SAP RISE와의 연결

아티클
11/20/2024

SAP 환경이 RISE 내에서 작동하고 별도의 가상 네트워크에서 실행되고 있으므로 이 문서에서는 사용 가능한 연결 옵션을 제공합니다.

SAP RISE/ECS를 사용한 가상 네트워크 피어링

vnet(가상 네트워크) 피어링은 개인 네트워크 주소 공간에서 두 가상 네트워크 간에 안전하게 연결하는 가장 성능이 좋은 방법입니다. 피어링된 네트워크는 연결 목적으로 하나로 표시되므로 애플리케이션이 서로 통신할 수 있습니다. 다른 가상 네트워크, 구독, Azure 테넌트 또는 지역에서 실행되는 애플리케이션을 통해 직접 통신할 수 있습니다. 단일 가상 네트워크의 네트워크 트래픽과 마찬가지로 피어링 트래픽은 개인 주소 공간에 남아 있으며 인터넷을 통과하지 않습니다. 가상 네트워크 피어링 요금이 적용합니다.

SAP RISE/ECS 배포의 경우 가상 피어링은 고객의 기존 Azure 환경과의 연결을 설정하는 데 선호되는 방법입니다. 주요 이점은 다음과 같습니다.

SAP RISE 환경과 Azure에서 실행되는 자체 애플리케이션 및 서비스 간의 네트워크 대기 시간을 최소화하고 처리량을 최대화합니다.
SAP RISE 워크로드에 대한 전용 온-프레미스 통신 경로로 인해 복잡성과 비용이 추가로 발생하지 않습니다. 대신 기존 Azure 네트워크 허브의 온-프레미스 통신 경로를 사용합니다.

가상 네트워크 피어링은 SAP 관리형 환경과 동일한 지역 내에서 설정할 수 있지만 두 Azure 지역 간의 글로벌 가상 네트워크 피어링을 통해서도 설정할 수 있습니다. 많은 Azure 지역에서 SAP RISE/ECS를 사용할 수 있으므로, 대기 시간과 피어링 비용을 고려해야 하기 때문에 해당 지역은 고객 가상 네트워크에서 실행되는 워크로드와 일치해야 합니다. 그러나 일부 시나리오(예: 글로벌 기업을 위한 중앙 S/4HANA 배포)에서는 네트워크를 전역적으로 피어링해야 합니다. 이러한 전역적으로 분산된 SAP 환경의 경우, 각 지역에서 로컬로 SAP RISE 피어링을 통해 네트워크 허브에 대한 자체 Azure 환경 내에서 다중 지역 네트워크 아키텍처를 사용하는 것이 좋습니다.

SAP RISE/ECS를 사용한 고객 피어링

SAP와 고객 가상 네트워크는 모두 NSG(네트워크 보안 그룹)로 보호되므로 피어링을 통해 SAP 및 데이터베이스 포트에서 통신을 허용합니다. 피어링된 가상 네트워크 간의 통신은 이러한 NSG를 통해 보호되어 고객의 SAP 환경과의 통신을 제한합니다.

SAP RISE/ECS는 SAP의 Azure 테넌트 및 구독에서 실행되므로 서로 다른 테넌트 간에 가상 네트워크 피어링을 설정합니다. SAP 제공 네트워크의 Azure 리소스 ID를 사용해 피어링을 설정하고 SAP가 피어링을 승인하게 하여 이 구성을 수행합니다. 반대 Microsoft Entra 테넌트의 사용자를 게스트 사용자로 추가하고, 게스트 사용자 초대를 수락하며, 가상 네트워크 피어링 만들기 - 다른 구독에 설명된 프로세스를 따릅니다. 필요한 정확한 단계는 SAP 담당자에게 문의하세요. 네트워크, 사용자 관리 및 아키텍처를 처리하는 조직 내의 각 팀을 참여시켜 이 프로세스를 신속하게 완료할 수 있도록 합니다.

VPN VNet 간 연결

가상 네트워크 피어링의 대안으로 VPN 게이트웨이 간에 VPN(가상 사설망) 연결을 설정할 수 있으며, 이것은 SAP RISE/ECS 구독과 고객 소유 모두에 배포됩니다. 이러한 두 VPN 게이트웨이 간에 vnet 간 연결을 설정하여 두 개의 개별 가상 네트워크 간에 빠른 통신을 지원할 수 있습니다. 각각의 네트워크와 게이트웨이는 서로 다른 Azure 지역에 상주할 수 있습니다.

