액세스 토큰으로 인증

이 문서에서는 SAP 시스템이 Compute Engine VM 인스턴스에서 호스팅되는 경우 Google Cloud에 액세스하도록 인증을 설정하는 방법을 보여줍니다.

Google Cloud API 사용 설정

Google Cloud 프로젝트에서 필요한 Google Cloud API를 사용 설정합니다.

  • Pub/Sub를 통한 CDC 복제의 경우 다음 API를 사용 설정합니다.

    • Pub/Sub API
    • BigQuery API
    • IAM Service Account Credentials API

  • 스트리밍 데이터 복제의 경우 다음 API를 사용 설정하세요.

    • BigQuery API
    • IAM Service Account Credentials API

Google Cloud API를 사용 설정하는 방법은 API 사용 설정을 참고하세요.

서비스 계정 만들기

SAP용 BigQuery 커넥터가 Google Cloud 리소스에 액세스하기 위해서는 인증 및 승인을 위한 IAM 서비스 계정이 필요합니다.

이 서비스 계정은 사용 설정된 Google Cloud API가 포함된 Google Cloud 프로젝트의 주 구성원이어야 합니다. Google Cloud API와 동일한 프로젝트에 서비스 계정을 만들면 서비스 계정이 자동으로 프로젝트에 주 구성원으로 추가됩니다.

사용 설정된 Google Cloud API가 포함된 프로젝트가 아닌 다른 프로젝트에 서비스 계정을 만드는 경우 추가 단계에서 사용 설정된 Google Cloud API 프로젝트에 서비스 계정을 추가해야 합니다.

서비스 계정을 만들려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 IAM 및 관리자 서비스 계정 페이지로 이동합니다.

    서비스 계정으로 이동

  2. 메시지가 표시되면 Google Cloud 프로젝트를 선택합니다.

  3. 서비스 계정 만들기를 클릭합니다.

  4. 서비스 계정의 이름과 설명(선택 사항)을 지정합니다.

  5. 만들고 계속하기를 클릭합니다.

  6. 사용 설정된 Google Cloud API와 동일한 프로젝트에 서비스 계정을 만드는 경우 이 서비스 계정에 프로젝트에 대한 액세스 권한 부여 패널에서 적절한 역할을 선택합니다.

    Pub/Sub를 통한 CDC 복제의 경우 다음 역할을 선택합니다.

    • Pub/Sub 편집자
    • BigQuery 데이터 편집자
    • BigQuery 작업 사용자

    스트리밍 데이터 복제의 경우 다음 역할을 선택합니다.

    • BigQuery 데이터 편집자
    • BigQuery 작업 사용자

    사용 설정된 Google Cloud API 프로젝트와 다른 프로젝트에 서비스 계정을 만드는 경우 서비스 계정에 역할을 부여하지 마세요.

  7. 계속을 클릭합니다.

  8. 필요에 따라 다른 사용자에게 서비스 계정에 대한 액세스 권한을 부여합니다.

  9. 완료를 클릭합니다. 프로젝트의 서비스 계정 목록에 서비스 계정이 표시됩니다.

  10. 사용 설정된 Google Cloud API가 포함된 프로젝트가 아닌 다른 프로젝트에 서비스 계정을 만든 경우 이 서비스 계정의 이름을 메모하세요. 사용 설정된 Google Cloud API 프로젝트에 서비스 계정을 추가할 때 이름을 지정합니다. 자세한 내용은 BigQuery 프로젝트에 서비스 계정 추가를 참조하세요.

이제 서비스 계정이 생성된 Google Cloud 프로젝트의 IAM 권한 페이지에 서비스 계정이 주 구성원으로 나열됩니다.

대상 프로젝트에 서비스 계정 추가

사용 설정된 Google Cloud API가 포함된 프로젝트가 아닌 다른 프로젝트에 SAP용 BigQuery 커넥터의 서비스 계정을 만든 경우 사용 설정된 Google Cloud API 프로젝트에 서비스 계정을 추가해야 합니다.

