Dieses Handbuch bietet eine Übersicht über die Funktionsweise von SAP MaxDB in Google Cloud. Es enthält außerdem ausführliche Informationen zur Planung der Implementierung eines neuen SAP MaxDB-Systems.
Weitere Informationen zum Bereitstellen von SAP MaxDB in Google Cloud finden Sie unter:
- Bereitstellungsleitfaden für SAP MaxDB unter Linux
- Bereitstellungsleitfaden für SAP MaxDB unter Windows
Informationen von SAP zu SAP MaxDB finden Sie in der SAP MaxDB-Bibliothek, die im SAP-Hilfeportal verfügbar ist.
Grundlagen von Google Cloud
Google Cloud setzt sich aus vielen cloudbasierten Diensten und Produkten zusammen. Wenn Sie SAP-Produkte in Google Cloud ausführen, verwenden Sie in erster Linie die IaaS-basierten Dienste, die über Compute Engine und Cloud Storage verfügbar sind, sowie verschiedene plattformweite Features wie etwa Tools.
Wichtige Konzepte und Begriffe finden Sie in der Übersicht zur Google Cloud Platform. Zur Vereinfachung und zum besseren Verständnis werden einige Informationen aus dem Überblick in diesem Leitfaden wiederholt.
Eine Übersicht über Überlegungen, die größere Unternehmen bei der Ausführung in Google Cloud berücksichtigen sollten, finden Sie im Google Cloud-Architektur-Framework.
Mit Google Cloud interagieren
Zur Interaktion mit der Plattform und Ihren Ressourcen in der Cloud bietet Google Cloud vor allem drei Möglichkeiten:
- Die Google Cloud Console, eine webbasierte Benutzeroberfläche.
- Das
gcloud
-Befehlszeilentool, das eine Obermenge der Funktionen darstellt, die die Google Cloud Console bietet. - Clientbibliotheken, die APIs für den Zugriff auf Dienste und für die Verwaltung von Ressourcen bereitstellen. Clientbibliotheken sind hilfreich, wenn Sie Ihre eigenen Tools erstellen.
Google Cloud-Dienste
Für SAP-Bereitstellungen werden in der Regel einige oder alle der folgenden Google Cloud-Dienste verwendet:
Dienst | Beschreibung |
---|---|
VPC-Netzwerk |
Verbindet Ihre VM-Instanzen miteinander und mit dem Internet. Jede VM gehört entweder zu einem Legacy-Netzwerk mit einem einzelnen globalen IP-Bereich oder zu einem empfohlenen Subnetzwerk. In letzterem Fall gehört die VM-Instanz zu einem einzelnen Subnetzwerk, das wiederum in ein größeres Netzwerk eingebunden ist. Ein VPC-Netzwerk (Virtual Private Cloud) kann nicht mehrere Google Cloud-Projekte umfassen, aber ein Google Cloud-Projekt kann mehrere VPC-Netzwerke haben. Sie können eine freigegebene VPC verwenden, um Ressourcen aus mehreren Projekten mit einem gemeinsamen VPC-Netzwerk zu verbinden. So können die Ressourcen sicher und effizient über die internen IP-Adressen dieses Netzwerks miteinander kommunizieren. Informationen zum Bereitstellen einer freigegebenen VPC, einschließlich Anforderungen, Konfigurationsschritten und Nutzung, finden Sie unter Freigegebene VPC bereitstellen. |
Compute Engine | Erstellt und verwaltet VMs mit dem Betriebssystem und Softwarepaket Ihrer Wahl. |
Persistent Disk und Hyperdisk |
Sie können Persistent Disk und Google Cloud Hyperdisk verwenden:
|
Google Cloud Console |
Browserbasiertes Tool zum Verwalten von Compute Engine-Ressourcen. Mithilfe einer Vorlage können Sie Ihre benötigten Compute Engine-Ressourcen und -Instanzen beschreiben. Die Google Cloud Console übernimmt das Erstellen und Konfigurieren der Ressourcen und kümmert sich außerdem um Abhängigkeiten, sodass Sie dies nicht für jede Ressource einzeln tun müssen. |
Cloud Storage | Sie können Ihre SAP-Datenbanksicherungen in Cloud Storage speichern, um die Langlebigkeit und Zuverlässigkeit Ihrer Daten durch Replikation weiter zu erhöhen. |
Cloud Monitoring |
Bietet Einblick in die Bereitstellung, Leistung, Betriebszeit und korrekte Funktion von Compute Engine, Netzwerken und nichtflüchtigem Speicher. Monitoring erfasst Messwerte, Ereignisse und Metadaten von Google Cloud und liefert die daraus gewonnenen Erkenntnisse über Dashboards, Tabellen oder Meldungen. Mit Monitoring können Sie die Messwerte kostenlos überwachen. |
IAM |
Bietet einheitliche Kontrolle über Berechtigungen für Google Cloud-Ressourcen. Mit IAM steuern Sie, wer Vorgänge auf der Steuerungsebene für Ihre VMs ausführen kann. Dazu gehören das Erstellen, Ändern und Löschen von VMs und nichtflüchtigem Speicher sowie das Erstellen und Ändern von Netzwerken. |
Preise und Kontingente
Mit dem Preisrechner können Sie Ihre Nutzungskosten abschätzen. Weitere Preisinformationen finden Sie in der jeweiligen Preisübersicht für Compute Engine, Cloud Storage und Google Cloud Observability.
