SAP NetWeaver용 Oracle Database 구현 계획

이 가이드에서는 Google Cloud에서 실행되는 SAP NetWeaver 기반 애플리케이션을 지원하는 Oracle Linux에서 Oracle Database 19c 이상을 구현하는 계획을 세우는 데 사용할 수 있는 세부정보를 제공합니다.

Google Cloud에서 실행되는 SAP 시스템용 Oracle Linux에 Oracle Database 19c 이상을 배포하는 방법에 관한 자세한 내용은 SAP NetWeaver용 Oracle Database 배포를 참고하세요.

라이선스

Google Cloud에서 SAP 시스템과 함께 Oracle Database를 실행하려면 Oracle Database 19c 이상용 자체 라이선스 (BYOL)가 필요합니다.

Oracle Linux Premier Support도 구매해야 합니다. 자세한 내용은 SAP 메모 3408032 - Oracle Linux: 운영체제 지원 프로세스를 참고하세요.

SAP NetWeaver 기반 제품 및 솔루션으로 Oracle Database 19c를 실행하는 방법에 대한 자세한 내용은 SAP 참고 2799900 - Oracle Database 19c용 중앙 기술 참고를 참고하세요.

Google Cloud basics

Google Cloud 는 다양한 클라우드 기반 서비스와 제품으로 구성되어 있습니다. Google Cloud에서 SAP 제품을 실행하면 Compute Engine 및 Cloud Storage를 통해 제공되는 IaaS 기반 서비스는 물론 도구와 같은 전체 플랫폼 기능 일부를 주로 사용하게 됩니다.

중요 개념과 용어는 Google Cloud 플랫폼 개요를 참고하세요. 이 가이드에서는 상황 설명과 편의를 위해 개요의 일부 정보만 발췌합니다.

엔터프라이즈급 조직이 Google Cloud를 실행할 때 고려해야 할 사항에 대한 개요는 Google Cloud 아키텍처 프레임워크를 참고하세요.

Google Cloud와 상호작용

Google Cloud 는 클라우드에서 플랫폼 및 리소스와 상호작용할 수 있는 세 가지 기본 방법을 제공합니다.

• Google Cloud 콘솔 - 웹 기반 사용자 인터페이스입니다.
• gcloud 명령줄 도구 - Google Cloud 콘솔에서 제공하는 기능 외에 추가 기능을 제공합니다.
• 클라이언트 라이브러리 - 서비스 액세스와 리소스 관리용 API 제공. 클라이언트 라이브러리는 자신만의 도구를 빌드할 때 유용합니다.

Google Cloud 서비스

SAP 배포에는 일반적으로 다음 Google Cloud서비스의 일부 또는 전부가 사용됩니다.

