Este documento descreve os pré-requisitos para implantar um aplicativo SAP S/4HANA em Google Cloud usando o Gerenciador de cargas de trabalho.
Primeiro, atenda aos pré-requisitos para usar a ferramenta de automação de implantação guiada antes de implantar um aplicativo SAP S/4HANA.
| Pré-requisito | Descrição |
|---|---|
| Google Cloud recursos de rede | Crie ou selecione uma rede e uma sub-rede VPC para sua implantação do SAP. Também é necessário configurar o acesso de saída à Internet para que as máquinas baixem os pacotes necessários. Para mais informações, consulte Rede. |
| Login do SO e chaves SSH | Desative temporariamente o Login do SO nos metadados do projeto até que a implantação seja concluída. Para mais informações, consulte Login do SO e chaves SSH. |
| Secrets para carga de trabalho SAP | Para fornecer as senhas da sua carga de trabalho com segurança, use um secret criado com o Secret Manager. Para mais informações, consulte Secrets para carga de trabalho do SAP. |
| Permissões e papéis do IAM | Os usuários que implantam uma carga de trabalho do SAP usando a ferramenta de automação de implantação guiada precisam ter ou receber as funções e permissões necessárias para configurar a implantação. Para mais informações, consulte Papéis e permissões do IAM. |
| Contas de serviço | Anexe uma conta de serviço à implantação e verifique se ela tem todos os papéis necessários para implantar sua carga de trabalho. Para mais informações, consulte Contas de serviço. |
| Cotas | Verifique se você tem cota de recurso suficiente no projeto para implantar o aplicativo SAP. Para mais informações, consulte Cotas. |
| Mídia de instalação do SAP | Crie um bucket do Cloud Storage no projeto em que você implanta o aplicativo SAP e faça upload de todos os arquivos SAP necessários para a implantação. Para mais informações, consulte Preparar arquivos de instalação do SAP para implantação. |
Rede
Esta seção descreve os recursos de rede do Google Cloud que você precisa configurar antes de implantar o aplicativo SAP.
Rede e sub-rede VPC
Se o projeto tiver uma rede VPC padrão, não a use para criar uma implantação. Em vez disso, recomendamos que você crie sua própria rede VPC para que as únicas regras de firewall aplicadas sejam as criadas explicitamente para a rede. Crie uma rede e uma sub-rede VPC ou entre em contato com a equipe de rede da sua organização Google Cloud .
Configurar o acesso externo à Internet
Durante o processo de implantação, as VMs no seu projeto precisam de acesso à Internet de saída para fazer o download de pacotes e se registrar para licenciamento.
O Google recomenda criar um gateway do Cloud NAT para fornecer acesso externo à Internet para suas VMs sem criar endereços IP externo. É possível criar um Cloud NAT em cada sub-rede e região em que as VMs estão localizadas. Se você criar um gateway do Cloud NAT, recomendamos alocar pelo menos 256 Portas mínimas por instância de VM.
Se você não quiser usar um gateway do Cloud NAT, especifique endereços IP externo durante o processo de implantação para fornecer o acesso à Internet necessário para suas VMs.
Regras de firewall
Durante o processo de implantação, o Workload Manager cria automaticamente as regras de firewall necessárias.
As regras de negação atuais no seu projeto podem ter uma prioridade mais alta e negar o acesso necessário.
Dependendo das regras de firewall atuais no projeto, crie regras para permitir o acesso a:
- As portas padrão usadas pelo SAP, conforme documentado em Portas TCP/IP de todos os produtos SAP (em inglês)
- das conexões do seu computador ou ambiente de rede corporativa com as instâncias de VM do Compute Engine. Se você não tiver certeza de qual endereço IP usar, entre em contato com o administrador de rede da sua organização.
- Conectividade de saída com serviços Google Cloud , usando o Acesso privado do Google conforme apropriado.
