Настройка уровня управления
Уровень управления для платформы автоматизации развертывания SAP состоит из следующих компонентов:
- Учетные данные средства развертывания
- Библиотека SAP.
Учетные данные средства развертывания
Средство развертывания — это подсистема выполнения платформы автоматизации развертывания SAP. Это предварительно настроенная виртуальная машина, которая используется для выполнения команд Terraform и Ansible. При использовании Azure DevOps развертывание является локальным агентом.
Конфигурация средства развертывания выполняется в файле переменной Terraform tfvars .
Если вы хотите использовать существующую группу ресурсов для средства развертывания, укажите идентификатор ресурса Azure для группы ресурсов, используя resource_group_arm_id параметр в файле tfvars средства развертывания. Если параметр не определен, группа ресурсов создается с помощью именования по умолчанию. Имя по умолчанию можно изменить с помощью resource_group_name параметра.
Параметры Terraform
В этой таблице показаны параметры Terraform. Эти параметры необходимо вводить вручную, если вы не используете скрипты развертывания.
| «Переменная» | Описание | Тип |
|---|---|---|
tfstate_resource_id |
Идентификатор ресурса Azure для учетной записи хранения в библиотеке SAP, содержащей файлы состояния Terraform | Обязательное поле |
Параметры среды
В этой таблице показаны параметры, определяющие именование ресурсов.
| «Переменная» | Описание | Тип | Примечания. |
|---|---|---|---|
environment |
Идентификатор плоскости управления (максимум 5 символов). | Обязательно | Например, PROD для рабочей среды и NP для непроизводственных сред. |
location |
Регион Azure, в котором необходимо развернуть. | Обязательное поле | Используйте строчные регистры. |
codename |
Дополнительный компонент для именования ресурсов. | Необязательно | |
name_override_file |
Имя переопределяет файл. | Необязательно | См . раздел "Пользовательское именование". |
place_delete_lock_on_resources |
Поместите блокировку удаления на ключевые ресурсы. | Необязательно |
Группа ресурсов
В этой таблице показаны параметры, определяющие группу ресурсов.
| «Переменная» | Описание | Тип |
|---|---|---|
resourcegroup_name |
Имя создаваемой группы ресурсов | Необязательно |
resourcegroup_arm_id |
Идентификатор ресурса Azure для существующей группы ресурсов | Необязательно |
resourcegroup_tags |
Теги, связанные с группой ресурсов | Необязательно |
Сетевые параметры
Платформа автоматизации поддерживает создание виртуальной сети и подсетей (зеленое поле) или использование существующей виртуальной сети и существующих подсетей (коричневого поля) или сочетание зеленого поля и коричневого поля:
- Сценарий с зеленым полем: адресное пространство виртуальной сети и префиксы адресов подсети должны быть указаны.
- Сценарий браун-поля: идентификатор ресурса Azure для виртуальной сети и подсетей должны быть указаны.
Рекомендуемый CIDR адресного пространства виртуальной сети —/27, что позволяет использовать место для 32 IP-адресов. Значение CIDR, равное/28, позволяет использовать только 16 IP-адресов. Если вы хотите включить брандмауэр Azure, используйте значение CIDR (/25), поскольку для брандмауэра Azure требуется диапазон /26.
Рекомендуемое значение CIDR для подсети управления — /28, что позволяет 16 IP-адресов. Рекомендуемое значение CIDR для подсети брандмауэра — /26, что позволяет использовать 64 IP-адреса.
В этой таблице показаны параметры сети.
