編輯

共用方式為


SAP 橫向架構

Azure 虛擬機器
Azure 虛擬網路
Azure 檔案
Azure Load Balancer

本文提供在 Azure 中建構整個 SAP 環境的最佳作法。 SAP 環境包含跨中樞、生產、非生產環境及災害復原環境的多個SAP系統。 我們提供著重於網路設計而非特定SAP系統的建議。 目標是提供我們的建議,以建構安全、高效能且具彈性的 SAP 環境。

架構

顯示 Azure 中整體 SAP 環境範例的圖表。

下載架構的 Visio 檔案

工作流程

  1. 內部部署網路:從內部部署網路到連線的 Azure 區域的 ExpressRoute 連線。
  2. Azure 訂用帳戶區域中樞:包含整個企業中央服務的 Azure 訂用帳戶,而不只是 SAP。 中樞訂用帳戶會透過對等互連至包含 SAP 工作負載的輪輻虛擬網路來提供連線能力。
  3. 中樞虛擬網路:主要區域或區域 A 中中央中樞的虛擬網路輪輻。
  4. 中樞災害復原 (DR) 虛擬網路:災害復原區域中中央中樞的虛擬網路輪輻。 它會鏡像主要區域中生產虛擬網路的子網設計。
  5. Azure 訂用帳戶 SAP 非生產:所有非生產 SAP 工作負載的 Azure 訂用帳戶。 其中包含生產前、品質保證、開發和沙盒環境。
  6. SAP 非生產輪輻虛擬網路:主要區域中 SAP 非生產工作負載的個別虛擬網路。 每個 SAP 環境都有自己的虛擬網路和子網。
  7. Azure 訂用帳戶 SAP 生產:所有生產 SAP 工作負載的 Azure 訂用帳戶。
  8. SAP 生產輪輻虛擬網路:具有多個子網之 SAP 生產環境的虛擬網路。 此虛擬網路位於主要區域中。
  9. SAP 生產災害復原 (DR) 輪輻虛擬網路:次要災害復原區域中 SAP 生產環境的虛擬網路。 它會鏡像主要區域中生產虛擬網路的子網設計。
  10. Azure 服務:您可以連線到 SAP 環境之 Azure 服務的取樣。
  11. SAP Business Technology Platform (BTP):SAP 環境會透過 Azure Private Link 存取 SAP Business Technology Platform。

Azure 訂用帳戶

我們建議使用中樞輪輻網路設計。 使用中樞輪輻設計,您至少需要三個訂用帳戶來分割 SAP 環境。 您應該擁有 (1) 區域中樞虛擬網路、(2) 非生產虛擬網路和 (3) 生產虛擬網路的訂用帳戶。 訂用帳戶提供計費、原則和安全性界限。 沒有正確的訂用帳戶數目。 您使用的訂用帳戶數目取決於您的計費、原則和安全性需求。 一般而言,您想要避免使用太多訂用帳戶。 太多訂用帳戶可能會增加不必要的管理額外負荷和網路複雜性。 例如,您不需要每個 SAP 系統的訂用帳戶。 我們的架構使用三個訂用帳戶:

  • 區域中樞:主要和次要區域存在中樞虛擬網路的 Azure 虛擬中樞訂用帳戶。 此訂用帳戶適用於所有中央服務,而不只是 SAP。

  • SAP 非生產:非生產系統所在的 Azure SAP 非生產訂用帳戶,包括沙箱、開發、品質保證或生產前系統。

  • SAP 生產:我們設定生產與災害復原系統的 Azure SAP 生產訂用帳戶。

如需詳細資訊,請參閱

網路設計

中樞輪輻拓撲是 SAP 環境的建議網路設計。 在此拓撲中,生產中樞虛擬網路會作為連線的中心點。 它會連線到內部部署網路和各種輪輻虛擬網路,並讓使用者和應用程式存取 SAP 工作負載。 在此中樞輪輻拓撲中,以下是 SAP 網路設計的建議。

使用 ExpressRoute 進行內部部署連線。 針對 SAP 工作負載,我們建議使用 ExpressRoute 將內部部署網路連線到中樞虛擬網路和中樞 DR 虛擬網路。 如果您有全域位置,則可以使用 Azure 虛擬 WAN 拓撲。 請考慮將站對站 VPN 設定為備份至 Azure ExpressRoute 或任何第三方路由需求。

如需詳細資訊,請參閱

每個環境使用一個虛擬網路。 我們建議在每個環境使用一個虛擬網路(SAP 部署層)。 此架構會使用不同的虛擬網路來進行生產、開發、質量保證和沙盒。 此網路設計適用於大型企業架構。

