이 문서에서는 워크로드 관리자를 사용하여 Google Cloud 에 SAP S/4HANA 애플리케이션을 배포하기 위한 기본 요건을 설명합니다.
SAP S/4HANA 애플리케이션을 배포하기 전에 먼저 가이드 배포 자동화 사용을 위한 기본 요건을 충족해야 합니다.
| 기본 요건 | 설명 |
|---|---|
| Google Cloud 네트워크 리소스 | SAP 배포를 위한 VPC 네트워크 및 서브네트워크를 만들거나 선택합니다. 필요한 패키지를 다운로드하려면 머신의 아웃바운드 인터넷 액세스도 구성해야 합니다. 자세한 내용은 네트워크를 참고하세요. |
| OS 로그인 및 SSH 키 | 배포가 완료될 때까지 프로젝트 메타데이터에서 OS 로그인을 일시적으로 사용 중지해야 합니다. 자세한 내용은 OS 로그인 및 SSH 키를 참고하세요. |
| SAP 워크로드의 비밀 | 워크로드의 비밀번호를 안전하게 제공하려면 Secret Manager를 사용하여 생성된 보안 비밀을 사용해야 합니다. 자세한 내용은 SAP 워크로드용 보안 비밀을 참고하세요. |
| IAM 역할 및 권한 | 가이드형 배포 자동화 도구를 사용하여 SAP 워크로드를 배포하는 사용자에게는 배포를 구성하는 데 필요한 역할과 권한이 있거나 부여되어야 합니다. 자세한 내용은 IAM 역할 및 권한을 참조하세요. |
| 서비스 계정 | 서비스 계정을 배포에 연결하고 서비스 계정에 워크로드 배포에 필요한 모든 역할이 있는지 확인합니다. 자세한 내용은 서비스 계정을 참조하세요. |
| 할당량 | 프로젝트에 SAP 애플리케이션을 배포할 수 있는 리소스 할당량이 충분한지 확인합니다. 자세한 내용은 할당량을 참조하세요. |
| SAP 설치 미디어 | SAP 애플리케이션을 배포할 프로젝트에 Cloud Storage 버킷을 만들고 배포에 필요한 모든 SAP 파일을 업로드합니다. 자세한 내용은 배포를 위해 SAP 설치 파일 준비를 참고하세요. |
네트워크
이 섹션에서는 SAP 애플리케이션을 배포하기 전에 구성해야 하는 Google Cloud 네트워킹 리소스를 설명합니다.
VPC 네트워크 및 서브네트워크
프로젝트에 기본 VPC 네트워크가 있는 경우 배포를 만드는 데 사용하지 마세요. 대신 네트워크에 대해 명시적으로 만든 방화벽 규칙만 적용되도록 자체 VPC 네트워크를 만드는 것이 좋습니다. VPC 네트워크 및 서브넷을 만들거나 Google Cloud 조직의 네트워킹팀에 문의하세요.
외부 인터넷 액세스 구성
배포 프로세스 중에 프로젝트의 VM은 패키지를 다운로드하고 라이선스를 등록하기 위해 아웃바운드 인터넷 액세스가 필요합니다.
외부 IP 주소를 만들지 않고 VM에 외부 인터넷 액세스를 제공하려면 Cloud NAT 게이트웨이를 만드는 것이 좋습니다. VM이 있는 각 서브넷 및 리전에서 Cloud NAT를 만들 수 있습니다. Cloud NAT 게이트웨이를 만드는 경우 VM 인스턴스당 최소 포트 수를 256개 이상 할당하는 것이 좋습니다.
Cloud NAT 게이트웨이를 사용하지 않으려면 배포 프로세스 중에 VM에 필요한 인터넷 액세스를 제공하는 외부 IP 주소를 지정하면 됩니다.
방화벽 규칙
배포 프로세스 중에 워크로드 관리자는 배포에 필요한 방화벽 규칙을 자동으로 만듭니다.
프로젝트의 기존 거부 규칙이 우선순위가 더 높아서 필요한 액세스를 거부할 수 있습니다.
프로젝트의 기존 방화벽 규칙에 따라 다음에 대한 액세스를 허용하는 방화벽 규칙을 만듭니다.
- 모든 SAP 제품의 TCP/IP 포트에 설명된 대로 SAP에서 사용하는 기본 포트
- 사용자 컴퓨터 또는 기업 네트워크 환경에서 Compute Engine VM 인스턴스에 연결. 사용할 IP 주소를 모르는 경우 조직의 네트워크 관리자에게 문의하세요.