서비스	설명
VPC 네트워킹	VM 인스턴스를 서로 간에 그리고 인터넷에 연결합니다. 각 VM 인스턴스는 단일 전역 IP 범위를 가진 기존 네트워크의 구성원이거나 대규모 네트워크에 속한 단일 서브네트워크에 VM 인스턴스가 속하는 권장 서브넷 네트워크입니다. 가상 프라이빗 클라우드(VPC) 네트워크는 Google Cloud 프로젝트를 포함할 수 없지만 Google Cloud 프로젝트에는 여러 VPC 네트워크가 있을 수 있습니다. 여러 프로젝트의 리소스를 공통 VPC 네트워크에 연결하려면 공유 VPC를 사용합니다. 이렇게 하면 해당 네트워크의 내부 IP 주소를 사용하여 리소스가 서로 안전하고 효율적으로 통신할 수 있습니다. 요구사항, 구성 단계, 사용을 비롯하여 공유 VPC를 프로비저닝하는 방법에 대한 자세한 내용은 공유 VPC 프로비저닝을 참조하세요.
Compute Engine	원하는 운영체제 및 소프트웨어 스택을 사용하여 VM을 만들고 관리합니다.
Persistent Disk 및 Hyperdisk	Persistent Disk와 Google Cloud Hyperdisk를 사용할 수 있습니다. Persistent Disk 볼륨은 표준 하드 디스크 드라이브(HDD) 또는 솔리드 스테이트 드라이브(SSD)로 제공됩니다. 균형 있는 영구 디스크와 SSD 영구 디스크의 경우, PD 비동기 복제는 두 Google Cloud 리전 간 SAP 데이터의 비동기 복제를 제공합니다. 하이퍼디스크 익스트림 볼륨은 SSD Persistent Disk 볼륨보다 더 높은 최대 IOPS 및 처리량 옵션을 제공합니다. 기본적으로 Compute Engine은 Persistent Disk 및 Hyperdisk 볼륨 내부의 콘텐츠를 포함하여 고객 저장 콘텐츠를 암호화합니다. 디스크 암호화 및 가능한 암호화 옵션에 대한 자세한 내용은 디스크 암호화 정보를 참조하세요.
Google Cloud 콘솔	Compute Engine 리소스를 관리하는 브라우저 기반 도구입니다. 템플릿을 사용하여 필요한 모든 Compute Engine 리소스와 인스턴스를 설명합니다. Google Cloud 콘솔에서 수행되므로 리소스를 개별적으로 만들고 구성하거나 종속 항목을 파악할 필요가 없습니다.
Cloud Storage	복제를 통해 내구성과 안정성을 높이기 위해 SAP 데이터베이스 백업을 Cloud Storage에 저장할 수 있습니다.
Cloud Monitoring	Compute Engine, 네트워크, 영구 스토리지 디스크의 배포, 성능, 업타임, 상태를 확인할 수 있습니다. Monitoring은 Google Cloud 에서 측정항목, 이벤트, 메타데이터를 수집하고 이를 사용하여 대시보드, 차트, 알림을 통해 유용한 정보를 생성합니다. Monitoring을 통해 무료로 Compute 측정항목을 모니터링할 수 있습니다.
IAM	Google Cloud 리소스의 권한을 통합적으로 제어할 수 있습니다. IAM을 사용하면 VM과 영구 스토리지 디스크의 생성, 수정, 삭제 그리고 네트워크 생성 및 수정을 포함하여 VM에서 제어 영역 작업을 수행할 수 있는 사용자를 제어할 수 있습니다.

가격 및 할당량

가격 계산기로 사용 비용을 산출할 수 있습니다. 가격에 대한 자세한 내용은 Compute Engine 가격 책정, Cloud Storage 가격 책정, Google Cloud Observability 가격 책정을 참조하세요.

Google Cloud 리소스에는 할당량이 적용됩니다. CPU 또는 메모리 사용량이 많은 머신을 사용하려면 할당량을 추가로 요청해야 할 수 있습니다. 자세한 내용은 Compute Engine 리소스 할당량을 참고하세요.

규정 준수 및 주권 제어

데이터 상주, 액세스 제어, 지원 담당자 또는 규제 요건에 따라 SAP 워크로드를 실행해야 하는 경우 클라우드 환경의 품질 저하 없이 안전하게 규정을 준수하는 워크로드를 실행하는 데 도움이 되는 서비스인 Assured Workloads를 사용해야 합니다. Google Cloud 자세한 내용은 Google Cloud 기반 SAP의 규정 준수 및 주권 제어 Google Cloud를 참고하세요.

배포 아키텍처

Google Cloud에서 실행되는 SAP NetWeaver 기반 애플리케이션의 경우 기존 단일 노드 Oracle Database 인스턴스는 다음 구성요소로 구성됩니다.

• Oracle 데이터베이스를 실행하는 Compute Engine 인스턴스

• 다음 드라이브의 영구 디스크 또는 하이퍼디스크 볼륨 하이퍼디스크 볼륨을 사용하는 것이 좋습니다.

  드라이브 콘텐츠	Linux 디렉터리
  Oracle 설치	/oracle/DB_SID /oracle/DB_SID/origlogA /oracle/DB_SID/origlogB /oracle/DB_SID/sapdata1 /oracle/DB_SID/sapdata2
  Oracle 미러	/oracle/DB_SID/mirrlogA /oracle/DB_SID/mirrlogB /oracle/DB_SID/sapreorg /oracle/DB_SID/saptrace /oracle/DB_SID/saparch /oracle/DB_SID/sapbackup /oracle/DB_SID/sapcheck /oracle/DB_SID/sapdata3 /oracle/DB_SID/sapdata4 /oracle/DB_SID/sapprof
  오프라인 redolog 파일 백업	/oracle/DB_SID/oraarch
  SAP NetWeaver 설치	/usr/sap
  공유 파일 시스템의 마운트 지점이 포함된 SAP NetWeaver 디렉터리	/sapmnt

• 원하는 경우 컴퓨팅 인스턴스에 인터넷 연결을 제공하면서 이 인스턴스에 대한 직접 인터넷 연결을 거부할 수 있는 NAT 게이트웨이를 포함하도록 배포를 확장할 수 있습니다. 컴퓨팅 인스턴스를 비공개 서브넷의 다른 컴퓨팅 인스턴스에 SSH 연결을 설정할 수 있는 배스천 호스트로 구성할 수도 있습니다. 자세한 내용은 NAT 게이트웨이 및 배스천 호스트를 참조하세요.

