Pré-requisitos para implantar um aplicativo SAP S/4HANA

Este documento descreve os pré-requisitos para implantar um aplicativo SAP S/4HANA no Google Cloud usando o Workload Manager.

É preciso atender aos pré-requisitos para usar a automação de implantação guiada antes de implantar um aplicativo SAP S/4HANA.

Pré-requisito Descrição
Google Cloud recursos de rede Crie ou selecione uma rede e uma sub-rede VPC para a implantação do SAP. Você também precisa configurar o acesso de saída da Internet para que suas máquinas façam o download dos pacotes necessários. Para mais informações, consulte Rede.
Login do SO e chaves SSH Desative temporariamente o Login do SO nos metadados do projeto até que a implantação seja concluída. Para mais informações, consulte Login do SO e chaves SSH.
Segredos para cargas de trabalho SAP Para fornecer as senhas com segurança para sua carga de trabalho, use um secret criado com o Secret Manager. Para mais informações, consulte Secrets para a carga de trabalho da SAP.
Permissões e papéis do IAM Os usuários que implantam uma carga de trabalho SAP usando a ferramenta de automação de implantação guiada precisam ter ou receber as funções e permissões necessárias para configurar a implantação. Para mais informações, consulte Papéis e permissões do IAM.
Contas de serviço Anexe uma conta de serviço à implantação e verifique se ela tem todos os papéis necessários para implantar a carga de trabalho. Para mais informações, consulte Contas de serviço.
Cotas Verifique se você tem cota de recurso suficiente no projeto para implantar o aplicativo SAP. Para mais informações, consulte Cotas.
Segredos para cargas de trabalho SAP Para fornecer as senhas com segurança para sua carga de trabalho, use um secret criado com o Secret Manager. Para mais informações, consulte Secrets para a carga de trabalho da SAP.
Mídia de instalação do SAP Crie um bucket do Cloud Storage no projeto em que você implanta o aplicativo SAP e faça upload de todos os arquivos SAP necessários para a implantação. Para mais informações, consulte Preparar arquivos de instalação do SAP para implantação.

Rede

Esta seção descreve os Google Cloud recursos de rede que você precisa configurar antes de implantar o aplicativo SAP.

Rede e sub-rede VPC

Se o projeto tiver uma rede VPC padrão, não a use para criar uma implantação. Em vez disso, recomendamos que você crie sua própria rede VPC para que as únicas regras de firewall em vigor sejam aquelas que você cria explicitamente para a rede. Crie uma rede VPC e uma sub-rede ou entre em contato com a equipe de rede da Google Cloud organização.

Configurar o acesso externo à Internet

Durante o processo de implantação, as VMs no seu projeto precisam de acesso de saída à Internet para fazer o download de pacotes e se registrar para licenciamento.

O Google recomenda que você crie um gateway do Cloud NAT para fornecer acesso externo à Internet para suas VMs sem criar endereços IP externos. É possível criar um Cloud NAT em cada sub-rede e região em que as VMs estão localizadas. Se você criar um gateway do Cloud NAT, recomendamos alocar pelo menos 256 portas mínimas por instância de VM.

Se você não quiser usar um gateway do Cloud NAT, durante o processo de implantação, especifique endereços IP externos para fornecer o acesso à Internet necessário para suas VMs.

Regras de firewall

Durante o processo de implantação, o Workload Manager cria automaticamente as regras de firewall necessárias para a implantação.

As regras de negação atuais no seu projeto podem ter prioridade mais alta e negar o acesso necessário.
Dependendo das regras de firewall atuais no projeto, crie regras de firewall para permitir o acesso a:

  • As portas padrão usadas pelo SAP, conforme documentado em Portas TCP/IP de todos os produtos SAP
  • Conexões do seu computador ou ambiente de rede corporativa com as instâncias de VM do Compute Engine. Se você não tiver certeza do endereço IP a ser usado, entre em contato com o administrador de rede da sua organização.
  • Conectividade de saída para Google Cloud serviços, usando o Google Private Access conforme apropriado.
  • Comunicação entre máquinas na mesma sub-rede:
    • Acesso SSH entre VMs na mesma sub-rede para configurar sistemas implantados e para acesso por um administrador do sistema.
    • Acesso às portas de aplicativos HANA para comunicação entre os servidores de aplicativos e o banco de dados HANA.
    • Acesso a servidores de mensagens do SAP, fila de replicação, serviços de gateway entre servidores de aplicativos SAP e instâncias de serviços centrais.

Para mais informações, consulte Criar regras de firewall da VPC.

Login do SO e chaves SSH

Se o login do SO estiver ativado nos metadados do projeto, desative-o temporariamente até que a implantação seja concluída. O processo de implantação configura chaves SSH nos metadados da instância. Quando o Login do SO é ativado, as configurações de chave SSH baseadas em metadados são desativadas e a implantação falha. Depois que a implantação for concluída, ative o login do SO.

Para desativar o Login do SO, defina o valor dos metadados enable-oslogin como false. Saiba como definir metadados de todo o projeto.

Contas de serviço

O Workload Manager usa a conta de serviço anexada à sua implantação para chamar outras APIs e serviços para criar recursos necessários para a implantação.

É possível anexar uma conta de serviço atual ou criar uma conta de serviço ao configurar a implantação. Dependendo do aplicativo e da configuração, o Gerenciador de cargas de trabalho vai solicitar que você conceda qualquer uma das funções ausentes à sua conta de serviço.

Para mais informações sobre os papéis necessários para implantar o SAP S/4HANA, consulte Considerações de segurança.

Papéis e permissões do IAM para implantar o SAP S/4HANA

O papel de administrador de implantação do Workload Manager contém todas as permissões necessárias para configurar e implantar o SAP S/4HANA no Google Cloud.

Para mais informações sobre os papéis e as permissões do IAM necessários para implantar uma carga de trabalho usando a ferramenta de automação de implantação guiada, consulte Papéis e permissões do IAM.

Para mais informações sobre as permissões do IAM para executar o SAP no Google Cloud, consulte Gerenciamento de identidade e acesso para programas SAP no Google Cloud.

Cotas

OGoogle Cloud usa cotas para proteger e controlar o número de recursos que uma conta ou organização específica pode usar. As cargas de trabalho do SAP geralmente consomem uma grande parte dos recursos. Devido ao tamanho dos bancos de dados e aplicativos, é possível que você tenha problemas de cota durante o processo de implantação.

Para evitar problemas de cota, faça o seguinte:

  1. Conferir a cota de recursos disponível para seu projeto.
  2. Se necessário, solicite um limite de cota maior ou entre em contato com o administrador do projeto.

Secrets para carga de trabalho SAP

A ferramenta de automação de implantação guiada usa o Secret Manager para armazenar as senhas necessárias durante o processo de implantação e instalação, como as senhas para contas de usuário administrador e do SISTEMA. Senhas de texto simples são proibidas de acordo com nossas práticas recomendadas do Terraform.

Antes de usar a ferramenta de automação de implantação guiada, crie pelo menos um segredo. Se você quiser usar segredos diferentes para as camadas de banco de dados e de aplicativo, crie secrets separados para cada camada.

Para garantir que os secrets atendam aos requisitos de senha da SAP, siga as orientações da SAP para criar senhas.

É necessário criar secrets no projeto em que você implanta a carga de trabalho da SAP.

A seguir