사용 설정된 Google Cloud API와 동일한 프로젝트에서 서비스 계정을 만든 경우 이 단계를 건너뛸 수 있습니다.

BigQuery 데이터 세트 프로젝트에 기존 서비스 계정을 추가하려면 다음 단계를 완료하세요.

  1. Google Cloud 콘솔에서 IAM 권한 페이지로 이동합니다.

    IAM 권한으로 이동

  2. 사용 설정된Google Cloud API가 포함된 프로젝트의 이름이 페이지 상단에 표시되는지 확인합니다. 예를 들면 다음과 같습니다.

    'PROJECT_NAME' 프로젝트의 권한

    표시되지 않은 경우 프로젝트를 전환합니다.

  3. IAM 페이지에서 추가를 클릭합니다. 'PROJECT_NAME'에 주 구성원 추가 대화상자가 열립니다.

  4. 'PROJECT_NAME'에 주 구성원 추가 대화상자에서 다음 단계를 수행합니다.

    1. 새 주 구성원 필드에서 서비스 계정의 이름을 지정합니다.
    2. 역할 선택 필드에 BigQuery 데이터 편집자를 지정합니다.
    3. 다른 역할 추가를 클릭합니다. 역할 선택 필드가 다시 표시됩니다.
    4. 역할 선택 필드에 BigQuery 작업 사용자를 지정합니다.
    5. Pub/Sub를 통한 CDC 복제의 경우 이전 단계를 반복하고 Pub/Sub 편집자를 지정합니다.
    6. 저장을 클릭합니다. IAM 페이지의 프로젝트 주 구성원 목록에 서비스 계정이 표시됩니다.

호스트 VM에서 보안 구성

SAP용 BigQuery 커넥터를 사용하려면 다음 보안 옵션을 사용해서 SAP LT Replication Server를 호스팅하는 Compute Engine VM을 구성해야 합니다.

  • Cloud API에 대해 전체 액세스를 허용하도록 호스트 VM의 액세스 범위를 설정해야 합니다.
  • 호스트 VM의 서비스 계정에는 IAM 서비스 계정 토큰 생성자 역할이 있어야 합니다.

이러한 옵션이 호스트 VM에 구성되지 않았으면 이를 구성해야 합니다.

호스트 VM의 API 액세스 범위 확인

SAP LT Replication Server 호스트 VM의 현재 액세스 범위 설정을 확인합니다. VM에 이미 모든 Cloud API에 대한 전체 액세스 권한이 있는 경우 액세스 범위를 변경할 필요가 없습니다.

호스트 VM의 액세스 범위를 확인하려면 다음 단계를 따르세요.

Google Cloud 콘솔

  1. Google Cloud 콘솔에서 VM 인스턴스 페이지를 엽니다.

    VM 인스턴스로 이동

  2. 필요한 경우 SAP LT Replication Server 호스트가 포함된 Google Cloud 프로젝트를 선택합니다.

  3. VM 인스턴스 페이지에서 호스트 VM의 이름을 클릭합니다. VM 세부정보 페이지가 열립니다.

  4. 호스트 VM 세부정보 페이지의 API 및 ID 관리에서 Cloud API 액세스 범위의 현재 설정을 확인합니다.

