Planejar a implementação do Oracle Database para o SAP NetWeaver

Este guia fornece detalhes que podem ser usados para planejar a implementação do Oracle Database 19c ou mais recente no Oracle Linux, que oferece suporte a aplicativos baseados no SAP NetWeaver em execução em Google Cloud.

Para informações sobre como implantar o Oracle Database 19c ou versões mais recentes no Oracle Linux para sistemas SAP em execução no Google Cloud, consulte Implantar o Oracle Database para SAP NetWeaver.

Licenças

Para executar um banco de dados Oracle com sistemas SAP no Google Cloud, você precisa trazer sua própria licença (BYOL) para o Oracle Database 19c ou mais recente.

Você também precisa comprar o Oracle Linux Premier Support. Para mais informações, consulte a nota da SAP 3408032 - Oracle Linux: processo de suporte ao sistema operacional.

Para informações sobre como executar o Oracle Database 19c com produtos e soluções baseados no SAP NetWeaver, consulte a nota da SAP 2799900: nota técnica central do Oracle Database 19c.

Google Cloud noções básicas

OGoogle Cloud consiste em vários produtos e serviços baseados em nuvem. Ao executar produtos SAP no Google Cloud, você usa principalmente os serviços baseados em IaaS oferecidos pelo Compute Engine e pelo Cloud Storage, bem como alguns recursos de toda a plataforma, como ferramentas.

Consulte a visão geral da plataformaGoogle Cloud para conhecer a terminologia e os conceitos importantes. Por conveniência e para contextualização, há algumas informações repetidas da visão geral neste guia.

Para uma visão geral das considerações que as organizações de escala empresarial devem considerar ao executar no Google Cloud, consulte o Framework de arquitetura doGoogle Cloud .

Como interagir com Google Cloud

OGoogle Cloud oferece três maneiras principais de interagir com a plataforma e seus recursos na nuvem:

• O console do Google Cloud, que é uma interface do usuário na Web.
• A ferramenta de linha de comando gcloud (que fornece um superconjunto das funcionalidades encontradas no console do Google Cloud)
• As bibliotecas de cliente, que fornecem APIs para acessar serviços e gerenciamento de recursos, além de serem úteis para você criar suas próprias ferramentas)

serviços deGoogle Cloud

As implantações da SAP normalmente utilizam alguns ou todos os seguintes serviços Google Cloud:

Serviço	Descrição
Criação de redes VPC	Conecta as instâncias de VM entre si e à Internet. Cada instância de VM é membro de uma rede legada com um intervalo de IPs global ou de uma rede de sub-redes recomendada, em que a instância de VM é membro de uma sub-rede que faz parte de uma rede maior. Uma rede de nuvem privada virtual (VPC) não pode abranger projetos do Google Cloud, mas um projeto do Google Cloud pode ter várias redes VPC. Para conectar recursos de vários projetos a uma rede VPC comum, use a VPC compartilhada. Assim, os recursos podem se comunicar uns com os outros de maneira segura e eficiente usando endereços IP internos dessa rede. Para informações sobre como provisionar uma VPC compartilhada, incluindo requisitos, etapas de configuração e uso, consulte Provisionar VPC compartilhada.
Compute Engine	Cria e gerencia VMs com sua opção de sistema operacional e pilha de software.
Persistent Disk e Hyperdisk	É possível usar o Persistent Disk e o Hyperdisk do Google Cloud: Os volumes do Persistent Disk estão disponíveis como unidades de disco rígido (HDD) padrão ou unidades de estado sólido (SSD). Para discos permanentes equilibrados e discos permanentes SSD, PD Async Replication fornece replicação assíncrona de dados SAP entre duas Google Cloud regiões. Os volumes extremos do hiperdisco têm opções máximas de IOPS e a capacidade de processamento do que os volumes de disco permanente SSD. Por padrão, o Compute Engine criptografa o conteúdo do cliente em repouso, incluindo o conteúdo dentro dos volumes do Persistent Disk e do Hyperdisk. Para mais informações sobre criptografia de disco e possíveis opções, consulte Sobre a criptografia de disco.
Console do Google Cloud	Uma ferramenta baseada em navegador para gerenciar recursos do Compute Engine. Use um modelo para descrever todos os recursos e instâncias necessários do Compute Engine. Não é preciso criar e configurar individualmente os recursos nem descobrir dependências, porque o console do Google Cloud faz isso para você.
Cloud Storage	Armazene seus backups de bancos de dados SAP no Cloud Storage para maior durabilidade e confiabilidade, com replicação.
Cloud Monitoring	Fornece visibilidade sobre a implantação, o desempenho, o tempo de atividade, bem como sobre a integridade do Compute Engine, da rede e dos discos de armazenamento permanentes. O Monitoring coleta métricas, eventos e metadados do Google Cloud para gerar insights com painéis, gráficos e alertas. É possível monitorar as métricas de computação sem custos por meio do Monitoring.
IAM	Oferece controle unificado sobre permissões para recursos do Google Cloud . O IAM permite controlar quem pode executar operações de plano de controle nas VMs, incluindo criação, modificação e exclusão de VMs e discos de armazenamento permanente, além de criação e modificação de redes.

