이 문서에서는 워크로드 관리자를 사용하여 Google Cloud 에 SAP S/4HANA 애플리케이션을 배포하기 위한 기본 요건을 설명합니다.
SAP S/4HANA 애플리케이션을 배포하기 전에 먼저 안내식 배포 자동화 사용을 위한 기본 요건 도구를 충족해야 합니다.
| 선행 조건 | 설명 |
|---|---|
| Google Cloud 네트워크 리소스 | SAP 배포를 위한 VPC 네트워크 및 서브네트워크를 만들거나 선택합니다. 또한 머신에서 필요한 패키지를 다운로드할 수 있도록 아웃바운드 인터넷 액세스를 구성해야 합니다. 자세한 내용은 네트워크를 참고하세요. |
| OS 로그인 및 SSH 키 | 배포가 완료될 때까지 프로젝트 메타데이터에서 OS 로그인을 일시적으로 사용 중지해야 합니다. 자세한 내용은 OS 로그인 및 SSH 키를 참고하세요. |
| SAP 워크로드의 비밀 | 워크로드의 비밀번호를 안전하게 제공하려면 Secret Manager를 사용하여 만든 보안 비밀을 사용해야 합니다. 자세한 내용은 SAP 워크로드의 보안 비밀을 참고하세요. |
| IAM 역할 및 권한 | 가이드 배포 자동화 도구를 사용하여 SAP 워크로드를 배포하는 사용자는 배포를 구성하는 데 필요한 역할과 권한을 보유하거나 부여받아야 합니다. 자세한 내용은 IAM 역할 및 권한을 참조하세요. |
| 서비스 계정 | 배포에 서비스 계정을 연결하고 서비스 계정에 워크로드 배포에 필요한 모든 역할이 있는지 확인합니다. 자세한 내용은 서비스 계정을 참조하세요. |
| 할당량 | SAP 애플리케이션을 배포할 수 있는 리소스 할당량이 프로젝트에 충분한지 확인합니다. 자세한 내용은 할당량을 참조하세요. |
| SAP 설치 미디어 | SAP 애플리케이션을 배포하는 프로젝트에 Cloud Storage 버킷을 만들고 배포에 필요한 모든 SAP 파일을 업로드합니다. 자세한 내용은 배포를 위한 SAP 설치 파일 준비를 참고하세요. |
네트워크
이 섹션에서는 SAP 애플리케이션을 배포하기 전에 구성해야 하는 Google Cloud 네트워킹 리소스를 설명합니다.
VPC 네트워크 및 서브네트워크
프로젝트에 기본 VPC 네트워크가 있더라도 이를 배포를 만드는 데 사용하지 마세요. 대신 명시적으로 직접 만든 방화벽 규칙만 적용되도록 VPC 네트워크를 직접 만드는 것이 좋습니다. VPC 네트워크 및 서브넷을 만들거나 Google Cloud 조직의 네트워킹팀에 문의합니다.
외부 인터넷 액세스 구성
배포 프로세스 중에 프로젝트의 VM은 패키지를 다운로드하고 라이선스를 등록하기 위해 아웃바운드 인터넷 액세스 권한이 필요합니다.
외부 IP 주소를 만들지 않고도 VM에 외부 인터넷 액세스를 제공하려면 Cloud NAT 게이트웨이를 만드는 것이 좋습니다. VM이 있는 각 서브넷과 리전에서 Cloud NAT를 만들 수 있습니다. Cloud NAT 게이트웨이를 만드는 경우 VM 인스턴스당 최소 포트 수를 256개 이상 할당하는 것이 좋습니다.
Cloud NAT 게이트웨이를 사용하지 않으려면 배포 프로세스 중에 외부 IP 주소를 지정하여 VM에 필요한 인터넷 액세스를 제공할 수 있습니다.
방화벽 규칙
배포 프로세스 중에 워크로드 관리자가 배포에 필요한 방화벽 규칙을 자동으로 만듭니다.
프로젝트의 기존 거부 규칙이 우선순위가 더 높아서 필요한 액세스를 거부할 수 있습니다.
프로젝트의 기존 방화벽 규칙에 따라 다음에 대한 액세스를 허용하는 방화벽 규칙을 만듭니다.
- 모든 SAP 제품의 TCP/IP 포트에 설명된 대로 SAP에서 사용하는 기본 포트
- 사용자 컴퓨터 또는 기업 네트워크 환경에서 Compute Engine VM 인스턴스에 연결 사용할 IP 주소를 모르는 경우 조직의 네트워크 관리자에게 문의하세요.
