Guía de planificación para SAP MaxDB

En esta guía, se proporciona una descripción general de cómo funciona SAP MaxDB en Google Cloud Platform (GCP) y detalles que puedes usar cuando planifiques la implementación de un nuevo sistema SAP MaxDB.

Para obtener más información sobre cómo implementar SAP MaxDB en GCP, consulta lo siguiente:

Para obtener información de SAP sobre SAP MaxDB, consulta lo siguiente:

Conceptos básicos de GCP

GCP consta de muchos servicios y productos basados en la nube. Cuando ejecutas productos SAP en GCP, se usan sobre todo los servicios basados en IaaS que se ofrecen a través de Compute Engine y Cloud Storage, así como algunas características disponibles en toda la plataforma, como las herramientas.

Consulta la descripción general de la plataforma GCP para conocer conceptos y terminología importantes. En esta guía, se duplica parte de la información de la descripción general por cuestiones de conveniencia y contexto.

Para obtener una descripción general de las consideraciones que las organizaciones de escala empresarial deben tener en cuenta cuando trabajan en GCP, consulta las Recomendaciones para las organizaciones empresariales.

Interacción con GCP

GCP ofrece tres formas principales de interactuar con la plataforma y tus recursos en la nube:

  • Google Cloud Platform Console, que es una interfaz de usuario basada en la Web
  • La herramienta de línea de comandos de gcloud, que proporciona un superconjunto de la funcionalidad que ofrece GCP Console
  • Las bibliotecas cliente, que proporcionan API para acceder a servicios y administración de recursos. Las bibliotecas cliente son útiles cuando compilas tus propias herramientas

Servicios de GCP

Las implementaciones de SAP suelen usar algunos de los siguientes servicios de GCP o todos ellos:

Servicio Descripción
Herramientas de redes de VPC Conecta tus instancias de VM entre sí y con Internet. Cada instancia es miembro de una red heredada con un solo rango de IP global o una red de subred recomendada, en la que la instancia es miembro de una subred única que forma parte de una red más grande. Ten en cuenta que una red no puede abarcar varios proyectos de GCP, pero un proyecto de GCP puede tener varias redes.
Compute Engine Crea y administra VM con el sistema operativo y la pila de software que elijas.
Discos persistentes Los discos persistentes están disponibles como unidades de disco duro estándar (HDD) o unidades de estado sólido (SSD).
Google Cloud Platform Console Herramienta para navegador que administra los recursos de Compute Engine. Usa una plantilla para describir todas las instancias y recursos de Compute Engine que necesitas. No tienes que crear y configurar los recursos de forma individual ni manejar las dependencias, ya que GCP Console lo hace de manera automática.
Cloud Storage Puedes guardar las copias de seguridad de tu base de datos SAP en Cloud Storage para conseguir una mayor durabilidad y confiabilidad, con replicación.
Stackdriver Monitoring Brinda visibilidad sobre la implementación, el rendimiento, el tiempo de actividad y el estado de Compute Engine, la red y los discos persistentes.

Stackdriver recopila métricas, eventos y metadatos de GCP y los usa para generar estadísticas mediante paneles, gráficos y alertas. Puedes supervisar las métricas de cómputo sin costo a través de Stackdriver Monitoring.
Cloud IAM Proporciona control unificado sobre los permisos para recursos de GCP. Controla quién puede realizar operaciones de plano de control en tus VM, lo que incluye la creación, modificación y borrado de VM y discos persistentes, y la creación y modificación de redes.

Precios y cuotas

Puedes usar la calculadora de precios para estimar tus costos de uso. Para obtener más información sobre los precios, consulta Precios de Compute Engine, Precios de Cloud Storage y Precios de Stackdriver.

Los recursos de GCP están sujetos a cuotas. Si planeas usar máquinas con alta capacidad de CPU o de memoria, es posible que debas solicitar una cuota adicional. Para obtener más información, consulta Cuotas de recursos de Compute Engine.