    • 설정이 모든 Cloud API에 대한 전체 액세스 허용이면 설정이 올바른 상태이므로 변경할 필요가 없습니다.
    • 설정이 모든 Cloud API에 대한 전체 액세스 허용이 아닌 경우 VM을 중지하고 설정을 변경해야 합니다. 자세한 내용은 다음 섹션을 참조하세요.

gcloud CLI

  1. 호스트 VM의 현재 액세스 범위를 표시합니다.

    gcloud compute instances describe VM_NAME --zone=VM_ZONE --format="yaml(serviceAccounts)"

    액세스 범위에 https://www.googleapis.com/auth/cloud-platform이 포함되지 않은 경우 호스트 VM의 액세스 범위를 변경해야 합니다. 예를 들어 기본 Compute Engine 서비스 계정을 사용하여 VM 인스턴스를 만들 경우 다음 기본 액세스 범위를 변경해야 합니다.

    serviceAccounts:
- email: 600915385160-compute@developer.gserviceaccount.com
  scopes:
  - https://www.googleapis.com/auth/devstorage.read_only
  - https://www.googleapis.com/auth/logging.write
  - https://www.googleapis.com/auth/monitoring.write
  - https://www.googleapis.com/auth/servicecontrol
  - https://www.googleapis.com/auth/service.management.readonly
  - https://www.googleapis.com/auth/trace.append

    다음 예시와 같이 scopes에 나열된 유일한 범위가 https://www.googleapis.com/auth/cloud-platform이면 범위를 변경할 필요가 없습니다.

    serviceAccounts:
- email: 600915385160-compute@developer.gserviceaccount.com
  scopes:
  - https://www.googleapis.com/auth/cloud-platform

호스트 VM의 API 액세스 범위 변경

SAP LT Replication Server 호스트 VM에Google Cloud API에 대한 전체 액세스 권한이 없으면 모든 Cloud API에 대해 전체 액세스를 허용하도록 액세스 범위를 변경합니다.

호스트 VM의 Cloud API 액세스 범위 설정을 변경하려면 다음 단계를 따르세요.

Google Cloud 콘솔

  1. 필요한 경우 호스트 VM의 보안 계정에 부여되는 역할을 제한합니다.

    호스트 VM 세부정보 페이지의 API 및 ID 관리 아래에서 보안 계정 이름을 확인할 수 있습니다. Google Cloud 콘솔의 주 구성원 아래 IAM 페이지에서 서비스 계정에 부여된 역할을 변경할 수 있습니다.

  2. 필요한 경우 호스트 VM에서 실행 중인 워크로드를 중지합니다.

  3. Google Cloud 콘솔에서 VM 인스턴스 페이지를 엽니다.

    VM 인스턴스로 이동

  4. VM 인스턴스 페이지에서 호스트 VM 이름을 클릭하여 VM 세부정보 페이지를 엽니다.

  5. 호스트 VM 세부정보 페이지 상단에서 중지를 클릭하여 호스트 VM을 중지합니다.

  6. VM이 중지된 다음 수정을 클릭합니다.

  7. 보안 및 액세스 > 액세스 범위에서 모든 Cloud API에 대한 전체 액세스 허용을 선택합니다.

  8. 저장을 클릭합니다.

  9. 호스트 VM 세부정보 페이지 상단에서 시작/재개를 클릭하여 호스트 VM을 시작합니다.

  10. 필요한 경우 호스트 VM에서 중지된 워크로드를 다시 시작합니다.

gcloud CLI

  1. 필요한 경우 호스트 VM에서 Google Cloud서비스에 대한 액세스가 적절하게 제한되도록 VM 서비스 계정에 부여되는 IAM 역할을 조정합니다.

    서비스 계정에 부여된 역할을 변경하는 방법은 서비스 계정 업데이트를 참조하세요.

  2. 필요한 경우 호스트 VM에서 실행되는 SAP 소프트웨어를 중지합니다.

  3. VM을 중지합니다.

    gcloud compute instances stop VM_NAME --zone=VM_ZONE

  4. VM의 액세스 범위를 변경합니다.

    gcloud compute instances set-service-account VM_NAME --scopes=cloud-platform --zone=VM_ZONE

  5. 다음을 실행하여 VM을 시작합니다.

    gcloud compute instances start VM_NAME --zone=VM_ZONE

  6. 필요한 경우 호스트 VM에서 실행되는 SAP 소프트웨어를 시작합니다.