고객 가상 네트워크에 대한SAP RISE/ECS VPN 연결 다이어그램

가상 네트워크 피어링이 권장되고 보다 일반적인 배포 모델이지만 VPN VNet 간 연결은 고객과 SAP RISE/ECS 가상 네트워크 간의 복잡한 가상 피어링을 잠재적으로 간소화할 수 있습니다. VPN Gateway는 고객 네트워크에 대한 유일한 진입점 역할을 하며 중앙 팀에서 관리하고 보호합니다. 네트워크 처리량은 양쪽에서 선택한 게이트웨이 SKU에 의해 제한됩니다. 복원력 요구 사항을 해결하려면 영역 중복 가상 네트워크 게이트웨이가 이러한 연결에 사용되는지 확인합니다.

네트워크 보안 그룹은 피어링 아키텍처와 동일하게 고객 및 SAP 가상 네트워크 모두에 적용되며, 필요에 따라 SAP NetWeaver 및 HANA 포트에 대한 통신을 가능하게 합니다. VPN 연결을 설정하는 방법과 사용해야 하는 설정에 대한 자세한 내용은 SAP 담당자에게 문의하세요.

온-프레미스에 다시 연결

기존 고객 Azure 배포를 사용하면 온-프레미스 네트워크가 ER(ExpressRoute) 또는 VPN을 통해 이미 연결되어 있습니다. 동일한 온-프레미스 네트워크 경로는 일반적으로 SAP RISE/ECS 관리형 워크로드에 사용됩니다. 기본 아키텍처는 고객의 가상 네트워크 허브에 연결된 스포크 네트워크로 보이는 연결된 SAP RISE 가상 네트워크와 함께 고객의 기존 ER/VPN 게이트웨이를 사용하는 것입니다.

고객의 가상 네트워크 허브 및 온-프레미스에 피어된 스포크 네트워크인 SAP RISE/ECS의 예제 다이어그램

이 아키텍처를 사용하면 고객 워크로드에 대한 네트워크 연결을 제어하는 중앙 정책 및 보안 규칙이 SAP RISE/ECS 관리형 워크로드에도 적용됩니다. 고객의 가상 네트워크와 SAP RISE/ECS 가상 네트워크 모두에 동일한 온-프레미스 네트워크 경로가 사용됩니다.

현재 Azure에서 온-프레미스로의 연결이 없는 경우 SAP 담당자에게 RISE 워크로드에 가능한 연결 모델에 대한 자세한 내용을 문의하세요. SAP RISE/ECS가 RISE 내에서 직접 온-프레미스를 설정하는 경우 이러한 온-프레미스 연결은 SAP 관리형 가상 네트워크에 연결하는 데에만 사용할 수 있습니다. SAP RISE 내의 이러한 전용 ExpressRoute 또는 VPN 연결은 고객의 자체 Azure 가상 네트워크에 액세스하는 데 사용할 수 없습니다.

참고 항목

가상 네트워크에는 로컬 또는 원격 게이트웨이가 하나만 있을 수 있습니다. 원격 게이트웨이 전송을 사용하여 SAP RISE 간에 가상 네트워크 피어링을 설정하면 SAP RISE/ECS 가상 네트워크에 게이트웨이를 추가할 수 없습니다. SAP RISE/ECS 가상 네트워크의 다른 가상 네트워크 게이트웨이와 함께 원격 게이트웨이 전송이 있는 가상 네트워크 피어링의 조합은 불가능합니다.

SAP RISE 관리형 워크로드가 있는 Virtual WAN

SAP RISE/ECS 가상 네트워크 및 온-프레미스 모두에 연결된 허브 및 스포크 네트워크 아키텍처를 사용하는 것과 마찬가지로 Azure vWAN(Virtual Wan) 허브를 동일한 용도로 사용할 수 있습니다. RISE 워크로드는 vWAN 네트워크 허브에 연결된 스포크 네트워크입니다. 앞에서 설명한 SAP RISE에 대한 두 가지 연결 옵션(가상 네트워크 피어링 및 VPN vnet 간 연결)은 vWAN에서 사용할 수 있습니다.

vWAN 네트워크 허브는 고객이 자체 구독으로 배포하고 관리합니다. 또한 고객은 SAP RISE 피어링 스포크 가상 네트워크에 대한 액세스를 통해 vWAN 네트워크 허브를 통해 온-프레미스 연결 및 라우팅을 완전히 관리합니다.

SAP RISE로 마이그레이션 중에 연결

SAP 환경을 SAP RISE로 마이그레이션하는 작업은 몇 개월 이상의 시간 동안 여러 단계로 수행됩니다. 일부 SAP 환경은 이미 마이그레이션되어 있고 생산적으로 사용 중인 반면, 사용자는 마이그레이션을 위해 다른 SAP 시스템을 준비합니다. 대부분의 고객 프로젝트에서 가장 크고 중요한 시스템은 프로젝트의 중간 또는 끝 부분에 마이그레이션됩니다. 데이터 마이그레이션 또는 데이터베이스 복제에 충분한 대역폭을 확보해야 하고, 이미 생산성 있는 RISE 환경에 대한 사용자의 네트워크 경로에 영향을 주어서는 안 됩니다. 이미 마이그레이션된 SAP 시스템이 여전히 온-프레미스 또는 기존 서비스 공급자의 SAP 환경과 통신해야 할 수도 있습니다.