Preços e cotas

Use a calculadora de preços para estimar os custos de uso. Para mais informações sobre preços, consulte Preços do Compute Engine, Preços do Cloud Storage e Preços de observabilidade do Google Cloud.

Os recursosGoogle Cloud estão sujeitos a cotas. Se você planeja usar máquinas com alto uso da CPU ou da memória, talvez seja necessário solicitar cotas extras. Para mais informações, consulte Cotas de recursos do Compute Engine.

Controles soberanos e de conformidade

Se você precisar que a carga de trabalho da SAP seja executada em conformidade com residência de dados, controle de acesso, equipes de suporte ou requisitos regulatórios, planeje o uso do Assured Workloads, um serviço que ajuda a executar cargas de trabalho seguras e conformes no Google Cloud sem comprometer a qualidade da sua experiência na nuvem. Para mais informações, consulte Controles soberanos e de conformidade para a SAP no Google Cloud.

Arquitetura de implantação

Para aplicativos baseados no SAP NetWeaver em execução em Google Cloud, uma instância convencional de banco de dados Oracle de nó único é composta pelos seguintes componentes:

• Uma instância do Compute Engine que executa o banco de dados Oracle.

• Volumes de disco permanente ou Hyperdisk para as seguintes unidades. É altamente recomendável usar volumes do Hyperdisk.

  Conteúdo do drive	Diretório do Linux
  Instalação do Oracle	/oracle/DB_SID /oracle/DB_SID/origlogA /oracle/DB_SID/origlogB /oracle/DB_SID/sapdata1 /oracle/DB_SID/sapdata2
  Espelho Oracle	/oracle/DB_SID/mirrlogA /oracle/DB_SID/mirrlogB /oracle/DB_SID/sapreorg /oracle/DB_SID/saptrace /oracle/DB_SID/saparch /oracle/DB_SID/sapbackup /oracle/DB_SID/sapcheck /oracle/DB_SID/sapdata3 /oracle/DB_SID/sapdata4 /oracle/DB_SID/sapprof
  Backup do arquivo de redolog off-line	/oracle/DB_SID/oraarch
  Instalação do SAP NetWeaver	/usr/sap
  Diretório do SAP NetWeaver que contém pontos de montagem para sistemas de arquivos compartilhados	/sapmnt

• Opcionalmente, é possível expandir a implantação para incluir um gateway NAT, que permite fornecer conectividade com a Internet para a instância de computação, negando a conectividade direta com a Internet. Também é possível configurar a instância de computação como um host de bastião que permite estabelecer conexões SSH com as outras instâncias de computação na sub-rede particular. Para mais informações, consulte Gateways NAT e Bastion Hosts.

Casos de uso diferentes podem exigir dispositivos adicionais. Para mais informações, consulte a documentação da SAP SAP no Oracle.

Recursos necessários

De muitas maneiras, executar um banco de dados Oracle em um sistema baseado no SAP NetWeaver é semelhante a executá-lo no seu próprio data center. Você ainda precisa se preocupar com considerações de recursos de computação, armazenamento e rede.

Para informações da SAP sobre os requisitos de recursos para executar um banco de dados Oracle, consulte a nota SAP 2799900: nota técnica central para o Oracle Database 19c.