Für Google Cloud-Ressourcen gelten Kontingente. Wenn Sie Maschinen mit hoher CPU- und Arbeitsspeicherleistung verwenden möchten, müssen Sie unter Umständen zusätzliche Kontingente anfordern. Weitere Informationen finden Sie unter Compute Engine-Ressourcenkontingente.
Compliance und Steuerung der Datenhoheit
Wenn Ihre SAP-Arbeitslast die Anforderungen an den Datenstandort, die Zugriffssteuerung oder die Supportmitarbeiter oder gesetzliche Anforderungen erfüllen muss, müssen Sie Assured Workloads verwenden. Dieser Dienst unterstützt Sie bei der Ausführung sicherer und konformer Arbeitslasten in Google Cloud, ohne die Cloud-Funktionen zu beeinträchtigen. Weitere Informationen finden Sie unter Compliance und Steuerung der Datenhoheit für SAP in Google Cloud.
Bereitstellungsarchitektur
Eine einfache SAP-MaxDB-Installation auf einem einzelnen Knoten in Google Cloud umfasst die folgenden Komponenten:
- Eine Compute Engine-VM, die Ihre SAP MaxDB-Datenbank ausführt
Drei oder vier angehängte Laufwerke für nichtflüchtigen Speicher:
Drive-Inhalt Linux Windows Stammverzeichnis der Datenbankinstanz /sapdb/[DBSID]
MaxDB (D:)
Datendateien der Datenbank /sapdb/[DBSID]/sapdata
MaxDB Data (E:)
Transaktionslogs der Datenbank /sapdb/[DBSID]/saplog
MaxDB Log (L:)
Sicherungen der Datenbank (optional) /maxdbbackup
Backup (X:)
Optional können Sie Ihre Installation auch folgendermaßen erweitern:
NetWeaver-Verzeichnisse, einschließlich:
/usr/sap
unter Linux oderSAP (S:)
unter Windows/sapmnt
unter Linux oderPagefile (P:)
unter Windows
Ein NAT-Gateway. Mit einem NAT-Gateway können Sie für Ihre VMs eine Internetverbindung bereitstellen und gleichzeitig den direkten Zugriff aus dem Internet auf diese VMs verhindern. Eine VM lässt sich auch als Bastion Host konfigurieren, mit dem Sie SSH-Verbindungen zu den anderen VMs in Ihrem privaten Subnetz einrichten können. Weitere Informationen finden Sie unter NAT-Gateways und Bastion Hosts.
Für andere Anwendungsfälle sind möglicherweise zusätzliche Geräte oder Datenbanken erforderlich. Weitere Informationen erhalten Sie in der MaxDB-Dokumentation im SAP Help Portal.
Ressourcenanforderungen
Die Ausführung von SAP MaxDB in Google Cloud entspricht weitestgehend der Ausführung in Ihrem eigenen Rechenzentrum. Trotzdem müssen Sie sich Gedanken über Rechenressourcen, Speicher und Netzwerke machen. Weitere Informationen finden Sie unter SAP-Hinweis 2456432 – SAP-Anwendungen in Google Cloud: Unterstützte Produkte und Google Cloud-Maschinentypen.
VM-Konfiguration
SAP MaxDB ist für die Ausführung auf allen Compute Engine-Maschinentypen zertifiziert, einschließlich benutzerdefinierter Typen. Wenn Sie MaxDB jedoch auf derselben VM wie SAP NetWeaver oder Application Server Central Services (ASCS) ausführen möchten, müssen Sie eine von SAP NetWeaver unterstützte VM verwenden. Eine Liste der von SAP NetWeaver unterstützten VMs finden Sie im SAP NetWeaver-Planungsleitfaden.