使用中央防火牆。 輪輻虛擬網路的所有網路流量,包括遠端函式呼叫 (RFC) 連線,都應該通過中樞虛擬網路中的中央防火牆。 輪輻虛擬網路(輪輻對輪輻通訊)之間的網路通訊會通過中樞虛擬網路 Azure 防火牆 子網中的中樞虛擬網路防火牆。 同樣地,輪輻虛擬網路與內部部署網路之間的網路通訊也會通過中樞虛擬網路防火牆。 我們使用虛擬網路對等互連,將各種輪輻虛擬網路連線到中樞虛擬網路。 輪輻虛擬網路之間的所有通訊都會通過中樞虛擬網路防火牆。 您也可以使用網路虛擬設備,而不是防火牆。 如需詳細資訊,請參閱 網路虛擬設備

保留在虛擬網路中的網路流量不應該通過防火牆。 例如,請勿在 SAP 應用程式子網和 SAP 資料庫子網之間放置防火牆。 您無法在執行 SAP 核心的 SAP 應用程式與資料庫管理系統 (DBMS) 層之間放置防火牆或網路虛擬裝置 (NVA)。

避免對等互連輪輻虛擬網路。 如果可能的話,應避免輪輻虛擬網路之間的虛擬網路對等互連。 輪輻對輪輻虛擬網路對等互連可讓輪輻對輪輻通訊略過中樞虛擬網路防火牆。 當您有高頻寬需求時,應該只設定輪輻對輪輻虛擬網路對等互連,例如,在 SAP 環境之間進行資料庫複寫。 所有其他網路流量都應該透過中樞虛擬網路和防火牆執行。 如需詳細資訊,請參閱 Azure 上 SAP 的輸入和輸出因特網連線。

子網路

最佳做法是將每個 SAP 環境(生產前、生產前、開發、沙盒)分割成子網,並使用子網將相關服務分組。 以下是針對 SAP 環境進行子網設定的建議。

子網數目

架構中的生產虛擬網路有五個子網。 此設計適用於大型企業解決方案。 子網數目可以小於或更多。 虛擬網路中的資源數目應該決定虛擬網路中的子網數目。

子網路大小調整

請確定子網有足夠的網路位址空間。 如果您使用 SAP 虛擬主機名,則需要 SAP 子網中的更多地址空間。 每個 SAP 實例通常需要 2-3 個 IP 位址,並包含虛擬機主機名的一個 IP 位址。 在 SAP 工作負載虛擬網路中部署時,其他 Azure 服務可能需要自己的專用子網。

應用程式子網路

應用程式子網包含執行 SAP 應用程式伺服器的虛擬機、SAP 中央服務 (ASCS)、SAP 加入佇列復寫服務 (ERS) 和 SAP Web 發送器實例。 子網也包含要 Azure 檔案儲存體 的私人端點。 在圖表中,我們依角色將虛擬機分組。 我們建議使用虛擬機擴展集搭配彈性協調流程、可用性區域或可用性設定組來進行復原部署。 如需詳細資訊,請參閱 後續步驟

資料庫子網路

資料庫子網會保留執行資料庫的虛擬機。 在圖表中,一對具有同步復寫的虛擬機代表一個SAP環境的所有資料庫虛擬機。

周邊子網

周邊子網面向因特網,並包含 SAP 周邊子網和 應用程式閘道 子網。 以下是設計這兩個子網的建議。

SAP 周邊子網:SAP 周邊子網是包含因特網面向應用程式的周邊網路,例如 SAProuter、SAP Cloud Connector、SAP Analytics 雲端代理程式和 應用程式閘道。 這些服務相依於 SAP 小組應該部署、管理及設定的 SAP 系統。 中央 IT 小組不應該管理 SAP 周邊子網中的服務。 基於這個理由,您應該將這些服務放在 SAP 輪輻虛擬網路中,而不是中樞虛擬網路。 架構圖只會顯示生產SAP周邊網路。 它沒有非生產虛擬網路中的 SAP 周邊子網。 非生產 SAP 訂用帳戶中的工作負載會使用 SAP 周邊子網中的服務。

您可以在非生產訂用帳戶中建立個別的 SAP 周邊子網。 我們只會針對經常變更的重要工作負載或工作負載,建議使用此方法。 專用的非生產環境 SAP 周邊有助於測試和新功能部署。 較不重要的應用程式或應用程式,只要經過一段時間的修改就很少,就不需要個別的非生產 SAP 周邊子網。