사용 사례에 따라 기기가 추가로 필요할 수도 있습니다. 자세한 내용은 SAP 문서 Oracle 기반 SAP를 참고하세요.

리소스 요구사항

SAP NetWeaver 기반 시스템에서 Oracle 데이터베이스를 실행하는 것은 자체 데이터 센터에서 실행하는 것과 여러 면에서 유사합니다. 하지만 컴퓨팅 리소스, 스토리지, 네트워킹을 고려해야 합니다.

Oracle 데이터베이스 실행을 위한 리소스 요구사항에 관한 SAP의 정보는 SAP Note 2799900 - Oracle Database 19c용 중앙 기술 노트를 참고하세요.

Compute 인스턴스 구성

Google Cloud에서 SAP NetWeaver 기반 애플리케이션용 Oracle Database를 실행하기 위해 SAP는 커스텀 머신 유형을 포함한 모든 Compute Engine 머신 유형의 사용을 인증했습니다. 그러나 Oracle 데이터베이스를 SAP NetWeaver 또는 Application Server Central Services (ASCS)와 동일한 컴퓨팅 인스턴스에서 실행하는 경우 SAP NetWeaver와 함께 사용하도록 SAP에서 인증한 컴퓨팅 인스턴스를 사용해야 합니다. SAP NetWeaver를 실행하는 데 사용할 수 있는 Compute Engine 머신 유형에 대한 자세한 내용은 SAP NetWeaver 계획 가이드를 참고하세요.

Google Cloud에서 사용할 수 있는 모든 머신 유형과 사용 사례에 대한 자세한 내용은 Compute Engine 문서의 머신 계열 리소스 및 비교 가이드를 참고하세요.

CPU 구성

Oracle 데이터베이스를 실행하는 데 필요한 vCPU 수는 SAP 애플리케이션 부하 및 성능 목표에 따라 달라집니다. Oracle 데이터베이스 설치에 vCPU를 최소 2개 이상 할당해야 합니다. 최상의 성능을 얻으려면 성능 목표가 충족될 때까지 vCPU의 개수와 블록 스토리지의 크기를 확장하세요.

메모리 구성

Oracle Database에 할당하는 메모리는 사용 사례에 따라 다릅니다. 사용 사례에 가장 적합한 메모리 양은 실행할 쿼리의 복잡성, 데이터 크기, 사용 중인 동시 로드 처리량, 원하는 성능 수준에 따라 달라집니다.

스토리지 구성

기본적으로 Compute Engine은 인스턴스를 만들 때 자동으로 부팅 디스크를 만듭니다. 데이터베이스 데이터, 로그, 그리고 선택적으로 데이터 백업을 위한 추가 디스크를 프로비저닝합니다.

Oracle 데이터베이스 인스턴스의 볼륨에는 성능 요구사항을 충족하는 디스크를 사용합니다. 디스크 성능을 결정하는 요인에 관한 자세한 내용은 성능 요구사항을 충족하도록 디스크 구성을 참고하세요.

미션 크리티컬 워크로드의 경우 Hyperdisk 볼륨을 사용하는 것이 좋습니다. Oracle 데이터베이스의 블록 스토리지에 관한 자세한 내용은 블록 스토리지를 참고하세요.

지원되는 Oracle 데이터베이스 버전 및 기능

Google Cloud에서 실행되는 SAP NetWeaver 기반 애플리케이션과 함께 Oracle Database를 사용하기 위해 SAP는 다음을 인증했습니다.

• Oracle Database 19c 이상
• 데이터베이스는 유니코드 문자 집합을 사용해야 합니다.
• 데이터베이스는 Oracle에서 검증한 파일 시스템을 사용해야 합니다.
• Oracle Database에 대한 Premier Support 구독이 있어야 합니다.

실제 애플리케이션 클러스터 (RAC) 및 Pacemaker 기반 고가용성 (HA) 솔루션은 지원되지 않습니다.

자세한 내용은 SAP Note 3559536을 참고하세요.