Arquitectura de implementación

Una instalación básica de SAP MaxDB de un solo nodo en GCP consta de los siguientes componentes:

  • Una VM de Compute Engine que ejecuta tu base de datos SAP MaxDB
  • Tres o cuatro unidades de disco persistentes adjuntas:

    Contenido de la unidad Linux Windows
    Directorio raíz de la instancia de la base de datos /sapdb/[DBSID] MaxDB (D:)
    Archivos de datos de la base de datos /sapdb/[DBSID]/sapdata MaxDB Data (E:)
    Registros de transacciones de la base de datos /sapdb/[DBSID]/saplog MaxDB Log (L:)
    Copias de seguridad de la base de datos (opcional) /maxdbbackup Backup (X:)

Como opción, puedes ampliar la instalación para incluir también lo siguiente:

  • Directorios de NetWeaver, que incluye lo siguiente:

    • /usr/sap en Linux o SAP (S:) en Windows
    • /sapmnt en Linux o Pagefile (P:) en Windows
  • Una puerta de enlace NAT. Una puerta de enlace NAT te permite proporcionar conectividad indirecta a Internet para tus VM a fin de que no usen una conexión directa. También puedes configurar esta VM como Host de bastión para establecer conexiones SSH con las demás VM de tu subred privada. Consulta Puertas de enlace NAT y Hosts de bastión para obtener más información

Algunos casos prácticos pueden requerir dispositivos o bases de datos adicionales. Para obtener más información, consulta la documentación de MaxDB en el Portal de ayuda de SAP.

Requisitos de los recursos

En muchos sentidos, ejecutar SAP MaxDB en GCP es similar a ejecutarlo en tu propio centro de datos. Debes tener en cuenta los recursos informáticos, el almacenamiento y las consideraciones de red. Para obtener más información, consulta 2456432: Aplicaciones de SAP en Google Cloud Platform: productos compatibles y tipos de VM de Google.

Configuración de VM

SAP MaxDB está certificado para ejecutarse en todos los tipos de máquina de Compute Engine, incluidos los tipos personalizados. Sin embargo, si ejecutas MaxDB en la misma VM que SAP NetWeaver o Application Server Central Services (ASCS), debes usar una máquina virtual que sea compatible con SAP NetWeaver. Para obtener una lista de las VM que admite SAP NetWeaver, consulta la guía de planificación de SAP NetWeaver.

Para obtener información sobre todos los tipos de máquinas disponibles en Google Cloud Platform y sus casos prácticos, consulta Tipos de máquina en la documentación de Compute Engine.

Configuración de CPU

La cantidad de CPU virtuales que hay que seleccionar para MaxDB depende de la carga de aplicaciones y los objetivos de rendimiento. Debes asignar un mínimo de dos CPU virtuales a la instalación de SAP MaxDB. Para obtener el mejor rendimiento, escala la cantidad de CPU virtuales y el tamaño de tus discos persistentes hasta que se cumplan tus objetivos de rendimiento. Para obtener más información sobre SAP sobre MaxDB, consulta el Portal de ayuda de SAP.

Configuración de la memoria

La memoria que asignes al sistema SAP MaxDB depende de tu caso práctico. La cantidad óptima de memoria para tu caso práctico depende de la complejidad de las consultas que ejecutas, el tamaño de tus datos, la cantidad de paralelismo que usas y el nivel de rendimiento esperado.

Para obtener más información sobre SAP sobre MaxDB, consulta el Portal de ayuda de SAP.

Configuración de almacenamiento

De forma predeterminada, cada VM de Compute Engine tiene un disco raíz persistente pequeño que contiene el sistema operativo. Aprovisionas discos adicionales para los datos, registros y, de forma opcional, copias de seguridad de la base de datos.

Para el almacenamiento, GCP proporciona discos persistentes SSD y discos persistentes HDD estándar. Los discos SSD proporcionan un mayor rendimiento. Usa un disco persistente SSD para el volumen de registro de MaxDB. Según tus objetivos de rendimiento, considera usar también un disco persistente SSD para el volumen de datos de MaxDB.

