Prérequis pour le déploiement d'une application SAP S/4HANA

Ce document décrit les conditions préalables au déploiement d'une application SAP S/4HANA sur Google Cloud à l'aide du gestionnaire de charges de travail.

Avant de déployer une application SAP S/4HANA, vous devez d'abord remplir les conditions préalables à l'utilisation de l'outil d'automatisation du déploiement guidé.

Conditions préalables Description
Google Cloud ressources réseau Créez ou sélectionnez un réseau et un sous-réseau VPC pour votre déploiement SAP. Vous devez également configurer un accès Internet sortant pour que vos machines puissent télécharger les packages requis. Pour en savoir plus, consultez Réseau.
OS Login et clés SSH Vous devez désactiver temporairement OS Login dans les métadonnées de votre projet jusqu'à la fin du déploiement. Pour en savoir plus, consultez Connexion à l'OS et clés SSH.
Secrets pour la charge de travail SAP Pour fournir les mots de passe de votre charge de travail de manière sécurisée, vous devez utiliser un secret créé à l'aide de Secret Manager. Pour en savoir plus, consultez Secrets pour la charge de travail SAP.
Rôles et autorisations IAM Les utilisateurs qui déploient une charge de travail SAP à l'aide de l'outil d'automatisation guidée du déploiement doivent disposer des rôles et des autorisations requis pour configurer le déploiement ou se les voir accorder. Pour en savoir plus, consultez la page Rôles et autorisations IAM.
Comptes de service Associez un compte de service au déploiement et assurez-vous qu'il dispose de tous les rôles requis pour déployer votre charge de travail. Pour en savoir plus, consultez la page sur les comptes de service.
Quotas Assurez-vous que votre projet dispose d'un quota de ressources suffisant pour déployer l'application SAP. Pour en savoir plus, consultez la page consacrée aux quotas.
Secrets pour la charge de travail SAP Pour fournir les mots de passe de votre charge de travail de manière sécurisée, vous devez utiliser un secret créé à l'aide de Secret Manager. Pour en savoir plus, consultez Secrets pour la charge de travail SAP.
Support d'installation SAP Créez un bucket Cloud Storage dans le projet dans lequel vous déployez l'application SAP, puis importez tous les fichiers SAP requis pour le déploiement. Pour en savoir plus, consultez Préparer les fichiers d'installation SAP pour le déploiement.

Réseau

Cette section décrit les Google Cloud ressources réseau que vous devez configurer avant de déployer l'application SAP.

Réseau et sous-réseau VPC

Si votre projet dispose d'un réseau VPC par défaut, ne l'utilisez pas pour créer un déploiement. À la place, nous vous recommandons de créer votre propre réseau VPC afin que les seules règles de pare-feu appliquées soient celles que vous créez explicitement pour le réseau. Créez un réseau VPC et un sous-réseau, ou contactez l'équipe réseau de votre Google Cloud organisation.

Configurer l'accès Internet externe

Pendant le processus de déploiement, les VM de votre projet ont besoin d'un accès Internet sortant pour télécharger des packages et s'inscrire pour obtenir des licences.

Google vous recommande de créer une passerelle Cloud NAT pour fournir un accès Internet externe à vos VM sans créer d'adresses IP externes. Vous pouvez créer un Cloud NAT dans chaque sous-réseau et région dans lesquels se trouvent vos VM. Si vous créez une passerelle Cloud NAT, nous vous recommandons d'allouer au moins 256 ports minimum par instance de VM.

Si vous ne souhaitez pas utiliser de passerelle Cloud NAT, vous pouvez spécifier des adresses IP externes pendant le processus de déploiement pour fournir l'accès Internet requis à vos VM.

Règles de pare-feu

Lors du processus de déploiement, Workload Manager crée automatiquement les règles de pare-feu nécessaires au déploiement.