지원되는 운영체제

Google Cloud에서 실행되는 SAP NetWeaver 기반 애플리케이션과 함께 Oracle Database를 사용하기 위해 SAP는 다음 운영체제를 인증했습니다.

• 다음 커널이 포함된 Oracle Linux 9 또는 Oracle Linux 8
  • UEK 7: 5.15.0-1.43.4.2.el9uek.x86_64 이상
  • UEK 7: 5.15.0-202.135.2.el8uek.x86_64 이상

Oracle Linux Premier Support를 구매했는지 확인합니다.

배포 시 고려사항

이 섹션에서는 Oracle Database의 배포 위치, 블록 스토리지, 사용자 식별 및 액세스 제어, 네트워크, 백업 및 복구와 같은 측면을 계획하는 데 필요한 정보를 제공합니다.

리전 및 영역 계획

Compute Engine 인스턴스를 배포할 때는 리전과 영역을 선택해야 합니다. 리전은 리소스를 실행할 수 있는 특정한 지리적 위치이며 서로 상대적으로 가까운 하나 이상의 데이터 센터 위치에 해당합니다. 각 리전에는 연결, 전원, 냉각 기능이 중복된 여러 영역이 포함됩니다.

전체 리전과 영역에서 사전 구성된 디스크 이미지 및 디스크 스냅샷과 같은 전역 리소스에 액세스할 수 있습니다. 리전별 외부 고정 IP 주소와 같은 리전별 리소스는 동일한 리전에 있는 리소스를 통해서만 액세스될 수 있습니다. 컴퓨팅 인스턴스 및 디스크와 같은 영역 리소스는 같은 영역에 위치한 리소스를 통해서만 액세스할 수 있습니다. 자세한 내용은 전역, 리전, 영역별 리소스를 참조하세요.

컴퓨팅 인스턴스의 리전 및 영역을 선택할 때는 다음을 고려하세요.

• 사용자 및 내부 리소스 위치(예: 데이터 센터 또는 기업 네트워크). 지연 시간 단축을 위해 사용자 및 리소스와 가까운 위치를 선택해야 합니다.
• 해당 리전 및 영역에서 사용할 수 있는 CPU 플랫폼. 예를 들어 Google Cloud의 SAP NetWeaver 워크로드에 대해 Intel Broadwell, Haswell, Skylake, Ice Lake 프로세서가 지원됩니다.
  • 자세한 내용은 SAP 참고 SAP Note 2456432 - SAP Applications on Google Cloud: Supported Products and Google Cloud machine types를 참고하세요.
  • Compute Engine에 Haswell, Broadwell, Skylake, Ice Lake 프로세서를 사용할 수 있는 리전에 대한 자세한 내용은 사용 가능한 리전 및 영역을 참고하세요.
• SAP Application Server 및 데이터베이스가 동일한 리전에 있는지 확인합니다.

블록 스토리지

영구 블록 스토리지의 경우 하이퍼디스크 및 영구 디스크 볼륨을 Compute Engine 인스턴스에 연결할 수 있습니다.

Compute Engine은 다양한 유형의 하이퍼디스크 및 영구 디스크를 제공합니다. 각 유형은 성능 특성이 서로 다릅니다.Google Cloud 는 데이터 중복성을 보장하고 성능을 최적화하기 위해 이러한 디스크의 기본 하드웨어를 관리합니다.

SAP NetWeaver에서는 다음 하이퍼디스크 또는 영구 디스크 유형 중 하나를 사용할 수 있습니다.

• 하이퍼디스크 유형: 하이퍼디스크 균형(hyperdisk-balanced) 및 하이퍼디스크 익스트림(hyperdisk-extreme)
  • 하이퍼디스크 익스트림은 영구 디스크 유형보다 더 높은 최대 IOPS 및 처리량 옵션을 제공합니다.
  • 하이퍼디스크 익스트림은 IOPS를 프로비저닝하여 필요한 성능을 선택하면 처리량도 결정됩니다. 자세한 내용은 처리량을 참조하세요.
  • 하이퍼디스크 밸런스드는 IOPS 및 처리량을 프로비저닝하여 필요한 성능을 선택합니다. 자세한 내용은 하이퍼디스크의 IOPS 및 처리량 프로비저닝 정보를 참조하세요.
  • 하이퍼디스크 사용을 지원하는 머신 유형에 대한 자세한 내용은 머신 유형 지원을 참조하세요.
• 영구 디스크 유형: 성능 또는 SSD (pd-ssd)
  • SSD 영구 디스크는 SSD (솔리드 스테이트 드라이브)에 백업됩니다. 비용 효율적이고 안정적인 블록 스토리지를 제공합니다.
  • SSD 영구 디스크는 PD 비동기 복제를 지원합니다. 리전 간 활성-수동 재해 복구에 이 기능을 사용할 수 있습니다. 자세한 내용은 Persistent Disk 비동기 복제 정보를 참고하세요.
  • SSD 영구 디스크 볼륨의 성능은 크기에 따라 자동으로 확장됩니다. 따라서 기존 영구 디스크 볼륨의 크기를 조절하거나 Compute Engine 인스턴스에 영구 디스크 볼륨을 더 추가하여 성능을 조정할 수 있습니다.

