Voraussetzungen für die Bereitstellung einer SAP S/4HANA-Anwendung

In diesem Dokument werden die Voraussetzungen für die Bereitstellung einer SAP S/4HANA-Anwendung auf Google Cloud mit dem Arbeitslastmanager beschrieben.

Bevor Sie eine SAP S/4HANA-Anwendung bereitstellen können, müssen Sie die Voraussetzungen für die Verwendung der automatisierten Bereitstellung erfüllen.

Voraussetzungen Beschreibung
Google Cloud Netzwerkressourcen Erstellen oder wählen Sie ein VPC-Netzwerk und ein Subnetz für Ihre SAP-Bereitstellung aus. Außerdem müssen Sie den ausgehenden Internetzugriff für Ihre Maschinen konfigurieren, damit sie die erforderlichen Pakete herunterladen können. Weitere Informationen finden Sie unter Netzwerk.
OS Login und SSH-Schlüssel Sie müssen OS Login in Ihren Projektmetadaten vorübergehend deaktivieren, bis die Bereitstellung abgeschlossen ist. Weitere Informationen finden Sie unter OS Login und SSH-Schlüssel.
Secrets für SAP-Arbeitslast Um die Passwörter für Ihre Arbeitslast sicher anzugeben, müssen Sie ein Secret verwenden, das mit Secret Manager erstellt wurde. Weitere Informationen finden Sie unter Secrets für SAP-Arbeitslast.
IAM-Rollen und -Berechtigungen Nutzer, die eine SAP-Arbeitslast mit dem Tool „Geführte Bereitstellungsautomatisierung“ bereitstellen, müssen die erforderlichen Rollen und Berechtigungen haben oder erhalten, um die Bereitstellung zu konfigurieren. Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen.
Dienstkonten Hängen Sie ein Dienstkonto an die Bereitstellung an und achten Sie darauf, dass es alle Rollen hat, die für die Bereitstellung Ihrer Arbeitslast erforderlich sind. Weitere Informationen finden Sie unter Dienstkonten.
Kontingente Achten Sie darauf, dass Sie in Ihrem Projekt ein ausreichendes Ressourcenkontingent für die Bereitstellung der SAP-Anwendung haben. Weitere Informationen finden Sie unter Kontingente.
Secrets für SAP-Arbeitslast Um die Passwörter für Ihre Arbeitslast sicher anzugeben, müssen Sie ein Secret verwenden, das mit Secret Manager erstellt wurde. Weitere Informationen finden Sie unter Secrets für SAP-Arbeitslast.
SAP-Installationsmedien Erstellen Sie einen Cloud Storage-Bucket im Projekt, in dem Sie die SAP-Anwendung bereitstellen, und laden Sie alle für die Bereitstellung erforderlichen SAP-Dateien hoch. Weitere Informationen finden Sie unter SAP-Installationsdateien für die Bereitstellung vorbereiten.

Netzwerk

In diesem Abschnitt werden die Google Cloud Netzwerkressourcen beschrieben, die Sie vor dem Bereitstellen der SAP-Anwendung konfigurieren müssen.

VPC-Netzwerk und Subnetz

Wenn Ihr Projekt ein Standard-VPC-Netzwerk (Virtual Private Cloud) hat, verwenden Sie es nicht zum Erstellen einer Bereitstellung. Wir empfehlen stattdessen, ein eigenes VPC-Netzwerk zu erstellen, sodass nur die von Ihnen explizit für das Netzwerk erstellten Firewallregeln gelten. Erstellen Sie ein VPC-Netzwerk und ein Subnetz oder wenden Sie sich an das Netzwerkteam Ihrer Google Cloud Organisation.

Externen Internetzugriff konfigurieren

Während der Bereitstellung benötigen die VMs in Ihrem Projekt ausgehenden Internetzugriff, um Pakete herunterzuladen und sich für die Lizenzierung zu registrieren.

Google empfiehlt, ein Cloud NAT-Gateway zu erstellen, um Ihren VMs externen Internetzugriff zu gewähren, ohne externe IP-Adressen zu erstellen. Sie können in jedem Subnetz und jeder Region, in der sich Ihre VMs befinden, eine Cloud NAT erstellen. Wenn Sie ein Cloud NAT-Gateway erstellen, sollten Sie mindestens 256 Mindestports pro VM-Instanz zuweisen.

Wenn Sie kein Cloud NAT-Gateway verwenden möchten, können Sie während der Bereitstellung externe IP-Adressen angeben, um den erforderlichen Internetzugriff für Ihre VMs bereitzustellen.

Firewallregeln

Während der Bereitstellung erstellt der Workload Manager automatisch die erforderlichen Firewallregeln für die Bereitstellung.

