Ce document décrit les conditions préalables au déploiement d'une application SAP S/4HANA sur Google Cloud à l'aide du gestionnaire de charges de travail.
Avant de déployer une application SAP S/4HANA, vous devez d'abord remplir les conditions préalables à l'utilisation de l'outil d'automatisation du déploiement guidé.
| Conditions préalables | Description |
|---|---|
| Google Cloud ressources réseau | Créez ou sélectionnez un réseau et un sous-réseau VPC pour votre déploiement SAP. Vous devez également configurer l'accès Internet sortant pour que vos machines puissent télécharger les packages requis. Pour en savoir plus, consultez Réseau. |
| OS Login et clés SSH | Vous devez désactiver temporairement OS Login dans les métadonnées de votre projet jusqu'à la fin du déploiement. Pour en savoir plus, consultez OS Login et clés SSH. |
| Secrets pour la charge de travail SAP | Pour fournir les mots de passe de votre charge de travail de manière sécurisée, vous devez utiliser un secret créé avec Secret Manager. Pour en savoir plus, consultez Secrets pour la charge de travail SAP. |
| Rôles et autorisations IAM | Les utilisateurs qui déploient une charge de travail SAP à l'aide de l'outil d'automatisation guidée du déploiement doivent disposer des rôles et autorisations requis pour configurer le déploiement, ou se les voir accorder. Pour en savoir plus, consultez Rôles et autorisations IAM. |
| Comptes de service | Associez un compte de service au déploiement et assurez-vous qu'il dispose de tous les rôles requis pour déployer votre charge de travail. Pour en savoir plus, consultez la page sur les comptes de service. |
| Quotas | Assurez-vous de disposer d'un quota de ressources suffisant dans votre projet pour déployer l'application SAP. Pour en savoir plus, consultez la page consacrée aux quotas. |
| Support d'installation SAP | Créez un bucket Cloud Storage dans le projet dans lequel vous déployez l'application SAP, puis importez tous les fichiers SAP requis pour le déploiement. Pour en savoir plus, consultez Préparer les fichiers d'installation SAP pour le déploiement. |
Réseau
Cette section décrit les ressources réseau Google Cloud que vous devez configurer avant de déployer l'application SAP.
Réseau et sous-réseau VPC
Si votre projet dispose d'un réseau VPC par défaut, ne l'utilisez pas pour créer un déploiement. À la place, nous vous recommandons de créer votre propre réseau VPC afin que les seules règles de pare-feu appliquées soient celles que vous créez explicitement pour le réseau. Créez un réseau VPC et un sous-réseau, ou contactez l'équipe réseau de votre organisation Google Cloud .
Configurer l'accès à Internet externe
Lors du processus de déploiement, les VM de votre projet ont besoin d'un accès Internet sortant pour télécharger des packages et s'enregistrer pour obtenir une licence.
Google vous recommande de créer une passerelle Cloud NAT pour fournir un accès à Internet externe à vos VM sans créer d'adresses IP externes. Vous pouvez créer une passerelle Cloud NAT dans chaque sous-réseau et chaque région où se trouvent vos VM. Si vous créez une passerelle Cloud NAT, nous vous recommandons d'allouer au moins 256 ports minimum par instance de VM.
Si vous ne souhaitez pas utiliser de passerelle Cloud NAT, vous pouvez spécifier des adresses IP externes lors du processus de déploiement pour fournir l'accès Internet requis pour vos VM.
Règles de pare-feu
Lors du processus de déploiement, Workload Manager crée automatiquement les règles de pare-feu nécessaires au déploiement.
Notez que les règles de refus existantes dans votre projet peuvent avoir une priorité plus élevée et refuser l'accès nécessaire.
En fonction des règles de pare-feu existantes dans le projet, créez des règles de pare-feu pour autoriser l'accès aux éléments suivants :
- Les ports par défaut utilisés par SAP, comme indiqué dans Ports TCP/IP de tous les produits SAP
- Les connexions de votre ordinateur ou votre environnement de réseau d'entreprise vers vos instances de VM Compute Engine. Si vous ne savez pas quelle adresse IP utiliser, contactez l'administrateur réseau de votre organisation.
- Connectivité sortante aux services Google Cloud , en utilisant l'accès privé à Google, le cas échéant.
