In diesem Dokument werden die Voraussetzungen für die Bereitstellung einer SAP S/4HANA-Anwendung auf Google Cloud mit dem Arbeitslastmanager beschrieben.
Sie müssen zuerst die Voraussetzungen für die Verwendung des Tools zur automatisierten Bereitstellung mit Anleitung erfüllen, bevor Sie eine SAP S/4HANA-Anwendung bereitstellen.
| Voraussetzungen | Beschreibung |
|---|---|
| Google Cloud Netzwerkressourcen | Erstellen oder wählen Sie ein VPC-Netzwerk und ein Subnetzwerk für Ihre SAP-Bereitstellung aus. Sie müssen auch ausgehenden Internetzugriff für Ihre Maschinen konfigurieren, um die erforderlichen Pakete herunterzuladen. Weitere Informationen finden Sie unter Netzwerk. |
| OS Login und SSH-Schlüssel | Sie müssen OS Login in Ihren Projektmetadaten vorübergehend deaktivieren, bis die Bereitstellung abgeschlossen ist. Weitere Informationen finden Sie unter OS Login und SSH-Schlüssel. |
| Secrets für SAP-Arbeitslast | Damit Sie die Passwörter für Ihre Arbeitslast sicher bereitstellen können, müssen Sie ein Secret verwenden, das mit Secret Manager erstellt wurde. Weitere Informationen finden Sie unter Secrets für SAP-Arbeitslast. |
| IAM-Rollen und -Berechtigungen | Nutzer, die eine SAP-Arbeitslast mit dem Tool „Geführte Bereitstellungsautomatisierung“ bereitstellen, müssen die erforderlichen Rollen und Berechtigungen haben oder erhalten, um die Bereitstellung zu konfigurieren. Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen. |
| Dienstkonten | Hängen Sie ein Dienstkonto an die Bereitstellung an und achten Sie darauf, dass das Dienstkonto alle Rollen hat, die für die Bereitstellung Ihrer Arbeitslast erforderlich sind. Weitere Informationen finden Sie unter Dienstkonten. |
| Kontingente | Prüfen Sie, ob Ihr Projekt genügend Ressourcenkontingente für die Bereitstellung der SAP-Anwendung hat. Weitere Informationen finden Sie unter Kontingente. |
| SAP-Installationsmedien | Erstellen Sie einen Cloud Storage-Bucket in dem Projekt, in dem Sie die SAP-Anwendung bereitstellen, und laden Sie alle für die Bereitstellung erforderlichen SAP-Dateien hoch. Weitere Informationen finden Sie unter SAP-Installationsdateien für die Bereitstellung vorbereiten. |
Netzwerk
In diesem Abschnitt werden die Google Cloud Netzwerkressourcen beschrieben, die Sie vor der Bereitstellung der SAP-Anwendung konfigurieren müssen.
VPC-Netzwerk und Subnetzwerk
Wenn Ihr Projekt ein Standard-VPC-Netzwerk (Virtual Private Cloud) hat, verwenden Sie es nicht zum Erstellen einer Bereitstellung. Wir empfehlen stattdessen, ein eigenes VPC-Netzwerk zu erstellen, sodass nur die Firewallregeln gelten, die Sie explizit für das Netzwerk erstellen. Erstellen Sie ein VPC-Netzwerk und ein Subnetz oder wenden Sie sich an das Netzwerkteam Ihrer Google Cloud -Organisation.
Externen Internetzugriff konfigurieren
Während der Bereitstellung benötigen die VMs in Ihrem Projekt ausgehenden Internetzugriff, um Pakete herunterzuladen und sich für die Lizenzierung zu registrieren.
Google empfiehlt, ein Cloud NAT-Gateway zu erstellen, um externen Internetzugriff für Ihre VMs zu ermöglichen, ohne externe IP-Adressen zu erstellen. Sie können Cloud NAT in jedem Subnetz und jeder Region erstellen, in der sich Ihre VMs befinden. Wenn Sie ein Cloud NAT-Gateway erstellen, empfehlen wir, mindestens 256 Mindestanzahl an Ports pro VM-Instanz zuzuweisen.
Wenn Sie kein Cloud-NAT-Gateway verwenden möchten, können Sie während der Bereitstellung externe IP-Adressen angeben, um den erforderlichen Internetzugriff für Ihre VMs bereitzustellen.
Firewallregeln
Während des Bereitstellungsprozesses erstellt Workload Manager automatisch die erforderlichen Firewallregeln für die Bereitstellung.
Beachten Sie, dass die vorhandenen deny-Regeln in Ihrem Projekt möglicherweise eine höhere Priorität haben und den erforderlichen Zugriff verweigern.
Erstellen Sie je nach den vorhandenen Firewallregeln im Projekt Firewallregeln, um den Zugriff für Folgendes zu erlauben:
- Die von SAP verwendeten Standardports, wie unter TCP/IP-Ports aller SAP-Produkte dokumentiert.
- Verbindungen von Ihrem Computer oder dem Unternehmensnetzwerk aus zu Ihren Compute Engine-VM-Instanzen. Wenn Sie sich nicht sicher sind, welche IP-Adresse Sie verwenden sollen, wenden Sie sich an den Netzwerkadministrator Ihrer Organisation.
- Ausgehende Verbindungen zu Google Cloud Diensten, bei Bedarf über den privaten Google-Zugriff.