應用程式閘道 子網:Azure 應用程式閘道 需要自己的子網。 使用它來允許 SAP 服務,例如 SAP Fiori 可以使用的因特網流量。 建議的架構會將 Azure 應用程式閘道 與其前端公用IP位址放在中樞虛擬網路中。 Azure 應用程式閘道 至少需要 /29 大小的子網。 我們建議大小 /27 或更大。 您無法在同一個子網中使用這兩個版本的 應用程式閘道 (v1 和 v2)。 如需詳細資訊,請參閱 Azure 應用程式閘道 的子網。

將周邊子網放在個別的虛擬網路中,以提高安全性:為了提高安全性,您可以將 SAP 周邊子網和 應用程式閘道 子網放在 SAP 生產訂用帳戶內的個別虛擬網路中。 SAP 周邊輪輻虛擬網路會與中樞虛擬網路對等互連,而公用網路的所有網路流量都會流經周邊虛擬網路。 此替代方法會顯示 Azure 應用程式閘道,以及其公用IP位址,以用於SAP專用的輪輻虛擬網路中輸入連線。

此圖顯示虛擬網路輪輻之間透過中樞虛擬網路之間的網路流程。

下載 Visio 檔案,包括此替代架構。

此網路設計提供更佳的事件回應功能和更細緻的網路訪問控制。 不過,也會增加部署的管理複雜度、網路等待時間和成本。 讓我們討論每個點。

更好的事件回應:如果您偵測到缺口,SAP 周邊輪輻虛擬網路可讓您快速隔離遭入侵的服務。 您可以將虛擬網路對等互連從 SAP 周邊輪輻虛擬網路移除至中樞,並立即隔離 SAP 周邊工作負載和 SAP 應用程式虛擬網路應用程式與因特網。 您不想依賴網路安全組 (NSG) 規則變更事件回應。 變更或移除 NSG 規則只會影響新的連線,而且不會剪下現有的惡意連線。

細部網路訪問控制:SAP 周邊虛擬網路提供更嚴格的網路訪問控制,從 SAP 生產輪輻虛擬網路來回提供更嚴格的網路訪問控制。

增加複雜度、延遲和成本:架構會增加管理複雜度、成本和延遲。 SAP 生產虛擬網路的因特網系結通訊會對等互連兩次,一次到中樞虛擬網路,再一次連線到 SAP 周邊虛擬網路到因特網。 中樞虛擬網路中的防火牆對延遲的影響最大。 建議您測量延遲,以查看您的使用案例是否可以支援它。

如需詳細資訊,請參閱 周邊網路最佳做法

Azure NetApp Files 子網路

如果您使用 NetApp Files,則應該有委派的子網,為 Azure 上的不同 SAP 案例提供網路檔案系統 (NFS) 或伺服器消息塊 (SMB) 檔案共用。 /24 子網是 NetApp Files 子網的預設大小,但您可以變更大小以符合您的需求。 使用您自己的需求來判斷適當的重設大小。 如需詳細資訊,請參閱 委派的子網

子網安全性

使用子網將具有相同安全性規則需求的 SAP 資源分組,可讓您更輕鬆地管理安全性。

網路安全組 (NSG):子網可讓您在子網層級實作網路安全組。 將需要不同安全性規則之相同子網中的資源分組,需要子網層級和網路介面層級的網路安全組。 使用此兩層設定時,安全性規則很容易衝突,而且可能會導致難以疑難解答的非預期通訊問題。 NSG 規則也會影響子網內的流量。 如需 NSG 的詳細資訊,請參閱 網路安全組

應用程式安全組 (ASG):我們建議使用應用程式安全組將虛擬機網路介面分組,並參考網路安全組規則中的應用程式安全組。 此設定可讓您更輕鬆地建立和管理 SAP 部署的規則。 每個網路介面都可以屬於具有不同網路安全組規則的多個應用程式安全組。 如需詳細資訊,請參閱 應用程式安全組

我們建議使用 Azure Private Link 來改善網路通訊的安全性。 Azure Private Link 會使用私人端點搭配私人 IP 位址來與 Azure 服務通訊。 Azure Private Links 可避免透過因特網將網路通訊傳送至公用端點。 如需詳細資訊,請參閱 Azure 服務上的私人端點。

在應用程式子網中使用私人端點:我們建議使用私人端點,將應用程式子網聯機到支援的 Azure 服務。 在架構中,每個虛擬網路的應用程式子網中有 Azure 檔案儲存體 的私人端點。 您可以將此概念延伸至任何支援的 Azure 服務。