Configuração da instância do Compute

Para executar um banco de dados Oracle para aplicativos baseados no SAP NetWeaver no Google Cloud, a SAP certificou o uso de todos os tipos de máquina do Compute Engine, incluindo tipos personalizados. No entanto, se você executar o banco de dados Oracle na mesma instância de computação que o SAP NetWeaver ou o Application Server Central Services (ASCS), será necessário usar uma instância de computação certificada pela SAP para uso com o SAP NetWeaver. Para informações sobre os tipos de máquina do Compute Engine que podem ser usados para executar o SAP NetWeaver, consulte o Guia de planejamento do SAP NetWeaver.

Para mais informações sobre todos os tipos de máquina disponíveis no Google Cloud e os respectivos casos de uso, consulte Guia de recursos e comparação de famílias de máquinas na documentação do Compute Engine.

Configuração de CPU

O número de vCPUs necessárias para executar um banco de dados Oracle depende da carga do aplicativo SAP e dos seus objetivos de desempenho. É preciso alocar pelo menos duas vCPUs para a instalação do Oracle Database. Para conseguir o melhor desempenho, dimensione o número de vCPUs e o tamanho do armazenamento em blocos até que seus objetivos de desempenho sejam atendidos.

Configuração de memória

A memória alocada para o Oracle Database depende do seu caso de uso. A quantidade ideal de memória para seu caso de uso depende da complexidade das consultas executadas, do tamanho dos dados, da quantidade de paralelismo usada e do nível de desempenho esperado.

Configuração de armazenamento

Por padrão, o Compute Engine cria automaticamente um disco de inicialização quando você cria uma instância. Você provisiona discos extras para os dados do banco de dados, registros e, opcionalmente, backups de banco de dados.

Para os volumes da sua instância do Oracle Database, use discos que atendam aos seus requisitos de desempenho. Para informações sobre os fatores que determinam a performance do disco, consulte Configurar discos para atender aos requisitos de desempenho.

Para cargas de trabalho essenciais, recomendamos o uso de volumes do Hyperdisk. Para mais informações sobre o armazenamento em blocos para seu Oracle Database, consulte Armazenamento em blocos.

Versões e recursos do Oracle Database com suporte

Para usar os bancos de dados Oracle com aplicativos baseados no SAP NetWeaver em execução no Google Cloud, a SAP certificou o seguinte:

• Oracle Database 19c ou mais recente
• O banco de dados precisa usar o conjunto de caracteres Unicode.
• O banco de dados precisa usar um sistema de arquivos validado pelo Oracle.
• Você precisa ter uma assinatura do Suporte Premier para o banco de dados Oracle.

Não há suporte para clusters de aplicativos reais (RAC, na sigla em inglês) e soluções de alta disponibilidade (HA) baseadas no Pacemaker.

Para mais informações, consulte a nota SAP 3559536.

Sistemas operacionais compatíveis

Para usar os bancos de dados Oracle com aplicativos baseados no SAP NetWeaver em execução no Google Cloud, a SAP certificou os seguintes sistemas operacionais:

• Oracle Linux 9 ou Oracle Linux 8, com o seguinte kernel:
  • UEK 7: 5.15.0-1.43.4.2.el9uek.x86_64 ou mais recente
  • UEK 7: 5.15.0-202.135.2.el8uek.x86_64 ou mais recente

Verifique se você comprou o Suporte Premier do Oracle Linux.

Considerações sobre implantação

Esta seção fornece informações para planejar aspectos como local de implantação, armazenamento em blocos, identificação e controle de acesso do usuário, rede e backup e recuperação do Oracle Database.

Planejar regiões e zonas

Ao implantar uma instância do Compute Engine, é preciso escolher uma região e uma zona. As regiões são localizações geográficas específicas em que é possível executar recursos e correspondem a um ou mais locais de data center relativamente próximos uns dos outros. Cada região tem uma ou mais zonas com conectividade, energia e resfriamento redundantes.

Os recursos globais, como snapshots e imagens de disco pré-configurados, podem ser acessados em regiões e zonas. Os recursos regionais, como endereços IP externos estáticos, podem ser acessados apenas por recursos que estão na mesma região. Os recursos zonais, como instâncias de computação e discos, só podem ser acessados por recursos localizados na mesma zona. Para mais informações, consulte Recursos globais, regionais e zonais.

