Azure での SAP 用デプロイ オプション
Azure のクラウド導入フレームワークの原則は、Azure での SAP の自動化に役立ちます。 自動化戦略を策定し、アプローチを決定する際には、SAP アプリケーションの主要なコンポーネントを特定し、その観察を使用して戦略を導くことが重要です。 特にエンタープライズ環境の場合、デプロイ オプションとして、SAP プラットフォームをサポートするために使用される手動構成、プラットフォームの自動化、DevOps のアプローチを検討する必要があります。
SAP アプリケーションは、多くのグローバル企業にとって重要な技術バックボーンであり、Azure では、ソリューションが認定およびサポートされ、正しく実装されるようにするためのガイダンスを提供しています。 組織は Azure の俊敏性を最大限に利用して、SAP のデプロイ、デプロイ アクティビティの自動化、システムの構成、およびその他の複雑なタスクの実行を行うことができます。これにより、運用効率が良く、統制の効いた、コードに柔軟に対応できるインフラストラクチャのデプロイが可能になります。
Microsoft SAP オートメーション リポジトリでは、Azure 上の SAP を利用するお客様が現在の DevOps 手法にスクリプトを統合したり、複製されたリポジトリからコードを現在の状態で直接使用したりすることをサポートしています。
SAP アーキテクチャ:
SAP アプリケーション資産は、システム、ワークロードゾーン、ランドスケープで構成されています。
システム
SAP システムは、アプリケーションが実行する必要のあるリソース (仮想マシン (VM)、ディスク、ロードバランサー、近接配置グループ、可用性セット、サブネット、ネットワークセキュリティグループなど) を備えた SAP アプリケーションのインスタンスです。 アプリケーションは、一意の 3 文字の識別子である SID によって識別されます。 ライフサイクルを意識して、各システムを別の Azure リソース グループにデプロイする必要があります。
ワークロード ゾーン
ワークロード ゾーンはデプロイ環境とも呼ばれます。 これにより SAP アプリケーションは非運用や運用などの環境に区別され、ランドスケープを、開発、品質保証、運用などの階層にさらに分類することができます。 デプロイ環境では、仮想ネットワークやキー コンテナーなどの共有リソースを、ワークロード ゾーン内のすべてのシステムに提供します。
横
ランドスケープとは、SAP アプリケーションのさまざまな環境にあるシステムの集合です。 この図の例は、SAP ERP Central Component (ECC)、SAP カスタマー リレーションシップ マネジメント (CRM)、および SAP Business Warehouse (BW) という 3 つの SAP ランドスケープを示しています。
次の図は、SAP システム、ワークロード ゾーン、およびランドスケープ間の依存関係を示しています。 以下の図の例は、お客様には SAP ERP Central Component (ECC)、SAP カスタマー リレーションシップ マネジメント (CRM)、および SAP Business Warehouse (BW) という 3 つのランドスケープがあることを示しています。 各ランドスケープには、サンドボックス、開発、品質保証、および運用の 4 つのワークロード ゾーンがあります。 各ワークロード ゾーンには、1 つまたは複数のシステムを含めることができます。
追加コンポーネント
自動化ソリューションに必要な SAP コンポーネントに加えて、次のものが必要になります。
- デプロイ活動を実行できる実行環境
- インストール メディア用の永続ストレージ (Terraform が使用されている場合は、Terraform 状態ファイルの格納用)
設計上の推奨事項:
- アプリケーションの構成とインストールを可能にするために、ターゲット仮想ネットワークへのネットワーク接続がある VM を使用します。
- 状態ファイルの管理には Azure Storage アカウントを使用し、SAP インストール メディアの場合はインストール ソースとして使用します。
準備アクティビティ
DevOps 戦略の決定
SAP デプロイの自動化は、インフラストラクチャの展開に始まり、その後オペレーティング システムの構成およびアプリケーションのインストールへと続くワークフローとして実装する必要があります。
設計上の考慮事項:
必要な自動化のスコープを定義します:
- インフラストラクチャ
- オペレーティング システムの構成
- アプリケーションのインストール
- 進行中の操作 (実行状態の操作)