使用適用於 SAP Business Technology Platform 的 Azure Private Link (BTP):現已正式推出適用於 SAP Business Technology Platform (BTP) 的 Azure Private Link。 SAP Private Link 服務支援 SAP BTP、Cloud Foundry 執行時間和其他服務的連線。 範例案例包括虛擬機上執行的 SAP S/4HANA 或 SAP ERP。 他們可以連線到 Azure 原生服務,例如 適用於 MariaDB 的 Azure 資料庫 和 適用於 MySQL 的 Azure 資料庫。

此架構描述 SAP BTP 環境的 SAP Private Link 服務連線。 SAP Private Link 服務會建立特定 SAP BTP 服務與每個網路中特定服務之間的私人連線,作為服務提供者帳戶。 私人連結可讓 BTP 服務透過專用網連線存取 SAP 環境。 它藉由不使用公用因特網進行通訊來改善安全性。

如需詳細資訊,請參閱

網路檔案系統 (NFS) 和伺服器消息塊 (SMB) 檔案共用

SAP 系統通常取決於網路檔案系統磁碟區或伺服器消息塊共用。 這些檔案共用會將檔案移至虛擬機之間,或當做與其他應用程式的檔案介面運作。 建議您使用原生 Azure 服務,例如 Azure 進階檔案和 Azure NetApp Files,作為您的網路檔案系統 (NFS) 和伺服器消息塊 (SMB) 檔案共用。 Azure 服務比作業系統型工具更好的組合可用性、復原能力和服務等級協定(SLA)。

如需詳細資訊,請參閱

在建構 SAP 解決方案時,您必須正確調整個別檔案共用磁碟區的大小,並知道 SAP 系統檔案共用會連線到哪個磁碟區。 在規劃期間,請記住 Azure 服務的延展性和效能目標。 下表概述常見的 SAP 檔案共用,並提供簡短的描述,並建議在整個 SAP 環境中使用。

檔案共用名稱 使用方式 建議
sapmnt 分散式 SAP 系統、配置檔和全域目錄 每個 SAP 系統的專用共用,不重複使用
cluster 每個個別設計的 ASCS、ERS 和資料庫高可用性共用 每個 SAP 系統的專用共用,不重複使用
saptrans SAP 傳輸目錄 一或少數 SAP 環境共用 (ERP,Business Warehouse)
interface 與非 SAP 應用程式進行檔案交換 客戶特定需求,每個環境個別的檔案共享(生產、非生產)

您只能在不同的 SAP 環境之間共用 saptrans ,因此,您應該仔細考慮其位置。 基於延展性和效能考慮,請避免將太多 SAP 系統合併成一個 saptrans 共用。

公司安全策略會推動環境之間的架構和磁碟區分隔。 每個環境或層級區隔的傳輸目錄需要 SAP 環境之間的 RFC 通訊,才能允許 SAP 傳輸群組或傳輸網域連結。 如需詳細資訊,請參閱

資料服務

此架構包含 Azure 資料服務,可協助您擴充和改善 SAP 數據平臺。 為了協助解除商務見解,建議您使用 Azure Synapse Analytics、Azure Data Factory 和 Azure Data Lake Storage 等服務。 這些數據服務可協助您分析和可視化 SAP 數據和非 SAP 數據。

對於許多數據整合案例,需要整合運行時間。 Azure 整合運行時間是 Azure Data Factory 和 Azure Synapse Analytics 管線用來提供數據整合功能的計算基礎結構。 我們建議針對每個環境分別部署這些服務的運行時間虛擬機。 如需詳細資訊,請參閱

共用服務

SAP 解決方案依賴共用服務。 負載平衡器和應用程式閘道是多個 SAP 系統所使用的服務範例。 架構,但您的組織需求應該決定如何建構共用服務。 以下是您應該遵循的一般指引。

負載平衡器:我們建議每個 SAP 系統一個負載平衡器。 此設定有助於將複雜度降至最低。 您想要避免在單一負載平衡器上太多集區和規則。 此設定也可確保命名與放置與 SAP 系統和資源群組一致。 每個具有叢集高可用性 (HA) 架構的 SAP 系統都應該至少有一個負載平衡器。 此架構會針對 ASCS 虛擬機使用一個負載平衡器,併為資料庫虛擬機使用第二個負載平衡器。 某些資料庫可能不需要負載平衡器來建立高可用性部署。 SAP HANA 會執行此工作。 如需詳細資訊,請參閱資料庫特定檔。

