il programma all'interno del progetto.

Le VM Compute Engine hanno un proprio account di servizio. Tutti i programmi eseguiti su una VM possono utilizzare l'account di servizio della VM, a condizione che l'account di servizio della VM disponga delle autorizzazioni delle risorse necessarie al programma.

Dopo aver identificato le Google Cloud risorse di cui ogni utente deve poter usufruire, devi concedere a ogni utente l'autorizzazione a utilizzare ogni risorsa assegnandogli ruoli specifici per le risorse. Esamina i ruoli predefiniti forniti dall'IAM per ogni risorsa e assegna a ogni utente ruoli che forniscono autorizzazioni sufficienti per completare le attività o le funzioni dell'utente e non di più.

Se hai bisogno di un controllo più granulare o restrittivo sulle autorizzazioni rispetto a quello fornito dai ruoli IAM predefiniti, puoi creare ruoli personalizzati.

Per saperne di più sui ruoli IAM di cui hanno bisogno i programmi SAP su Google Cloud, consulta Gestione di identità e accessi per i programmi SAP su Google Cloud.

Per una panoramica della gestione di identità e accessi per SAP su Google Cloud, consulta la Panoramica della gestione di identità e accessi per SAP su Google Cloud.

Networking e sicurezza della rete

Quando pianifichi la rete e la sicurezza, prendi in considerazione le informazioni riportate nelle seguenti sezioni.

Modello di privilegio minimo

Una delle prime linee di difesa è limitare chi può raggiungere la tua rete e le tue VM utilizzando i firewall. Per impostazione predefinita, tutto il traffico verso le VM, anche da altre VM, viene bloccato dal firewall a meno che non crei regole per consentire l'accesso. L'eccezione è la rete predefinita, che viene creata automaticamente con ogni progetto e ha regole firewall predefinite.

Creando regole firewall, puoi limitare tutto il traffico su un determinato insieme di porte a indirizzi IP di origine specifici. Ti consigliamo di seguire il modello di privilegio minimo per limitare l'accesso agli indirizzi IP, ai protocolli e alle porte specifici che richiedono l'accesso. Ad esempio, ti consigliamo di configurare sempre un host bastione e di consentire le connessioni SSH al sistema SAP NetWeaver solo da quell'host.

Gestione degli accessi

Comprendere come funziona la gestione dell'accesso in Google Cloud è fondamentale per pianificare l'implementazione. Devi prendere decisioni su:

• Come organizzare le risorse in Google Cloud.
• Quali membri del team possono accedere alle risorse e utilizzarle.
• Le autorizzazioni esatte che ogni membro del team può avere.
• Quali servizi e applicazioni devono utilizzare quali account di servizio e qual è il livello di autorizzazioni da concedere in ogni caso.

.

Per iniziare, comprendi la gerarchia delle risorse della piattaforma cloud. È importante comprendere quali sono i vari contenitori di risorse, come si relazionano tra loro e dove vengono creati i confini di accesso.

Identity and Access Management (IAM) fornisce un controllo unificato delle autorizzazioni per le risorseGoogle Cloud . Puoi gestire il controllo dell'accesso definendo chi ha accesso alle risorse e di che tipo. Ad esempio, puoi controllare chi può eseguire operazioni di piano di controllo sulle tue istanze SAP, come la creazione e la modifica di VM, dischi permanenti e reti.

Per ulteriori dettagli su IAM, consulta la Panoramica di IAM.

Per una panoramica di IAM in Compute Engine, consulta Opzioni di controllo dell'accesso.

I ruoli IAM sono fondamentali per concedere autorizzazioni agli utenti. Per riferimenti sui ruoli e sulle autorizzazioni che forniscono, consulta Ruoli di Identity and Access Management.

Gli account di servizio diGoogle Cloudti consentono di concedere autorizzazioni a applicazioni e servizi. È importante comprendere il funzionamento degli account di servizio in Compute Engine. Per maggiori dettagli, consulta Account di servizio.

Reti personalizzate e regole firewall

Puoi utilizzare una rete per definire un IP gateway e l'intervallo di rete per le VM collegate a quella rete. Tutte le reti Compute Engine utilizzano il protocollo IPv4. A ogni progetto Google Cloud è associata una rete predefinita con configurazioni e regole firewall predefinite, ma ti consigliamo di aggiungere una subnet personalizzata e regole firewall in base a un modello di privilegi minimi. Per impostazione predefinita, una rete appena creata non ha regole firewall e, di conseguenza, non ha accesso alla rete.

A seconda dei tuoi requisiti, ti consigliamo di aggiungere altre sottoreti per isolare parti della tua rete. Per ulteriori informazioni, consulta Subnet.