Beachten Sie, dass die vorhandenen deny-Regeln in Ihrem Projekt möglicherweise eine höhere Priorität haben und den erforderlichen Zugriff verweigern.
Erstellen Sie je nach vorhandenen Firewallregeln im Projekt Firewallregeln, um den Zugriff für Folgendes zu zulassen:

  • Die von SAP verwendeten Standardports, wie unter TCP/IP-Ports aller SAP-Produkte dokumentiert.
  • Verbindungen von Ihrem Computer oder dem Unternehmensnetzwerk aus zu Ihren Compute Engine-VM-Instanzen. Wenn Sie sich nicht sicher sind, welche IP-Adresse Sie verwenden sollen, wenden Sie sich an den Netzwerkadministrator Ihrer Organisation.
  • Ausgehende Verbindung zu Google Cloud Diensten, bei Bedarf mit dem privaten Google-Zugriff
  • Kommunikation zwischen Maschinen im selben Subnetzwerk:
    • SSH-Zugriff zwischen VMs im selben Subnetz zum Konfigurieren bereitgestellter Systeme und für den Zugriff durch einen Systemadministrator.
    • Zugriff auf HANA-Anwendungsporten für die Kommunikation zwischen den Anwendungsservern und der HANA-Datenbank.
    • Zugriff auf SAP-Nachrichtenserver, Replikations-Enqueue, Gateway-Dienste zwischen SAP-Anwendungsservern und Central Services-Instanzen.

Weitere Informationen finden Sie unter VPC-Firewallregeln erstellen.

OS Login und SSH-Schlüssel

Wenn OS Login in den Projektmetadaten aktiviert ist, müssen Sie OS Login vorübergehend deaktivieren, bis die Bereitstellung abgeschlossen ist. Beim Bereitstellungsprozess werden SSH-Schlüssel in den Instanzmetadaten konfiguriert. Wenn OS Login aktiviert ist, sind metadatenbasierte SSH-Schlüsselkonfigurationen deaktiviert und die Bereitstellung schlägt fehl. Nach Abschluss der Bereitstellung können Sie die OS Login-Funktion aktivieren.

Wenn Sie OS Login deaktivieren möchten, setzen Sie den Metadatenwert enable-oslogin auf false. Weitere Informationen zum Festlegen projektweiter Metadaten

Dienstkonten

Workload Manager verwendet das mit Ihrer Bereitstellung verknüpfte Dienstkonto, um andere APIs und Dienste aufzurufen und die für die Bereitstellung erforderlichen Ressourcen zu erstellen.

Sie können beim Konfigurieren der Bereitstellung entweder ein vorhandenes Dienstkonto anhängen oder ein neues erstellen. Je nach Anwendung und Konfiguration werden Sie vom Arbeitslastmanager aufgefordert, Ihrem Dienstkonto die fehlenden Rollen zuzuweisen.

Weitere Informationen zu den Rollen, die für die Bereitstellung von SAP S/4HANA erforderlich sind, finden Sie unter Sicherheitsaspekte.

IAM-Rollen und -Berechtigungen für die Bereitstellung von SAP S/4HANA

Die Rolle „Workload Manager Deployment Admin“ enthält alle Berechtigungen, die zum Konfigurieren und Bereitstellen von SAP S/4HANA auf Google Clouderforderlich sind.

Weitere Informationen zu den erforderlichen IAM-Rollen und -Berechtigungen für die Bereitstellung einer Arbeitslast mit dem Tool zur automatisierten Bereitstellung finden Sie unter IAM-Rollen und -Berechtigungen.

Weitere Informationen zu IAM-Berechtigungen für die Ausführung von SAP auf Google Cloudfinden Sie unter Identitäts- und Zugriffsverwaltung für SAP-Programme auf Google Cloud.

Kontingente

Google Cloud verwendet Kontingente, um die Anzahl der Ressourcen zu schützen und zu steuern, die ein bestimmtes Konto oder eine bestimmte Organisation nutzen kann. SAP-Arbeitslasten verbrauchen oft einen großen Teil der Ressourcen. Aufgrund der Größe der Datenbanken und Anwendungen können während der Bereitstellung Kontingentprobleme auftreten.

So vermeiden Sie Kontingentprobleme:

  1. Verfügbares Ressourcenkontingent für Ihr Projekt ansehen
  2. Wenn nötig, fordern Sie ein höheres Kontingentlimit an oder wenden Sie sich an Ihren Projektadministrator.

Secrets für SAP-Arbeitslast

Das Tool zur automatisierten Bereitstellung verwendet Secret Manager, um Passwörter zu speichern, die während der Bereitstellung und Installation erforderlich sind, z. B. die Passwörter für Administrator- und SYSTEM-Nutzerkonten. Gemäß unseren Best Practices für Terraform sind Passwörter im Klartext nicht zulässig.

Bevor Sie das Tool zur automatisierten Bereitstellung verwenden können, müssen Sie mindestens ein Secret erstellen. Wenn Sie unterschiedliche Secrets für die Datenbank- und Anwendungsebene verwenden möchten, erstellen Sie für jede Ebene separate Secrets.

Damit die Secrets den Passwortanforderungen von SAP entsprechen, folgen Sie der SAP-Anleitung zum Erstellen von Passwörtern.

Sie müssen Secrets in dem Projekt erstellen, in dem Sie die SAP-Arbeitslast bereitstellen.

Nächste Schritte