このドキュメントでは、Workload Manager を使用して Google Cloud に SAP S/4HANA アプリケーションをデプロイするための前提条件について説明します。
SAP S/4HANA アプリケーションをデプロイする前に、まず ガイド付きデプロイ自動化を使用するための前提条件を満たす必要があります。
| 前提条件 | 説明 |
|---|---|
| Google Cloud ネットワーク リソース | SAP デプロイ用の VPC ネットワークとサブネットワークを作成または選択します。必要なパッケージをダウンロードするには、マシンのアウトバウンド インターネット アクセスも構成する必要があります。詳しくは、ネットワークをご覧ください。 |
| OS Login と SSH 認証鍵 | デプロイが完了するまで、プロジェクト メタデータで OS Login を一時的に無効にする必要があります。詳細については、OS Login と SSH 認証鍵をご覧ください。 |
| SAP ワークロードのシークレット | ワークロードのパスワードを安全に提供するには、Secret Manager を使用して作成されたシークレットを使用する必要があります。詳細については、SAP ワークロードの Secret をご覧ください。 |
| IAM のロールと権限 | ガイド付きデプロイ自動化ツールを使用して SAP ワークロードをデプロイするユーザーは、デプロイを構成するために必要なロールと権限を持っているか、付与されている必要があります。詳細については、IAM のロールと権限をご覧ください。 |
| サービス アカウント | サービス アカウントをデプロイに関連付け、ワークロードのデプロイに必要なすべてのロールがサービス アカウントに割り当てられていることを確認します。詳しくは、サービス アカウントをご覧ください。 |
| 割り当て | プロジェクトに SAP アプリケーションをデプロイするのに十分なリソース割り当てがあることを確認します。詳しくは、割り当てをご覧ください。 |
| SAP インストール メディア | SAP アプリケーションをデプロイするプロジェクトに Cloud Storage バケットを作成し、デプロイに必要なすべての SAP ファイルをアップロードします。詳細については、デプロイ用に SAP インストール ファイルを準備するをご覧ください。 |
ネットワーク
このセクションでは、SAP アプリケーションをデプロイする前に構成する必要がある Google Cloud ネットワーキング リソースについて説明します。
VPC ネットワークとサブネットワーク
プロジェクトにデフォルトの VPC ネットワークがある場合、デプロイの作成には使用しないでください。代わりに、ネットワーク用に明示的に作成したファイアウォール ルールのみが有効になるように、独自の VPC ネットワークを作成することをおすすめします。VPC ネットワークとサブネットを作成するか、 Google Cloud 組織のネットワーキング チームにお問い合わせください。
外部インターネット アクセスを構成する
デプロイ プロセス中、プロジェクト内の VM は、パッケージをダウンロードしてライセンス登録を行うために、アウトバウンドのインターネット アクセスが必要です。
外部 IP アドレスを作成せずに VM に外部インターネット アクセスを提供するには、Cloud NAT ゲートウェイを作成することをおすすめします。VM が配置されている各サブネットとリージョンに Cloud NAT を作成できます。Cloud NAT ゲートウェイを作成する場合は、VM インスタンスあたりの最小ポート数を 256 以上割り当てることをおすすめします。
Cloud NAT ゲートウェイを使用しない場合は、デプロイ プロセス中に外部 IP アドレスを指定して、VM に必要なインターネット アクセスを提供できます。
ファイアウォール ルール
デプロイ プロセス中に、Workload Manager はデプロイに必要なファイアウォール ルールを自動的に作成します。
プロジェクトに既存の deny ルールがある場合、そのルールが優先されて必要なアクセスが拒否される可能性があります。
プロジェクトの既存のファイアウォール ルールに応じて、次の対象へのアクセスを許可するファイアウォール ルールを作成します。
- すべての SAP プロダクトの TCP/IP ポートに記述されている SAP によって使用されるデフォルトのポート。
- 自分のパソコンまたは企業のネットワーク環境から Compute Engine VM インスタンスへの接続。使用すべき IP アドレスがわからない場合は、組織のネットワーク管理者にお問い合わせください。
- Google Cloud サービスへのアウトバウンド接続(必要に応じて Google 限定公開アクセスを使用)。