El rendimiento de la base de datos de MaxDB también depende del tamaño de los discos persistentes y de la cantidad de CPU virtuales en la máquina host. Escala los tamaños del registro y discos de datos, así como la cantidad de las CPU virtuales, para cumplir con los requisitos de rendimiento de tu aplicación.

Para obtener una descripción detallada de las comparativas de rendimiento de discos persistentes, consulta Optimiza el rendimiento del disco persistente y del SSD local.

Más información sobre SAP:

Para obtener una descripción de alto nivel de los discos persistentes, consulta Discos persistentes a continuación.

Versiones y características admitidas de SAP MaxDB

SAP MaxDB versión 7.9.09 y más reciente está certificada por SAP para su uso en GCP.

SAP también certifica las siguientes versiones de SAP liveCache y SAP Content Server en GCP:

  • Tecnología SAP liveCache, con un mínimo de SAP LC/LCAPPS 10.0 SP 39, incluidos liveCache 7.9.09.09 y LCA-Build 39, lanzados para EhP 4 de SAP SCM 7.0 y superior.
  • SAP Content Server 6.50 en Windows mediante Internet Information Services 10 (IIS)
  • SAP Content Server 6.50 en Linux con Apache Web Server 2.4.xx

Para obtener más información sobre las versiones compatibles de liveCache, consulta la Nota SAP 2074842.

Para obtener más información sobre los productos SAP compatibles con GCP, consulta 2456432: Aplicaciones SAP en Google Cloud Platform: productos compatibles y tipos de VM de Google.

Sistemas operativos compatibles

SAP certificó GCP para ejecutar SAP MaxDB en las siguientes imágenes de sistema operativo de SUSE Linux Enterprise Server (SLES), Red Hat Enterprise Linux (RHEL) y Windows Server:

  • RHEL 7.4
  • SLES 12 SP3
  • Windows Server 2016

Para obtener más información sobre las imágenes de Compute Engine, consulta Imágenes.

Consideraciones sobre la implementación

Regiones y zonas

Cuando implementas una VM, debes elegir una región y una zona. Una región es una ubicación geográfica específica en la que puedes ejecutar tus recursos y corresponde a la ubicación de un centro de datos. Cada región tiene una o más zonas.

Se puede acceder a los recursos globales, como las imágenes de disco preconfiguradas y las instantáneas de disco, desde diversas regiones y zonas. Solo se puede acceder a los recursos regionales, como las direcciones IP externas estáticas, desde recursos que se encuentran en la misma región. Solo se puede acceder a los recursos zonales, como las VM y los discos, desde recursos ubicados en la misma zona.

Regiones y zonas de GCP

Cuando elijas regiones y zonas para tus VM, ten en cuenta lo siguiente:

  • La ubicación de tus usuarios y recursos internos, como tu centro de datos o red corporativa. Para disminuir la latencia, selecciona una ubicación cercana a tus usuarios y recursos.
  • La ubicación de tus otros recursos de SAP. Tu aplicación SAP y tu base de datos deben estar en la misma zona.

Discos persistentes

Los discos persistentes son dispositivos de almacenamiento duraderos que funcionan de manera similar a los discos físicos de una computadora de escritorio o un servidor. Google administra el hardware detrás de estos dispositivos para garantizar la redundancia de datos y optimizar el rendimiento. Los discos persistentes están disponibles como unidades de disco duro estándar (HDD) o unidades de estado sólido (SSD). Los discos persistentes HDD estándar son eficientes y económicos si se desea controlar operaciones de lectura y escritura secuenciales, pero no están optimizados para controlar tasas altas de operaciones aleatorias de entrada y salida por segundo (IOPS).

Los discos persistentes tienen una ubicación independiente de la de tus VM, de modo que puedes separar o mover discos persistentes para mantener tus datos, incluso después de borrar tus VM. El rendimiento de los discos persistentes escala de forma automática con el tamaño del disco, por lo que puedes cambiar el tamaño de tus discos persistentes existentes o agregar más discos persistentes a una VM para satisfacer tus requisitos de espacio de almacenamiento y rendimiento.