SAP RISE로 마이그레이션하는 계획을 세울 때 각 단계에서 SAP 시스템이 사용자 기반에 도달하는 방법과 RISE/ECS 가상 네트워크로 데이터 전송을 라우팅하는 방법을 계획합니다. 회사 네트워크에 자체적으로 연결된 기존 서비스 공급자와 데이터 센터 같이 여러 위치와 당사자가 관련되는 경우가 많습니다. 이후 단계에서 가장 큰 중요 비즈니스용 시스템에 SAP 데이터를 마이그레이션하는 방법을 고려하지 않고는 VPN에 연결되는 임시 솔루션이 만들어지지 않도록 합니다.

SAP RISE/ECS 관리형 워크로드와 DNS 통합

고객 소유 네트워크를 클라우드 기반 인프라와 통합하고 원활한 이름 확인 개념을 제공하는 것은 성공적인 프로젝트 구현의 중요한 부분입니다. 이 다이어그램은 SAP 소유 구독, 가상 네트워크 및 DNS 인프라와 고객의 로컬 네트워크 및 DNS 서비스의 일반적인 통합 시나리오 중 하나를 설명합니다. 이러한 설정에서 Azure Hub 또는 온-프레미스 DNS 서버는 모든 DNS 항목을 보유합니다. DNS 인프라는 모든 소스(온-프레미스 클라이언트, 고객의 Azure 서비스 및 SAP 관리형 환경)에서 오는 DNS 요청을 확인할 수 있습니다.

디자인 설명 및 세부 정보:

SAP 소유 가상 네트워크에 대한 사용자 지정 DNS 구성
RISE/PCE Azure 가상 네트워크 호스트 DNS 서버 내의 두 VM
고객은 SAP 관리 환경을 실행하는 가상 머신에 이름을 할당하고 정방향/역방향 DNS 항목을 만들려면 하위 도메인/영역(예: ecs.contoso.com)을 SAP에 제공하고 위임해야 합니다. 위임된 영역에 대한 마스터 DNS 역할은 SAP DNS 서버가 보유합니다.
SAP DNS 서버에서 고객의 DNS 서버로의 DNS 영역 전송은 RISE/PCE 환경에서 DNS 항목을 복제하는 기본 방법입니다.
고객의 Azure 가상 네트워크는 Azure Hub 가상 네트워크에 있는 고객 DNS 서버를 참조하는 사용자 지정 DNS 구성도 사용합니다.
필요에 따라 고객은 Azure 가상 네트워크 내에서 프라이빗 DNS 전달자를 설정할 수 있습니다. 그러면 이 전달자는 Azure 서비스에서 오는 DNS 요청을 위임된 영역(예: ecs.contoso.com)을 대상으로 하는 SAP DNS 서버로 푸시합니다.

DNS 영역 전송은 고객이 허브 가상 네트워크 내에서 사용자 지정 DNS 솔루션(예: AD DS 또는 BIND 서버)을 운영하는 경우 디자인에 적용할 수 있습니다.

참고 항목

Azure 제공 DNS와 Azure 프라이빗 영역은 모두 DNS 영역 전송 기능을 지원하지 않으므로 SAP RISE/PCE/ECS DNS 서버에서 DNS 복제를 수락하는 데 사용할 수 없습니다. 또한 SAP는 일반적으로 위임된 영역에 대한 외부 DNS 서비스 공급자를 지원하지 않습니다.

SAP는 Azure에서 SAP RISE를 사용한 DNS 구현에 대한 블로그 게시물을 게시했습니다. 자세한 내용은 여기를 참조하세요.

SAP RISE/ECS 사용 외에 SAP용 Azure DNS 사용에 대해 자세히 알아보려면 다음 블로그 게시물의 세부 정보를 참조하세요.

SAP RISE/ECS를 통한 인터넷 아웃바운드 및 인바운드 연결

외부 애플리케이션 및 인터페이스와 통신하는 SAP 워크로드에는 인터넷으로의 네트워크 송신 경로가 필요할 수 있습니다. 마찬가지로, 회사의 사용자 기반(예: SAP Fiori)에는 SAP 환경에 대한 인터넷 수신 또는 인바운드 연결이 필요합니다. SAP RISE 관리형 워크로드의 경우 SAP 담당자와 협력하여 이러한 https/RFC/기타 통신 경로에 대한 요구 사항을 살펴보세요. 인터넷을 오가는 네트워크 통신은 기본적으로 SAP RISE/ECS 고객에 대해 사용하도록 설정되지 않으며 기본 네트워킹은 개인 IP 범위만 사용합니다. 인터넷 연결에는 고객의 SAP 환경을 최적으로 보호하기 위해 SAP와의 계획이 필요합니다.