- 同じサブネットワーク内のマシン間の通信:
- 同じサブネット内の VM 間の SSH アクセス。デプロイされたシステムを構成するため、およびシステム管理者がアクセスするため。
- アプリケーション サーバーと HANA データベース間の通信用の HANA アプリケーション ポートへのアクセス。
- SAP アプリケーション サーバーとセントラル サービス インスタンス間の SAP メッセージ サーバー、レプリケーション エンキュー、ゲートウェイ サービスへのアクセス。
詳細については、VPC ファイアウォール ルールを作成するをご覧ください。
DNS ゾーンを構成する
デプロイを作成するときに、Workload Manager を選択して Cloud DNS ゾーンを作成できます。デプロイ時に DNS ゾーンの作成をスキップして、後で手動で設定することもできます。
DNS ゾーンを手動で設定する場合は、デプロイに使用する VPC ネットワークが Cloud DNS ゾーンに追加され、レコードのクエリに使用できることを確認してください。詳細については、DNS ゾーンを構成するをご覧ください。
OS Login と SSH 認証鍵
プロジェクト メタデータで OS Login が有効になっている場合は、デプロイが完了するまで一時的に OS Login を無効にする必要があります。デプロイ プロセスでは、インスタンス メタデータで SSH 認証鍵を構成します。OS Login が有効になっている場合、メタデータ ベースの SSH 認証鍵構成は無効になり、デプロイは失敗します。デプロイが完了したら、OS Login を有効にできます。
OS Login を無効にするには、enable-oslogin メタデータ値を false に設定します。プロジェクト全体のメタデータの設定方法をご覧ください。
サービス アカウント
Workload Manager は、デプロイメントに接続されたサービス アカウントを使用して、他の API とサービスを呼び出し、デプロイに必要なリソースを作成します。
デプロイの構成時に、既存のサービス アカウントを関連付けるか、サービス アカウントを作成できます。アプリケーションと構成に応じて、Workload Manager は、不足しているロールをサービス アカウントに付与するよう求めるメッセージを表示します。
SAP S/4HANA のデプロイに必要なロールの詳細については、サービス アカウントと権限をご覧ください。
SAP S/4HANA のデプロイに必要な IAM のロールと権限
Workload Manager デプロイ管理者ロールには、 Google Cloudで SAP S/4HANA を構成してデプロイするために必要な権限がすべて含まれています。
ガイド付きデプロイ自動化ツールを使用してワークロードをデプロイするために必要な IAM のロールと権限の詳細については、IAM のロールと権限をご覧ください。
Google Cloudで SAP を実行するための IAM 権限の詳細については、 Google Cloud上の SAP プログラム向け Identity and Access Management をご覧ください。
割り当て
Google Cloud は、割り当てを使用して、特定のアカウントまたは組織が使用できるリソースの数を保護および制御します。SAP ワークロードは、リソースの大部分を消費することがよくあります。データベースとアプリケーションのサイズによっては、デプロイ プロセスで割り当ての問題が発生することがあります。
割り当てに関する問題を回避するには、次の操作を行います。
- プロジェクトで使用可能なリソース割り当てを表示する。
- 必要に応じて、割り当て値の増加をリクエストするか、プロジェクト管理者に連絡してください。
SAP ワークロードのシークレット
ガイド付きデプロイ自動化ツールは、Secret Manager を使用して、デプロイとインストール プロセスに必要なパスワード(管理者アカウントと SYSTEM ユーザー アカウントのパスワードなど)を保存します。Terraform のベスト プラクティスに従って、書式なしテキストのパスワードは禁止されています。
ガイド付きデプロイ自動化ツールを使用する前に、少なくとも 1 つのシークレットを作成する必要があります。データベース レイヤとアプリケーション レイヤで異なるシークレットを使用する場合は、レイヤごとに個別のシークレットを作成します。
シークレットが SAP のパスワード要件を満たしていることを確認するには、パスワード作成に関する SAP のガイダンスに従ってください。
SAP ワークロードをデプロイするプロジェクトにシークレットを作成する必要があります。
次のステップ
- デプロイ用に SAP インストール ファイルを準備する方法を確認する。
- SAP S/4HANA ワークロードをデプロイする方法を確認する。