En este documento se describen los requisitos previos para desplegar una aplicación SAP S/4HANA en Google Cloud con Workload Manager.
Antes de desplegar una aplicación SAP S/4HANA, debes cumplir los requisitos previos para usar la herramienta de automatización de la implementación guiada.
| Requisitos previos | Descripción |
|---|---|
| Google Cloud recursos de red | Crea o selecciona una red y una subred de VPC para tu implementación de SAP. También debes configurar el acceso a Internet saliente para que tus máquinas descarguen los paquetes necesarios. Para obtener más información, consulta Red. |
| OS Login y claves SSH | Debes inhabilitar temporalmente OS Login en los metadatos de tu proyecto hasta que se complete la implementación. Para obtener más información, consulta el artículo Inicio de sesión en el SO y claves SSH. |
| Secretos de la carga de trabajo de SAP | Para proporcionar de forma segura las contraseñas de tu carga de trabajo, debes usar un secreto creado con Secret Manager. Para obtener más información, consulta Secretos para cargas de trabajo de SAP. |
| Roles y permisos de IAM | Los usuarios que implementen una carga de trabajo de SAP con la herramienta de automatización de la implementación guiada deben tener o recibir los roles y permisos necesarios para configurar la implementación. Para obtener más información, consulta Roles y permisos de gestión de identidades y accesos. |
| Cuentas de servicio | Asocia una cuenta de servicio a la implementación y asegúrate de que la cuenta de servicio tenga todos los roles necesarios para implementar tu carga de trabajo. Para obtener más información, consulta el artículo Cuentas de servicio. |
| Cuotas | Asegúrate de que tu proyecto tiene suficiente cuota de recursos para implementar la aplicación SAP. Para obtener más información, consulta Cuotas. |
| Medios de instalación de SAP | Crea un segmento de Cloud Storage en el proyecto en el que implementes la aplicación SAP y sube todos los archivos de SAP necesarios para la implementación. Para obtener más información, consulta el artículo Preparar los archivos de instalación de SAP para la implementación. |
Red
En esta sección se describen los recursos de Google Cloud red que debe configurar antes de implementar la aplicación SAP.
Red y subred de VPC
Si tu proyecto tiene una red de VPC predeterminada, no la uses para crear una implementación. En su lugar, te recomendamos que crees tu propia red de VPC para que las únicas reglas de cortafuegos que se apliquen sean las que crees explícitamente para la red. Crea una red VPC y una subred o ponte en contacto con el equipo de redes de tu organización. Google Cloud
Configurar el acceso a Internet externo
Durante el proceso de implementación, las VMs de tu proyecto necesitan acceso a Internet saliente para descargar paquetes y registrarse para obtener licencias.
Google recomienda crear una pasarela Cloud NAT para proporcionar acceso a Internet externo a tus VMs sin crear direcciones IP externas. Puedes crear un Cloud NAT en cada subred y región en la que se encuentren tus VMs. Si creas una pasarela de Cloud NAT, te recomendamos que asignes al menos 256 puertos mínimos por instancia de VM.
Si no quieres usar una pasarela Cloud NAT, durante el proceso de implementación puedes especificar direcciones IP externas para proporcionar el acceso a Internet necesario a tus VMs.
Reglas de cortafuegos
Durante el proceso de implementación, Workload Manager crea automáticamente las reglas de firewall necesarias para la implementación.
Ten en cuenta que las reglas de denegación de tu proyecto pueden tener una prioridad más alta y denegar el acceso necesario.
En función de las reglas de cortafuegos que ya tengas en el proyecto, crea reglas de cortafuegos
para permitir el acceso a lo siguiente:
- Los puertos predeterminados que usa SAP, tal como se documenta en Puertos TCP/IP de todos los productos de SAP
- Conexiones desde tu ordenador o tu entorno de red corporativa a tus instancias de VM de Compute Engine. Si no sabes qué dirección IP debes usar, ponte en contacto con el administrador de red de tu organización.
- Conectividad saliente a los Google Cloud servicios, usando Acceso privado de Google según corresponda.
- Comunicación entre máquinas de la misma subred:
- Acceso SSH entre VMs de la misma subred para configurar sistemas implementados y para que pueda acceder un administrador del sistema.