호스트 VM이 액세스 토큰을 얻을 수 있도록 설정

호스트 VM의 전용 서비스 계정을 만들고 서비스 계정에 SAP용 BigQuery 커넥터가Google Cloud에 액세스하는 데 필요한 액세스 토큰을 가져올 수 있는 권한을 부여해야 합니다.

호스트 VM이 액세스 토큰을 가져올 수 있도록 하려면 다음을 실행하세요.

  1. Google Cloud 콘솔에서 호스트 VM 인스턴스의 IAM 서비스 계정을 만듭니다.

    서비스 계정으로 이동

    서비스 계정을 만드는 방법에 대한 자세한 내용은 서비스 계정 만들기를 참조하세요.

  2. 서비스 계정에 Service Account Token Creator 역할을 부여합니다. 역할 부여 방법에 대한 자세한 내용은 단일 역할 부여를 참고하세요.

  3. SAP 워크로드가 실행 중인 VM 인스턴스에 서비스 계정을 연결합니다.

    VM 인스턴스에 서비스 계정을 연결하는 방법은 VM 만들기 및 서비스 계정 연결을 참고하세요.

이제 호스트 VM에 액세스 토큰을 만들 수 있는 권한이 있습니다.

BigQuery 데이터 세트 만들기

BigQuery 데이터 세트를 만들려면 사용자 계정에 BigQuery에 대해 적절한 IAM 권한이 있어야 합니다. 자세한 내용은 필수 권한을 참조하세요.

  1. Google Cloud 콘솔에서 BigQuery 페이지로 이동합니다.

    BigQuery로 이동

  2. 프로젝트 ID 옆에서 작업 보기 아이콘 을 클릭한 후 데이터 세트 만들기를 클릭합니다.

    앞에서 설명한 다이어그램

  3. 데이터 세트 ID 필드에 고유한 이름을 입력합니다. 자세한 내용은 데이터 세트 이름 만들기를 참조하세요.

BigQuery 데이터 세트 만들기에 대한 자세한 내용은 데이터 세트 만들기를 참조하세요.

TLS/SSL 인증서 및 HTTPS 설정

SAP용 BigQuery 커넥터와 Google 서비스 간의 통신은 TLS/SSL 및 HTTPS를 사용하여 보호됩니다.

  1. Google 서비스에 연결하려면 Google Trust Services 권장사항을 따르세요. 최소한 Google Trust Services 저장소에서 모든 루트 CA 인증서를 다운로드해야 합니다.

    최신 신뢰할 수 있는 루트 CA 인증서를 사용하고 있는지 확인하려면 6개월마다 시스템의 루트 인증서 저장소를 업데이트하는 것이 좋습니다. Google은 Google Trust Services에서 신규 및 삭제된 루트 CA 인증서를 발표합니다. 자동 알림을 받으려면 Google Trust Services에서 RSS 피드를 구독하세요.

  2. SAP GUI에서 STRUST 트랜잭션을 사용하여 루트 CA 인증서를 SSL client SSL Client (Standard) PSE 폴더로 가져옵니다.

    SAP의 자세한 내용은 SAP 도움말 - PSE 인증 목록 유지보수를 참조하세요.

  3. SAP LT Replication Server 호스트에서 방화벽 규칙 또는 프록시가 HTTPS 포트에서 BigQuery API로 이그레스 트래픽을 허용하도록 구성되었는지 확인합니다.

    특히 SAP LT Replication Server가 다음Google Cloud API에 액세스할 수 있어야 합니다.

    • https://bigquery.googleapis.com
    • https://iamcredentials.googleapis.com
    • https://pubsub.googleapis.com

    SAP용 BigQuery 커넥터가 VPC 네트워크의 Private Service Connect 엔드포인트를 통해 Google Cloud API에 액세스하도록 하려면 RFC 대상을 구성하고 해당 RFC 대상에서 Private Service Connect 엔드포인트를 지정해야 합니다. 자세한 내용은 RFC 대상을 참고하세요.