사용 중인 컴퓨팅 인스턴스의 유형 및 인스턴스에 포함된 vCPU 수도 영구 디스크 성능에 영향을 주거나 제한할 수 있습니다.

영구 디스크 및 하이퍼디스크 볼륨은 컴퓨팅 인스턴스와는 별개의 위치에 있으므로 컴퓨팅 인스턴스를 삭제한 후에도 디스크를 분리하거나 이동하여 데이터를 보존할 수 있습니다.

Google Cloud 콘솔의 VM 인스턴스 페이지에서 각 VM 인스턴스 VM 인스턴스 세부정보 페이지의 추가 디스크 아래에서 VM 인스턴스에 연결된 디스크를 확인할 수 있습니다.

Compute Engine에서 제공되는 다양한 유형의 블록 스토리지, 성능 특성, 사용 방법에 대한 자세한 내용은 Compute Engine 문서를 참조하세요.

• 디스크 유형 선택
• 성능 요구사항을 충족하도록 디스크 구성
• Google Cloud Hyperdisk 정보
• 성능에 영향을 미치는 기타 요인
• 새 Persistent Disk 볼륨 만들기
• 보관처리 스냅샷 및 표준 디스크 스냅샷 만들기

NAT 게이트웨이 및 배스천 호스트

보안 정책에 진정한 내부 컴퓨팅 인스턴스가 필요한 경우, 컴퓨팅 인스턴스가 인터넷에 연결될 수 있도록 네트워크와 해당 경로에 NAT 프록시를 수동으로 설정해야 합니다. SSH를 사용하면 완전한 내부 컴퓨팅 인스턴스에 직접 연결할 수 없습니다. 이러한 내부 인스턴스에 연결하려면 외부 IP 주소가 있는 배스천 인스턴스를 설정한 후 이를 통해 터널링해야 합니다. 컴퓨팅 인스턴스에 외부 IP 주소가 없으면 네트워크의 다른 인스턴스 또는 관리형 VPN 게이트웨이를 통해서만 연결할 수 있습니다. 신뢰할 수 있는 인바운드 연결(배스천 호스트) 또는 네트워크 이그레스(NAT 게이트웨이)의 릴레이 역할을 수행하도록 컴퓨팅 인스턴스를 네트워크에 프로비저닝할 수 있습니다. 이러한 연결을 설정하지 않고 보다 투명하게 연결하려면 관리형 VPN 게이트웨이 리소스를 사용하면 됩니다.

인바운드 연결에 배스천 호스트 사용

배스천 호스트는 사설 네트워크 컴퓨팅 인스턴스가 포함된 네트워크에 외부 진입점을 제공합니다. 이 호스트는 단일 요새 지점 또는 감사 지점이 될 수 있으며, 이 호스트를 시작 또는 중지시켜 인터넷에서 인바운드 SSH 통신을 사용 설정 또는 중지할 수 있습니다.

다음 이미지는 외부 및 내부 컴퓨팅 인스턴스를 연결하는 배스천 호스트가 SSH를 사용하여 연결하는 방식을 보여줍니다.

SSH를 사용하여 외부 IP 주소가 없는 컴퓨팅 인스턴스에 연결하려면 먼저 배스천 호스트에 연결해야 합니다. 배스천 호스트의 완벽한 강화는 이 가이드의 범위를 벗어나지만 다음을 비롯하여 취할 수 있는 몇 가지 초기 단계가 있습니다.

• 배스천과 통신할 수 있는 소스 IP의 CIDR 범위를 제한합니다.
• 배스천 호스트에서만 비공개 컴퓨팅 인스턴스에 대한 SSH 트래픽을 허용하도록 방화벽 규칙을 구성합니다.

