Prerequisiti per il deployment di un'applicazione SAP S/4HANA

Questo documento descrive i prerequisiti per il deployment di un'applicazione SAP S/4HANA su Google Cloud utilizzando Workload Manager.

Prima di eseguire il deployment di un'applicazione SAP S/4HANA, devi soddisfare i prerequisiti per l'utilizzo dello strumento di automazione del deployment guidato.

Prerequisito Descrizione
Google Cloud risorse di rete Crea o seleziona una rete VPC e una subnet per il deployment SAP. Devi anche configurare l'accesso a internet in uscita per le tue macchine per scaricare i pacchetti richiesti. Per saperne di più, consulta la sezione Rete.
OS Login e chiavi SSH Devi disattivare temporaneamente OS Login nei metadati del progetto finché il deployment non è completato. Per ulteriori informazioni, vedi OS Login e chiavi SSH.
Secrets per il workload SAP Per fornire in modo sicuro le password per il tuo workload, devi utilizzare un secret creato utilizzando Secret Manager. Per saperne di più, vedi Secrets per il workload SAP.
Ruoli e autorizzazioni IAM Gli utenti che eseguono il deployment di un carico di lavoro SAP utilizzando lo strumento di automazione del deployment guidato devono disporre dei ruoli e delle autorizzazioni richiesti o devono essere loro concessi per configurare il deployment. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM.
Service account Collega un account di servizio al deployment e assicurati che abbia tutti i ruoli necessari per il deployment del carico di lavoro. Per saperne di più, consulta Service account.
Quote Assicurati di disporre di una quota di risorse sufficiente nel progetto per eseguire il deployment dell'applicazione SAP. Per ulteriori informazioni, consulta Quote.
Supporto di installazione SAP Crea un bucket Cloud Storage nel progetto in cui esegui il deployment dell'applicazione SAP e carica tutti i file SAP necessari per il deployment. Per saperne di più, vedi Preparare i file di installazione SAP per il deployment.

Rete

Questa sezione descrive le risorse di Google Cloud networking che devi configurare prima di eseguire il deployment dell'applicazione SAP.

Rete e subnet VPC

Se il tuo progetto ha una rete VPC predefinita, non utilizzarla per creare un deployment. Ti consigliamo invece di creare una rete VPC in modo che le uniche regole firewall attive siano quelle create esplicitamente per la rete. Crea una rete VPC e una subnet o contatta il team di networking della tua organizzazione Google Cloud .

Configurare l'accesso a internet esterno

Durante il processo di deployment, le VM nel tuo progetto devono disporre dell'accesso a internet in uscita per scaricare i pacchetti e registrarsi per le licenze.

Google consiglia di creare un gateway Cloud NAT per fornire l'accesso a internet esterno per le tue VM senza creare indirizzi IP esterni. Puoi creare un Cloud NAT in ogni subnet e regione in cui si trovano le VM. Se crei un gateway Cloud NAT, ti consigliamo di allocare almeno 256 porte minime per istanza VM.

Se non vuoi utilizzare un gateway Cloud NAT, durante il processo di deployment puoi specificare indirizzi IP esterni per fornire l'accesso a internet richiesto per le tue VM.

Regole firewall

Durante il processo di deployment, Workload Manager crea automaticamente le regole firewall necessarie per il deployment.

Tieni presente che le regole di negazione esistenti nel tuo progetto potrebbero avere una priorità più alta e negare l'accesso necessario.
A seconda delle regole firewall esistenti nel progetto, crea regole firewall per consentire l'accesso per:

  • Le porte predefinite utilizzate da SAP, come documentato in TCP/IP Ports of All SAP Products
  • Connessioni dal tuo computer o dal tuo ambiente di rete aziendale alle tue istanze VM di Compute Engine. Se non sai quale indirizzo IP utilizzare, contatta l'amministratore di rete della tua organizzazione.
  • Connettività in uscita ai Google Cloud servizi, utilizzando l'accesso privato Google, se necessario.
  • Comunicazione tra macchine nella stessa subnet:
    • Accesso SSH tra le VM nella stessa subnet per configurare i sistemi di cui è stato eseguito il deployment e per l'accesso da parte di un amministratore di sistema.
    • Accesso alle porte dell'applicazione HANA per la comunicazione tra i server delle applicazioni e il database HANA.
    • Accesso ai server di messaggi SAP, alla replica enqueue e ai servizi gateway tra i server delle applicazioni SAP e le istanze dei servizi centrali.