SAP에서 TLS/SSL 설정에 대한 자세한 내용은 SAP Note 510007 - 애플리케이션 서버 ABAP에 TLS/SSL 설정을 위한 추가 고려사항을 참고하세요.

/GOOG/CLIENT_KEY에서 액세스 설정 지정

SM30 트랜잭션을 사용하여Google Cloud에 대한 액세스 설정을 지정합니다. SAP용 BigQuery 커넥터는 이 설정을 /GOOG/CLIENT_KEY 커스텀 구성 테이블에 레코드로 저장합니다.

액세스 설정을 지정하려면 다음 단계를 따르세요.

  1. SAP GUI에서 트랜잭션 코드 SM30을 입력합니다.

  2. /GOOG/CLIENT_KEY 구성 테이블을 선택합니다.

  3. 다음 테이블 필드의 값을 입력합니다.

    필드 데이터 유형 설명
    이름 문자열

    CLIENT_KEY 구성의 설명이 포함된 이름을 지정합니다(예: BQC_CKEY).

    클라이언트 키 이름은 SAP용 BigQuery 커넥터가 Google Cloud액세스 구성을 식별하는 데 사용하는 고유 식별자입니다.
    서비스 계정 이름 문자열

    서비스 계정 만들기 단계에서 SAP용 BigQuery 커넥터용으로 생성된 서비스 계정 이름(이메일 주소 형식)입니다. 예를 들면 sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com입니다.

    범위 문자열

    액세스 범위. Compute Engine에서 권장한 대로 https://www.googleapis.com/auth/cloud-platform API 액세스 범위를 지정합니다. 이 액세스 범위는 호스트 VM의 Allow full access to all Cloud APIs 설정에 해당합니다. 자세한 내용은 호스트 VM에서 액세스 범위 설정을 참고하세요.

    프로젝트 ID 문자열 대상 BigQuery 데이터 세트가 포함된 프로젝트의 ID입니다.
    명령어 이름 문자열

    이 입력란은 비워둡니다.
    승인 클래스 문자열 /GOOG/CL_GCP_AUTH_GOOGLE 지정
    승인 필드 해당 사항 없음 이 입력란은 비워둡니다.
    토큰 새로고침 시간(초) 정수

    액세스 토큰이 만료되기 전에 새로고침해야 하는 시간(초)입니다. 기본값은 3500입니다. 고급 설정에서 CMD_SECS_DEFLT 파라미터의 값을 설정하여 이 기본값을 덮어쓸 수 있습니다.

    1~3599까지 값을 지정하면 기본 만료 시간이 재정의됩니다. 0을 지정하면 SAP용 BigQuery 커넥터는 기본값을 사용합니다.

    토큰 캐싱 불리언 Google Cloud 에서 검색한 액세스 토큰이 캐시될지 여부를 결정하는 플래그입니다.

    SAP용 BigQuery 커넥터 구성 및 Google Cloud연결 테스트를 완료한 후에는 토큰 캐싱을 사용 설정하는 것이 좋습니다. 토큰 캐싱에 대한 자세한 내용은 토큰 캐싱 사용 설정을 참고하세요.

RFC 대상 구성

SAP용 BigQuery 커넥터를 Google Cloud에 연결하려면 RFC 대상을 사용하는 것이 좋습니다.

샘플 RFC 대상 GOOG_IAMCREDENTIALSGOOG_BIGQUERY를 SAP용 BigQuery 커넥터 전송의 일부로 가져옵니다.

샘플 RFC 대상을 복사하여 새로운 RFC 대상을 만들어야 합니다.

RFC 대상을 구성하려면 다음 단계를 따르세요.

  1. SAP GUI에서 트랜잭션 코드 SM59을 입력합니다.

  2. (권장사항) 샘플 RFC 대상을 복사하여 새로운 RFC 대상을 만든 후 새 RFC 대상 이름을 기록해 두세요. 이후 단계에서 사용하게 됩니다.

