このドキュメントでは、Workload Manager を使用して Google Cloud に SAP S/4HANA アプリケーションをデプロイするための前提条件について説明します。
SAP S/4HANA アプリケーションをデプロイする前に、ガイド付きデプロイ自動化ツールの使用前提条件を満たす必要があります。
| 前提条件 | 説明 |
|---|---|
| Google Cloud ネットワーク リソース | SAP デプロイメント用の VPC ネットワークとサブネットワークを作成するか、選択します。また、必要なパッケージをダウンロードできるように、マシンの外向きインターネット アクセスを構成する必要があります。詳細については、ネットワークをご覧ください。 |
| OS Login と SSH 認証鍵 | デプロイが完了するまで、プロジェクト メタデータで OS Login を一時的に無効にする必要があります。詳細については、OS Login と SSH 認証鍵をご覧ください。 |
| SAP ワークロードのシークレット | ワークロードのパスワードを安全に提供するには、Secret Manager を使用して作成されたシークレットを使用する必要があります。詳細については、SAP ワークロードのシークレットをご覧ください。 |
| IAM のロールと権限 | ガイド付きデプロイ自動化ツールを使用して SAP ワークロードをデプロイするユーザーには、デプロイを構成するために必要なロールと権限が付与されている必要があります。詳細については、IAM のロールと権限をご覧ください。 |
| サービス アカウント | サービス アカウントをデプロイメントにアタッチし、サービス アカウントにワークロードのデプロイに必要なすべてのロールがあることを確認します。詳しくは、サービス アカウントをご覧ください。 |
| 割り当て | SAP アプリケーションをデプロイするために十分なリソース割り当てがプロジェクトにあることを確認します。詳しくは、割り当てをご覧ください。 |
| SAP インストール メディア | SAP アプリケーションをデプロイするプロジェクトに Cloud Storage バケットを作成し、デプロイに必要なすべての SAP ファイルをアップロードします。詳細については、デプロイ用に SAP インストール ファイルを準備するをご覧ください。 |
ネットワーク
このセクションでは、SAP アプリケーションをデプロイする前に構成する必要がある Google Cloud ネットワーキング リソースについて説明します。
VPC ネットワークとサブネットワーク
プロジェクトにデフォルトの VPC ネットワークがある場合、デプロイメントの作成には使用しないでください。代わりに、独自の VPC ネットワークを作成して、ネットワークに明示的に作成したファイアウォール ルールのみを有効にすることをおすすめします。VPC ネットワークとサブネットを作成するか、 Google Cloud 組織のネットワーク チームにお問い合わせください。
外部インターネット アクセスを構成する
デプロイ プロセス中、プロジェクト内の VM は、パッケージのダウンロードとライセンスの登録のためにアウトバウンド インターネット アクセスを必要とします。
外部 IP アドレスを作成せずに VM に外部インターネット アクセスを提供するには、Cloud NAT ゲートウェイを作成することをおすすめします。VM が配置されている各サブネットとリージョンに Cloud NAT を作成できます。Cloud NAT ゲートウェイを作成する場合は、少なくとも 256 個のVM インスタンスあたりの最小ポート数を割り当てることをおすすめします。
Cloud NAT ゲートウェイを使用しない場合は、デプロイ プロセス中に外部 IP アドレスを指定して、VM に必要なインターネット アクセスを提供できます。
ファイアウォール ルール
デプロイ プロセス中に、Workload Manager はデプロイに必要なファイアウォール ルールを自動的に作成します。
プロジェクト内の既存の拒否ルールが優先度が高く、必要なアクセスが拒否される場合があります。
プロジェクトの既存のファイアウォール ルールに応じて、次のアクセスを許可するファイアウォール ルールを作成します。
- TCP/IP Ports of All SAP Products に記述されている SAP によって使用されるデフォルトのポート。
- 自分のパソコンまたは企業のネットワーク環境から Compute Engine VM インスタンスへの接続。使用すべき IP アドレスがわからない場合は、組織のネットワーク管理者にお問い合わせください。
- Google Cloud サービスへのアウトバウンド接続(必要に応じて Google 限定公開アクセスを使用)。