- Comunicação entre máquinas na mesma sub-rede:
- Acesso SSH entre VMs na mesma sub-rede para configurar sistemas implantados e para acesso por um administrador de sistemas.
- Acesso às portas de aplicativos do HANA para comunicação entre os servidores de aplicativos e o banco de dados HANA.
- Acesso a servidores de mensagens SAP, enfileiramento de replicação, serviços de gateway entre servidores de aplicativos SAP e instâncias de serviços centrais.
Para mais informações, consulte Criar regras de firewall da VPC.
Configurar uma zona de DNS
Ao criar uma implantação, é possível escolher o Workload Manager para criar uma zona do Cloud DNS. Você também pode pular a criação da zona de DNS durante a implantação e configurá-la manualmente mais tarde.
Se você configurar uma zona DNS manualmente, verifique se a rede VPC usada para a implantação foi adicionada à zona do Cloud DNS e se ela está visível para consultar registros. Para mais informações, consulte Configurar uma zona de DNS.
Login do SO e chaves SSH
Se o login do SO estiver ativado nos metadados do projeto, desative o login do SO temporariamente até que a implantação seja concluída. O processo de implantação configura chaves SSH nos metadados da instância. Quando o Login do SO está ativado, as configurações de chave SSH baseadas em metadados são desativadas e a implantação falha. Depois que a implantação for concluída, ative o login do SO.
Para desativar o Login do SO, defina o valor de metadados enable-oslogin como false.
Consulte como definir metadados de todo o projeto.
Contas de serviço
O Workload Manager usa a conta de serviço anexada à sua implantação para chamar outras APIs e serviços e criar os recursos necessários para a implantação.
É possível anexar uma conta de serviço atual ou criar uma ao configurar a implantação. Dependendo do aplicativo e da configuração, o Gerenciador de cargas de trabalho vai pedir que você conceda os papéis ausentes à sua conta de serviço.
Para mais informações sobre os papéis necessários para implantar o SAP S/4HANA, consulte Contas de serviço e permissões.
Permissões e papéis do IAM para implantar o SAP S/4HANA
A função de administrador de implantação do Workload Manager contém todas as permissões necessárias para configurar e implantar o SAP S/4HANA no Google Cloud.
Para mais informações sobre os papéis e as permissões do IAM necessários para implantar uma carga de trabalho usando a ferramenta de automação de implantação guiada, consulte Papéis e permissões do IAM.
Para mais informações sobre as permissões do IAM para executar o SAP no Google Cloud, consulte Identity and Access Management para programas SAP no Google Cloud.
Cotas
OGoogle Cloud usa cotas para proteger e controlar o número de recursos que uma conta ou organização específica pode usar. As cargas de trabalho SAP costumam consumir uma grande parte dos recursos. Devido ao tamanho dos bancos de dados e aplicativos, você pode ter problemas de cota durante o processo de implantação.
Para evitar problemas de cota, faça o seguinte:
- Ver a cota de recursos disponível para seu projeto.
- Se necessário, solicite um valor de cota maior ou entre em contato com o administrador do projeto.
Secrets para carga de trabalho SAP
A ferramenta de automação de implantação guiada usa o Secret Manager para armazenar senhas necessárias durante o processo de implantação e instalação, como as senhas de contas de usuário administrador e SYSTEM. Senhas de texto simples são proibidas de acordo com nossas práticas recomendadas do Terraform.
Antes de usar a ferramenta de automação de implantação guiada, crie pelo menos um Secret. Se você quiser usar secrets diferentes para as camadas de banco de dados e de aplicativo, crie secrets separados para cada camada.
Para garantir que os secrets atendam aos requisitos de senha da SAP, siga as orientações da SAP para criar senhas.
É necessário criar secrets no projeto em que você implanta a carga de trabalho do SAP.
A seguir
- Saiba como preparar arquivos de instalação do SAP para implantação.
- Saiba como implantar uma carga de trabalho do SAP S/4HANA.