SAP RISE와 인터넷 바인딩 또는 들어오는 트래픽을 사용하도록 설정하면 NSG, ASG, WAF(Web Application Firewall)가 있는 Application Gateway, 프록시 서버, 사용 및 네트워크 프로토콜에 따라 기타 기술을 통해 네트워크 통신이 보호됩니다. 이러한 서비스는 SAP RISE/ECS 가상 네트워크 및 구독 내에서 SAP를 통해 완전히 관리됩니다. 인터넷을 오가는 SAP RISE의 네트워크 경로는 일반적으로 SAP RISE/ECS 가상 네트워크 내에서만 유지되며 고객의 자체 vnet으로/에서 전송되지 않습니다.

고객 자체 가상 네트워크 내의 애플리케이션은 각 가상 네트워크에서 직접 또는 Azure Firewall, Azure Application Gateway, NAT Gateway 등과 같은 고객의 중앙 관리형 서비스를 통해 인터넷에 연결합니다. 비 SAP RISE/ECS 애플리케이션에서 SAP BTP로의 연결은 사용자 측에서 동일한 네트워크 인터넷 바인딩 경로를 사용합니다. 이러한 통합을 위해 SAP Cloud Connecter가 필요한 경우 고객의 VM에서 이를 실행합니다. 즉, SAP BTP 또는 공용 엔드포인트 통신은 SAP RISE 워크로드가 관련되지 않은 경우 고객이 직접 관리하는 네트워크 경로에 있습니다.

SAP BTP 연결

SAP BTP(Business Technology Platform)는 일반적으로 인터넷을 통해 공용 IP/호스트 이름으로 액세스하는 다양한 애플리케이션을 제공합니다. Azure 구독에서 실행되는 고객의 서비스는 중앙 방화벽 또는 아웃바운드 공용 IP와 같이 구성된 아웃바운드 액세스 방법을 통해 BTP에 액세스합니다. 그러나 SAP Data Intelligence와 같은 일부 SAP BTP 서비스는 공용 엔드포인트 대신 별도의 가상 네트워크 피어링을 통해 액세스되도록 설계되었습니다.

SAP는 BTP에서 시작된 단방향 요청에 대해 Azure에서 SAP BTP를 사용하는 고객을 위한 Private Link 서비스를 제공합니다. SAP Private Link Service는 개인 IP 범위를 통해 SAP BTP 서비스를 고객의 Azure 네트워크에 연결하므로 인터넷이 아닌 Private Link 서비스를 통해 프라이빗하게 액세스할 수 있습니다. SAP RISE/ECS 워크로드에 대한 이 서비스의 가용성에 대해서는 SAP에 문의합니다. RISE에 대한 SAP Private Link 지원에 대해 자세히 알아보세요.

다음 SAP 블로그 시리즈 Azure용 BTP Private Link Service 시작하기에서 DNS 및 인증서를 다루는 SAP BTP Private Link Service 및 프라이빗 연결 방법의 아키텍처에 대한 SAP 설명서 및 일련의 블로그 게시물을 참조하세요.

SAP RISE와의 네트워크 통신 포트

고객 가상 네트워크에 액세스할 수 있는 Azure 서비스는 사용 가능한 포트를 통해 SAP RISE/ECS 구독 내에서 실행되는 SAP 환경과 통신할 수 있습니다.

SAP 서비스와의 통합을 위한 SAP의 개방형 포트 다이어그램

SAP RISE의 SAP 시스템은 SAP에서 사용자가 사용하도록 구성하고 여는 개방형 네트워크 포트를 통해 액세스할 수 있습니다. https, RFC 및 JDBC/ODBC 프로토콜은 개인 네트워크 주소 범위를 통해 사용할 수 있습니다. 또한 애플리케이션은 SAP RISE 관리형 Azure 애플리케이션 게이트웨이에 의해 노출되는 공개적으로 사용 가능한 IP에서 https를 통해 액세스할 수 있습니다. 애플리케이션 게이트웨이 및 NSG의 열린 포트에 대한 세부 정보 및 설정은 SAP에 문의하세요.

사용 가능한 연결을 통해 Azure 서비스로 SAP 환경을 확장하는 방법에 대한 추가 문서인 SAP RISE와 Azure 서비스 통합을 참조하세요.

다음 단계

다음 설명서를 확인하세요.

다음을 통해 공유