En este documento, se describen los requisitos previos para implementar una aplicación de SAP S/4HANA en Google Cloud con el Administrador de cargas de trabajo.
Primero, debes cumplir con los requisitos previos para usar la herramienta de automatización de implementación guiada antes de implementar una aplicación de SAP S/4HANA.
| Requisitos | Descripción |
|---|---|
| Google Cloud recursos de red | Crea o selecciona una red de VPC y una subred para tu implementación de SAP. También debes configurar el acceso a Internet saliente para que tus máquinas descarguen los paquetes necesarios. Para obtener más información, consulta Red. |
| Acceso al SO y claves SSH | Debes inhabilitar temporalmente el Acceso al SO en los metadatos del proyecto hasta que se complete la implementación. Para obtener más información, consulta Acceso al SO y llaves SSH. |
| Secretos para la carga de trabajo de SAP | Para proporcionar de forma segura las contraseñas de tu carga de trabajo, debes usar un secreto creado con Secret Manager. Para obtener más información, consulta Secretos para la carga de trabajo de SAP. |
| Permisos y roles de IAM | Los usuarios que implementen una carga de trabajo de SAP con la herramienta de automatización de implementación guiada deben tener o recibir los roles y permisos necesarios para configurar la implementación. Para obtener más información, consulta Roles y permisos de IAM. |
| Cuentas de servicio | Adjunta una cuenta de servicio a la implementación y asegúrate de que tenga todos los roles necesarios para implementar tu carga de trabajo. Para obtener más información, consulta Cuentas de servicio. |
| Cuotas | Asegúrate de tener suficiente cuota de recursos en tu proyecto para implementar la aplicación de SAP. Para obtener más información, consulta Cuotas. |
| Medios de instalación de SAP | Crea un bucket de Cloud Storage en el proyecto en el que implementas la aplicación de SAP y sube todos los archivos de SAP necesarios para la implementación. Para obtener más información, consulta Prepara los archivos de instalación de SAP para la implementación. |
Red
En esta sección, se describen los recursos de redes de Google Cloud que debes configurar antes de implementar la aplicación de SAP.
Red y subred de VPC
Si tu proyecto tiene una red de VPC predeterminada, no la uses para crear una implementación. En su lugar, te recomendamos que crees tu propia red de VPC para que las únicas reglas de firewall vigentes sean las que crees de forma explícita para la red. Crea una red de VPC y una subred, o bien comunícate con el equipo de redes de tu organización Google Cloud .
Configura el acceso externo a Internet
Durante el proceso de implementación, las VMs de tu proyecto necesitan acceso saliente a Internet para descargar paquetes y registrarse para obtener licencias.
Google recomienda que crees una puerta de enlace de Cloud NAT para proporcionar acceso externo a Internet a tus VMs sin crear direcciones IP externas. Puedes crear una Cloud NAT en cada subred y región en la que se encuentran tus VMs. Si creas una puerta de enlace de Cloud NAT, te recomendamos que asignes al menos 256 puertos mínimos por instancia de VM.
Si no quieres usar una puerta de enlace de Cloud NAT, durante el proceso de implementación, puedes especificar direcciones IP externas para proporcionar el acceso a Internet requerido para tus VMs.
Reglas de firewall
Durante el proceso de implementación, Workload Manager crea automáticamente las reglas de firewall necesarias para la implementación.
Ten en cuenta que las reglas de denegación existentes en tu proyecto pueden tener una prioridad más alta y denegar el acceso necesario.
Según las reglas de firewall existentes en el proyecto, crea reglas de firewall para permitir el acceso a lo siguiente:
- Los puertos predeterminados que utiliza SAP, como se documenta en Puertos TCP/IP de todos los productos SAP
- Conexiones desde tu computadora o tu entorno de red empresarial a tus instancias de VM de Compute Engine Si no sabes qué dirección IP usar, comunícate con el administrador de red de tu organización.
- Conectividad saliente a los servicios de Google Cloud , con el Acceso privado a Google según corresponda.