기본적으로 Compute Engine 인스턴스의 SSH는 인증에 비공개 키를 사용하도록 구성됩니다. 배스천 호스트를 사용할 때는 우선 배스천 호스트에 로그인한 다음 대상 비공개 컴퓨팅 인스턴스에 로그인합니다. 이러한 2단계 로그인으로 인해 대상 인스턴스의 비공개 키를 배스천 호스트에 저장하는 대신 SSH 에이전트 전달을 통해 대상 인스턴스에 연결해야 합니다. 배스천은 키 쌍의 절반인 공개 부분에만 직접 액세스할 수 있으므로 배스천과 대상 인스턴스에 동일한 키 쌍을 사용하는 경우에도 이 작업을 수행해야 합니다.

트래픽 이그레스에 NAT 게이트웨이 사용

Compute Engine 인스턴스에 외부 IP 주소가 할당되어 있지 않으면 다른Google Cloud 서비스를 비롯한 외부 서비스에 직접 연결할 수 없습니다. 이러한 인스턴스가 인터넷의 서비스에 연결할 수 있도록 하려면 NAT 게이트웨이를 설정하고 구성하면 됩니다. NAT 게이트웨이는 네트워크에 있는 다른 인스턴스를 대신하여 트래픽을 라우팅할 수 있는 인스턴스입니다. 각 네트워크에는 NAT 게이트웨이가 하나만 있어야 합니다. 단일 인스턴스 NAT 게이트웨이는 가용성이 높지 않으므로 여러 인스턴스에서 발생하는 높은 트래픽 처리량을 지원할 수 없습니다. Compute 인스턴스를 NAT 게이트웨이로 설정하는 방법에 관한 자세한 내용은 NAT 게이트웨이 설정을 참고하세요.

커스텀 이미지

시스템이 실행되면 커스텀 이미지를 만들 수 있습니다. 부팅 디스크의 상태를 수정하고 새 상태를 복원하려면 이러한 이미지를 만드는 것이 좋습니다. 또한 만든 커스텀 이미지를 관리하는 계획도 있어야 합니다. 자세한 내용은 이미지 관리 권장사항을 참고하세요.

사용자 식별 및 리소스 액세스

Google Cloud에서 SAP 배포의 보안을 계획할 때는 다음 사항을 파악해야 합니다.

• 프로젝트의Google Cloud 리소스 Google Cloud 에 액세스해야 하는 사용자 계정 및 애플리케이션
• 각 사용자가 액세스해야 하는 프로젝트의 특정 Google Cloud 리소스

Google 계정 ID를 프로젝트에 주 구성원으로 추가하여 각 사용자를 프로젝트에 추가해야 합니다.Google Cloud 리소스를 사용하는 애플리케이션 프로그램의 경우 프로젝트에서 프로그램에 사용자 ID를 제공하는 서비스 계정을 만듭니다.

Compute Engine VM에는 자체 서비스 계정이 있습니다. 프로그램에 필요한 리소스 권한이 VM 서비스 계정에 있으면 VM에서 실행되는 모든 프로그램이 VM 서비스 계정을 사용할 수 있습니다.

각 사용자가 사용해야 하는 Google Cloud 리소스를 파악한 후 사용자에게 리소스별 역할을 할당하여 각 리소스를 사용할 수 있는 권한을 사용자에게 부여합니다. IAM이 각 리소스에 제공하는 사전 정의된 역할을 검토하고 사용자의 태스크나 함수를 완료할 수 있는 권한만 제공하는 역할을 각 사용자에게 할당합니다.

사전 정의된 IAM 역할에서 제공하는 것보다 더 세밀하거나 제한적인 권한 제어가 필요한 경우에는 커스텀 역할을 만들 수 있습니다.

Google Cloud에서 SAP 프로그램에 필요한 IAM 역할에 대한 자세한 내용은 Google Cloud에서 SAP 프로그램의 ID 및 액세스 관리를 참고하세요.

Google Cloud에서 SAP의 ID 및 액세스 관리에 대한 간략한 설명은 Google Cloud에서 SAP의 ID 및 액세스 관리 개요를 참고하세요.

네트워킹 및 네트워크 보안

네트워킹 및 보안을 계획할 때는 다음 섹션의 정보를 고려하세요.