Ao escolher uma região e uma zona para suas instâncias de computação, considere o seguinte:

• A localização dos usuários e dos recursos internos, como o data center ou a rede corporativa. Para diminuir a latência, selecione um local próximo aos usuários e aos recursos.
• As plataformas de CPU disponíveis para essa região e zona. Por exemplo, os processadores Broadwell, Haswell, Skylake e Ice Lake da Intel são compatíveis com cargas de trabalho do SAP NetWeaver no Google Cloud.
  • Para mais informações, consulte a Nota SAP Nota SAP 2456432 - Aplicativos SAP no Google Cloud: produtos compatíveis e tipos de máquina Google Cloud .
  • Para mais detalhes sobre quais regiões os processadores Haswell, Broadwell, Skylake e Ice Lake estão disponíveis para uso com o Compute Engine, consulte Regiões e zonas disponíveis.
• Verifique se o servidor de aplicativos SAP e o banco de dados estão na mesma região.

Armazenamento em blocos

Para armazenamento em blocos permanente, é possível anexar volumes do Hyperdisk e do disco permanente às instâncias do Compute Engine.

O Compute Engine oferece diferentes tipos de hiperdisco e disco permanente. Cada tipo tem características de desempenho diferentes. Google Cloud gerencia o hardware subjacente desses discos para garantir a redundância de dados e otimizar o desempenho.

Com o SAP NetWeaver, é possível usar qualquer um dos seguintes tipos de hiperdisco ou disco permanente:

• Tipos de hiperdisco: hiperdisco equilibrado (hyperdisk-balanced) e hiperdisco extremo (hyperdisk-extreme)
  • O Hiperdisco extremo oferece opções de maior capacidade de processamento e IOPS máximas do que os tipos de discos permanentes.
  • No Hiperdisco extremo, selecione o desempenho necessário provisionando as IOPS, o que também determina a capacidade de processamento. Para mais informações, consulte Capacidade de processamento.
  • No Hiperdisco equilibrado, selecione o desempenho necessário provisionando as IOPS e a capacidade de processamento. Para mais informações, consulte Sobre IOPS e provisionamento de capacidade do Hiperdisco.
  • Para mais informações sobre os tipos de máquina compatíveis com o hiperdisco, consulte Suporte ao tipo de máquina.
• Tipos de disco permanente: Performance ou SSD (pd-ssd)
  • O disco permanente SSD é respaldado por unidades de estado sólido (SSD). Ele oferece armazenamento em blocos econômico e confiável.
  • O disco permanente SSD oferece suporte à replicação assíncrona do DP. Use esse recurso para recuperação de desastres ativo-passivo entre regiões. Para mais informações, consulte Sobre a replicação assíncrona de disco permanente.
  • O desempenho dos volumes de disco permanente SSD é escalonado automaticamente de acordo com o tamanho. Portanto, você pode ajustar o desempenho redimensionando os volumes de disco permanente atuais ou adicionando mais volumes a uma instância do Compute Engine.

O tipo de instância de computação que você está usando e o número de vCPUs que ela contém também podem afetar ou limitar o desempenho do disco permanente.

Os volumes do disco permanente e do hiperdisco estão localizados independentemente das instâncias de computação. Portanto, é possível remover ou mover os discos para manter os dados, mesmo depois de excluir as instâncias de computação.

Na página Instâncias de VM do console do Google Cloud, é possível conferir os discos anexados às suas instâncias de VM em Discos adicionais na página Detalhes da instância de VM para cada instância de VM.