Per saperne di più, vedi Creare regole firewall VPC.

Configura una zona DNS

Quando crei un deployment, puoi scegliere Workload Manager per creare una zona Cloud DNS. Puoi anche saltare la creazione della zona DNS durante il deployment e configurarla manualmente in un secondo momento.

Se configuri manualmente una zona DNS, assicurati che la rete VPC che utilizzi per il deployment sia aggiunta alla zona Cloud DNS e sia visibile per l'interrogazione dei record. Per saperne di più, vedi Configurare una zona DNS.

OS Login e chiavi SSH

Se OS Login è abilitato nei metadati del progetto, devi disattivarlo temporaneamente finché il deployment non è completato. Il processo di deployment configura le chiavi SSH nei metadati dell'istanza. Quando OS Login è abilitato, le configurazioni delle chiavi SSH basate su metadati vengono disattivate e il deployment non va a buon fine. Una volta completato il deployment, puoi abilitare OS Login.

Per disattivare OS Login, imposta il valore dei metadati enable-oslogin su false. Scopri come impostare i metadati a livello di progetto.

Account di servizio

Workload Manager utilizza il account di servizio collegato al deployment per chiamare altre API e altri servizi per creare le risorse necessarie per il deployment.

Puoi collegare un account di servizio esistente o crearne uno quando configuri il deployment. A seconda dell'applicazione e della configurazione, Workload Manager ti chiede di concedere uno dei ruoli mancanti al tuo account di servizio.

Per ulteriori informazioni sui ruoli richiesti per il deployment di SAP S/4HANA, vedi Service account e autorizzazioni.

Ruoli e autorizzazioni IAM per il deployment di SAP S/4HANA

Il ruolo Amministratore del deployment di Workload Manager contiene tutte le autorizzazioni necessarie per configurare e implementare SAP S/4HANA su Google Cloud.

Per ulteriori informazioni sui ruoli e sulle autorizzazioni IAM richiesti per il deployment di un carico di lavoro utilizzando lo strumento di automazione del deployment guidato, consulta Ruoli e autorizzazioni IAM.

Per saperne di più sulle autorizzazioni IAM per l'esecuzione di SAP su Google Cloud, consulta Gestione di identità e accessi per i programmi SAP su Google Cloud.

Quote

Google Cloud utilizza le quote per proteggere e controllare il numero di risorse che un determinato account o una determinata organizzazione può utilizzare. I carichi di lavoro SAP spesso consumano una grande parte delle risorse. Date le dimensioni dei database e delle applicazioni, potresti riscontrare problemi di quota durante la procedura di deployment.

Per evitare problemi di quota:

  1. Visualizza la quota di risorse disponibile per il tuo progetto.
  2. Se necessario, richiedi un valore di quota più elevato o contatta l'amministratore del progetto.

Segreti per il workload SAP

Lo strumento di automazione della distribuzione guidata utilizza Secret Manager per archiviare le password necessarie durante il processo di deployment e installazione, ad esempio le password per gli account utente amministratore e SYSTEM. Le password in formato testo normale sono vietate in conformità con le nostre best practice per Terraform.

Prima di utilizzare lo strumento di automazione della distribuzione guidata, devi creare almeno un secret. Se vuoi utilizzare secret diversi per i livelli di database e applicazione, crea secret separati per ogni livello.

Per assicurarti che i secret soddisfino i requisiti per le password di SAP, segui le indicazioni di SAP per la creazione di password.

Devi creare i secret nel progetto in cui esegui il deployment del workload SAP.

Passaggi successivi