Informationen zu den in Google Cloud verfügbaren Maschinentypen und zu ihren jeweiligen Anwendungsfällen erhalten Sie unter Maschinentypen in der Compute Engine-Dokumentation.
CPU-Konfiguration
Die für MaxDB erforderliche Anzahl von vCPUs hängt von der Auslastung Ihrer Anwendung und Ihren Leistungszielen ab. Sie sollten Ihrer SAP MaxDB-Installation mindestens zwei vCPUs zuweisen. Für eine optimale Leistung müssen Sie die Anzahl der vCPUs und die Größe Ihrer nichtflüchtigen Speicher entsprechend skalieren, damit Sie Ihre Leistungsziele erreichen können. Weitere Informationen von SAP zu MaxDB finden Sie im SAP Help Portal.
Arbeitsspeicherkonfiguration
Die Größe des Arbeitsspeichers für Ihr SAP MaxDB-System müssen Sie je nach Anwendungsfall bestimmen. Die optimale Größe für den jeweiligen Anwendungsfall hängt von der Komplexität der ausgeführten Abfragen, der Menge Ihrer Daten, dem Grad des Parallelismus und dem erwarteten Leistungsniveau ab.
Weitere Informationen von SAP zu MaxDB finden Sie im SAP Help Portal.
Speicherkonfiguration
Standardmäßig hat jede Compute Engine-VM einen kleinen nichtflüchtigen Root-Speicher, auf dem sich das Betriebssystem befindet. Darüber hinaus sollten Sie zusätzliche Laufwerke für Ihre Datenbankdaten, Ihre Logs und optional für Ihre Datenbanksicherungen bereitstellen.
Verwenden Sie einen nichtflüchtigen Standardspeicher für das Logvolumen und, abhängig von Ihren Leistungszielen, für das Datenvolumen.
Weitere Informationen zu den Optionen für nichtflüchtige Speicher für SAP MaxDB finden Sie unter Nichtflüchtige Speicher.
Weitere Informationen von SAP erhalten Sie unter:
- SAP-Hinweis 869267 – FAQ: SAP MaxDB-Logbereich.
- SAP-Hinweis 1173395 – FAQ: Konfiguration von SAP MaxDB und liveCache.
Unterstützte SAP MaxDB-Versionen und -Features
SAP MaxDB ab Version 7.9.09 ist von SAP für den Einsatz in Google Cloud zertifiziert.
SAP zertifiziert auch die folgenden Versionen von SAP liveCache und SAP Content Server in Google Cloud:
- SAP liveCache-Technologie, mindestens SAP LC/LCAPPS 10.0 SP 39, einschließlich liveCache 7.9.09.09 und LCA-Build 39, freigegeben für EhP 4 für SAP SCM 7.0 und höher
- SAP Content Server 6.50 unter Windows mit Internet Information Services 10 (IIS)
- SAP Content Server 6.50 unter Linux mit Apache Web Server 2.4.xx
Weitere Informationen zu unterstützten Versionen von liveCache finden Sie im SAP-Hinweis 2074842.
Weitere Informationen zu den in Google Cloud unterstützten SAP-Produkten finden Sie unter SAP-Hinweis 2456432 – SAP-Anwendungen in Google Cloud: Unterstützte Produkte und Google Cloud-Maschinentypen
Unterstützte Betriebssysteme
Sie können SAP MaxDB auf folgenden Betriebssystemen in Google Cloud ausführen:
- Red Hat Enterprise Linux (RHEL)
- SUSE Linux Enterprise Server (SLES)
- Windows Server
SAP listet die Betriebssystemversionen, die Sie mit MaxDB verwenden können, in der SAP-Produktverfügbarkeitsmatrix auf.
Compute Engine stellt Linux- und Windows-Betriebssysteme als öffentliche Images bereit, die Verbesserungen für Google Cloud umfassen. Weitere Informationen zu Compute Engine-Images finden Sie hier.
Überlegungen zur Bereitstellung
Regionen und Zonen
Wenn Sie eine VM bereitstellen, müssen Sie eine Region und eine Zone auswählen. Eine Region ist ein bestimmter Standort, an dem Sie Ihre Ressourcen ausführen können, und entspricht dem Standort eines Rechenzentrums. Jede Region hat eine oder mehrere Zonen.