- Kommunikation zwischen Maschinen im selben Subnetzwerk:
- SSH-Zugriff zwischen VMs im selben Subnetz zum Konfigurieren bereitgestellter Systeme und für den Zugriff durch einen Systemadministrator.
- Zugriff auf HANA-Anwendungsports für die Kommunikation zwischen den Anwendungsservern und der HANA-Datenbank.
- Zugriff auf SAP-Message-Server, Replikations-Enqueue, Gatewayservices zwischen SAP-Anwendungsservern und Central Services-Instanzen.
Weitere Informationen finden Sie unter VPC-Firewallregeln erstellen.
DNS-Zone konfigurieren
Wenn Sie eine Bereitstellung erstellen, können Sie Workload Manager auswählen, um eine Cloud DNS-Zone zu erstellen. Sie können die Erstellung der DNS-Zone auch während der Bereitstellung überspringen und sie später manuell einrichten.
Wenn Sie eine DNS-Zone manuell einrichten, muss das VPC-Netzwerk, das Sie für die Bereitstellung verwenden, der Cloud DNS-Zone hinzugefügt werden und für das Abfragen von Einträgen sichtbar sein. Weitere Informationen finden Sie unter DNS-Zone konfigurieren.
OS Login und SSH-Schlüssel
Wenn OS Login in den Projektmetadaten aktiviert ist, müssen Sie OS Login vorübergehend deaktivieren, bis die Bereitstellung abgeschlossen ist. Beim Bereitstellungsprozess werden SSH-Schlüssel in den Instanzmetadaten konfiguriert. Bei aktiviertem OS Login sind metadatenbasierte SSH-Schlüsselkonfigurationen deaktiviert und die Bereitstellung schlägt fehl. Nach Abschluss der Bereitstellung können Sie die OS Login-Funktion aktivieren.
Wenn Sie OS Login deaktivieren möchten, setzen Sie den Metadatenwert enable-oslogin auf false.
Informationen zum Festlegen von projektweiten Metadaten
Dienstkonten
Workload Manager verwendet das Dienstkonto, das an Ihre Bereitstellung angehängt ist, um andere APIs und Dienste aufzurufen, um Ressourcen zu erstellen, die für die Bereitstellung erforderlich sind.
Sie können entweder ein vorhandenes Dienstkonto anhängen oder ein Dienstkonto erstellen, wenn Sie das Deployment konfigurieren. Je nach Anwendung und Konfiguration werden Sie von Workload Manager aufgefordert, Ihrem Dienstkonto eine der fehlenden Rollen zuzuweisen.
Weitere Informationen zu den für die Bereitstellung von SAP S/4HANA erforderlichen Rollen finden Sie unter Dienstkonten und Berechtigungen.
IAM-Rollen und -Berechtigungen für die Bereitstellung von SAP S/4HANA
Die Rolle „Workload Manager Deployment Admin“ enthält alle Berechtigungen, die zum Konfigurieren und Bereitstellen von SAP S/4HANA auf Google Clouderforderlich sind.
Weitere Informationen zu den erforderlichen IAM-Rollen und -Berechtigungen zum Bereitstellen einer Arbeitslast mit dem Tool zur automatischen Bereitstellung mit Anleitung finden Sie unter IAM-Rollen und -Berechtigungen.
Weitere Informationen zu IAM-Berechtigungen für die Ausführung von SAP auf Google Cloudfinden Sie unter Identitäts- und Zugriffsverwaltung für SAP-Programme in Google Cloud.
Kontingente
Google Cloud verwendet Kontingente, um die Anzahl der Ressourcen zu schützen und zu steuern, die von einem bestimmten Konto oder einer bestimmten Organisation verwendet werden können. SAP-Arbeitslasten verbrauchen oft einen großen Teil der Ressourcen. Angesichts der Größe der Datenbanken und Anwendungen kann es während der Bereitstellung zu Kontingentproblemen kommen.
So vermeiden Sie Kontingentprobleme:
- Verfügbares Ressourcenkontingent für Ihr Projekt ansehen
- Fordern Sie bei Bedarf ein höheres Kontingent an oder wenden Sie sich an Ihren Projektadministrator.
Secrets für SAP-Arbeitslasten
Das Tool zur automatischen Bereitstellung mit Anleitung verwendet Secret Manager zum Speichern von Passwörtern, die während der Bereitstellung und Installation benötigt werden, z. B. die Passwörter für Administrator- und SYSTEM-Nutzerkonten. Gemäß unseren Best Practices für Terraform sind Nur-Text-Passwörter verboten.
Bevor Sie das Tool zur automatischen Bereitstellung verwenden, müssen Sie mindestens ein Secret erstellen. Wenn Sie unterschiedliche Secrets für die Datenbank- und Anwendungsebenen verwenden möchten, erstellen Sie separate Secrets für jede Ebene.
Damit die Secrets den Passwortanforderungen von SAP entsprechen, folgen Sie der SAP-Anleitung zum Erstellen von Passwörtern.
Sie müssen Secrets in dem Projekt erstellen, in dem Sie die SAP-Arbeitslast bereitstellen.
Nächste Schritte
- SAP-Installationsdateien für die Bereitstellung vorbereiten
- Informationen zum Bereitstellen einer SAP S/4HANA-Arbeitslast