최소 권한 모델

첫 번째 방어선 중 하나는 방화벽으로 네트워크와 VM에 연결할 수 있는 사람을 제한하는 것입니다. 기본적으로 액세스를 허용하는 규칙을 만들지 않으면 VM에 대한 모든 트래픽은 방화벽에 의해 차단되며, 이는 다른 VM에서 들어오는 트래픽의 경우에도 마찬가지입니다. 하지만 각 프로젝트와 함께 자동으로 생성되고 기본 방화벽 규칙을 가지는 기본 네트워크는 예외입니다.

방화벽 규칙을 만들면 지정된 포트 집합에서 모든 트래픽을 특정 소스 IP 주소로 제한할 수 있습니다. 액세스 권한을 액세스가 필요한 특정 IP 주소, 프로토콜, 포트로 제한하려면 최소 권한 모델을 따르는 것이 좋습니다. 예를 들어 항상 배스천 호스트를 설정하고 이 호스트에서만 SAP NetWeaver 시스템에 SSH 연결을 허용하는 것이 좋습니다.

액세스 관리

Google Cloud 에서 액세스 관리가 작동하는 방식을 이해하는 것은 구현 계획의 핵심입니다. 다음을 결정해야 합니다.

• Google Cloud에서 리소스를 구성하는 방법
• 리소스에 액세스하여 작업할 수 있는 팀원
• 각 팀원이 가질 수 있는 권한
• 각 서비스 및 애플리케이션에서 어느 서비스 계정을 사용해야 하며 각각에 어떤 권한 수준이 필요한가

의 모든 액세스 시도를 명시적으로 확인에 제공된 엔터프라이즈급 액세스 제어용 권장사항을 따르는 것을 강력하게 권장합니다.

먼저, Cloud Platform 리소스 계층 구조를 이해합니다. 다양한 리소스 컨테이너가 무엇이고 서로 어떻게 관련되는지, 액세스 경계는 어디에 생성되는지 이해해야 합니다.

Identity and Access Management (IAM)는Google Cloud 리소스의 통합 권한 제어 기능을 제공합니다. 누가 어떠한 리소스 액세스 수준을 갖는지 정의하여 액세스 제어를 관리할 수 있습니다. 예를 들어 SAP 인스턴스에서 VM, 영구 디스크, 네트워킹의 생성 및 수정과 같은 제어 영역 작업을 수행할 수 있는 사용자를 제어할 수 있습니다.

IAM에 대한 자세한 내용은 IAM 개요를 참조하세요.

Compute Engine에서의 IAM 개요는 액세스 제어 옵션을 참조하세요.

사용자에게 권한을 부여하기 위해서는 IAM 역할이 필수적입니다. 역할과 각 역할이 부여하는 권한에 대한 자세한 내용은 Identity and Access Management 역할을 참고하세요.

Google Cloud의 서비스 계정을 사용하면 애플리케이션 및 서비스에 권한을 부여할 수 있습니다. Compute Engine에서 서비스 계정이 작동하는 방식을 이해하는 것이 중요합니다. 자세한 내용은 서비스 계정을 참조하세요.

커스텀 네트워크 및 방화벽 규칙

네트워크를 사용하여 게이트웨이 IP와 네트워크에 연결된 VM의 네트워크 범위를 정의할 수 있습니다. 각 Compute Engine 네트워크는 IPv4 프로토콜을 사용합니다. 각 Google Cloud 프로젝트에는 구성 및 방화벽 규칙이 사전 설정되어 있는 기본 네트워크가 제공되지만, 최소 권한 모델에 따라 커스텀 서브네트워크와 방화벽 규칙을 추가하는 것이 좋습니다. 기본적으로 새로 생성된 네트워크에는 방화벽 규칙이 없으므로 네트워크 액세스 권한이 없습니다.

요구사항에 따라 서브네트워크를 추가하여 네트워크의 일부를 격리할 수 있습니다. 자세한 내용은 서브네트워크를 참조하세요.

방화벽 규칙은 전체 네트워크와 네트워크에 있는 모든 VM에 적용됩니다. 같은 네트워크의 여러 서브네트워크에 있는 VM 간에 트래픽을 허용하는 방화벽 규칙을 추가할 수 있습니다. 또한 태깅 메커니즘을 사용하여 특정 대상 VM에 적용하도록 방화벽을 구성할 수도 있습니다.

SAP NetWeaver와 같은 일부 SAP 제품은 특정 포트에 액세스할 수 있어야 합니다. 따라서 SAP에서 지정한 포트에 액세스를 허용하는 방화벽 규칙을 추가해야 합니다.