Der Zugriff auf globale Ressourcen wie vorkonfigurierte Laufwerk-Images und Laufwerk-Snapshots kann regions- und zonenübergreifend erfolgen. Auf regionale Ressourcen wie statische externe IP-Adressen können nur Ressourcen zugreifen, die sich in derselben Region befinden. Zonale Ressourcen wie VMs und Laufwerke sind nur Ressourcen zugänglich, die in derselben Zone angesiedelt sind.
Berücksichtigen Sie bei der Auswahl von Regionen und Zonen für Ihre VMs Folgendes:
- Den Standort Ihrer Nutzer und Ihrer internen Ressourcen, beispielsweise Ihres Rechenzentrums oder Unternehmensnetzwerks. Wählen Sie zum Reduzieren der Latenz einen Standort aus, der sich in unmittelbarer Nähe Ihrer Nutzer und Ressourcen befindet.
- Den Standort Ihrer anderen SAP-Ressourcen. Ihre SAP-Anwendung und Ihre Datenbank müssen sich in derselben Zone befinden.
Nichtflüchtige Speicher
Nichtflüchtige Speicher sind robuste Blockspeichergeräte, die ähnlich wie physische Laufwerke in Computern oder Servern funktionieren.
Compute Engine bietet verschiedene Arten von nichtflüchtigen Speichern. Jeder Typ hat unterschiedliche Leistungsmerkmale. Google Cloud verwaltet die zugrunde liegende Hardware nichtflüchtiger Speicher, um die Datenredundanz zu gewährleisten und die Leistung zu optimieren.
Sie können einen der folgenden Compute Engine-Typen für nichtflüchtige Speicher verwenden:
- Nichtflüchtige Standardspeicher (
pd-standard
): Effizienter und kostengünstiger Blockspeicher, der auf Standardfestplattenlaufwerken (HDD) basiert und sequenzielle Lese-/Schreibvorgänge verarbeitet. Der Speicher ist aber nicht für die Verarbeitung hoher Raten zufälliger Ein-/Ausgabevorgänge pro Sekunde (IOPS) optimiert. - SSD (
pd-ssd
): Zuverlässiger, leistungsstarker Blockspeicher, der auf Solid-State-Laufwerken (SSD) basiert. - Abgestimmter Speicher (
pd-balanced
): Kostengünstiger und zuverlässiger, SSD-basierter Blockspeicher. - Extrem (
pd-extreme
): Speicher mit höheren maximalen IOPS- und Durchsatzoptionen alspd-ssd
, für größere Compute Engine-Maschinentypen. Weitere Informationen finden Sie unter Extrem nichtflüchtige Speicher.
Die Leistung von SSD- und abgestimmten nichtflüchtigen Speichern wird automatisch mit der Größe skaliert, sodass Sie die Leistung anpassen können, indem Sie die Größe der vorhandenen nichtflüchtigen Speicher anpassen oder einer VM weitere nichtflüchtige Speicher hinzufügen.
Die Art der verwendeten VM und die Anzahl der darin enthaltenen vCPUs wirken sich auch auf die Leistung des nichtflüchtigen Speichers aus.
Nichtflüchtige Speicher sind unabhängig von Ihren VMs. Sie können sie deshalb trennen oder verschieben, wenn Sie Daten aufbewahren möchten, auch wenn Sie die VMs löschen.
Weitere Informationen zu den verschiedenen Arten von nichtflüchtigen Compute Engine-Speichern, ihrer Leistungsmerkmale und ihrer Verwendung finden Sie in der Compute Engine-Dokumentation:
- Speicheroptionen
- Blockspeicherleistung
- Andere Faktoren, die sich auf die Leistung auswirken
- Zonale nichtflüchtige Speicher hinzufügen oder ihre Größe anpassen
- Snapshots von nichtflüchtigem Speicher erstellen
Lokale SSDs (flüchtig)
In Google Cloud stehen auch lokale SSD-Laufwerke zur Verfügung. SSDs bieten zwar einige Vorteile gegenüber nichtflüchtigen Speichern, sollten aber nicht im Rahmen eines SAP MaxDB-Systems verwendet werden. VM-Instanzen mit angehängten lokalen SSDs können nicht beendet und neu gestartet werden.