パラメーター ファイルを格納するための戦略を定義します
設計上の推奨事項:
- すべてのパラメーター ファイルをソース管理リポジトリに格納します。
- ファイルの破損を防ぐために、状態とパラメーターのファイルをバックアップします。 たとえば、Terraform の状態ファイルは、読み取りアクセス geo 冗長ストレージベースのホット層ストレージ アカウントに格納できます。
領域の計画策定
SAP デプロイ自動化フレームワークでは、複数の Azure リージョンでのデプロイがサポートされています。 各リージョンは次をホストします。
- インフラストラクチャのデプロイ
- 状態および SAP インストール メディア用の SAP ライブラリ
- 1~n 個のワークロードゾーン
- ワークロード ゾーンにデプロイされた 1 から n 個の SAP システム
次の図は、2 つの Azure リージョンのデプロイ戦略を示しています。
設計上の考慮事項:
- どの Azure リージョンがスコープ内にあるか
- 障害復旧
ワークロード ゾーンの計画策定
ワークロード ゾーンはデプロイ環境とも呼ばれ、ワークロード仮想ネットワーク、そのワークロード内のシステムの資格情報、およびこれらのシステムのデプロイに使用されるサービス プリンシパルを組み合わせたものです。 ワークロード ゾーンは Azure での仮想ネットワークに依存しているため、リージョンになっています。 オートメーションの名前付け規則では、それぞれが独自の仮想ネットワークを持つ複数の Azure リージョン内のワークロード ゾーンの使用がサポートされます。
一般的なワークロード ゾーンのパターンを、次にいくつか示します。
運用と非運用
このモデルでは、SAP 環境は運用または非運用ゾーンにグループ化されます。
サンドボックス、開発、品質保証、運用
このモデルでは、SAP 環境は、サンドボックス、開発、品質保証、運用のゾーンにグループ化されます。
設計上の考慮事項:
- ワークロード ゾーンはいくつ必要ですか?
- サブスクリプション設計について、1 つのサブスクリプションに複数のワークロード ゾーンが含まれていますか?
- ワークロードはどのリージョンにデプロイされていますか?
- 送信インターネット接続性
- オンプレミス ネットワークへのネットワーク接続
- デプロイは、ワークロードのための Azure インフラストラクチャが存在しないグリーンフィールド デプロイか、ワークロード ゾーンをサポートする成果物の一部またはすべてが既に存在しているブラウンフィールド デプロイのどちらですか?
- 各ワークロード ゾーンには、一意のデプロイ資格情報が必要ですか?
設計上の推奨事項:
- 発信用のインターネット接続は、ネットワーク チームから提供される必要があります。
- オンプレミス ネットワークへのネットワーク接続は、ネットワーク チームから提供される必要があります。
- ワークロード ゾーンごとに一意のデプロイ資格情報を使用します。 ワークロード ゾーンが複数のリージョンに存在する場合は、これらのリージョン全体で同じデプロイ資格情報を使用する必要があります。
- ネットワーク計画を簡略化するために、ワークロード ゾーンの数を最小限に抑えてください。
SAP アプリケーションの計画策定
SAP システムは、SAP アプリケーションをホストするために必要なすべての Azure Artifacts が含まれている、実際の SAP アプリケーションです。 開始、計画、デプロイ要因の詳細については、SAP on Azure を参照してください。
設計上の考慮事項:
- 使用するバックエンド データベース
- データベース サーバーの数
- 高可用性が必要かどうか
- アプリケーション サーバーの数
- Web ディスパッチャーの数 (存在する場合)
- 中央サービス インスタンスの数
- VM サイズ
- Azure Marketplace とカスタムビルド イメージのどちらを使用するかを決定します。 カスタムビルドのイメージには、お客様固有のオペレーティング システム構成、セキュリティの強化、コンプライアンス ツールなどのいくつかの利点があります。 カスタムビルドのイメージは、イメージのライフサイクルの合理化にも役立ちます。
- デプロイは、ワークロードのための Azure インフラストラクチャが存在しないグリーンフィールド デプロイか、ワークロード ゾーンをサポートする成果物の一部またはすべてが既に存在しているブラウンフィールド デプロイのどちらですか?
- IP 割り当て戦略 (Azure またはお客様が提供)
- Azure リソースの名前付け
- 資格情報を管理するための要件の定義: ワークロード ゾーンのシステムで VM へのアクセスに同じ資格情報を使用できますか?