Para mais informações sobre os diferentes tipos de armazenamento em blocos oferecidos pelo Compute Engine, as características de desempenho deles e como trabalhar com eles, consulte a documentação do Compute Engine:

• Escolher um tipo de disco
• Configurar discos para atender aos requisitos de desempenho
• Sobre o Google Cloud Hyperdisk
• Outros fatores que afetam o desempenho
• Criar um novo volume de disco permanente
• Criar snapshots de arquivo e de disco padrão

Gateways NAT e Bastion Hosts

Caso a política de segurança exija instâncias de computação realmente internas, será preciso configurar um proxy NAT manualmente na rede e uma rota correspondente para que as instâncias de computação possam acessar a Internet. É importante observar que não é possível se conectar diretamente a uma instância de computação totalmente interna usando SSH. Para se conectar a essas instâncias internas, é necessário configurar uma instância bastion que tenha um endereço IP externo e, em seguida, fazer o túnel por ela. Quando as instâncias de computação não têm endereços IP externos, só podem ser acessadas por outras instâncias na rede ou por um gateway VPN gerenciado. É possível provisionar instâncias de computação na rede para atuarem como redirecionamentos confiáveis para conexões de entrada, chamados de Bastion Hosts, ou saídas de rede, chamadas de gateways NAT. Para uma conectividade mais transparente sem configurar essas conexões, use um recurso de gateway de VPN gerenciado.

Como usar Bastion Hosts para conexões de entrada

Os Bastion Hosts fornecem um ponto de entrada externo em uma rede que contém instâncias de computação de rede particular. Além de fornecer um único ponto de fortalecimento ou auditoria, esse host pode ser iniciado e interrompido para ativar ou desativar a comunicação SSH de entrada pela Internet.

A imagem a seguir mostra como um host Bastion conecta instâncias de computação externas e internas usando SSH:

Para usar o SSH e se conectar a instâncias de computação que não têm um endereço IP externo, primeiro é necessário se conectar a um Bastion Host. O aumento da proteção de um Bastion Host está fora do escopo deste guia, mas é possível executar algumas etapas iniciais, como:

• Limitar o intervalo CIDR de IPs de origem que podem se comunicar com o Bastion.
• Configure as regras de firewall para permitir o tráfego SSH para instâncias de computação particulares apenas do Bastion Host.

Por padrão, o SSH nas instâncias do Compute Engine é configurado para usar chaves privadas para autenticação. Ao usar um Bastion Host, primeiro faça login nele e, depois, na instância de computação particular de destino. Devido a esse login em duas etapas, é necessário usar o encaminhamento do agente SSH para acessar a instância de destino em vez de armazenar a chave privada dela no Bastion Host. Faça isso mesmo que esteja usando o mesmo par de chaves para as instâncias de Bastion e de destino, porque o Bastion tem acesso direto apenas à metade pública do par de chaves.

Como usar gateways NAT para saída de tráfego

Quando uma instância do Compute Engine não tem um endereço IP externo atribuído, ela não pode estabelecer conexões diretas com serviços externos, incluindo outros serviços doGoogle Cloud . Para permitir que essas instâncias acessem serviços na Internet, defina e configure um gateway NAT. O gateway NAT é uma instância que pode rotear o tráfego em nome de qualquer outra instância na rede. É necessário ter apenas um gateway NAT para cada rede. Um gateway NAT de instância única não pode ser considerado altamente disponível e não é compatível com alta capacidade de tráfego para várias instâncias. Para informações sobre como configurar uma instância de computação para atuar como gateway NAT, consulte Configurar um gateway NAT.

Imagens personalizadas

Com o sistema em pleno funcionamento, é possível criar imagens personalizadas. Recomendamos que você crie essas imagens quando modificar o estado do disco de inicialização e quiser restaurar o novo estado. Você também precisa de um plano para gerenciar as imagens personalizadas criadas. Para mais informações, consulte Práticas recomendadas de gerenciamento de imagens.

Identificação do usuário e acesso a recursos

Ao planejar a segurança de uma implantação do SAP no Google Cloud, é preciso identificar:

• As contas de usuário e os aplicativos que precisam de acesso aos recursos doGoogle Cloud no seu projeto Google Cloud
• Os recursos Google Cloud específicos do projeto que cada usuário precisa acessar.

É necessário adicionar cada usuário ao projeto incluindo o ID da conta do Google ao projeto como principal. Para um programa de aplicativo que usa recursosGoogle Cloud , crie uma conta de serviço, que fornece uma identidade de usuário para o programa no projeto.

As VMs do Compute Engine dispõem de suas próprias contas de serviço. Qualquer programa que seja executado na VM pode usar uma conta de serviço da VM, contanto que essa conta tenha as permissões de recursos necessárias para o programa.