- 同じサブネットワーク内のマシン間の通信:
- 同じサブネット内の VM 間の SSH アクセス: デプロイされたシステムの構成とシステム管理者によるアクセスに使用します。
- アプリケーション サーバーと HANA データベース間の通信用の HANA アプリケーション ポートへのアクセス。
- SAP メッセージ サーバー、レプリケーション エンキュー、SAP アプリケーション サーバー間とセントラル サービス インスタンス間のゲートウェイ サービスへのアクセス。
詳細については、VPC ファイアウォール ルールを作成するをご覧ください。
DNS ゾーンを構成する
デプロイメントを作成するときに、Workload Manager を選択して Cloud DNS ゾーンを作成できます。デプロイ時に DNS ゾーンの作成をスキップし、後で手動で設定することもできます。
DNS ゾーンを手動で設定する場合は、デプロイに使用している VPC ネットワークが Cloud DNS ゾーンに追加され、レコードのクエリに表示されていることを確認します。詳細については、DNS ゾーンを構成するをご覧ください。
OS Login と SSH 認証鍵
プロジェクト メタデータで OS Login が有効になっている場合は、デプロイが完了するまで一時的に OS Login を無効にする必要があります。デプロイ プロセスは、インスタンス メタデータで SSH 認証鍵を構成します。OS Login が有効になっている場合、メタデータ ベースの SSH 認証鍵構成は無効になり、デプロイは失敗します。デプロイが完了したら、OS Login を有効にできます。
OS Login を無効にするには、enable-oslogin メタデータ値を false に設定します。プロジェクト全体のメタデータを設定する方法をご覧ください。
サービス アカウント
Workload Manager は、デプロイメントに接続されているサービス アカウントを使用して、他の API とサービスを呼び出し、デプロイに必要なリソースを作成します。
デプロイを構成するときに、既存のサービス アカウントを接続するか、サービス アカウントを作成できます。アプリケーションと構成によっては、不足しているロールをサービス アカウントに付与するよう求めるメッセージが表示されます。
SAP S/4HANA のデプロイに必要なロールの詳細については、サービス アカウントと権限をご覧ください。
SAP S/4HANA のデプロイに必要な IAM ロールと権限
Workload Manager デプロイ管理者ロールには、 Google Cloudで SAP S/4HANA を構成してデプロイするために必要なすべての権限が含まれています。
ガイド付きデプロイ自動化ツールを使用してワークロードをデプロイするために必要な IAM ロールと権限の詳細については、IAM のロールと権限をご覧ください。
Google Cloudで SAP を実行するための IAM 権限の詳細については、 Google Cloud上の SAP プログラムの Identity and Access Management をご覧ください。
割り当て
Google Cloud は、割り当てを使用して、特定のアカウントまたは組織が使用できるリソースの数を保護および制御します。SAP ワークロードは多くの場合、リソースの大部分を消費します。データベースとアプリケーションのサイズによっては、デプロイ プロセス中に割り当ての問題が発生することがあります。
割り当てに関する問題を回避するには、次の操作を行います。
- プロジェクトで使用可能なリソース割り当てを表示する。
- 必要に応じて、割り当て上限の引き上げをリクエストするか、プロジェクト管理者にお問い合わせください。
SAP ワークロードのシークレット
ガイド付きデプロイ自動化ツールは、Secret Manager を使用して、管理者ユーザー アカウントや SYSTEM ユーザー アカウントのパスワードなど、デプロイとインストールのプロセスで必要なパスワードを保存します。Terraform のベスト プラクティスに従い、平文のパスワードは禁止されています。
ガイド付きデプロイ自動化ツールを使用する前に、シークレットを 1 つ以上作成する必要があります。データベース レイヤとアプリケーション レイヤに異なるシークレットを使用する場合は、レイヤごとに個別のシークレットを作成します。
シークレットが SAP のパスワード要件を満たしていることを確認するには、パスワードの作成に関する SAP のガイダンスに沿って操作します。
SAP ワークロードをデプロイするプロジェクトにシークレットを作成する必要があります。
次のステップ
- デプロイ用の SAP インストール ファイルを準備する方法を学習する。
- SAP S/4HANA ワークロードをデプロイする方法を学習する。