Requisitos previos para implementar una aplicación de SAP S/4HANA

En este documento, se describen los requisitos previos para implementar una aplicación de SAP S/4HANA en Google Cloud con el Administrador de cargas de trabajo.

Primero, debes cumplir con los requisitos previos para usar la herramienta de automatización de la implementación guiada antes de implementar una aplicación de SAP S/4HANA.

Requisitos Descripción
Google Cloud recursos de red Crea o selecciona una red y una subred de VPC para tu implementación de SAP. También debes configurar el acceso a Internet saliente para que tus máquinas descarguen los paquetes necesarios. Para obtener más información, consulta Red.
Llaves SSH y Acceso al SO Debes inhabilitar temporalmente el Acceso al SO en los metadatos de tu proyecto hasta que se complete la implementación. Para obtener más información, consulta Acceso al SO y claves SSH.
Secretos para la carga de trabajo de SAP Para proporcionar las contraseñas de tu carga de trabajo de forma segura, debes usar un secreto creado con Secret Manager. Para obtener más información, consulta Secretos para la carga de trabajo de SAP.
Roles y permisos de IAM Los usuarios que implementan una carga de trabajo de SAP con la herramienta de automatización de la implementación guiada deben tener o se les deben otorgar los roles y permisos necesarios para configurar la implementación. Para obtener más información, consulta Roles y permisos de IAM.
Cuentas de servicio Adjunta una cuenta de servicio a la implementación y asegúrate de que esta tenga todos los roles necesarios para implementar tu carga de trabajo. Para obtener más información, consulta Cuentas de servicio.
Cuotas Asegúrate de tener suficiente cuota de recursos en tu proyecto para implementar la aplicación de SAP. Para obtener más información, consulta Cuotas.
Secretos para la carga de trabajo de SAP Para proporcionar las contraseñas de tu carga de trabajo de forma segura, debes usar un secreto creado con Secret Manager. Para obtener más información, consulta Secretos para la carga de trabajo de SAP.
Disco de instalación de SAP Crea un bucket de Cloud Storage en el proyecto en el que implementes la aplicación de SAP y sube todos los archivos de SAP necesarios para la implementación. Para obtener más información, consulta Prepara los archivos de instalación de SAP para la implementación.

Red

En esta sección, se describen los Google Cloud recursos de red que debes configurar antes de implementar la aplicación de SAP.

Red y subred de VPC

Si tu proyecto tiene una red de VPC predeterminada, no la uses para crear una implementación. En su lugar, te recomendamos que crees tu propia red de VPC para que las únicas reglas de firewall vigentes sean las que tú creaste de forma explícita para la red. Crea una red de VPC y una subred, o comunícate con el equipo de redes de tu Google Cloud organización.

Configura el acceso externo a Internet

Durante el proceso de implementación, las VMs de tu proyecto necesitan acceso saliente a Internet para descargar paquetes y registrarse para obtener licencias.

Google recomienda que crees una puerta de enlace de Cloud NAT para proporcionar acceso a Internet externo a tus VMs sin crear direcciones IP externas. Puedes crear una Cloud NAT en cada subred y región en la que se encuentran tus VMs. Si creas una puerta de enlace de Cloud NAT, te recomendamos que asignes al menos 256 puertos mínimos por instancia de VM.

Si no quieres usar una puerta de enlace de Cloud NAT, durante el proceso de implementación, puedes especificar direcciones IP externas para proporcionar el acceso a Internet necesario para tus VMs.

Reglas de firewall

Durante el proceso de implementación, Workload Manager crea automáticamente las reglas de firewall necesarias para la implementación.

