במאמר הזה מתוארות הדרישות המוקדמות לפריסת אפליקציית SAP S/4HANA ב- Google Cloud באמצעות כלי לניהול עומס העבודה.
לפני שפורסים אפליקציית SAP S/4HANA, צריך לוודא שמתקיימות הדרישות המוקדמות לשימוש בכלי Guided Deployment Automation.
| דרישות מוקדמות | תיאור |
|---|---|
| Google Cloud משאבי רשת | יוצרים או בוחרים רשת VPC ורשת משנה לפריסת SAP. בנוסף, צריך להגדיר גישה לאינטרנט יוצאת במחשבים כדי להוריד את החבילות הנדרשות. מידע נוסף זמין במאמר בנושא רשת. |
| OS Login ומפתחות SSH | צריך להשבית באופן זמני את OS Login במטא-נתונים של הפרויקט עד שהפריסה תסתיים. מידע נוסף זמין במאמר בנושא OS Login ומפתחות SSH. |
| סודות לעומס עבודה של SAP | כדי לספק את הסיסמאות לעומס העבודה בצורה מאובטחת, צריך להשתמש בסוד שנוצר באמצעות Secret Manager. מידע נוסף זמין במאמר סודות לעומס עבודה של SAP. |
| תפקידים והרשאות של IAM | משתמשים שפורסים עומס עבודה של SAP באמצעות הכלי Guided Deployment Automation (אוטומציה מודרכת של פריסה) צריכים לקבל את התפקידים וההרשאות הנדרשים כדי להגדיר את הפריסה. למידע נוסף, ראו תפקידים והרשאות ב-IAM. |
| חשבונות שירות | מצרפים חשבון שירות לפריסה ומוודאים שלחשבון השירות יש את כל התפקידים שנדרשים לפריסת עומס העבודה. מידע נוסף מופיע במאמר חשבונות שירות. |
| מכסות | מוודאים שיש לכם מספיק מכסת משאבים בפרויקט כדי לפרוס את אפליקציית SAP. מידע נוסף על מכסות |
| SAP installation media | יוצרים קטגוריה של Cloud Storage בפרויקט שבו פורסים את אפליקציית SAP ומעלים את כל קובצי SAP שנדרשים לפריסה. מידע נוסף זמין במאמר בנושא הכנת קובצי התקנה של SAP לפריסה. |
רשת
בקטע הזה מתוארים משאבי הרשת שצריך להגדיר לפני שמבצעים פריסה של אפליקציית SAP. Google Cloud
רשת VPC ורשת משנה
אם בפרויקט יש רשת VPC שמוגדרת כברירת מחדל, אל תשתמשו בה ליצירת פריסה. במקום זאת, מומלץ ליצור רשת VPC משלכם, כך שכללי חומת האש שיהיו בתוקף יהיו רק אלה שאתם יוצרים במפורש עבור הרשת. יוצרים רשת VPC ורשת משנה או פונים לצוות הרשת של הארגון Google Cloud .
הגדרת גישה חיצונית לאינטרנט
במהלך תהליך הפריסה, למכונות הווירטואליות בפרויקט צריך להיות גישה לאינטרנט כדי להוריד חבילות ולהירשם לקבלת רישיון.
Google ממליצה ליצור שער Cloud NAT כדי לספק למכונות הווירטואליות גישה חיצונית לאינטרנט בלי ליצור כתובות IP חיצוניות. אתם יכולים ליצור Cloud NAT בכל תת-רשת ואזור שבהם נמצאות המכונות הווירטואליות. אם יוצרים שער Cloud NAT, מומלץ להקצות לפחות 256 יציאות מינימליות לכל מכונת וירטואלית.
אם לא רוצים להשתמש בשער Cloud NAT, אפשר לציין כתובות IP חיצוניות במהלך תהליך הפריסה כדי לספק למכונות הווירטואליות את הגישה לאינטרנט שנדרשת להן.
כללי חומת אש
במהלך תהליך הפריסה, כלי לניהול עומס העבודה יוצר באופן אוטומטי את כללי חומת האש הנדרשים לפריסה.
שימו לב: יכול להיות שכללי הדחייה הקיימים בפרויקט יקבלו עדיפות גבוהה יותר וידחו את הגישה הנדרשת.
בהתאם לכללי חומת האש הקיימים בפרויקט, יוצרים כללים לחומת האש כדי לאפשר גישה ל:
- יציאות ברירת המחדל שבהן משתמשת SAP, כפי שמתואר במסמך יציאות TCP/IP של כל מוצרי SAP
- חיבורים מהמחשב או מסביבת הרשת הארגונית למכונות וירטואליות ב-Compute Engine. אם אתם לא בטוחים איזו כתובת IP להזין, פנו לאדמין הרשת של הארגון.
- קישוריות יוצאת לשירותים של Google Cloud , באמצעות גישה פרטית של Google לפי הצורך.