SSD local (no persistente)

GCP también ofrece unidades de disco SSD locales. Aunque los SSD locales pueden ofrecer algunas ventajas sobre los discos persistentes, no los uses como parte de un sistema SAP MaxDB. Las instancias de VM con SSD locales adjuntas no se pueden detener y reiniciar.

Puertas de enlace NAT y Hosts de bastión

Si tu política de seguridad requiere VM internas, debes configurar un proxy NAT de forma manual en tu red y una ruta correspondiente para que las VM puedan acceder a Internet. Es importante tener en cuenta que no puedes conectarte a una instancia de VM interna de forma directa mediante SSH. Para conectarte a esas máquinas internas, debes configurar una instancia de bastión que tenga una dirección IP externa y, luego, crear un túnel a través de ella. Cuando las VM no tienen direcciones IP externas, solo se las puede alcanzar desde otras VM de la red o a través de una puerta de enlace de VPN administrada. Puedes aprovisionar VM en tu red a fin de que actúen como retransmisores de confianza para las conexiones de entrada, llamadas Hosts de bastión, o para la salida de red, llamadas puertas de enlace NAT. Para obtener una conectividad más transparente sin configurar esas conexiones, puedes usar un recurso administrado de puerta de enlace de VPN.

Usa Hosts de bastión para conexiones entrantes

Los Hosts de bastión proporcionan un punto de entrada externo a una red que contiene VM de red privada. Este host puede proporcionar un único punto de fortificación o auditoría y puede iniciarse y detenerse para habilitar o inhabilitar la comunicación SSH entrante desde Internet.

Host de bastión en una situación de SSH

Puedes obtener acceso SSH a VM que no tienen una dirección IP externa si primero te conectas a un Host de bastión. El endurecimiento completo de un Host de bastión está fuera del alcance de esta guía, pero puedes seguir algunos pasos iniciales, como los siguientes:

  • Limitar el rango CIDR de las IP de origen que se pueden comunicar con el bastión.
  • Configurar las reglas de firewall para permitir el tráfico SSH a VM privadas solo desde el Host de bastión.

De forma predeterminada, el SSH en VM está configurado de modo que use claves privadas para la autenticación. Cuando usas un Host de bastión, primero debes acceder al Host de bastión y, luego, a tu VM privada de destino. Debido a este acceso en dos pasos, debes usar el reenvío del agente SSH para alcanzar la VM de destino en lugar de almacenar la clave privada de la VM de destino en el Host de bastión. Debes hacer esto incluso si usas el mismo par de claves para las VM de bastión y de destino, ya que el bastión tiene acceso directo solo a la mitad pública del par de claves.

Usa puertas de enlace NAT para la salida de tráfico

Cuando una VM no tiene una dirección IP externa asignada, no puede realizar conexiones directas a servicios externos, incluidos otros servicios de GCP. Para permitir que estas VM alcancen servicios en Internet, puedes establecer y configurar una puerta de enlace NAT. La puerta de enlace NAT es una VM que puede enrutar el tráfico en nombre de cualquier otra VM de la red. Debes tener una puerta de enlace NAT por red. Ten en cuenta que una puerta de enlace NAT de una sola VM no debe considerarse con alta disponibilidad y no admite una alta capacidad de procesamiento de tráfico para varias VM. Si deseas obtener instrucciones para configurar una VM a fin de que actúe como una puerta de enlace NAT, consulte la Guía de implementación de SAP MaxDB para Linux o la Guía de implementación de SAP MaxDB para Windows.

Imágenes personalizadas

Una vez que tu sistema esté en funcionamiento, puedes crear imágenes personalizadas. Debes crear estas imágenes cuando modifiques el estado de tu disco persistente raíz y desees poder restablecer el nuevo estado con facilidad. Debes tener un plan para administrar las imágenes personalizadas que creas. Si quieres obtener más información, consulta las Recomendaciones de administración de imágenes.