Depois de identificar os recursos Google Cloud que cada usuário precisa usar, conceda permissões para que eles usem esses recursos atribuindo papéis específicos do recurso ao usuário. Revise os papéis predefinidos que o IAM oferece para cada recurso e atribua, a cada usuário, papéis que forneçam apenas as permissões suficientes para que eles concluam suas tarefas ou funções.

Se você precisar de um controle mais granular ou restritivo do que os papéis predefinidos do IAM, poderá criar papéis personalizados.

Para mais informações sobre os papéis do IAM necessários para os programas SAP em Google Cloud, consulte Gerenciamento de identidade e acesso para programas SAP em Google Cloud.

Para ter uma visão geral do gerenciamento de identidade e acesso do SAP no Google Cloud, consulte Visão geral do gerenciamento de identidade e acesso do SAP no Google Cloud.

Rede e segurança da rede

Ao planejar a rede e a segurança, considere as informações nas próximas seções.

Modelo de privilégio mínimo

Uma das primeiras linhas de defesa é restringir quem pode acessar a rede e as VMs, usando firewalls. Por padrão, todo o tráfego para VMs, mesmo proveniente de outras VMs, é bloqueado pelo firewall, a menos que você crie regras para permitir o acesso. A exceção é a rede padrão, que é criada automaticamente com cada projeto e tem regras de firewall padrão.

Ao criar regras de firewall, restrinja todo o tráfego em um determinado conjunto de portas a endereços IP de origem específicos. Recomendamos que você siga o modelo de privilégio mínimo para restringir o acesso a portas, protocolos e endereços IP específicos que precisam de acesso. Por exemplo, recomendamos que você sempre configure um Bastion Host e permita conexões SSH no sistema SAP NetWeaver somente desse host.

Gerenciamento de acesso

Para planejar a implementação, é fundamental entender como funciona o gerenciamento de acesso no Google Cloud . É preciso tomar decisões sobre:

• Como organizar seus recursos no Google Cloud.
• quais membros da equipe podem acessar e trabalhar com recursos;
• quais permissões cada membro da equipe pode ter;
• quais serviços e aplicativos precisam usar quais contas de serviço e que nível de permissões será concedido em cada caso.

Comece entendendo a hierarquia de recursos do Cloud Platform. É importante que você compreenda quais são os diversos contêineres de recursos, como eles se relacionam entre si e onde são criados os limites de acesso.

Identity and Access Management (IAM) oferece controle unificado sobre as permissões para recursos doGoogle Cloud . É possível gerenciar o controle de acesso definindo quem tem qual acesso aos recursos. Por exemplo, controle quem pode realizar operações de plano de controle nas instâncias SAP, como criação e modificação de VMs, discos permanentes e rede.

Para mais detalhes sobre o IAM, consulte a Visão geral do IAM.

Para uma visão geral do IAM no Compute Engine, consulte Opções de controle de acesso.

Os papéis do IAM são fundamentais para conceder permissões aos usuários. Para conhecê-los e saber quais as permissões oferecidas, consulte Papéis do Identity and Access Management.

As contas de serviço doGoogle Cloudoferecem uma maneira de conceder permissões a aplicativos e serviços. É importante entender como funcionam as contas de serviço no Compute Engine. Veja mais detalhes em Contas de serviço.

Regras de firewall e redes personalizadas

É possível usar uma rede para definir um IP de gateway e o intervalo de redes referente às VMs conectadas a essa rede. Todas as redes do Compute Engine usam o protocolo IPv4. Cada projeto do Google Cloud tem uma rede padrão com configurações predefinidas e regras de firewall, mas recomendamos adicionar uma sub-rede e regras de firewall personalizadas com base em um modelo de privilégio mínimo. Por padrão, uma rede recém-criada não tem regras de firewall e, portanto, nenhum acesso à rede.

Dependendo dos requisitos, pode ser conveniente adicionar mais sub-redes para isolar partes da rede. Consulte Sub-redes para mais informações.

As regras de firewall se aplicam à rede inteira e a todas as VMs nela. Adicione uma regra de firewall que permita o tráfego entre as VMs na mesma rede e entre sub-redes. Ou configure os firewalls para serem aplicados a VMs de destino específicas usando o mecanismo de inclusão de tag.