    SAP용 BigQuery 커넥터는 RFC 대상을 사용하여Google Cloud API에 연결합니다.

    RFC 대상 기반 연결을 테스트하려면 이 단계를 건너뛰고 샘플 RFC 대상을 사용하면 됩니다.

  3. 생성된 RFC 대상에 대해 다음을 수행합니다.

    1. 기술 설정 탭으로 이동하여 서비스 번호 필드가 443 값으로 설정되어 있는지 확인합니다. 이는 RFC 대상에서 보안 통신을 위해 사용하는 포트입니다.

    2. 로그온 및 보안 탭으로 이동하여 SSL 인증서 필드가 기본 SSL 클라이언트(표준) 옵션으로 설정되어 있는지 확인합니다.

    3. 선택사항으로 프록시 설정을 구성하고 HTTP 압축을 사용 설정하고 Private Service Connect 엔드포인트를 지정할 수 있습니다.

    4. 변경사항을 저장합니다.

    5. 연결을 테스트하려면 연결 테스트를 클릭합니다.

      RFC 대상에 지정된 엔드포인트는 서비스에서 호스팅하는 특정 리소스가 아닌Google Cloud 서비스에 해당하므로 404 Not Found가 포함된 응답은 허용되며 예상됩니다. 이러한 응답은 대상 Google Cloud 서비스에 연결할 수 있고 대상 리소스를 찾을 수 없음을 나타냅니다.

  4. SAP GUI에서 트랜잭션 코드 SM30을 입력합니다.

  5. 이전 섹션에서 만든 /GOOG/CLIENT_KEY 테이블에서 이름 필드의 값을 메모하세요.

  6. /GOOG/SERVIC_MAP 테이블에서 다음 필드 값을 사용하여 항목을 만듭니다.

    Google Cloud 키 이름 Google 서비스 이름 RFC 대상
    CLIENT_KEY_TABLE_NAME bigquery.googleapis.com BigQuery를 타겟팅하는 RFC 대상의 이름을 지정합니다. 테스트 목적으로 샘플 RFC 대상을 사용하는 경우 GOOG_BIGQUERY를 지정합니다.
    CLIENT_KEY_TABLE_NAME pubsub.googleapis.com Pub/Sub을 타겟팅하는 RFC 대상의 이름을 지정합니다. 테스트 목적으로 샘플 RFC 대상을 사용하는 경우 GOOG_PUBSUB를 지정합니다.
    CLIENT_KEY_TABLE_NAME iamcredentials.googleapis.com IAM을 타겟팅하는 RFC 대상의 이름을 지정합니다. 테스트 목적으로 샘플 RFC 대상을 사용하는 경우 GOOG_IAMCREDENTIALS를 지정합니다.

    CLIENT_KEY_TABLE_NAME을 이전 단계에서 기록해 둔 클라이언트 키 이름으로 바꾸세요.

프록시 설정 구성

RFC 대상을 사용하여 Google Cloud에 연결할 때 SAP 환경에서 사용 중인 프록시 서버를 통해 SAP용 BigQuery 커넥터에서 통신을 라우팅할 수 있습니다.

프록시 서버를 사용하지 않거나 SAP 환경에 프록시 서버가 없는 경우 이 단계를 건너뛸 수 있습니다.

SAP용 BigQuery 커넥터에 대한 프록시 서버 설정을 구성하려면 다음 단계를 완료하세요.

  1. SAP GUI에서 트랜잭션 코드 SM59를 입력합니다.

  2. IAM을 타겟팅하는 RFC 대상을 선택합니다.

  3. 기술 설정 탭으로 이동한 다음 HTTP 프록시 옵션 섹션에서 필드의 값을 입력합니다.

