本文說明使用 Workload Manager 在 Google Cloud 上部署 SAP S/4HANA 應用程式的需求條件。
您必須先符合使用引導式部署自動化工具的必要條件,才能部署 SAP S/4HANA 應用程式。
| 修課條件 | 說明 |
|---|---|
| Google Cloud 網路資源 | 為 SAP 部署作業建立或選取虛擬私有雲端網路和子網路。 您也必須為機器設定連出網際網路存取權,才能下載必要的套件。詳情請參閱「網路」。 |
| OS Login 和 SSH 金鑰 | 您必須在部署完成前,暫時停用專案中繼資料中的 OS 登入功能。詳情請參閱「OS Login 和 SSH 金鑰」一文。 |
| SAP 工作負載的祕訣 | 如要安全地提供工作負載的密碼,您必須使用 Secret Manager 建立的密鑰。詳情請參閱「SAP 工作負載的密鑰」。 |
| 身分與存取權管理角色和權限 | 使用引導式部署自動化工具部署 SAP 工作負載的使用者,必須具備或取得必要的角色和權限,才能設定部署作業。詳情請參閱「身分與存取權管理角色和權限」。 |
| 服務帳戶 | 將服務帳戶附加至部署作業,並確認服務帳戶具備部署工作負載所需的所有角色。詳情請參閱「服務帳戶」。 |
| 配額 | 請確認專案中具備足夠的資源配額,可用於部署 SAP 應用程式。詳情請參閱「配額」。 |
| SAP 安裝媒體 | 在部署 SAP 應用程式的專案中建立 Cloud Storage 值區,然後上傳部署作業所需的所有 SAP 檔案。詳情請參閱「為部署作業準備 SAP 安裝檔案」。 |
網路
本節說明部署 SAP 應用程式前,需要設定的 Google Cloud 網路資源。
虛擬私有雲網路和子網路
如果您的專案具有預設的虛擬私有雲端網路,請勿用於建立部署。建議您改為建立您自己專屬的虛擬私有雲網路,確保系統只套用您明確為網路建立的防火牆規則。建立虛擬私有雲網路和子網路,或洽詢 Google Cloud 貴機構的網路團隊。
設定外部網際網路存取
在部署期間,專案中的 VM 需要外出網際網路存取權,才能下載套件及註冊授權。
Google 建議您建立 Cloud NAT 閘道,為 VM 提供外部網際網路存取權,而無需建立外部 IP 位址。您可以在 VM 所在的每個子網路和區域中建立 Cloud NAT。如果您建立 Cloud NAT 閘道,建議您至少分配 256 個每個 VM 執行個體的最低通訊埠。
如果您不想使用 Cloud NAT 閘道,可以在部署期間指定外部 IP 位址,為 VM 提供必要的網際網路存取權。
防火牆規則
在部署程序期間,Workload Manager 會自動為部署作業建立必要的防火牆規則。
請注意,專案中現有的拒絕規則可能會優先採用,並拒絕必要的存取權。
根據專案中現有的防火牆規則,建立防火牆規則以允許下列項目存取:
- SAP 使用的預設連接埠,如適用於所有 SAP 產品的 TCP/IP 連接埠網頁所述。
- 從電腦或公司網路環境到 Compute Engine VM 執行個體的連線。如果不確定要使用哪一個 IP 位址,請與貴機構的網路管理員聯絡。
- 傳出連線至 Google Cloud 服務,並視需要使用 Google Private Access。
- 同一個子網路中的機器之間的通訊:
- 在同一個子網路中的 VM 之間使用 SSH 存取權,設定已部署的系統,並供系統管理員存取。
- 存取 HANA 應用程式連接埠,以便應用程式伺服器與 HANA 資料庫之間進行通訊。
- 存取 SAP 訊息伺服器、複製佇列、SAP 應用程式伺服器與中央服務執行個體之間的閘道服務。
詳情請參閱「建立 VPC 防火牆規則」。
設定 DNS 區域
建立部署時,您可以選擇使用工作負載管理工具建立 Cloud DNS 區域。您也可以在部署期間略過 DNS 區域建立作業,稍後再手動設定。
如果您手動設定 DNS 區域,請確認用於部署的 VPC 網路已新增至 Cloud DNS 區域,且可用於查詢記錄。詳情請參閱「設定 DNS 區域」。
OS 登入和安全殼層金鑰
如果專案中繼資料中已啟用 OS 登入,您必須暫時停用 OS 登入功能,直到部署作業完成為止。部署程序會在執行個體中繼資料中設定安全殼層金鑰。啟用 OS 登入功能後,系統會停用中繼資料型安全殼層金鑰設定,並導致部署作業失敗。部署完成後,您可以啟用 OS 登入。
如要停用 OS 登入,請將 enable-oslogin 中繼資料值設為 false。請參閱如何設定全專案中繼資料。
服務帳戶
Workload Manager 會使用部署項目附加的服務帳戶,呼叫其他 API 和服務,建立部署作業所需的資源。
您可以在設定部署作業時,附加現有的服務帳戶或建立服務帳戶。視應用程式和設定而定,Workload Manager 會提示您將缺少的角色授予服務帳戶。
如要進一步瞭解部署 SAP S/4HANA 所需的角色,請參閱「服務帳戶和權限」。
部署 SAP S/4HANA 所需的 IAM 角色和權限
Workload Manager Deployment Admin 角色包含在 Google Cloud上設定及部署 SAP S/4HANA 所需的所有權限。
如要進一步瞭解使用引導式部署自動化工具部署工作負載時,所需的 IAM 角色和權限,請參閱「IAM 角色和權限」。
如要進一步瞭解在 Google Cloud上執行 SAP 的 IAM 權限,請參閱「在 Google Cloud上管理 SAP 程式的身分與存取權」。
配額
Google Cloud 會使用配額保護及控管特定帳戶或機構可使用的資源數量。SAP 工作負載通常會耗用大量資源。考量資料庫和應用程式的大小,您可能會在部署程序中遇到配額問題。
如要避免配額問題,請採取下列做法:
- 查看專案的可用資源配額。
- 如有需要,請要求提高配額上限,或與專案管理員聯絡。
SAP 工作負載的密碼
引導式部署自動化工具會使用 Secret Manager 儲存部署和安裝程序所需的密碼,例如管理員和系統使用者帳戶的密碼。根據 Terraform 最佳做法,我們禁止使用純文字密碼。
使用引導式部署自動化工具前,您必須至少建立一個密鑰。如果您想為資料庫和應用程式層使用不同的密鑰,請為每個層建立個別的密鑰。
為確保機密資料符合 SAP 的密碼規定,請按照 SAP 的密碼建立指南操作。
您必須在部署 SAP 工作負載的專案中建立機密資料。
後續步驟
- 瞭解如何準備 SAP 安裝檔案以便部署。
- 瞭解如何部署 SAP S/4HANA 工作負載。