| «Переменная» | Описание | Тип | Примечания. |
|---|---|---|---|
management_network_name |
Имя виртуальной сети, в которой будет развернут сервер развертывания | Необязательно | Для развертываний зеленых полей |
management_network_logical_name |
Логическое имя сети (DEV-WEEU-MGMT01-INFRASTRUCTURE) | Обязательное поле | |
management_network_arm_id |
Идентификатор ресурса Azure для виртуальной сети | Необязательно | Для развертываний с коричневым полем |
management_network_address_space |
Диапазон адресов для виртуальной сети | Обязательно | Для развертываний зеленых полей |
management_subnet_name |
Имя подсети | Необязательно | |
management_subnet_address_prefix |
Диапазон адресов для подсети | Обязательно | Для развертываний зеленых полей |
management_subnet_arm_id |
Идентификатор ресурса Azure для подсети | Обязательно | Для развертываний с коричневым полем |
management_subnet_nsg_name |
Имя группы безопасности сети | Необязательно | |
management_subnet_nsg_arm_id |
Идентификатор ресурса Azure для группы безопасности сети | Обязательно | Для развертываний с коричневым полем |
management_subnet_nsg_allowed_ips |
Диапазон разрешенных IP-адресов для добавления в брандмауэр Azure | Необязательно | |
management_firewall_subnet_arm_id |
Идентификатор ресурса Azure для подсети Брандмауэр Azure | Обязательно | Для развертываний с коричневым полем |
management_firewall_subnet_address_prefix |
Диапазон адресов для подсети | Обязательно | Для развертываний зеленых полей |
management_bastion_subnet_arm_id |
Идентификатор ресурса Azure для подсети Бастиона Azure | Обязательно | Для развертываний с коричневым полем |
management_bastion_subnet_address_prefix |
Диапазон адресов для подсети | Обязательно | Для развертываний зеленых полей |
webapp_subnet_arm_id |
Идентификатор ресурса Azure для подсети веб-приложения | Обязательно | Для развертываний с коричневым полем |
webapp_subnet_address_prefix |
Диапазон адресов для подсети | Обязательно | Для развертываний зеленых полей |
use_private_endpoint |
Использование частных конечных точек. | Необязательно | |
use_service_endpoint |
Используйте конечные точки службы для подсетей. | Необязательно |
Примечание.
При использовании существующей подсети для веб-приложения подсеть должна быть пуста в том же регионе, что и развернутая группа ресурсов, и делегированная Microsoft.Web/serverFarms.
Параметры виртуальной машины развертывания
В этой таблице показаны параметры, связанные с виртуальной машиной развертывания.
| «Переменная» | Описание | Тип |
|---|---|---|
deployer_size |
Определяет номер SKU виртуальной машины, используемый по умолчанию: Standard_D4ds_v4 | Необязательно |
deployer_count |
Определяет количество развертываний | Необязательно |
deployer_image |
Определяет используемый образ виртуальной машины по умолчанию: Ubuntu 22.04 | Необязательно |
plan |
Определяет план, связанный с образом виртуальной машины | Необязательно |
deployer_disk_type |
Определяет тип диска, по умолчанию: Premium_LRS | Необязательно |
deployer_use_DHCP |
Управляет, если IP-адреса, предоставляемые подсетью Azure, должны использоваться (динамические) true | Необязательно |
deployer_private_ip_address |
Определяет частный IP-адрес, используемый | Необязательно |
deployer_enable_public_ip |
Определяет, есть ли у средства развертывания общедоступный IP-адрес | Необязательно |
auto_configure_deployer |
Определяет, настроен ли средство развертывания с необходимым программным обеспечением (Terraform и Ansible) | Необязательно |
add_system_assigned_identity |
Определяет, назначается ли средство развертывания системным удостоверением. | Необязательно |
Образ виртуальной машины определяется с помощью следующей структуры:
xxx_vm_image = {
os_type = ""
source_image_id = ""
publisher = "Canonical"
offer = "0001-com-ubuntu-server-jammy"
sku = "22_04-lts"
version = "latest"
type = "marketplace"
}
Примечание.
Тип может быть marketplace/marketplace_with_plan/custom.
Для использования образа типа marketplace_with_plan требуется, чтобы образ, который был под вопросом, использовался по крайней мере один раз в подписке. Первое использование предложит пользователю принять условия лицензии, и автоматизация не имеет никаких средств для его утверждения.