  4. BigQuery를 타겟팅하는 RFC 대상에 대해 이전 단계를 반복합니다.

HTTP 압축 사용

RFC 대상을 사용하여 Google Cloud에 연결할 때 HTTP 압축을 사용 설정할 수 있습니다.

이 기능을 사용 설정하지 않으려면 이 단계를 건너뛰어도 됩니다.

HTTP 압축을 사용 설정하려면 다음을 수행하세요.

  1. SAP GUI에서 트랜잭션 코드 SM59을 입력합니다.

  2. BigQuery를 타겟팅하는 RFC 대상을 선택합니다.

  3. 특수 옵션 탭으로 이동합니다.

  4. HTTP 버전 필드에 대해 HTTP 1.1을 선택합니다.

  5. 압축 필드에서 적절한 값을 선택합니다.

    압축 옵션에 대한 자세한 내용은 SAP Note 1037677 - HTTP 압축은 특정 문서만 압축을 참조하세요.

Private Service Connect 엔드포인트 지정

SAP용 BigQuery 커넥터가 Private Service Connect 엔드포인트를 사용하여 BigQuery 및 IAM의 비공개 소비를 허용하도록 하려면 Google Cloud 프로젝트에서 엔드포인트를 만들어 해당 RFC 대상에 지정해야 합니다.

SAP용 BigQuery 커넥터가 계속 기본 공개 API 엔드포인트를 사용하여 BigQuery 및 IAM에 연결하도록 하려면 이 단계를 건너뜁니다.

Private Service Connect 엔드포인트를 사용하도록 SAP용 BigQuery 커넥터를 구성하려면 다음 단계를 따르세요.

  1. SAP GUI에서 트랜잭션 코드 SM59을 입력합니다.

  2. BigQuery와 IAM에 대한 새 RFC 대상을 만들었는지 확인합니다. 이러한 RFC 대상을 만드는 방법에 대한 지침은 RFC 대상 구성을 참조하세요.

  3. BigQuery를 타겟팅하는 RFC 대상을 선택한 후 다음 단계를 따릅니다.

    1. 기술 설정 탭으로 이동합니다.

    2. 대상 호스트 필드에 대해 BigQuery에 액세스하도록 만든 Private Service Connect 엔드포인트 이름을 입력합니다.

    3. 로그온 및 보안 탭으로 이동합니다.

    4. 서비스 번호 필드에서 443 값이 지정되었는지 확인합니다.

    5. SSL 인증서 필드에서 기본 SSL 클라이언트(표준) 옵션이 선택되어 있는지 확인합니다.

  4. IAM을 타겟팅하는 RFC 대상을 선택한 후 다음 단계를 따르세요.

    1. 기술 설정 탭으로 이동합니다.

    2. 대상 호스트 필드에 대해 IAM에 액세스하도록 만든 Private Service Connect 엔드포인트 이름을 입력합니다.

    3. 로그온 및 보안 탭으로 이동합니다.

    4. 서비스 번호 필드에서 443 값이 지정되었는지 확인합니다.

    5. SSL 인증서 필드에서 기본 SSL 클라이언트(표준) 옵션이 선택되어 있는지 확인합니다.

인터넷 통신 관리자(ICM)에서 HTTP 및 HTTPS 포트 검증

VM 메타데이터는 HTTP 포트를 통해서만 액세스할 수 있는 메타데이터 서버에 저장됩니다. 따라서 VM 메타데이터에 액세스하려면 HTTPS 포트와 함께 HTTP 포트가 생성되었고 활성 상태인지 확인해야 합니다.

  1. SAP GUI에서 트랜잭션 코드 SMICM을 입력합니다.
  2. 메뉴 바에서 이동 > 서비스를 클릭합니다. Actv 열의 녹색 체크표시는 HTTP 및 HTTPS 포트가 활성 상태임을 나타냅니다.

HTTP 및 HTTPS 포트 구성에 대한 자세한 내용은 ICM에서 HTTP(S) 설정을 참조하세요.