- Google 비공개 액세스를 적절히 사용하여 Google Cloud 서비스에 대한 아웃바운드 연결
- 동일한 서브네트워크에 있는 머신 간 통신:
- 배포된 시스템을 구성하고 시스템 관리자가 액세스할 수 있도록 동일한 서브넷에 있는 VM 간의 SSH 액세스
- 애플리케이션 서버와 HANA 데이터베이스 간 통신을 위한 HANA 애플리케이션 포트에 대한 액세스
- SAP 메시지 서버, 복제 대기열, SAP 애플리케이션 서버와 중앙 서비스 인스턴스 간의 게이트웨이 서비스에 대한 액세스
자세한 내용은 VPC 방화벽 규칙 만들기를 참고하세요.
DNS 영역 구성
배포를 만들 때 워크로드 관리자를 선택하여 Cloud DNS 영역을 만들 수 있습니다. 배포 중에 DNS 영역 생성을 건너뛰고 나중에 수동으로 설정할 수도 있습니다.
DNS 영역을 수동으로 설정하는 경우 배포에 사용하는 VPC 네트워크가 Cloud DNS 영역에 추가되어 레코드 쿼리에 표시되는지 확인합니다. 자세한 내용은 DNS 영역 구성을 참고하세요.
OS 로그인 및 SSH 키
프로젝트 메타데이터에 OS 로그인이 사용 설정된 경우 배포가 완료될 때까지 OS 로그인을 일시적으로 사용 중지해야 합니다. 배포 프로세스는 인스턴스 메타데이터에 SSH 키를 구성합니다. OS 로그인이 사용 설정되면 메타데이터 기반 SSH 키 구성이 사용 중지되고 배포가 실패합니다. 배포가 완료되면 OS 로그인을 사용 설정할 수 있습니다.
OS 로그인을 사용 중지하려면 enable-oslogin 메타데이터 값을 false로 설정합니다.
프로젝트 전체 메타데이터를 설정하는 방법을 참고하세요.
서비스 계정
Workload Manager는 배포에 연결된 서비스 계정을 사용하여 배포에 필요한 리소스를 만들기 위해 다른 API 및 서비스를 호출합니다.
배포를 구성할 때 기존 서비스 계정을 연결하거나 서비스 계정을 만들 수 있습니다. 애플리케이션 및 구성에 따라 워크로드 관리자에서 서비스 계정에 누락된 역할을 부여하라는 메시지가 표시됩니다.
SAP S/4HANA 배포에 필요한 역할에 대한 자세한 내용은 서비스 계정 및 권한을 참고하세요.
SAP S/4HANA 배포를 위한 IAM 역할 및 권한
워크로드 관리자 배포 관리자 역할에는 Google Cloud에서 SAP S/4HANA를 구성하고 배포하는 데 필요한 모든 권한이 포함되어 있습니다.
가이드 배포 자동화 도구를 사용하여 워크로드를 배포하는 데 필요한 IAM 역할 및 권한에 대한 자세한 내용은 IAM 역할 및 권한을 참고하세요.
Google Cloud에서 SAP를 실행하는 데 필요한 IAM 권한에 대한 자세한 내용은 Google Cloud기반 SAP 프로그램의 ID 및 액세스 관리를 참고하세요.
할당량
Google Cloud 은 할당량을 사용하여 특정 계정 또는 조직에서 사용할 수 있는 리소스 수를 보호하고 제어합니다. SAP 워크로드는 리소스의 상당 부분을 소비하는 경우가 많습니다. 데이터베이스와 애플리케이션의 크기를 고려할 때 배포 프로세스 중에 할당량 문제가 발생할 수 있습니다.
할당량 문제를 방지하려면 다음 단계를 따르세요.
- 프로젝트에서 사용 가능한 리소스 할당량 보기
- 필요한 경우 할당량 값 상향을 요청하거나 프로젝트 관리자에게 문의하세요.
SAP 워크로드의 보안 비밀
가이드 배포 자동화 도구는 Secret Manager를 사용하여 배포 및 설치 프로세스 중에 필요한 비밀번호(예: 관리자 및 시스템 사용자 계정의 비밀번호)를 저장합니다. Terraform 권장사항에 따라 일반 텍스트 비밀번호는 금지됩니다.
가이드 배포 자동화 도구를 사용하려면 먼저 보안 비밀을 하나 이상 만들어야 합니다. 데이터베이스 및 애플리케이션 레이어에 다른 보안 비밀을 사용하려면 각 레이어에 대해 별도의 보안 비밀을 만드세요.
보안 비밀이 SAP의 비밀번호 요구사항을 충족하는지 확인하려면 비밀번호 생성에 관한 SAP 안내를 따르세요.
SAP 워크로드를 배포하는 프로젝트에 보안 비밀을 만들어야 합니다.
다음 단계
- 배포를 위해 SAP 설치 파일을 준비하는 방법을 알아봅니다.
- SAP S/4HANA 워크로드를 배포하는 방법을 알아보세요.