- Comunicación entre máquinas en la misma subred:
- Acceso SSH entre VMs en la misma subred para configurar sistemas implementados y para el acceso de un administrador del sistema
- Acceso a los puertos de la aplicación de HANA para la comunicación entre los servidores de aplicaciones y la base de datos de HANA
- Acceso a los servidores de mensajes de SAP, a la replicación de la cola y a los servicios de puerta de enlace entre los servidores de aplicaciones de SAP y las instancias de servicios centrales
Para obtener más información, consulta Crea reglas de firewall de VPC.
Configura una zona DNS
Cuando creas una implementación, puedes elegir Workload Manager para crear una zona de Cloud DNS. También puedes omitir la creación de la zona del DNS durante la implementación y configurarla manualmente más adelante.
Si configuras manualmente una zona DNS, asegúrate de que la red de VPC que usas para la implementación se agregue a la zona de Cloud DNS y que sea visible para consultar registros. Para obtener más información, consulta Configura una zona DNS.
Acceso al SO y claves SSH
Si el Acceso al SO está habilitado en los metadatos del proyecto, debes inhabilitar el Acceso al SO de forma temporal hasta que se complete la implementación. El proceso de implementación configura las claves SSH en los metadatos de la instancia. Cuando el acceso al SO está habilitado, la configuración de las claves SSH basada en metadatos se inhabilita y la implementación falla. Una vez que se complete la implementación, podrás habilitar el acceso al SO.
Para inhabilitar el Acceso al SO, establece el valor de metadatos enable-oslogin en false.
Consulta cómo establecer metadatos para todo el proyecto.
Cuentas de servicio
Workload Manager usa la cuenta de servicio adjunta a tu implementación para llamar a otras APIs y servicios con el objetivo de crear los recursos necesarios para la implementación.
Puedes adjuntar una cuenta de servicio existente o crear una cuando configures la implementación. Según tu aplicación y configuración, Workload Manager te solicitará que otorgues cualquiera de los roles faltantes a tu cuenta de servicio.
Para obtener más información sobre los roles necesarios para implementar SAP S/4HANA, consulta Cuentas de servicio y permisos.
Permisos y roles de IAM para implementar SAP S/4HANA
El rol de administrador de implementación de Workload Manager contiene todos los permisos necesarios para configurar e implementar SAP S/4HANA en Google Cloud.
Para obtener más información sobre los permisos y roles de IAM necesarios para implementar una carga de trabajo con la herramienta Guided Deployment Automation, consulta Roles y permisos de IAM.
Para obtener más información sobre los permisos de IAM para ejecutar SAP en Google Cloud, consulta Administración de identidades y accesos para programas de SAP en Google Cloud.
Cuotas
Google Cloud usa cuotas para proteger y controlar la cantidad de recursos que puede usar una organización o una cuenta en particular. Las cargas de trabajo de SAP suelen consumir una gran cantidad de recursos. Dado el tamaño de las bases de datos y las aplicaciones, es posible que experimentes problemas de cuota durante el proceso de implementación.
Para evitar problemas de cuota, haz lo siguiente:
- Consulta la cuota de recursos disponible para tu proyecto.
- Si es necesario, solicita un valor de cuota más alto o comunícate con el administrador del proyecto.
Secretos para la carga de trabajo de SAP
La herramienta de automatización de la implementación guiada usa Secret Manager para almacenar las contraseñas necesarias durante el proceso de implementación e instalación, como las contraseñas de las cuentas de administrador y de usuario del SISTEMA. Las contraseñas de texto sin formato están prohibidas de acuerdo con nuestras prácticas recomendadas de Terraform.
Antes de usar la herramienta de automatización de implementación guiada, debes crear al menos un secreto. Si deseas usar diferentes secretos para las capas de la base de datos y la aplicación, crea secretos separados para cada capa.
Para asegurarte de que los secretos cumplan con los requisitos de contraseña de SAP, sigue la guía de SAP para crear contraseñas.
Debes crear secretos en el proyecto en el que implementas la carga de trabajo de SAP.
¿Qué sigue?
- Obtén información para preparar los archivos de instalación de SAP para la implementación.
- Aprende a implementar una carga de trabajo de SAP S/4HANA.