인증 및 승인 테스트 Google Cloud

액세스 토큰을 요청하고 BigQuery 데이터 세트에 대해 정보를 검색하여 Google Cloud 인증이 올바르게 구성되었는지 확인합니다.

다음 절차에 따라 SAP LT Replication Server 호스트 VM에서 Google Cloud 인증 및 승인을 테스트합니다.

  1. SAP LT Replication Server 호스트 VM에서 명령줄 셸을 엽니다.

  2. sidadm 사용자로 전환합니다.

  3. 호스트 VM의 메타데이터 서버에서 첫 번째 액세스 토큰을 요청합니다.

    curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" -H "Metadata-Flavor: Google"

    메타데이터 서버는 다음 예시와 비슷한 액세스 토큰을 반환합니다. 여기에서 ACCESS_TOKEN_STRING_1은 다음 단계에서 명령어에 복사할 액세스 토큰 문자열입니다.

    {"access_token":"ACCESS_TOKEN_STRING_1",
"expires_in":3599,"token_type":"Bearer"}

  4. 자리표시자 값을 바꾸고 다음 명령어를 실행해서 IAM API에서 두 번째 액세스 토큰을 요청합니다.

    Linux

    curl --request POST \
"https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT:generateAccessToken" \
  --header "Authorization: Bearer ACCESS_TOKEN_STRING_1" \
  --header "Accept: application/json" \
  --header "Content-Type: application/json" \
  --data "{"scope":["https://www.googleapis.com/auth/bigquery"],"lifetime":"300s"}" \
  --compressed

    Windows 

    curl --request POST `
"https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT:generateAccessToken" `
  --header "Authorization: Bearer ACCESS_TOKEN_STRING_1" `
  --header "Accept: application/json" `
  --header "Content-Type: application/json" `
  --data "{"scope":["https://www.googleapis.com/auth/bigquery"],"lifetime":"300s"}" `
  --compressed

    다음을 바꿉니다.

    • SERVICE_ACCOUNT: 이전 단계에서 SAP용 BigQuery 커넥터에 대해 만든 서비스 계정입니다.
    • ACCESS_TOKEN_STRING_1: 이전 단계에서 첫 번째 액세스 토큰 문자열입니다.

    IAM API는 다음 예시와 비슷한 두 번째 액세스 토큰인 ACCESS_TOKEN_STRING_2를 반환합니다. 다음 단계에서는 이 두 번째 토큰 문자열을 BigQuery API에 대한 요청에 복사합니다.

    {"access_token":"ACCESS_TOKEN_STRING_2","expires_in":3599,"token_type":"Bearer"}

  5. 자리표시자 값을 바꾸고 다음 명령어를 실행하여 BigQuery 데이터 세트에 대해 정보를 검색합니다.

    Linux 

    curl "https://bigquery.googleapis.com/bigquery/v2/projects/PROJECT_ID/datasets/DATASET_NAME" \
-H "Accept: application/json" -H "Authorization: Bearer ACCESS_TOKEN_STRING_2"

    Windows 

    curl "https://bigquery.googleapis.com/bigquery/v2/projects/PROJECT_ID/datasets/DATASET_NAME" `
-H "Accept: application/json" -H "Authorization: Bearer ACCESS_TOKEN_STRING_2"

    다음을 바꿉니다.

    • PROJECT_ID: BigQuery 데이터 세트가 포함된 객체의 ID입니다.
    • DATASET_NAME: BigQuery에 정의된 대상 데이터 세트의 이름입니다.
    • ACCESS_TOKEN_STRING_2: 이전 단계에서 IAM API가 반환한 액세스 토큰 문자열입니다.

    인증이 Google Cloud 올바르게 구성되었으면 데이터 세트 정보가 반환됩니다.

    올바르게 구성되지 않았으면 SAP용 BigQuery 커넥터 문제 해결을 참조하세요.

다음 단계