應用程式閘道:除非連線系統的複雜性和數目太高,否則建議每個 SAP 環境至少一個應用程式網關(生產、非生產及沙盒)。 您可以使用多個 SAP 系統的應用程式閘道來降低複雜性,因為環境中並非所有 SAP 系統都需要公用存取。 單一應用程式閘道可以為單一 SAP S/4HANA 系統提供多個 Web 發送器埠,或供不同的 SAP 系統使用。

SAP Web Dispatcher 虛擬機:架構會顯示兩個以上的 SAP Web Dispatcher VM 集區。 建議您不要在不同的 SAP 系統之間重複使用 SAP Web Dispatcher 虛擬機。 將它們分開,可讓您調整 Web 發送器虛擬機的大小,以符合每個 SAP 系統的需求。 針對較小的 SAP 解決方案,建議您在 ASCS 實例中內嵌 Web Dispatcher 服務。

SAP 服務:SAP 服務,例如 SAProuter、Cloud Connector 和分析雲端代理程式,會根據集中或分割的應用程式需求來部署。 由於不同的客戶需求,因此不建議在 SAP 系統之間重複使用。 網路一節會提及要做出的主要決策,以及何時應使用非生產環境的 SAP 周邊子網。 否則,只有 SAP 的生產周邊子網,SAP 周邊服務會由整個 SAP 環境取用。

災害復原

災害復原 (DR) 可解決主要 Azure 區域無法使用或遭入侵時,商務持續性的需求。 從整體 SAP 橫向觀點來看,如下圖所示,以下是災害復原設計的建議。

使用不同的IP位址範圍 虛擬網路只會跨越單一 Azure 區域。 任何災害復原解決方案都應該使用不同的區域。 您必須在次要區域中建立不同的虛擬網路。 DR 環境中的虛擬網路需要不同的IP位址範圍,才能透過資料庫原生技術啟用資料庫同步處理。

中央服務和內部部署的連線:災害復原區域中必須能夠連線到內部部署和主要中央服務(DNS 或防火牆)。 中央 IT 服務的可用性和變更設定必須是災害復原計劃的一部分。 中央 IT 服務是運作中 SAP 環境的重要元件。

使用 Azure Site Recovery Azure Site Recovery 將受控磁碟和虛擬機設定複寫並保護應用程式伺服器至 DR 區域。

確定檔案共用可用性:SAP 取決於密鑰檔案共用的可用性。 備份或連續檔案共享復寫是必要的,才能在DR案例中提供這些檔案共享的數據,且數據遺失最少。

資料庫復 寫 Azure Site Recovery 無法保護 SAP 資料庫伺服器,因為服務的高變更率和缺乏資料庫支援。 您必須設定對災害復原區域的連續和異步資料庫複寫。

如需詳細資訊,請參閱 SAP 工作負載的災害復原概觀和基礎結構指導方針。

較小的 SAP 架構

對於較小的 SAP 解決方案,簡化網路設計可能很有説明。 然後,每個SAP環境的虛擬網路都會是這類合併虛擬網路內的子網。 網路和訂用帳戶設計需求的任何簡化都可能會影響安全性。 您應該重新評估網路路由、存取公用網路、存取共用服務(檔案共用),以及存取其他 Azure 服務。 以下是壓縮架構以更符合組織需求的一些選項。

將 SAP 應用程式和資料庫子網結合成一個。 您可以結合應用程式和資料庫子網來建立一個大型 SAP 網路。 此網路設計會鏡像許多內部部署 SAP 網路。 這兩個子網的組合需要更注意子網安全性和網路安全組規則。 針對 SAP 應用程式和資料庫子網使用單一子網時,應用程式安全組很重要。

結合 SAP 周邊子網和應用程式子網。 您可以結合周邊子網和 SAP 應用程式子網。 必須注意網路安全組規則和應用程式安全組的使用。 我們只建議針對小型SAP資產採用這種簡化方法。

在不同 SAP 環境之間結合 SAP 輪輻虛擬網路 架構會針對每個 SAP 環境 使用不同的虛擬網路(中樞、生產、非生產環境及災害復原)。 視 SAP 環境的大小而定,您可以將 SAP 輪輻虛擬網路合併成更少或甚至只有一個 SAP 輪輻。 您仍然需要在生產環境和非生產環境之間劃分。 每個 SAP 生產環境都會成為一個 SAP 生產虛擬網路中的子網。 每個 SAP 非生產環境都會成為一個 SAP 非生產虛擬網路中的子網。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主要作者:

下一步