SAP on Azure 登陸區域加速器

使用 SAP on Azure 登陸區域加速器，在雲端採用架構企業規模登陸區域內設定和操作工作負載登陸區域。 登陸區域加速器為您在 Azure 上的 SAP 系統提供特定的架構方法和參考實施。

在成功實施企業規模的登陸區域後，再部署 SAP on Azure 登陸區域加速器。 在部署 SAP on Azure 登陸區域加速器之前，請檢閱企業規模概觀與實施指南。

根據您的架構調整加速器

SAP on Azure 登陸區域加速器的架構因組織而異。 技術考量和設計建議會產生適合貴組織特定情況的獨特設定。 這篇文章所描述的建議可以讓您的組織邁向可持續擴充的架構。

SAP on Azure 登陸區域加速器採用模組化設計。 您可以自訂環境變數。 登陸區域的可自訂方法包括以下資產，以支援您的規劃和實施：

• 設計指導方針
• 架構
• 實作

設計指導方針

當您規劃企業級登陸區域的實施時，您需要做出與幾個整體區域相關的設計決策。 這些文章提供每個區域的設計準則和建議：

• 身分識別和存取管理
• 網路拓撲和連線能力
• 管理與監視
• 商務持續性和災害復原
• 安全性、治理和合規性
• 平台自動化和 DevOps

架構

您需要了解並規劃部署架構的所有關鍵區域。 本文將介紹 Azure 與您的 SAP 系統架構中登陸區域架構的關鍵元件。

登陸區域架構

下圖為概念性參考架構，顯示 SAP on Azure 登陸區域加速器中的關鍵設計區域：

下載此架構的 Visio 檔案。

注意

在 Azure 上部署高可用性 SAP 工作負載時，必須考慮各種可用的部署類型。 還要考慮如何在不同的 Azure 區域中套用，例如跨區域、在單一區域中或在沒有區域的區域中。

若要獲得最高的可用性，請將 SAP 系統部署在區域中的不同區域。

我們建議您使用 platformFaultDomainCount (FD) 值為 1 的彈性虛擬機器規模集，以達到此可用性層級。 如需 SAP 工作負載的各種高可用性部署選項的詳細資訊和討論，請參閱 SAP NetWeaver 的高可用性架構和情境。

高階 SAP 系統架構

下圖是 SAP 系統架構的參考架構，其中包括生產和非生產系統。 此架構是您可以用來在 Azure 上部署 SAP 系統的眾多選項之一。 您所選擇的實施方式取決於您的需求。

使用參考架構作為起點。 您可以下載 Visio 檔案，並在規劃您的登陸區域實施時，修改它以符合您特定的業務和技術需求。

工作流程

這篇文章提供了一個分散在不同層級的高階、整體 SAP 架構範例。

SAP 系統範例架構描述了一個擁有生產和非生產系統的 SAP 系統架構。 這兩個系統都部署在虛擬機器上。 您可以變更虛擬機器的大小和數量，以符合組織的需求。

此範例架構使用虛擬機器規模集在 Azure 上部署 SAP 系統。 本範例中的網路佈局是經過簡化以展示架構原則，並不是要描述整個企業網路。

建議

您的部署可能會有所不同，這取決於您的業務需求。 這些建議提供了一個起點。

訂用帳戶

SAP 系統架構範例使用下列三個訂用帳戶：

• Azure 虛擬集線器訂用帳戶，包含主要和次要地區的中樞虛擬網路。

• Azure SAP 生產訂用帳戶，其中設定了生產和災難復原系統。

• Azure SAP 非生產訂用帳戶，其中非生產系統包含沙箱或開發、質量保證或生產前系統。 此設定是選擇性的。 您可以為每個工作負載區域使用一個訂用帳戶。

網路

SAP 系統架構範例使用中樞輪輻拓樸。 中樞虛擬網路會作為內部部署網路連線的中心點。 輪輻是與中樞對等互連的 SAP 虛擬網路。 您可以使用輪輻隔離工作負載。

此架構每個工作負載區域使用一個 SAP 虛擬網路。 為生產、開發、品質保證和沙箱使用不同的 SAP 虛擬網路。 在架構中，Azure 中樞虛擬網路與生產、開發、品質保證和沙箱虛擬網路對等。 流量會透過閘道連線，在內部部署資料中心與中樞之間流動。

