本文档介绍了使用 Workload Manager 在 Google Cloud 上部署 SAP S/4HANA 应用的前提条件。
您必须先满足使用“引导式部署自动化”工具的前提条件,然后才能部署 SAP S/4HANA 应用。
| 前提条件 | 说明 |
|---|---|
| Google Cloud 网络资源 | 为 SAP 部署创建或选择 VPC 网络和子网。 您还必须为机器配置出站互联网访问权限,以便下载所需的软件包。如需了解详情,请参阅网络。 |
| OS Login 和 SSH 密钥 | 您必须在部署完成之前暂时停用项目元数据中的 OS Login。如需了解详情,请参阅 OS Login 和 SSH 密钥。 |
| SAP 工作负载的 Secret | 如需安全地提供工作负载的密码,您必须使用 Secret Manager 创建的 Secret。如需了解详情,请参阅适用于 SAP 工作负载的 Secret。 |
| IAM 角色和权限 | 使用引导式部署自动化工具部署 SAP 工作负载的用户必须拥有或被授予配置部署所需的角色和权限。 如需了解详情,请参阅 IAM 角色和权限。 |
| 服务账号 | 将服务账号附加到部署,并确保该服务账号拥有部署工作负载所需的所有角色。 如需了解详情,请参阅服务账号。 |
| 配额 | 确保您的项目中有足够的资源配额来部署 SAP 应用。如需了解详情,请参阅配额。 |
| SAP 工作负载的 Secret | 如需安全地提供工作负载的密码,您必须使用 Secret Manager 创建的 Secret。如需了解详情,请参阅适用于 SAP 工作负载的 Secret。 |
| SAP 安装媒体 | 在部署 SAP 应用的项目中创建一个 Cloud Storage 存储分区,并上传部署所需的所有 SAP 文件。如需了解详情,请参阅准备 SAP 安装文件以进行部署。 |
网络
本部分介绍了您在部署 SAP 应用之前需要配置的 Google Cloud 网络资源。
VPC 网络和子网
如果您的项目具有默认 VPC 网络,请勿将其用于创建部署。我们建议您创建自己的 VPC 网络,以保证只有您为该网络明确创建的防火墙规则在起作用。创建 VPC 网络和子网,或与 Google Cloud 贵组织的网络团队联系。
配置外部互联网访问
在部署过程中,项目中的虚拟机需要有出站互联网访问权限,才能下载软件包并注册许可。
Google 建议您创建 Cloud NAT 网关,以便为虚拟机提供外部互联网访问权限,而无需创建外部 IP 地址。您可以在虚拟机所在的每个子网和区域中创建 Cloud NAT。如果您创建 Cloud NAT 网关,我们建议您至少分配 256 个每个虚拟机实例的端口数下限。
如果您不想使用 Cloud NAT 网关,可以在部署过程中指定外部 IP 地址,以便为虚拟机提供所需的互联网访问权限。
防火墙规则
在部署过程中,Workload 管理器会自动为部署创建必要的防火墙规则。
请注意,您项目中现有的拒绝规则的优先级可能更高,并会拒绝必要的访问权限。
根据项目中现有的防火墙规则,创建防火墙规则以允许进行以下访问:
- 访问 SAP 使用的默认端口,具体请参阅所有 SAP 产品的 TCP/IP 端口
- 从您的计算机或公司网络环境连接到 Compute Engine 虚拟机实例。如果您不确定使用哪个 IP 地址,请与贵组织的网络管理员联系。
- 出站连接到 Google Cloud 服务,并根据需要使用 Google 专用访问通道。
- 同一子网中的机器之间的通信:
- 同一子网中的虚拟机之间的 SSH 访问,用于配置已部署的系统以及供系统管理员访问。
- 访问 HANA 应用端口,以便在应用服务器和 HANA 数据库之间进行通信。
- 对 SAP 应用服务器和中央服务实例之间的 SAP 消息服务器、复制入队服务和网关服务的访问权限。
如需了解详情,请参阅创建 VPC 防火墙规则。
OS Login 和 SSH 密钥
如果在项目元数据中启用了 OS Login,则需要暂时停用 OS Login,直到部署完成。部署流程会在实例元数据中配置 SSH 密钥。启用 OS Login 后,基于元数据的 SSH 密钥配置会停用,并且部署将失败。部署完成后,您可以启用 OS Login。
如需停用 OS Login,请将 enable-oslogin 元数据值设置为 false。请参阅如何设置项目级元数据。
服务账号
Workload Manager 会使用与您的部署关联的服务账号调用其他 API 和服务,以创建部署所需的资源。
在配置部署时,您可以附加现有服务账号,也可以创建服务账号。根据您的应用和配置,工作负载管理器会提示您向服务账号授予缺少的任何角色。
如需详细了解部署 SAP S/4HANA 所需的角色,请参阅安全注意事项。
用于部署 SAP S/4HANA 的 IAM 角色和权限
Workload Manager Deployment Admin 角色包含在 Google Cloud上配置和部署 SAP S/4HANA 所需的所有权限。
如需详细了解使用引导式部署自动化工具部署工作负载所需的 IAM 角色和权限,请参阅 IAM 角色和权限。
如需详细了解在 Google Cloud上运行 SAP 所需的 IAM 权限,请参阅 Google Cloud上的 SAP 程序的身份和访问权限管理。
配额
Google Cloud 使用配额来保护和控制特定账号或组织可以使用的资源数量。SAP 工作负载通常会消耗大量资源。鉴于数据库和应用的大小,您可能会在部署过程中遇到配额问题。
为避免配额问题,请执行以下操作:
- 查看项目的可用资源配额。
- 如有需要,请申请提高配额限制或与您的项目管理员联系。
SAP 工作负载的 Secret
引导式部署自动化工具使用 Secret Manager 存储部署和安装过程中所需的密码,例如管理员账号和 SYSTEM 用户账号的密码。根据我们的 Terraform 最佳实践,禁止使用纯文本密码。
在使用“引导式部署自动化”工具之前,您必须至少创建一个 Secret。如果您想为数据库层和应用层使用不同的 Secret,请为每个层创建单独的 Secret。
为确保 Secret 符合 SAP 的密码要求,请遵循 SAP 密码创建指南。
您必须在部署 SAP 工作负载的项目中创建 Secret。
后续步骤
- 了解如何准备 SAP 安装文件以进行部署。
- 了解如何部署 SAP S/4HANA 工作负载。