- תקשורת בין מכונות באותה רשת משנה:
- גישת SSH בין מכונות וירטואליות באותה רשת משנה כדי להגדיר מערכות שנפרסו ולגישה של אדמין.
- גישה ליציאות של אפליקציות HANA לצורך תקשורת בין שרתי האפליקציות לבין מסד הנתונים של HANA.
- גישה לשרתי הודעות של SAP, להוספה לתור של שכפול, לשירותי שער בין שרתי אפליקציות של SAP ומופעים של שירותים מרכזיים.
מידע נוסף זמין במאמר יצירת כללים של חומת אש ב-VPC.
הגדרת תחום DNS
כשיוצרים פריסה, אפשר לבחור ב-Workload Manager כדי ליצור אזור Cloud DNS. אפשר גם לדלג על יצירת תחום ה-DNS במהלך הפריסה ולהגדיר אותו באופן ידני מאוחר יותר.
אם הגדרתם תחום DNS באופן ידני, ודאו שרשת ה-VPC שבה אתם משתמשים לפריסה נוספה לתחום Cloud DNS ושהיא גלויה לשאילתות של רשומות. מידע נוסף זמין במאמר הגדרת תחום DNS.
OS Login ומפתחות SSH
אם OS login מופעל במטא-נתונים של הפרויקט, צריך להשבית אותו באופן זמני עד שהפריסה תושלם. תהליך הפריסה מגדיר מפתחות SSH במטא-נתונים של המכונה. כשהשירות OS Login מופעל, ההגדרות של מפתחות SSH שמבוססות על מטא-נתונים מושבתות והפריסה נכשלת. אחרי שהפריסה תסתיים, תוכלו להפעיל את OS Login.
כדי להשבית את OS Login, מגדירים את ערך המטא-נתונים enable-oslogin לערך false.
איך מגדירים מטא-נתונים ברמת הפרויקט
חשבונות שירות
כלי לניהול עומס העבודה משתמש בחשבון השירות שמצורף לפריסה כדי לקרוא לממשקי API ולשירותים אחרים לצורך יצירת משאבים שנדרשים לפריסה.
אתם יכולים לצרף חשבון שירות קיים או ליצור חשבון שירות כשאתם מגדירים את הפריסה. בהתאם לאפליקציה ולהגדרות, כלי לניהול עומס העבודה יציג בקשה להעניק לחשבון השירות את התפקידים החסרים.
מידע נוסף על התפקידים הנדרשים לפריסת SAP S/4HANA זמין במאמר חשבונות שירות והרשאות.
תפקידים והרשאות של IAM לפריסת SAP S/4HANA
התפקיד Workload Manager Deployment Admin (אדמין פריסה של כלי לניהול עומס העבודה) מכיל את כל ההרשאות שנדרשות להגדרה ולפריסה של SAP S/4HANA ב- Google Cloud.
למידע נוסף על ההרשאות והתפקידים הנדרשים ב-IAM כדי לפרוס עומס עבודה באמצעות כלי האוטומציה לפריסה מודרכת, אפשר לעיין במאמר הרשאות ותפקידים ב-IAM.
למידע נוסף על הרשאות IAM להרצת SAP ב- Google Cloud, אפשר לעיין במאמר ניהול זהויות והרשאות גישה לתוכניות SAP ב- Google Cloud. Google Cloud
מכסות
ב-Google Cloud יש מכסות שמגבילות את מספר המשאבים שחשבון או ארגון מסוימים יכולים להשתמש בהם, כדי להגן על המערכת ולשלוט בה. עומסי עבודה של SAP צורכים בדרך כלל חלק גדול מהמשאבים. בגלל הגודל של מסדי הנתונים והאפליקציות, יכול להיות שתיתקלו בבעיות שקשורות למכסות במהלך תהליך הפריסה.
כדי למנוע בעיות שקשורות למכסות:
- איך רואים את ערכי המכסות ואת השימוש בהן
- במקרה הצורך, אפשר לבקש ערך מכסה גבוה יותר או לפנות לאדמין של הפרויקט.
סודות לעומס עבודה של SAP
כלי האוטומציה של הפריסה המודרכת משתמש ב-Secret Manager כדי לאחסן סיסמאות שנדרשות במהלך תהליך הפריסה וההתקנה, כמו הסיסמאות של חשבונות משתמשים מסוג אדמין ו-SYSTEM. אסור להשתמש בסיסמאות בטקסט פשוט בהתאם לשיטות המומלצות שלנו לשימוש ב-Terraform.
לפני שמשתמשים בכלי Guided Deployment Automation, צריך ליצור לפחות סוד אחד. אם רוצים להשתמש בערכי סוד שונים לשכבות של מסד הנתונים והאפליקציה, צריך ליצור ערכי סוד נפרדים לכל שכבה.
כדי לוודא שהסודות עומדים בדרישות הסיסמה של SAP, צריך לפעול לפי ההנחיות של SAP ליצירת סיסמאות.
צריך ליצור סודות בפרויקט שבו פורסים את עומס העבודה של SAP.