Параметры проверки подлинности
В этом разделе определяются параметры, используемые для определения проверки подлинности виртуальной машины.
| «Переменная» | Описание | Тип |
|---|---|---|
deployer_vm_authentication_type |
Определяет проверку подлинности по умолчанию для развертывания | Необязательно |
deployer_authentication_username |
Имя учетной записи администратора | Необязательно |
deployer_authentication_password |
Пароль администратора | Необязательно |
deployer_authentication_path_to_public_key |
Путь к открытому ключу, используемому для проверки подлинности | Необязательно |
deployer_authentication_path_to_private_key |
Путь к закрытому ключу, используемому для проверки подлинности | Необязательно |
use_spn |
Если определено развертывание будет выполнено с помощью субъекта-службы, в противном случае — MSI | Необязательно |
Параметры хранилища ключей
В этом разделе определяются параметры, используемые для определения сведений Azure Key Vault.
| «Переменная» | Описание | Тип |
|---|---|---|
user_keyvault_id |
Идентификатор ресурса Azure для хранилища ключей пользователя. | Необязательно |
spn_keyvault_id |
Идентификатор ресурса Azure для хранилища ключей, содержащего учетные данные развертывания. | Необязательно |
deployer_private_key_secret_name |
Имя секрета хранилища ключей для закрытого ключа развертывания. | Необязательно |
deployer_public_key_secret_name |
Имя секрета хранилища ключей для открытого ключа развертывания. | Необязательно |
deployer_username_secret_name |
Имя секрета хранилища ключей для имени пользователя развертывающего средства развертывания. | Необязательно |
deployer_password_secret_name |
Имя секрета хранилища ключей для пароля развертывающего средства. | Необязательно |
additional_users_to_add_to_keyvault_policies |
Список идентификаторов объектов пользователя, добавляемых в политики доступа к хранилищу ключей развертывания. | Необязательно |
set_secret_expiry |
Установите срок действия 12 месяцев для секретов хранилища ключей. | Необязательно |
soft_delete_retention_days |
Количество дней, в течение которых элементы должны храниться в период обратимого удаления. | Необязательно |
deployer_assign_subscription_permissions |
Управляет назначением разрешений подписки. | Необязательно |
Поддержка DNS
| «Переменная» | Описание | Тип |
|---|---|---|
dns_label |
DNS-имя зоны Частная зона DNS. | Необязательно |
use_custom_dns_a_registration |
Использует внешнюю систему для DNS, заданную как false для машинного кода Azure. | Необязательно |
management_dns_subscription_id |
Идентификатор подписки для подписки, содержащей зону Частная зона DNS. | Необязательно |
management_dns_resourcegroup_name |
Группа ресурсов, содержащая зону Частная зона DNS. | Необязательно |
Прочие параметры
| «Переменная» | Описание | Тип | Примечания. |
|---|---|---|---|
firewall_deployment |
Логический флаг, который управляет развертыванием брандмауэра Azure. | Необязательно | |
bastion_deployment |
Логический флаг, который управляет развертыванием узла Бастиона Azure. | Необязательно | |
bastion_sku |
SKU для узла Бастиона Azure для развертывания (базовый или стандартный). | Необязательно | |
enable_purge_control_for_keyvaults |
Логический флаг, который определяет, включен ли элемент управления очистки в хранилище ключей. | Необязательно | Используется только для тестовых развертываний. |
enable_firewall_for_keyvaults_and_storage |
Ограничить доступ к выбранным подсетям. | Необязательно | |
Agent_IP |
IP-адрес агента. | Необязательно | |
add_Agent_IP |
Определяет, добавляется ли IP-адрес агента в хранилище ключей и брандмауэры учетной записи хранения. | Необязательно |
Параметры веб-приложения
| «Переменная» | Описание | Тип | Примечания. |
|---|---|---|---|
use_webapp |
Логическое значение, указывающее, следует ли развертывать веб-приложение. | Необязательно | |
app_service_SKU_name |
Номер SKU плана Служба приложений. | Необязательно | |
app_registration_app_id |
Идентификатор регистрации приложения, используемый для веб-приложения. | Необязательно | |
webapp_client_secret |
Номер SKU плана Служба приложений. | Необязательно | Сохранение в Key Vault |
Пример файла параметров для средства развертывания (только обязательные параметры)
# The environment value is a mandatory field, it is used for partitioning the environments, for example (PROD and NP)
environment="MGMT"
# The location/region value is a mandatory field, it is used to control where the resources are deployed
location="westeurope"
# management_network_address_space is the address space for management virtual network
management_network_address_space="10.10.20.0/25"
# management_subnet_address_prefix is the address prefix for the management subnet
management_subnet_address_prefix="10.10.20.64/28"
# management_firewall_subnet_address_prefix is the address prefix for the firewall subnet
management_firewall_subnet_address_prefix="10.10.20.0/26"
# management_bastion_subnet_address_prefix is a mandatory parameter if bastion is deployed and if the subnets are not defined in the workload or if existing subnets are not used
management_bastion_subnet_address_prefix = "10.10.20.128/26"
deployer_enable_public_ip=false
firewall_deployment=true
bastion_deployment=true
библиотека SAP.