Notez que les règles deny existantes de votre projet peuvent avoir une priorité plus élevée et refuser l'accès nécessaire.
En fonction de vos règles de pare-feu existantes dans le projet, créez des règles de pare-feu pour autoriser l'accès aux éléments suivants:

  • Ports par défaut utilisés par SAP, comme indiqué dans le document Ports TCP/IP de tous les produits SAP
  • Les connexions de votre ordinateur ou de votre environnement de réseau d'entreprise vers vos instances de VM Compute Engine. Si vous ne savez pas quelle adresse IP utiliser, contactez l'administrateur réseau de votre organisation.
  • Connectivité sortante vers les services Google Cloud , à l'aide de l'accès privé à Google, le cas échéant.
  • Communication entre les machines d'un même sous-réseau :
    • Accès SSH entre les VM du même sous-réseau pour configurer les systèmes déployés et pour permettre l'accès à un administrateur système.
    • Accès aux ports d'application HANA pour la communication entre les serveurs d'applications et la base de données HANA.
    • Accès aux serveurs de messagerie SAP, à la file d'attente de réplication et aux services de passerelle entre les serveurs d'applications SAP et les instances de services centraux.

Pour en savoir plus, consultez la section Créer des règles de pare-feu VPC.

OS Login et clés SSH

Si OS Login est activé dans les métadonnées de votre projet, vous devrez le désactiver temporairement jusqu'à la fin du déploiement. Le processus de déploiement configure les clés SSH dans les métadonnées de l'instance. Lorsque OS Login est activé, les configurations de clé SSH basées sur les métadonnées sont désactivées et le déploiement échoue. Une fois le déploiement terminé, vous pouvez activer OS Login.

Pour désactiver OS Login, définissez la valeur des métadonnées enable-oslogin sur false. Découvrez comment définir des métadonnées à l'échelle du projet.

Comptes de service

Workload Manager utilise le compte de service associé à votre déploiement pour appeler d'autres API et services afin de créer les ressources nécessaires au déploiement.

Vous pouvez associer un compte de service existant ou en créer un lorsque vous configurez le déploiement. En fonction de votre application et de votre configuration, Workload Manager vous invite à attribuer les rôles manquants à votre compte de service.

Pour en savoir plus sur les rôles requis pour le déploiement de SAP S/4HANA, consultez la section Considérations de sécurité.

Rôles et autorisations IAM pour le déploiement de SAP S/4HANA

Le rôle "Workload Manager Deployment Admin" (Administrateur de déploiement du Gestionnaire de charges de travail) contient toutes les autorisations requises pour configurer et déployer SAP S/4HANA sur Google Cloud.

Pour en savoir plus sur les rôles et les autorisations IAM requis pour déployer une charge de travail à l'aide de l'outil d'automatisation du déploiement guidé, consultez la section Rôles et autorisations IAM.

Pour en savoir plus sur les autorisations IAM pour exécuter SAP sur Google Cloud, consultez la page Gestion de l'authentification et des accès pour les programmes SAP sur Google Cloud.

Quotas

Google Cloud utilise des quotas pour protéger et contrôler le nombre de ressources qu'un compte ou une organisation spécifique peut utiliser. Les charges de travail SAP consomment souvent une grande partie des ressources. Compte tenu de la taille des bases de données et des applications, vous pouvez rencontrer des problèmes de quota lors du processus de déploiement.

Pour éviter tout problème de quota, procédez comme suit:

  1. Affichez le quota de ressources disponibles pour votre projet.
  2. Si nécessaire, demandez une augmentation de limite de quota ou contactez l'administrateur de votre projet.

Secrets pour la charge de travail SAP

L'outil d'automatisation du déploiement guidé utilise Secret Manager pour stocker les mots de passe nécessaires au processus de déploiement et d'installation, tels que les mots de passe des comptes utilisateur administrateur et SYSTEM. Conformément à nos bonnes pratiques Terraform, les mots de passe en texte brut sont interdits.

Avant d'utiliser l'outil d'automatisation du déploiement guidé, vous devez créer au moins un secret. Si vous souhaitez utiliser des secrets différents pour les couches de base de données et d'application, créez des secrets distincts pour chaque couche.

Pour vous assurer que les secrets répondent aux exigences de SAP concernant les mots de passe, suivez les conseils de SAP pour créer des mots de passe.

Vous devez créer des secrets dans le projet dans lequel vous déployez la charge de travail SAP.

Étape suivante