Le regole firewall si applicano all'intera rete e a tutte le VM al suo interno. Puoi aggiungere una regola firewall che consenta il traffico tra le VM nella stessa rete e nelle subnet. Puoi anche configurare i firewall in modo che vengano applicati a VM di destinazione specifiche utilizzando il meccanismo di tagging.

Alcuni prodotti SAP, come SAP NetWeaver, richiedono l'accesso a determinate porte. Assicurati di aggiungere regole firewall per consentire l'accesso alle porte indicate da SAP.

Route

I route sono risorse globali associate a una singola rete. Le route create dall'utente si applicano a tutte le VM di una rete. Ciò significa che puoi aggiungere un percorso che inoltra il traffico da VM a VM all'interno della stessa rete e tra le subnet senza richiedere indirizzi IP esterni.

Per l'accesso esterno alle risorse internet, avvia una VM senza indirizzo IP esterno e configura un'altra macchina virtuale come gateway NAT. Questa configurazione richiede di aggiungere il gateway NAT come route per l'istanza SAP. Per ulteriori informazioni, consulta Gateway NAT e host bastioni.

Cloud VPN

Puoi connettere in sicurezza la tua rete esistente a Google Cloud tramite una VPN connessione utilizzando IPsec utilizzando Cloud VPN. Il traffico tra le due reti viene criptato da un gateway VPN, quindi viene decriptato dall'altro gateway VPN. In questo modo i dati sono protetti mentre vengono trasferiti su internet. Puoi controllare dinamicamente le VM che possono inviare traffico tramite la VPN utilizzando i tag istanza sulle route. I tunnel Cloud VPN vengono fatturati a una tariffa mensile fissa più gli addebiti di uscita standard. Tieni presente che la connessione di due reti nello stesso progetto comporta comunque costi di uscita standard. Per ulteriori informazioni, consulta la panoramica di Cloud VPN e la pagina Creare una VPN.

Protezione di un bucket Cloud Storage

Se utilizzi Cloud Storage per ospitare i backup dei tuoi dati e dei tuoi log, assicurati di utilizzare TLS (HTTPS) durante l'invio dei dati a Cloud Storage dalle tue VM per proteggere i dati in transito. Cloud Storage cripta automaticamente i dati a riposo. Puoi specificare le tue chiavi di crittografia se hai il tuo sistema di gestione delle chiavi.

Documenti sulla sicurezza correlati

Per ulteriori risorse di sicurezza per il tuo ambiente SAP su Google Cloud, consulta quanto segue:

• Connessione sicura alle istanze VM
• Google Cloud security
• Centro risorse per la conformità
• Panoramica della sicurezza di Google
• Google Infrastructure Security Design Overview

Backup e ripristino

Devi avere un piano per ripristinare il sistema alle condizioni di funzionamento se accade il peggio. Per indicazioni generali su come pianificare il ripristino di emergenza utilizzando Google Cloud, consulta la Guida alla pianificazione del ripristino di emergenza.

Assistenza

Per problemi relativi all' Google Cloud infrastruttura o ai servizi, contatta l'assistenza clienti. Puoi trovare i dati di contatto nella pagina Panoramica dell'assistenza nella console Google Cloud. Se l'assistenza clienti stabilisce che il problema riguarda i tuoi sistemi SAP, ti verrà consigliato di rivolgerti all'assistenza SAP.

Per problemi relativi ai prodotti SAP, registra la richiesta di assistenza con l'assistenza SAP. SAP valuta il ticket di assistenza e, se sembra essere un Google Cloud problema di infrastruttura, lo trasferisce al componenteGoogle Cloud appropriato nel proprio sistema: BC-OP-LNX-GOOGLE o BC-OP-NT-GOOGLE.

Requisiti di assistenza

Per ricevere assistenza da Oracle e SAP per il tuo database Oracle basato su Oracle Linux, assicurati di aver acquistato il supporto Premier di Oracle Linux.

Prima di poter ricevere assistenza per i sistemi SAP e per l'Google Cloud infrastruttura e i servizi che utilizzano, devi soddisfare i requisiti minimi del piano di assistenza.

Per ulteriori informazioni sui requisiti minimi di assistenza per SAP su Google Cloud, consulta:

• Ricevere assistenza per SAP su Google Cloud
• Nota SAP 2456406 - SAP on Google Cloud Platform: Support Prerequisites (è richiesto un account utente SAP)

Passaggi successivi

• Per eseguire il deployment di un database Oracle con applicazioni basate su Oracle Linux per SAP NetWeaver in esecuzione su Google Cloud, consulta Eseguire il deployment di Oracle Database per SAP NetWeaver.