Questo documento descrive i prerequisiti per il deployment di un'applicazione SAP S/4HANA Google Cloud utilizzando Workload Manager.
Prima di eseguire il deployment di un'applicazione SAP S/4HANA, devi soddisfare i prerequisiti per l'utilizzo dell'automazione del deployment guidato.
| Prerequisito | Descrizione |
|---|---|
| Google Cloud risorse di rete | Crea o seleziona una rete VPC e una subnet per il deployment di SAP. Devi anche configurare l'accesso a internet in uscita per le tue macchine per scaricare i pacchetti richiesti. Per saperne di più, consulta Rete. |
| OS Login e chiavi SSH | Devi disattivare temporaneamente lOS Login nei metadati del progetto fino al completamento del deployment. Per ulteriori informazioni, consulta Accesso all'OS e chiavi SSH. |
| Secrets per il carico di lavoro SAP | Per fornire in modo sicuro le password per il tuo carico di lavoro, devi utilizzare un secret creato utilizzando Secret Manager. Per saperne di più, vedi Secrets per il carico di lavoro SAP. |
| Ruoli e autorizzazioni IAM | Gli utenti che eseguono il deployment di un carico di lavoro SAP utilizzando lo strumento di automazione del deployment guidato devono disporre o devono aver ricevuto i ruoli e le autorizzazioni richiesti per configurare il deployment. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM. |
| Account di servizio | Collega un account di servizio al deployment e assicurati che abbia tutti i ruoli necessari per il deployment del tuo carico di lavoro. Per saperne di più, consulta Account di servizio. |
| Quote | Assicurati di disporre di una quota di risorse sufficiente nel progetto per eseguire il deployment dell'applicazione SAP. Per ulteriori informazioni, consulta Quote. |
| Secrets per il carico di lavoro SAP | Per fornire in modo sicuro le password per il tuo carico di lavoro, devi utilizzare un secret creato utilizzando Secret Manager. Per saperne di più, vedi Secrets per il carico di lavoro SAP. |
| File multimediale per l'installazione SAP | Crea un bucket Cloud Storage nel progetto in cui esegui il deployment dell'applicazione SAP e carica tutti i file SAP necessari per il deployment. Per ulteriori informazioni, vedi Preparare i file di installazione SAP per il deployment. |
Rete
Questa sezione descrive le Google Cloud risorse di rete che devi configurare prima di eseguire il deployment dell'applicazione SAP.
Rete e subnet VPC
Se il progetto ha una rete VPC predefinita, non utilizzarla per creare un deployment. Ti consigliamo invece di creare la tua rete VPC in modo che le uniche regole firewall in vigore siano quelle che crei esplicitamente per la rete. Crea una rete VPC e una subnet oppure contatta il team di networking della tua Google Cloud organizzazione.
Configurare l'accesso a internet esterno
Durante il processo di deployment, le VM del progetto devono avere accesso a internet in uscita per scaricare i pacchetti e registrarsi per le licenze.
Google consiglia di creare un gateway Cloud NAT per fornire accesso a internet esterno alle VM senza creare indirizzi IP esterni. Puoi creare un Cloud NAT in ogni subnet e regione in cui si trovano le tue VM. Se crei un gateway Cloud NAT, ti consigliamo di allocare almeno 256 porte minime per istanza VM.
Se non vuoi utilizzare un gateway Cloud NAT, durante il processo di deployment puoi specificare indirizzi IP esterni per fornire l'accesso a internet richiesto per le tue VM.
Regole firewall
Durante la procedura di implementazione, Workload Manager crea automaticamente le regole firewall necessarie per l'implementazione.
Tieni presente che le regole deny esistenti nel progetto potrebbero avere una priorità più alta
e negare l'accesso necessario.
A seconda delle regole firewall esistenti nel progetto, crea regole firewall per consentire l'accesso per:
- Le porte predefinite utilizzate da SAP, come documentato in Porte TCP/IP di tutti i prodotti SAP
- Connessioni dal tuo computer o dall'ambiente di rete aziendale alle tue istanze VM di Compute Engine. Se non sai quale indirizzo IP utilizzare, contatta l'amministratore di rete della tua organizzazione.