경로

경로는 단일 네트워크에 연결된 전역 리소스입니다. 사용자가 만든 경로는 네트워크에 있는 모든 VM에 적용됩니다. 즉, 외부 IP 주소를 요구하지 않고도 같은 네트워크의 여러 서브네트워크에 있는 VM 간에 트래픽을 전달하는 경로를 추가할 수 있습니다.

외부에서 인터넷 리소스에 액세스하는 경우, 외부 IP 주소가 없는 VM을 실행하고 다른 가상 머신을 NAT 게이트웨이로 구성합니다. 이렇게 구성하려면 NAT 게이트웨이를 SAP 인스턴스의 경로로 추가해야 합니다. 자세한 내용은 NAT 게이트웨이 및 배스천 호스트를 참조하세요.

Cloud VPN

Cloud VPN을 사용하면 IPsec을 사용하는 VPN 연결을 통해 기존 네트워크를 Google Cloud 안전하게 연결할 수 있습니다. 한쪽 VPN 게이트웨이에서 두 네트워크 사이의 트래픽 이동을 암호화하면 이후 다른 쪽 VPN 게이트웨이에서 이를 복호화합니다. 인터넷에서 전송되는 데이터가 보호됩니다. 경로에 인스턴스 태그를 사용하면 VPN으로 트래픽을 보낼 수 있는 VM을 동적으로 제어할 수 있습니다. Cloud VPN 터널 비용은 월간 고정 요금에 표준 이그레스 비용이 합쳐져 청구됩니다. 같은 프로젝트의 두 네트워크를 연결하더라도 표준 이그레스 비용이 청구됩니다. 자세한 내용은 Cloud VPN 개요 및 VPN 만들기를 참고하세요.

Cloud Storage 버킷 보안

Cloud Storage를 사용하여 데이터와 로그의 백업을 호스팅하는 경우, 전송 중 데이터를 보호하려면 VM에서 Cloud Storage로 데이터를 전송할 때 TLS(HTTPS)를 사용해야 합니다. Cloud Storage는 저장 데이터를 자동으로 암호화합니다. 자체 키 관리 시스템이 있는 경우 자체 암호화 키를 지정할 수 있습니다.

관련 보안 문서

Google Cloud의 SAP 환경과 관련된 추가 보안 리소스는 다음을 참고하세요.

• VM 인스턴스에 안전하게 연결
• Google Cloud 보안
• 규정 준수 리소스 센터
• Google 보안 개요
• Google 인프라 보안 설계 개요

백업 및 복구

최악의 경우를 대비하여 시스템을 작동 상태로 복원할 수 있는 계획이 있어야 합니다. Google Cloud를 사용하여 재해 복구를 계획하는 방법에 관한 일반적인 안내는 재해 복구 계획 가이드를 참고하세요.

지원

Google Cloud 인프라 또는 서비스 관련 문제인 경우 고객 관리에 문의하세요. Google Cloud 콘솔의 지원 개요 페이지에서 연락처 정보를 확인할 수 있습니다. 고객 관리에서 SAP 시스템에 문제가 있다고 판단하면 SAP 지원으로 지원을 요청하세요.

SAP 제품 관련 문제가 발생하면 SAP 지원으로 지원을 요청하세요. SAP는 지원 티켓을 평가한 후 Google Cloud인프라 문제로 판단되면 SAP는 해당 티켓을 시스템 내 적절한Google Cloud 구성요소(BC-OP-LNX-GOOGLE 또는BC-OP-NT-GOOGLE)로 전송합니다.

지원 요구사항

Oracle Linux 기반 Oracle 데이터베이스에 대해 Oracle 및 SAP의 지원을 받으려면 Oracle Linux Premier Support를 구매했는지 확인하세요.

SAP 시스템과 사용 중인Google Cloud인프라 및 서비스에 대한 지원을 받으려면 먼저 최소 지원 요금제 요구사항을 충족해야 합니다.

Google Cloud기반 SAP의 최소 지원 요구사항에 대한 자세한 내용은 다음을 참고하세요.

• Google Cloud에서 SAP 지원 받기
• SAP Note 2456406 - 플랫폼 기반 SAP: 지원 기본 요건(SAP 사용자 계정이 필요함) Google Cloud

다음 단계

• Google Cloud에서 실행되는 SAP NetWeaver 기반 애플리케이션용 Oracle Linux와 함께 Oracle Database를 배포하려면 SAP NetWeaver용 Oracle Database 배포를 참고하세요.