設計上の推奨事項:
ワークロード ゾーンにデプロイされるすべてのシステムで同じ資格情報のセットを使用します。 キーの管理および保管には Azure Key Vault を使用します。
SAP デプロイ自動化フレームワーク
SAP デプロイ自動化フレームワークには、Terraform テンプレートと Ansible プレイブックが用意されており、Azure で SAP を実行する環境を構築および構成するために使用できます。 成果物は Azuresap-hana リポジトリにホストされ、Azure では Azure の SAP 用のオープンソース デプロイ スクリプト (コードはカスタマイズされていません) がサポートされています。
自動化の機能
サポートされているプラットフォーム
Azure では Linux および Windows での SAP デプロイの自動化がサポートされています。
サポートされているトポロジ
SAP デプロイの自動化のための既定のモデルは、データベース層とアプリケーション層からなる分散モデルです。 アプリケーション層は、アプリケーション サーバー、中央サービス サーバー、Web ディスパッチャという 3 つの層にさらに分かれます。 アプリケーション層を持たない構成を使用して、オートメーションをスタンドアロン サーバーにデプロイすることもできます。
含まれる機能
SAP デプロイ自動化フレームワーク機能のマトリックス:
| 機能 | Included | メモ |
|---|---|---|
| Accelerated Networking | Y | 高速ネットワークが VM 上で有効になります。 |
| アプリケーション セキュリティ グループ | N | これらはロードマップにあります。 |
| アンカー VM | Y | 近接配置グループを可用性ゾーン内に固定する仮想マシン。 |
| アプリケーションの構成 | N | Ansible ベースの構成がまもなくリリースされます。 |
| アプリケーションのインストール | N | Ansible ベースのインストールがまもなくリリースされます。 |
| 認証 | Y | 認証では、SSH ベースとユーザー名/パスワードベースの認証がサポートされています。 |
| 可用性ゾーン | Y | オートメーションでは、VM を複数のゾーンまたは複数の可用性ゾーンにわたってデプロイできます。 |
| ネットワーク ファイル システム用の Azure Files | × | これらはロードマップにあります。 |
| Azure Firewall | Y | オートメーションでは、配置機能ネットワークに Azure Firewall をデプロイできます。 |
| Azure Load Balancer | Y | オートメーションでは、Azure Load Balancer の標準ロード バランサーを使用します。 |
| Azure NetApp Files | N | これらはロードマップにあります。 |
| ブート診断ストレージ アカウント | Y | ブート診断ストレージ アカウントは、ワークロード ゾーン内のすべてのシステム間で共有されます。 |
| Azure キー コンテナー | Y | Azure の新規または現在のキー コンテナー。 |
| 顧客のイメージ | Y | これらのカスタム イメージをリージョンにレプリケートする必要があります。 |
| カスタマーマネージド ディスクの暗号化キー | Y | これらのキーは事前に作成し、Azure Key Vault に格納する必要があります。 |
| デプロイ環境 | Y | これは、SAP ネットワークとピアリングされたネットワーク内の VM です。 |
| ディスクのサイズ変更 | Y | 既定のディスク サイズ設定が指定されており、構成することができます。 |
| IP アドレス指定 | Y | IP アドレスは、お客様と Azure によって提供されます。 |
| 命名規則 | Y | これは既定の名前付け規則です。カスタマイズすることができます。 |
| ネットワーク セキュリティ グループ | Y | これらは新規または現在のネットワーク セキュリティ グループです。 |
| オペレーティング システムの構成 | N | これは Ansible ベースの構成で、まもなくリリースされます。 |
| 近接通信配置グループ | Y | これらは新規または現在の近接配置グループです。 |
| リソース グループ | Y | これらは新規または現在のリソース グループです。 |
| サブネット | Y | これらは新規または現在のサブネットです。 |
| SAP インストール メディア用ストレージ | Y | これは新規または現在のストレージ アカウントです。 |
| Terraform 状態用のストレージ | Y | これは新規または現在のストレージ アカウントです。 |
| VM の SKU | Y | すべての VM SKU は構成可能です。 |
| 仮想ネットワーク | Y | これは新規または現在の仮想ネットワークです。 |
| 監視ストレージ アカウント | Y | 監視ストレージ アカウントは、ワークロード ゾーン内のすべてのシステム間で共有されます。これは Windows 高可用性シナリオで使用されます。 |
パラメーター ファイルの計画
SAP デプロイの自動化では、さまざまな成果物に対する異なるパラメーター ファイルを使用して Azure 環境を構成するために、JSON パラメーター ファイルを使用します。 開発環境では、SAP HANA と顧客のリポジトリを同じルート フォルダーに複製する必要があります。 フォルダー構造を定義し、パラメーター ファイルを専用フォルダーに保存することで、自動デプロイ操作が簡略化されます。
設計上の推奨事項:
すべてのパラメーター ファイルは、ソース管理環境に格納されている必要があります。