NAT-Gateways und Bastion Hosts
Wenn Ihre Sicherheitsrichtlinien echte interne VM-Instanzen vorschreiben, müssen Sie manuell einen NAT-Proxy für Ihr Netzwerk und eine entsprechende Route einrichten, damit VMs Zugriff auf das Internet haben. Sie können über SSH keine direkte Verbindung zu einer komplett internen VM-Instanz herstellen. Zum Herstellen einer Verbindung zu solchen internen VMs müssen Sie eine Bastion-Instanz mit einer externen IP-Adresse einrichten und den Traffic dann darüber leiten. Wenn VMs keine externen IP-Adressen haben, können sie nur von anderen VMs im Netzwerk oder über ein verwaltetes VPN-Gateway erreicht werden. VMs lassen sich in Ihrem Netzwerk als vertrauenswürdige Relais für eingehende Verbindungen (Bastion Hosts) oder ausgehenden Netzwerktraffic (NAT-Gateways) bereitstellen. Wenn Sie mehr Verbindungstransparenz ohne Einrichtung solcher Verbindungen benötigen, können Sie eine verwaltete VPN-Gateway-Ressource verwenden.
Bastion Hosts für eingehende Verbindungen verwenden
Bastion Hosts stellen einen Zugangspunkt von außen in ein Netzwerk mit privaten Netzwerk-VMs dar. Dieser Host kann als ein einziger Verteidigungs- oder Prüfpunkt des Netzwerkschutzes dienen und gestartet und gestoppt werden, um die eingehende SSH-Kommunikation aus dem Internet zu aktivieren oder zu deaktivieren.
Wenn Sie zuerst eine Verbindung zu einem Bastion Host herstellen, erhalten Sie SSH-Zugriff auf VMs, die keine externe IP-Adresse haben. Die vollständige Härtung eines Bastion Hosts wird in diesem Leitfaden nicht behandelt. Sie können aber erste Schritte ausführen, z. B. die folgenden:
- Einschränkung des CIDR-Bereichs der Quell-IPs, die mit dem Bastion Host kommunizieren können.
- Konfigurieren von Firewallregeln, um nur SSH-Traffic an private VMs zuzulassen, der vom Bastion Host kommt
SSH ist auf VMs standardmäßig so konfiguriert, dass private Schlüssel für die Authentifizierung verwendet werden. Bei Verwendung eines Bastion Hosts melden Sie sich zuerst beim Bastion Host und dann bei der privaten Ziel-VM an. Aufgrund dieser zweistufigen Anmeldung sollten Sie die Ziel-VM über die SSH-Agent-Weiterleitung ansteuern und nicht den privaten Schlüssel der Ziel-VM auf dem Bastion Host speichern. Sie müssen auch so vorgehen, wenn Sie dasselbe Schlüsselpaar für den Bastion Host und die Ziel-VMs verwenden, da der Bastion Host nur auf die öffentliche Hälfte des Schlüsselpaars direkten Zugriff hat.
NAT-Gateways für ausgehenden Traffic verwenden
Wenn einer VM keine externe IP-Adresse zugewiesen wurde, kann sie keine direkte Verbindung zu externen Diensten herstellen, einschließlich anderer Google Cloud-Dienste. Wenn für diese VMs Dienste im Internet erreichbar sein sollen, müssen Sie ein NAT-Gateway einrichten und konfigurieren. Das NAT-Gateway ist eine VM, die Traffic im Namen jeder anderen VM im Netzwerk weiterleiten kann. Sie sollten ein NAT-Gateway pro Netzwerk einrichten. Beachten Sie, dass ein aus einer einzigen VM bestehendes NAT-Gateway keine Hochverfügbarkeit bietet und keinen hohen Trafficdurchsatz für mehrere VMs unterstützt. Eine Anleitung zum Einrichten einer VM als NAT-Gateway finden Sie im SAP MaxDB-Bereitstellungsleitfaden für Linux bzw. im SAP MaxDB-Bereitstellungsleitfaden für Windows.
Benutzerdefinierte Images
Wenn Ihr System einsatzbereit ist, können Sie benutzerdefinierte Images erstellen. Sie sollten dies tun, wenn Sie den Zustand Ihres nichtflüchtigen Root-Laufwerks ändern und in der Lage sein möchten, den neuen Zustand schnell wiederherzustellen. Legen Sie sich außerdem zum Verwalten Ihrer benutzerdefinierten Images einen Plan zurecht. Weitere Informationen finden Sie unter Best Practices für die Image-Verwaltung.