- Connettività in uscita ai Google Cloud servizi, utilizzando l'accesso privato Google, se opportuno.
- Comunicazione tra macchine nella stessa subnet:
- Accesso SSH tra le VM nella stessa subnet per configurare i sistemi di cui è stato eseguito il deployment e per l'accesso da parte di un amministratore di sistema.
- Accesso alle porte delle applicazioni HANA per la comunicazione tra i server delle applicazioni e il database HANA.
- Accesso ai server di messaggi SAP, all'inserimento in coda della replica, ai servizi gateway tra i server di applicazioni SAP e le istanze dei servizi centrali.
Per ulteriori informazioni, vedi Creare regole firewall VPC.
Accesso al sistema operativo e chiavi SSH
Se OS Login è abilitato nei metadati del progetto, devi disattivarlo temporaneamente fino al completamento del deployment. Il processo di deployment configura le chiavi SSH nei metadati dell'istanza. Quando l'accesso al sistema operativo è attivo, le configurazioni delle chiavi SSH basate su metadati vengono disattivate e il deployment non va a buon fine. Al termine del deployment, puoi attivare l'accesso al sistema operativo.
Per disattivare OS Login, imposta il valore dei metadati enable-oslogin su false.
Scopri come impostare i metadati a livello di progetto.
Account di servizio
Workload Manager utilizza l'account di servizio associato al deployment per chiamare altre API e altri servizi per creare le risorse necessarie per il deployment.
Puoi collegare un account di servizio esistente o crearne uno quando configuri il deployment. A seconda dell'applicazione e della configurazione, Workload Manager ti chiede di concedere i ruoli mancanti al tuo account di servizio.
Per ulteriori informazioni sui ruoli richiesti per il deployment di SAP S/4HANA, consulta Considerazioni sulla sicurezza.
Ruoli e autorizzazioni IAM per il deployment di SAP S/4HANA
Il ruolo Amministratore di deployment di Workload Manager contiene tutte le autorizzazioni necessarie per configurare e eseguire il deployment di SAP S/4HANA su Google Cloud.
Per ulteriori informazioni sui ruoli e sulle autorizzazioni IAM richiesti per eseguire il deployment di un carico di lavoro utilizzando lo strumento di automazione del deployment guidato, consulta Ruoli e autorizzazioni IAM.
Per ulteriori informazioni sulle autorizzazioni IAM per l'esecuzione di SAP su Google Cloud, consulta Gestione di identità e accessi per i programmi SAP su Google Cloud.
Quote
Google Cloud utilizza le quote per proteggere e controllare il numero di risorse che un determinato account o organizzazione può utilizzare. I carichi di lavoro SAP consumano spesso una gran parte delle risorse. Date le dimensioni dei database e delle applicazioni, potresti riscontrare problemi di quota durante la procedura di implementazione.
Per evitare problemi di quota:
- Visualizza la quota di risorse disponibile per il tuo progetto.
- Se necessario, richiedi un limite di quota più alto o contatta l'amministratore del progetto.
Segreti per il carico di lavoro SAP
Lo strumento di automazione del deployment guidato utilizza Secret Manager per archiviare le password necessarie durante il processo di deployment e installazione, ad esempio le password per gli account utente amministratore e SYSTEM. Le password in testo normale sono vietate in conformità con le nostre best practice per Terraform.
Prima di utilizzare lo strumento di automazione del deployment guidato, devi creare almeno un secret. Se vuoi utilizzare secret diversi per i livelli di database e applicazione, crea secret distinti per ogni livello.
Per assicurarti che gli secret soddisfino i requisiti delle password di SAP, segui le linee guida di SAP per la creazione delle password.
Devi creare i secret nel progetto in cui esegui il deployment del workload SAP.
Passaggi successivi
- Scopri come preparare i file di installazione SAP per il deployment.
- Scopri come eseguire il deployment di un workload SAP S/4HANA.