Библиотека SAP предоставляет постоянное хранилище файлов состояния Terraform и скачанный носитель установки SAP для плоскости управления.
Конфигурация библиотеки SAP выполняется в файле переменной Terraform tfvars .
Если вы хотите использовать существующую группу ресурсов для библиотеки SAP, укажите идентификатор ресурса Azure для группы ресурсов, используя resource_group_arm_id параметр в файле tfvars средства развертывания. Если параметр не определен, группа ресурсов создается с помощью именования по умолчанию. Имя по умолчанию можно изменить с помощью resource_group_name параметра.
Параметры Terraform
В этой таблице показаны параметры Terraform. Эти параметры необходимо вводить вручную, если вы не используете скрипты развертывания или Azure Pipelines.
| «Переменная» | Описание | Тип | Примечания. |
|---|---|---|---|
deployer_tfstate_key |
Имя файла состояния для средства развертывания | Обязательное поле |
Параметры среды
В этой таблице показаны параметры, определяющие именование ресурсов.
| «Переменная» | Описание | Тип | Примечания. |
|---|---|---|---|
environment |
Идентификатор плоскости управления (не более пяти символов) | Обязательно | Например, PROD для рабочей среды и NP для непроизводственных сред. |
location |
Регион Azure, в котором необходимо развернуть | Обязательное поле | Используйте строчные регистры. |
name_override_file |
Файл переопределения имен | Необязательно | См . раздел "Пользовательское именование". |
Группа ресурсов
В этой таблице показаны параметры, определяющие группу ресурсов.
| «Переменная» | Описание | Тип |
|---|---|---|
resourcegroup_name |
Имя создаваемой группы ресурсов | Необязательно |
resourcegroup_arm_id |
Идентификатор ресурса Azure для существующей группы ресурсов | Необязательно |
resourcegroup_tags |
Теги, связанные с группой ресурсов | Необязательно |
Учетная запись хранения носителей установки SAP
| «Переменная» | Описание | Тип |
|---|---|---|
library_sapmedia_arm_id |
Идентификатор ресурса Azure | Необязательно |
Учетная запись хранения удаленного состояния Terraform
| «Переменная» | Описание | Тип |
|---|---|---|
library_terraform_state_arm_id |
Идентификатор ресурса Azure | Необязательно |
Поддержка DNS
| «Переменная» | Описание | Тип |
|---|---|---|
dns_label |
DNS-имя зоны Частная зона DNS. | Необязательно |
use_custom_dns_a_registration |
Используйте существующую зону Частная зона DNS. | Необязательно |
management_dns_subscription_id |
Идентификатор подписки для подписки, содержащей зону Частная зона DNS. | Необязательно |
management_dns_resourcegroup_name |
Группа ресурсов, содержащая зону Частная зона DNS. | Необязательно |
Дополнительные параметры
| «Переменная» | Описание | Тип |
|---|---|---|
use_private_endpoint |
Использование частных конечных точек. | Необязательно |
use_service_endpoint |
Используйте конечные точки службы для подсетей. | Необязательно |
enable_firewall_for_keyvaults_and_storage |
Ограничить доступ к выбранным подсетям. | Необязательно |
subnets_to_add_to_firewall_for_keyvaults_and_storage |
Подсети, которым требуется доступ к хранилищам ключей и учетным записям хранения. | Необязательно |
Пример файла параметров для библиотеки SAP (только обязательные параметры)
# The environment value is a mandatory field, it is used for partitioning the environments, for example (PROD and NP)
environment = "MGMT"
# The location/region value is a mandatory field, it is used to control where the resources are deployed
location = "westeurope"