Nutzeridentifizierung und Ressourcenzugriff
Bei der Planung der Sicherheit für eine SAP-Bereitstellung in Google Cloud müssen Sie Folgendes ermitteln:
- Die Nutzerkonten und Anwendungen, die Zugriff auf die Google Cloud-Ressourcen in Ihrem Google Cloud-Projekt benötigen
- Die spezifischen Google Cloud-Ressourcen in Ihrem Projekt, auf die jeder Nutzer zugreifen muss
Sie müssen jeden Nutzer Ihrem Projekt hinzufügen, indem Sie dessen Google-Konto-ID in das Projekt als Hauptkonto einfügen. Für ein Anwendungsprogramm, das Google Cloud-Ressourcen verwendet, erstellen Sie ein Dienstkonto, das eine Nutzeridentität für das Programm innerhalb Ihres Projekts bereitstellt.
Compute Engine-VMs haben ein eigenes Dienstkonto. Alle Programme, die auf einer VM ausgeführt werden, können das VM-Dienstkonto verwenden, solange es die Ressourcenberechtigungen hat, die das Programm benötigt.
Nachdem Sie die Google Cloud-Ressourcen ermittelt haben, die jeder Nutzer benötigt, erteilen Sie den Nutzern die Berechtigung, diese Ressourcen zu verwenden. Dazu weisen Sie dem jeweiligen Nutzer ressourcenspezifische Rollen zu. Prüfen Sie die vordefinierten IAM-Rollen, die IAM für jede Ressource bereitstellt, und weisen Sie jedem Nutzer Rollen zu, die genau so viele Berechtigungen enthalten, wie für das Erledigen der Aufgaben oder Funktionen des Nutzers erforderlich sind.
Wenn Sie eine detailliertere oder restriktivere Kontrolle über Berechtigungen benötigen, als die vordefinierten IAM-Rollen bieten, können Sie benutzerdefinierte Rollen erstellen.
Weitere Informationen zu den IAM-Rollen, die SAP-Programme in Google Cloud benötigen, finden Sie unter Identitäts- und Zugriffsverwaltung für SAP-Programme in Google Cloud.
Informationen zur Identitäts- und Zugriffsverwaltung für SAP in Google Cloud finden Sie in der Übersicht über die Identitäts- und Zugriffsverwaltung für SAP in Google Cloud.
Netzwerke und Sicherheit
Beachten Sie die Informationen in den folgenden Abschnitten, wenn Sie das Netzwerk und die Sicherheit planen.
Modell der geringsten Berechtigung
Eine der wichtigsten Sicherheitsmaßnahmen besteht darin, den Zugang zu Ihrem Netzwerk und Ihren VMs mithilfe von Firewalls zu beschränken. Der gesamte Traffic an VMs, auch der von anderen VMs, wird standardmäßig von der Firewall blockiert, sofern Sie keine Regeln erstellen, die den Zugriff zulassen. Die einzige Ausnahme hiervon ist das Standardnetzwerk "default", das für jedes Projekt automatisch erstellt wird und Standardfirewallregeln besitzt.
Mithilfe von Firewallregeln können Sie den gesamten Traffic mit einem bestimmten Satz von Ports auf bestimmte Quell-IP-Adressen beschränken. Folgen Sie dem Modell der geringsten Berechtigung, um den Zugriff auf die jeweiligen IP-Adressen, Protokolle und Ports zu beschränken, die zugänglich sein müssen. So sollten Sie immer einen Bastion Host einrichten und SSH-Verbindungen in das SAP NetWeaver-System nur von diesem Host aus zulassen.
Zugriffsmanagement
Damit Sie Ihre Implementierung richtig planen können, müssen Sie wissen, wie das Zugriffsmanagement in Google Cloud funktioniert. Folgende Entscheidungen sind zu treffen:
- Wie Ihre Ressourcen in Google Cloud organisiert sind
- Welche Teammitglieder auf Ressourcen zugreifen und mit diesen arbeiten können
- Welche Berechtigungen jedes Teammitglied genau haben darf
- Welche Dienste und Anwendungen welche Dienstkonten verwenden müssen und welche Berechtigungsstufen in den einzelnen Fällen zu erteilen sind
Machen Sie sich zuerst mit der Cloud Platform-Ressourcenhierarchie vertraut. Sie müssen die verschiedenen Ressourcencontainer kennen und wissen, in welcher Beziehung sie zueinander stehen. Sie müssen außerdem wissen, wo die Zugriffsbeschränkungen erstellt werden.