Herramientas de redes y seguridad

Considera la información de las siguientes secciones cuando planifiques las herramientas de redes y la seguridad.

Modelo de privilegio mínimo

Una de tus primeras líneas de defensa es restringir mediante firewalls quién puede alcanzar tu red y tus VM. De forma predeterminada, el firewall bloquea todo el tráfico a las VM, incluso desde otras VM, a menos que crees reglas para permitir el acceso. La excepción es la red predeterminada que se crea de forma automática con cada proyecto y tiene reglas de firewall predeterminadas.

Cuando creas reglas de firewall, puedes restringir todo el tráfico de un conjunto determinado de puertos a direcciones IP de origen específicas. Debes seguir el modelo de privilegio mínimo para restringir el acceso a las direcciones IP, protocolos y puertos específicos que necesitan acceso. Por ejemplo, siempre debes configurar un Host de bastión y solo permitir el acceso SSH a tu sistema SAP NetWeaver desde ese host.

Administración de acceso

Comprender cómo funciona la administración de acceso en GCP es clave para planificar tu implementación. Deberás decidir lo siguiente:

  • Cómo organizar tus recursos en GCP
  • Qué miembros del equipo pueden acceder y trabajar con los recursos
  • Qué permisos exactos puede tener cada miembro del equipo
  • Qué servicios y aplicaciones necesitan usar qué cuentas de servicio y qué nivel de permisos otorgar en cada caso

Primero debes comprender la Jerarquía de recursos de Cloud Platform. Es fundamental que entiendas qué son los diversos contenedores de recursos, cómo se relacionan entre sí y dónde se crean los límites de acceso.

Cloud Identity and Access Management (Cloud IAM) proporciona un control unificado sobre los permisos para los recursos de GCP. Puedes administrar el control de acceso mediante la definición de los accesos a los recursos. Por ejemplo, puedes controlar quién puede realizar operaciones de plano de control en tus instancias de SAP, como crear y modificar VM, discos persistentes y herramientas de redes.

Para obtener más detalles sobre Cloud IAM, consulta la Descripción general de Cloud IAM.

Si quieres obtener una descripción general de Cloud IAM en Compute Engine, consulta Opciones de control de acceso.

Las funciones de IAM son clave para otorgar permisos a los usuarios. Para obtener una referencia sobre las funciones y los permisos que proporcionan, consulta Funciones de administración de identidades y accesos.

Las cuentas de servicio de GCP brindan una forma de otorgar permisos a las aplicaciones y servicios. Es importante comprender cómo funcionan las cuentas de servicio en Compute Engine. Si deseas obtener más detalles, consulta Cuentas de servicio.

Redes personalizadas y reglas de firewall

Puedes usar una red a fin de definir una IP de puerta de enlace y el rango de red para las VM adjuntas a esa red. Todas las redes de Compute Engine usan el protocolo IPv4. Todos los proyectos de GCP se proporcionan con una red predeterminada con configuraciones y reglas de firewall preestablecidas, pero deberás agregar una subred personalizada y reglas de firewall según un modelo de privilegio mínimo. De forma predeterminada, una red recién creada no tiene reglas de firewall y, por lo tanto, no tiene acceso a la red.

Según tus requisitos, es posible que desees agregar subredes adicionales para aislar partes de tu red. Para obtener más información, consulta Subredes.

Las reglas del firewall aplican a toda la red y a todas las VM en ella. Puedes agregar una regla de firewall que permita el tráfico entre VM de la misma red y entre subredes. También puedes configurar firewalls para aplicar a VM de destino específicas mediante el mecanismo de etiquetado.

Algunos productos de SAP, como SAP NetWeaver, requieren acceso a ciertos puertos. Asegúrate de agregar reglas de firewall para permitir el acceso a los puertos que describe SAP.

Rutas

Las rutas son recursos globales conectados a una sola red. Las rutas creadas por el usuario se aplican a todas las VM de una red. Esto significa que puedes agregar una ruta que desvía el tráfico de VM a VM dentro de la misma red y a través de subredes sin necesidad de direcciones IP externas.