- Acceso a los puertos de la aplicación HANA para la comunicación entre los servidores de aplicaciones y la base de datos HANA.
- Acceso a los servidores de mensajes de SAP, a la réplica de colas y a los servicios de pasarela entre los servidores de aplicaciones de SAP y las instancias de servicios centrales.
Para obtener más información, consulta el artículo Crear reglas de cortafuegos de VPC.
Configurar una zona DNS
Cuando creas una implementación, puedes elegir Gestor de cargas de trabajo para crear una zona de Cloud DNS. También puedes omitir la creación de la zona DNS durante la implementación y configurarla manualmente más adelante.
Si configuras manualmente una zona DNS, asegúrate de que la red de VPC que vas a usar para la implementación se haya añadido a la zona de Cloud DNS y de que se pueda consultar para buscar registros. Para obtener más información, consulta Configurar una zona DNS.
OS Login y claves SSH
Si OS Login está habilitado en los metadatos de tu proyecto, debes inhabilitarlo temporalmente hasta que se complete la implementación. El proceso de implementación configura las claves SSH en los metadatos de la instancia. Cuando OS Login está habilitado, las configuraciones de claves SSH basadas en metadatos se inhabilitan y la implementación falla. Una vez que se haya completado el despliegue, puedes habilitar el inicio de sesión del SO.
Para inhabilitar OS Login, asigna el valor false a los metadatos enable-oslogin.
Consulta cómo definir metadatos en todo el proyecto.
Cuentas de servicio
Workload Manager usa la cuenta de servicio asociada a tu implementación para llamar a otras APIs y servicios con el fin de crear los recursos necesarios para la implementación.
Puedes adjuntar una cuenta de servicio que ya tengas o crear una al configurar la implementación. En función de tu aplicación y configuración, Workload Manager te pedirá que concedas los roles que falten a tu cuenta de servicio.
Para obtener más información sobre los roles necesarios para implementar SAP S/4HANA, consulta Cuentas de servicio y permisos.
Roles y permisos de IAM para desplegar SAP S/4HANA
El rol Administrador de despliegue de Workload Manager contiene todos los permisos necesarios para configurar y desplegar SAP S/4HANA en Google Cloud.
Para obtener más información sobre los roles y permisos de gestión de identidades y accesos necesarios para desplegar una carga de trabajo con la herramienta de automatización de despliegues guiados, consulta Roles y permisos de gestión de identidades y accesos.
Para obtener más información sobre los permisos de gestión de identidades y accesos para ejecutar SAP en Google Cloud, consulta Gestión de identidades y accesos para programas SAP en Google Cloud.
Cuotas
Google Cloud usa cuotas para proteger y controlar el número de recursos que puede usar una cuenta u organización concretas. Las cargas de trabajo de SAP suelen consumir una gran parte de los recursos. Dado el tamaño de las bases de datos y las aplicaciones, es posible que tengas problemas con las cuotas durante el proceso de implementación.
Para evitar problemas de cuota, haz lo siguiente:
- Consulta la cuota de recursos disponible de tu proyecto.
- Si es necesario, solicita un valor de cuota más alto o ponte en contacto con el administrador del proyecto.
Secretos de la carga de trabajo de SAP
La herramienta de automatización de la implementación guiada usa Secret Manager para almacenar las contraseñas necesarias durante el proceso de implementación e instalación, como las contraseñas de las cuentas de usuario de administrador y SYSTEM. Las contraseñas de texto sin formato están prohibidas de acuerdo con nuestras prácticas recomendadas de Terraform.
Antes de usar la herramienta de automatización de la implementación guiada, debes crear al menos un secreto. Si quieres usar secretos diferentes para las capas de base de datos y de aplicación, crea secretos independientes para cada capa.
Para asegurarte de que los secretos cumplen los requisitos de las contraseñas de SAP, sigue las directrices de SAP para crear contraseñas.
Debes crear secretos en el proyecto en el que implementes la carga de trabajo de SAP.
Siguientes pasos
- Consulta cómo preparar los archivos de instalación de SAP para el despliegue.
- Consulta cómo desplegar una carga de trabajo de SAP S/4HANA.