Die Identitäts- und Zugriffsverwaltung (IAM) bietet eine einheitliche Kontrolle über die Berechtigungen für Google Cloud-Ressourcen. Sie können damit die Zugriffssteuerung verwalten und vorgeben, wer welchen Zugriff auf Ressourcen hat. So lässt sich festlegen, wer auf Steuerungsebene Vorgänge für Ihre SAP-Instanzen ausführen und beispielsweise VMs, nichtflüchtige Speicher und Netzwerke erstellen und ändern kann.
Weitere Einzelheiten zu IAM finden Sie in der IAM-Übersicht.
Eine Übersicht über IAM in Compute Engine finden Sie unter Zugriffssteuerungsoptionen.
IAM-Rollen sind der Schlüsselfaktor beim Erteilen von Berechtigungen an Nutzer. Eine Referenz zu Rollen und den damit bereitgestellten Berechtigungen finden Sie unter Rollen von Identity and Access Management.
Google Cloud-Dienstkonten bieten die Möglichkeit, Anwendungen und Diensten Berechtigungen zu erteilen. Dafür müssen Sie wissen, wie Dienstkonten in Compute Engine angewendet werden. Ausführliche Informationen dazu finden Sie unter Dienstkonten.
Benutzerdefinierte Netzwerke und Firewallregeln
Mithilfe eines Netzwerks können Sie eine Gateway-IP-Adresse und den Netzwerkbereich für die mit diesem Netzwerk verbundenen VMs definieren. Alle Compute Engine-Netzwerke verwenden das IPv4-Protokoll. Für jedes Google Cloud-Projekt wird ein Standardnetzwerk mit vordefinierten Konfigurationen und Firewallregeln bereitgestellt. Sie sollten aber ein benutzerdefiniertes Subnetzwerk sowie Firewallregeln hinzufügen, die auf dem Modell der geringsten Berechtigung basieren. Standardmäßig gelten für ein neu erstelltes Netzwerk keine Firewallregeln, d. h. es ist kein Netzwerkzugriff möglich.
Je nach Ihren Anforderungen möchten Sie eventuell zusätzliche Subnetzwerke hinzufügen, um Teile Ihres Netzwerks zu isolieren. In diesem Fall finden Sie weitere Informationen unter Subnetzwerke.
Die Firewallregeln gelten für das gesamte Netzwerk und alle VMs im Netzwerk. Sie können eine Firewallregel erstellen, die den Traffic zwischen VMs im selben Netzwerk und über Subnetzwerke hinweg zulässt. Außerdem bietet der Tagging-Mechanismus die Möglichkeit, Firewalls gezielt für bestimmte VMs zu konfigurieren.
Einige SAP-Produkte wie SAP NetWeaver benötigen Zugriff auf bestimmte Ports. Sie sollten also unbedingt Firewallregeln erstellen, die den Zugriff auf die von SAP beschriebenen Ports zulassen.
Routen
Routen sind globale Ressourcen, die mit einem einzelnen Netzwerk verbunden sind. Von Nutzern erstellte Routen gelten für alle VMs in einem Netzwerk. Sie können also eine Route erstellen, die Traffic ohne erforderliche externe IP-Adresse von VM zu VM innerhalb desselben Netzwerks und über Subnetzwerke weiterleitet.
Für den externen Zugriff auf Internetressourcen starten Sie eine VM ohne externe IP-Adresse und konfigurieren eine weitere virtuelle Maschine als NAT-Gateway. Dieser Konfiguration müssen Sie das NAT-Gateway als Route für Ihre SAP-Instanz hinzufügen. Weitere Informationen finden Sie unter NAT-Gateways und Bastion Hosts.
Cloud VPN
Mit einer VPN-Verbindung und IPsec können Sie über Cloud VPN eine sichere Verbindung von einem vorhandenen Netzwerk zu Google Cloud herstellen. Der Traffic zwischen den beiden Netzwerken ist durch ein VPN-Gateway verschlüsselt und wird anschließend von dem anderen VPN-Gateway wieder entschlüsselt. Dies schützt Ihre Daten, wenn sie über das Internet übertragen werden. Mithilfe von Instanztags auf Routen lässt sich dynamisch steuern, welche VMs Traffic über das VPN senden können. Cloud VPN-Tunnel werden bei gleichbleibendem Preis monatlich berechnet. Hinzu kommen die Standardkosten für ausgehenden Traffic, die auch dann anfallen, wenn zwei Netzwerke im selben Projekt verbunden werden. Weitere Informationen finden Sie in der Cloud VPN-Übersicht und unter VPN erstellen.