Ten en cuenta que las reglas de denegación existentes en tu proyecto pueden tener una prioridad más alta y denegar el acceso necesario.
Según las reglas de firewall existentes en el proyecto, crea reglas de firewall para permitir el acceso a lo siguiente:

  • Los puertos predeterminados que usa SAP, como se documenta en Puertos TCP/IP de todos los productos SAP
  • Conexiones desde tu computadora o entorno de red empresarial a tus instancias de VM de Compute Engine Si no estás seguro de qué dirección IP usar, comunícate con el administrador de red de tu organización.
  • Conectividad saliente a los servicios de Google Cloud con el Acceso privado a Google según corresponda
  • Comunicación entre máquinas en la misma subred:
    • Acceso SSH entre VMs de la misma subred para configurar sistemas implementados y para que un administrador del sistema pueda acceder a ellos.
    • Acceso a los puertos de aplicación de HANA para la comunicación entre los servidores de aplicaciones y la base de datos de HANA
    • Acceso a los servidores de mensajes de SAP, a la cola de replicación y a los servicios de puerta de enlace entre los servidores de aplicaciones de SAP y las instancias de servicios centrales.

Para obtener más información, consulta Cómo crear reglas de firewall de VPC.

Acceso al SO y claves SSH

Si el Acceso al SO está habilitado en los metadatos de tu proyecto, debes inhabilitarlo de forma temporal hasta que se complete la implementación. El proceso de implementación configura las claves SSH en los metadatos de la instancia. Cuando el Acceso al SO está habilitado, se inhabilitan las configuraciones de claves SSH basadas en metadatos y falla la implementación. Una vez que se complete la implementación, puedes habilitar el acceso al SO.

Para inhabilitar el Acceso al SO, establece el valor de los metadatos enable-oslogin en false. Consulta cómo configurar metadatos para todo el proyecto.

Cuentas de servicio

Workload Manager usa la cuenta de servicio conectada a tu implementación para llamar a otras APIs y servicios para crear los recursos necesarios para la implementación.

Puedes adjuntar una cuenta de servicio existente o crear una cuando configures la implementación. Según tu aplicación y configuración, Workload Manager te solicita que otorgues cualquiera de los roles faltantes a tu cuenta de servicio.

Para obtener más información sobre los roles necesarios para implementar SAP S/4HANA, consulta Consideraciones de seguridad.

Roles y permisos de IAM para implementar SAP S/4HANA

El rol de administrador de implementaciones de Workload Manager contiene todos los permisos necesarios para configurar e implementar SAP S/4HANA en Google Cloud.

Para obtener más información sobre los roles y permisos de IAM necesarios para implementar una carga de trabajo con la herramienta de automatización de implementaciones guiadas, consulta Roles y permisos de IAM.

Para obtener más información sobre los permisos de IAM para ejecutar SAP en Google Cloud, consulta Administración de identidades y accesos para programas de SAP en Google Cloud.

Cuotas

Google Cloud usa cuotas para proteger y controlar la cantidad de recursos que puede usar una cuenta o organización en particular. Las cargas de trabajo de SAP suelen consumir una gran parte de los recursos. Debido al tamaño de las bases de datos y las aplicaciones, es posible que experimentes problemas de cuota durante el proceso de implementación.

Para evitar problemas de cuota, haz lo siguiente:

  1. Consulta la cuota de recursos disponible para tu proyecto.
  2. Si es necesario, solicita un límite de cuota más alto o comunícate con el administrador de tu proyecto.

Secretos para la carga de trabajo de SAP

La herramienta de automatización de implementación guiada usa Secret Manager para almacenar las contraseñas necesarias durante el proceso de implementación e instalación, como las contraseñas de las cuentas de usuario del administrador y del SISTEMA. Las contraseñas de texto sin formato están prohibidas según nuestras prácticas recomendadas de Terraform.

Antes de usar la herramienta de automatización de implementación guiada, debes crear al menos un secreto. Si quieres usar secretos diferentes para las capas de la base de datos y la aplicación, crea secretos separados para cada capa.

Para asegurarte de que los secretos cumplan con los requisitos de contraseñas de SAP, sigue la guía de SAP para crear contraseñas.

Debes crear secretos en el proyecto en el que implementas la carga de trabajo de SAP.

¿Qué sigue?