Alguns produtos SAP, como o SAP NetWeaver, exigem acesso a determinadas portas. Lembre-se de adicionar as regras de firewall para permitir o acesso às portas descritas pela SAP (em inglês).

Rotas

Rotas são recursos globais anexados a uma única rede. As rotas criadas pelo usuário se aplicam a todas as VMs de uma rede. Isso significa que é possível adicionar uma rota que encaminhe o tráfego entre VMs na mesma rede e entre sub-redes sem a necessidade de endereços IP externos.

Para ter acesso externo a recursos da Internet, inicie uma VM sem endereço IP externo e configure outra máquina virtual como um gateway NAT. Essa configuração exige que você adicione o gateway NAT como uma rota para a instância SAP. Para mais informações, consulte Gateways NAT e Bastion Hosts.

Cloud VPN

É possível conectar com segurança sua rede atual ao Google Cloud por meio de uma VPN usando o IPsec com o Cloud VPN. O tráfego entre as duas redes é criptografado por um gateway de VPN e depois decodificado pelo outro gateway de VPN. Isso protege os dados enquanto eles são transmitidos pela Internet. É possível controlar dinamicamente quais VMs podem enviar tráfego pela VPN usando tags de instância nas rotas. Os túneis do Cloud VPN são faturados de acordo com uma taxa mensal estática mais as cobranças de saída padrão. Observe que conectar duas redes no mesmo projeto ainda gera cobranças de saída padrão. Para mais informações, consulte Visão geral do Cloud VPN e Como criar uma VPN.

Como proteger um bucket do Cloud Storage

Se você utiliza o Cloud Storage para hospedar backups de dados e registros, proteja os dados em trânsito usando TLS (HTTPS) ao enviar dados para o Cloud Storage a partir das VMs. O Cloud Storage criptografa automaticamente os dados em repouso. É possível especificar suas próprias chaves de criptografia se tiver seu próprio sistema de gerenciamento de chaves.

Documentos de segurança relacionados

Para mais recursos de segurança para seu ambiente SAP no Google Cloud, consulte:

• Como se conectar a instâncias de VM com segurança
• Google Cloud segurança
• Central de recursos de compliance
• Visão geral da segurança do Google
• Visão geral do design de segurança da infraestrutura do Google

Backup e recuperação

É preciso ter um plano para restaurar o sistema à condição operacional caso o pior aconteça. Para orientações gerais sobre como planejar a recuperação de desastres usando Google Cloud, consulte o Guia de planejamento de recuperação de desastres.

Suporte

Em caso de problemas com a infraestrutura ou os serviços do Google Cloud , entre em contato com o atendimento ao cliente. É possível encontrar os dados de contato na página Visão geral do suporte no Console do Google Cloud. Se o Customer Care determinar que há um problema nos seus sistemas SAP, você será encaminhado ao Suporte da SAP.

Para problemas relacionados a produtos SAP, registre sua solicitação de suporte no site da SAP. A SAP avalia o tíquete de suporte e, se ele parecer ser um problema de infraestrutura do Google Cloud, transfere o tíquete para o componente Google Cloud apropriado no sistema: BC-OP-LNX-GOOGLE ou BC-OP-NT-GOOGLE.

Requisitos de suporte

Para receber suporte da Oracle e da SAP para seu banco de dados Oracle com base no Oracle Linux, verifique se você comprou o Oracle Linux Premier Support.

Antes de receber suporte para sistemas SAP e a infraestrutura e os serviços do Google Cloud que eles usam, você precisa atender aos requisitos mínimos do plano de suporte.

Para mais informações sobre os requisitos mínimos de suporte para SAP no Google Cloud, consulte:

• Como receber suporte para o SAP no Google Cloud
• Nota SAP 2456406: SAP no Google Cloud Platform: pré-requisitos de suporte (é necessária uma conta de usuário SAP)

A seguir

• Para implantar um banco de dados Oracle com o Oracle Linux para aplicativos baseados no SAP NetWeaver em execução no Google Cloud, consulte Implantar o Oracle Database para SAP NetWeaver.