Cloud Storage-Bucket sichern
Wenn Sie Ihre Daten- und Logsicherungen auf Cloud Storage hosten, sollten Sie für die Datenübertragung von Ihren VMs zu Cloud Storage unbedingt TLS (HTTPS) verwenden. Damit sind die Daten während der Übertragung geschützt, Cloud Storage verschlüsselt inaktive Daten automatisch. Sie können Ihre eigenen Verschlüsselungsschlüssel angeben, wenn Sie mit einem eigenen Schlüsselverwaltungssystem arbeiten.
Zugehörige Dokumente zum Thema Sicherheit
Zum Thema Sicherheit für Ihre SAP-Umgebung in Google Cloud stehen Ihnen folgende zusätzliche Ressourcen zur Verfügung:
- Sichere Verbindung zu VM-Instanzen
- Security Center
- Compliance in Google Cloud
- Whitepaper zur Sicherheit in Google Cloud
- Sicherheitsdesign der Google-Infrastruktur
Sicherung und Wiederherstellung
Sie müssen sich überlegen, wie Sie den Betriebszustand Ihres Systems im Ernstfall wiederherstellen können. Allgemeine Hinweise zur Planung einer Notfallwiederherstellung mithilfe von Google Cloud finden Sie hier:
Lizenzen
Dieser Abschnitt enthält Informationen zu Lizenzbestimmungen.
SAP-Lizenzen
Für die Ausführung von SAP MaxDB in Google Cloud benötigen Sie eine eigene Lizenz (BYOL). Weitere Informationen
- SAP-Hinweis 2446441 – Linux auf Google Cloud Platform (IaaS): Anpassung Ihrer SAP-Lizenz
- SAP-Hinweis 2456953 – Windows auf der Google Cloud Platform (IaaS): Anpassung Ihrer SAP-Lizenz
Weitere Informationen zur SAP-Lizenzierung erhalten Sie von SAP direkt.
Betriebssystemlizenzen
In Compute Engine gibt es zwei Möglichkeiten, SLES, RHEL und Windows Server zu lizenzieren:
Bei der Pay-As-You-Go-Lizenzierung ist die Lizenzierung in den stündlich abgerechneten Kosten für Ihre Compute Engine-VMs inbegriffen. Google verwaltet die Lizenzlogistik. Ihre Kosten pro Stunde sind höher, können jedoch völlig flexibel an den jeweiligen Bedarf angepasst werden. Dies ist das Lizenzmodell für öffentliche Google Cloud-Images, zu denen SLES, RHEL und Windows Server gehören.
Mit BYOL sind die Kosten für Ihre Compute Engine-VMs niedriger, da die Lizenzierung nicht inbegriffen ist. Sie müssen dafür aber eine vorhandene Lizenz migrieren oder eine eigene Lizenz erwerben, d. h, Sie müssen im Voraus bezahlen und sind so weniger flexibel.
Support
Wenden Sie sich bei Problemen mit der Infrastruktur oder den Diensten von Google Cloud an Customer Care. Kontaktdaten finden Sie in der Google Cloud Console auf der Seite Supportübersicht. Wenn Customer Care feststellt, dass sich um ein Problem Ihres SAP-Systems handelt, werden Sie an den SAP-Support verwiesen.
Reichen Sie bei Problemen in Zusammenhang mit SAP-Produkten Ihre Supportanfrage beim SAP-Support ein.
SAP wertet das Support-Ticket aus und leitet es, wenn es sich um ein Problem mit der Google Cloud-Infrastruktur handelt, an die Google Cloud-Komponente BC-OP-LNX-GOOGLE
oder BC-OP-NT-GOOGLE
weiter.
Supportanforderungen
Bevor Sie Support für SAP-Systeme sowie für die Infrastruktur und Dienste von Google Cloud erhalten können, müssen Sie die Mindestanforderungen für den Supportplan erfüllen.
Weitere Informationen zu den Mindestsupportanforderungen für SAP in Google Cloud finden Sie hier:
- Support für SAP in Google Cloud
- SAP-Hinweis 2456406 – SAP auf der Google Cloud Platform: Support-Voraussetzungen (SAP-Nutzerkonto erforderlich)
Informationen zu SAP MaxDB können Sie auch im SAP Help Portal abrufen.
Weitere Informationen
Mehr zum Bereitstellen von SAP MaxDB unter Linux im SAP MaxDB-Bereitstellungsleitfaden für Linux erfahren
Mehr zum Bereitstellen von SAP MaxDB unter Windows im SAP MaxDB-Bereitstellungsleitfaden für Windows erfahren