Para otorgar acceso externo a recursos de Internet, inicia una VM sin dirección IP externa y configura otra máquina virtual como una puerta de enlace NAT. Esta configuración requiere que agregues tu puerta de enlace NAT como una ruta para tu instancia de SAP. Para obtener más información, consulta Puertas de enlace NAT y Hosts de bastión.

Cloud VPN

Puedes conectar de forma segura tu red existente a GCP a través de una conexión de VPN con IPsec mediante Cloud VPN. El tráfico que se transmite entre las dos redes se encripta mediante una puerta de enlace de VPN y, luego, se desencripta con la otra puerta de enlace de VPN. De esta forma, se protegen tus datos mientras se transmiten por Internet. Puedes controlar de forma dinámica qué VM pueden enviar tráfico a través de la VPN mediante etiquetas de instancia en las rutas. Los túneles de Cloud VPN se facturan con una tarifa mensual estática más los cargos de salida estándar. Ten en cuenta que la conexión de dos redes en el mismo proyecto genera cargos de salida estándar. Para obtener más información, consulta Descripción general de Cloud VPN y Elegir una opción de enrutamiento de VPN.

Protege un depósito de Cloud Storage

Si usas Cloud Storage para alojar copias de seguridad de tus datos y registros, asegúrate de usar TLS (HTTPS) cuando envíes datos a Cloud Storage desde tus VM para proteger los datos en tránsito. Cloud Storage encripta de forma automática los datos en reposo. Puedes especificar tus propias claves de encriptación si tienes tu propio sistema de administración de claves.

Para conocer las recomendaciones de seguridad, consulta Seguridad de Cloud Storage.

Consulta los siguientes recursos sobre seguridad adicionales para tu entorno SAP en GCP:

Copia de seguridad y recuperación

Debes saber cómo restablecer tu sistema a las condiciones de funcionamiento si sucede lo peor. Para obtener orientación general sobre cómo planificar la recuperación ante desastres mediante GCP, consulta los siguientes vínculos:

Licencias

En esta sección, se brinda información sobre los requisitos de licencia.

Licencias SAP

Para ejecutar SAP MaxDB en GCP, debes tener tu propia licencia (BYOL). Para obtener más información, consulta los siguientes vínculos:

Para obtener más información sobre las licencias de SAP, comunícate con SAP.

Licencias de sistema operativo

En Compute Engine, hay dos formas de obtener licencias de SLES, RHEL y Windows Server:

  • Con las licencias prepagas, el costo por hora de tus VM de Compute Engine incluye las licencias. Google administra la logística de las licencias. Tus costos por hora son más altos, pero cuentas con una flexibilidad total para aumentar y disminuir los costos, según sea necesario. Este es el modelo de licencias que se usa para las imágenes públicas de GCP que incluyen SLES, RHEL o Windows Server.

  • Con BYOL, los costos de las VM de Compute Engine son más bajos porque no se incluye la licencia. Debes migrar una licencia existente o comprar una propia, lo que implica pagar por adelantado. Además, tendrás menos flexibilidad.

Asistencia

Los clientes de Google Cloud Platform con una función de Asistencia para producción o Asistencia para empresas pueden solicitar asistencia con el aprovisionamiento y la configuración de los recursos de GCP necesarios para los sistemas SAP. Se requiere Asistencia para empresas o Asistencia a nivel de producción de GCP a fin de asistir sistemas SAP en entornos de producción.

Para obtener más información sobre las opciones de asistencia de GCP, consulta Asistencia de Google Cloud Platform.

Por problemas relacionados con el producto SAP, registra una solicitud de asistencia en Asistencia de SAP. SAP evalúa el ticket de asistencia y, si parece tratarse de un problema de infraestructura de GCP, lo transfiere a la cola de GCP.

También puedes examinar la información sobre SAP MaxDB en el Portal de ayuda de SAP.

Pasos siguientes