- 적절한 경우 Google 비공개 액세스를 사용하여 Google Cloud 서비스로의 아웃바운드 연결
- 동일한 서브네트워크의 머신 간 통신:
- 배포된 시스템을 구성하고 시스템 관리자가 액세스할 수 있도록 동일한 서브넷의 VM 간에 SSH 액세스
- 애플리케이션 서버와 HANA 데이터베이스 간의 통신을 위한 HANA 애플리케이션 포트에 대한 액세스
- SAP 애플리케이션 서버와 중앙 서비스 인스턴스 간의 SAP 메시지 서버, 복제 큐에 추가, 게이트웨이 서비스에 대한 액세스
자세한 내용은 VPC 방화벽 규칙 만들기를 참고하세요.
DNS 영역 구성
배포를 만들 때 워크로드 관리자를 선택하여 Cloud DNS 영역을 만들 수 있습니다. 배포 중에 DNS 영역 생성을 건너뛰고 나중에 수동으로 설정할 수도 있습니다.
DNS 영역을 수동으로 설정하는 경우 배포에 사용 중인 VPC 네트워크가 Cloud DNS 영역에 추가되었는지 확인하고 레코드를 쿼리할 수 있는지 확인합니다. 자세한 내용은 DNS 영역 구성을 참고하세요.
OS 로그인 및 SSH 키
프로젝트 메타데이터에 OS 로그인이 사용 설정된 경우 배포가 완료될 때까지 OS 로그인을 일시적으로 사용 중지해야 합니다. 배포 프로세스는 인스턴스 메타데이터에 SSH 키를 구성합니다. OS 로그인이 사용 설정되면 메타데이터 기반 SSH 키 구성이 사용 중지되고 배포가 실패합니다. 배포가 완료되면 OS 로그인을 사용 설정할 수 있습니다.
OS 로그인을 사용 중지하려면 enable-oslogin 메타데이터 값을 false로 설정합니다.
프로젝트 전체 메타데이터를 설정하는 방법을 참고하세요.
서비스 계정
Workload Manager는 배포에 연결된 서비스 계정을 사용하여 다른 API 및 서비스를 호출하여 배포에 필요한 리소스를 만듭니다.
배포를 구성할 때 기존 서비스 계정을 연결하거나 서비스 계정을 만들 수 있습니다. 애플리케이션 및 구성에 따라 워크로드 관리자에서 누락된 역할을 서비스 계정에 부여하라는 메시지가 표시됩니다.
SAP S/4HANA를 배포하는 데 필요한 역할에 대한 자세한 내용은 서비스 계정 및 권한을 참고하세요.
SAP S/4HANA 배포를 위한 IAM 역할 및 권한
워크로드 관리자 배포 관리자 역할에는 Google Cloud에서 SAP S/4HANA를 구성하고 배포하는 데 필요한 모든 권한이 포함됩니다.
안내식 배포 자동화 도구를 사용하여 워크로드를 배포하는 데 필요한 IAM 역할 및 권한에 대한 자세한 내용은 IAM 역할 및 권한을 참고하세요.
Google Cloud에서 SAP를 실행하기 위한 IAM 권한에 관한 자세한 내용은 Google Cloud에서 SAP 프로그램의 ID 및 액세스 관리를 참고하세요.
할당량
Google Cloud 은 할당량을 사용하여 특정 계정 또는 조직에서 사용할 수 있는 리소스 수를 보호하고 제어합니다. SAP 워크로드는 종종 상당한 양의 리소스를 소비합니다. 데이터베이스 및 애플리케이션의 크기를 고려할 때 배포 프로세스 중에 할당량 문제가 발생할 수 있습니다.
할당량 문제를 방지하려면 다음 단계를 따르세요.
- 프로젝트에 사용 가능한 리소스 할당량 보기
- 필요한 경우 할당량 한도 상향을 요청하거나 프로젝트 관리자에게 문의하세요.
SAP 워크로드의 보안 비밀
안내식 배포 자동화 도구는 Secret Manager를 사용하여 관리자 및 SYSTEM 사용자 계정의 비밀번호와 같이 배포 및 설치 프로세스 중에 필요한 비밀번호를 저장합니다. Terraform 권장사항에 따라 일반 텍스트 비밀번호는 금지됩니다.
안내식 배포 자동화 도구를 사용하기 전에 보안 비밀을 하나 이상 만들어야 합니다. 데이터베이스 레이어와 애플리케이션 레이어에 서로 다른 보안 비밀을 사용하려면 각 레이어에 별도의 보안 비밀을 만드세요.
보안 비밀이 SAP의 비밀번호 요구사항을 충족하는지 확인하려면 비밀번호 생성을 위한 SAP 안내를 따르세요.
SAP 워크로드를 배포하는 프로젝트에서 보안 비밀을 만들어야 합니다.
다음 단계
- 배포를 위한 SAP 설치 파일을 준비하는 방법을 알아보세요.
- SAP S/4HANA 워크로드를 배포하는 방법을 알아보세요.