- Communication entre les machines d'un même sous-réseau :
- Accès SSH entre les VM d'un même sous-réseau pour configurer les systèmes déployés et pour l'accès par un administrateur système.
- Accès aux ports d'application HANA pour la communication entre les serveurs d'applications et la base de données HANA.
- Accès aux serveurs de messages SAP, à la réplication de la file d'attente et aux services de passerelle entre les serveurs d'application SAP et les instances de services centraux.
Pour en savoir plus, consultez Créer des règles de pare-feu VPC.
Configurer une zone DNS
Lorsque vous créez un déploiement, vous pouvez choisir Workload Manager pour créer une zone Cloud DNS. Vous pouvez également ignorer la création de la zone DNS lors du déploiement et la configurer manuellement plus tard.
Si vous configurez manuellement une zone DNS, assurez-vous que le réseau VPC que vous utilisez pour le déploiement est ajouté à la zone Cloud DNS et qu'il est visible pour les requêtes d'enregistrements. Pour en savoir plus, consultez Configurer une zone DNS.
OS Login et clés SSH
Si OS Login est activé dans les métadonnées de votre projet, vous devrez le désactiver temporairement jusqu'à la fin du déploiement. Le processus de déploiement configure les clés SSH dans les métadonnées de l'instance. Lorsque OS Login est activé, les configurations de clé SSH basées sur les métadonnées sont désactivées et le déploiement échoue. Une fois le déploiement terminé, vous pouvez activer OS Login.
Pour désactiver OS Login, définissez la valeur de métadonnées enable-oslogin sur false.
Consultez Définir des métadonnées à l'échelle du projet.
Comptes de service
Workload Manager utilise le compte de service associé à votre déploiement pour appeler d'autres API et services afin de créer les ressources nécessaires pour le déploiement.
Vous pouvez associer un compte de service existant ou en créer un lorsque vous configurez le déploiement. En fonction de votre application et de votre configuration, Workload Manager vous invite à accorder les rôles manquants à votre compte de service.
Pour en savoir plus sur les rôles requis pour déployer SAP S/4HANA, consultez Comptes de service et autorisations.
Rôles et autorisations IAM pour déployer SAP S/4HANA
Le rôle d'administrateur du déploiement Workload Manager contient toutes les autorisations requises pour configurer et déployer SAP S/4HANA sur Google Cloud.
Pour en savoir plus sur les rôles et autorisations IAM requis pour déployer une charge de travail à l'aide de l'outil de déploiement guidé automatisé, consultez Rôles et autorisations IAM.
Pour en savoir plus sur les autorisations IAM permettant d'exécuter SAP sur Google Cloud, consultez Gestion de l'authentification et des accès pour les programmes SAP sur Google Cloud.
Quotas
Google Cloud utilise des quotas pour protéger et contrôler le nombre de ressources qu'un compte ou une organisation spécifiques peuvent utiliser. Les charges de travail SAP consomment souvent une grande partie des ressources. Compte tenu de la taille des bases de données et des applications, vous pouvez rencontrer des problèmes de quota lors du déploiement.
Pour éviter tout problème de quota, procédez comme suit :
- Affichez le quota de ressources disponibles pour votre projet.
- Si nécessaire, demandez une valeur de quota plus élevée ou contactez l'administrateur de votre projet.
Secrets pour la charge de travail SAP
L'outil d'automatisation du déploiement guidé utilise Secret Manager pour stocker les mots de passe nécessaires lors du processus de déploiement et d'installation, tels que les mots de passe des comptes d'administrateur et d'utilisateur SYSTEM. Les mots de passe en texte brut sont interdits conformément à nos bonnes pratiques Terraform.
Avant d'utiliser l'outil d'automatisation du déploiement guidé, vous devez créer au moins un secret. Si vous souhaitez utiliser des secrets différents pour les couches de base de données et d'application, créez des secrets distincts pour chaque couche.
Pour vous assurer que les secrets répondent aux exigences de SAP concernant les mots de passe, suivez les conseils de SAP pour créer des mots de passe.
Vous devez créer des secrets dans le projet dans lequel vous déployez la charge de travail SAP.
Étapes suivantes
- Découvrez comment préparer les fichiers d'installation SAP pour le déploiement.
- Découvrez comment déployer une charge de travail SAP S/4HANA.