注意

考慮設定站點對站點 (S2S) VPN 作為 Azure ExpressRoute 的備份或任何第三方路由需求。 如需詳細資訊，請參閱使用 S2S VPN 作為 ExpressRoute 私人對等互連的備份。

子網路和網路安全群組

此架構將虛擬網路位址空間細分為子網路。 您可以將每個子網路與定義子網路存取政策的網路安全群組連結。 將應用程式伺服器放置在獨立的子網路中，以便更容易為它們提供安全性。 您可以管理子網路安全政策，而不是管理個別伺服器。 當您將網路安全群組與子網路連結時，網路安全群組就會套用到子網路中的所有伺服器，而您就可以對伺服器進行精細的控制。

此架構有三個或四個子網路，視層級而定。 例如，生產系統可能有以下四個子網路。

• Azure NetApp Files：用於 Azure 上不同 SAP 方案使用 Azure NetApp Files 的委託子網路。
• Azure 應用程式閘道：處理來自網際網路流量的子網路。 例如，此子網路可能會處理 Fiori 應用程式。
• SAP 應用程式：包含 SAP 應用程式伺服器、SAP Central Services、SAP 加入佇列複製服務執行個體和 Web Dispatcher 的子網路。
• 資料庫：只包含資料庫虛擬機器的子網路。

注意

SAP 系統架構範例顯示在單獨的虛擬機器規模集中明確定義 Web Dispatcher。 Web Dispatcher 元件是 SAP 應用程式伺服器之間 SAP 流量的負載平衡器。 為了達到 SAP Web Dispatcher 的高可用性，Azure Load Balancer 實施故障移轉群集或平行 Web Dispatcher 設定。 在周邊網路中為面向網際網路的通訊設定獨立的解決方案架構，以協助滿足安全疑慮。 ASCS 上的內嵌式 Web Dispatcher 描述一個特定選項。 考慮到 SAP ASCS 上其他工作負載所需的大小。

虛擬機器擴展集

對於所有集區和群集 (SAP Web Dispatcher、SAP 應用程式伺服器、SAP Central Services 和 SAP HANA)，將虛擬機器分組在不同的虛擬機器規模集中。 建立虛擬機器規模集不收取任何費用。 您只需為您建立的每台虛擬機器付費。

虛擬機器和可用性區域

Azure 可用性區域是區域內的唯一執行個體位置。 每個區域都是由一或多個資料中心所組成，配備了獨立的電力、冷卻系統及網路系統。

當您設計可用性區域時，請檢查區域間的延遲。 了解區域內區間的網路延遲，有助於您選擇跨區網路流量的網路延遲最小的可用性區域。

設定可用性區域時，請將 ExpressRoute、Azure VPN 閘道和應用程式閘道的實例使用區域備援服務。

如需 Azure 上 SAP 可用性區域架構的詳細資訊，請參閱 SAP HA 可用性區域。

必須確保工作負載中使用的所有 Azure 資源都設定為區域備援或跨可用性區域的區域元件。 為了協助此程序，將 Azure 區域復原力原則倡議指派給中間管理群組。 此動作可確保「開始具有應變能力並保持應變能力」的方法。 區域復原內建原則旨在：

• 提供清晰且可行的資訊，協助設計、規劃及自動化 AZ 復原部署。
• 偵測：稽核訂用帳戶是否違反這些原則。
• 對於不遵守區域復原標準的資源，防止使用拒絕效果設定。

在實施程序結束時，可檢查是否符合這項倡議。 有關 Azure 區域復原力原則倡議的更多資訊，請參閱此處。

Azure NetApp Files 和 Azure Files

Azure NetApp Files 和 Azure Files 搭配網路檔案系統 (NFS) 和伺服器訊息區塊 (SMB)，可提供 SAP Central Services、共用 SAP 掛載和全局傳輸目錄的高可用性檔案共用需求。

若要處理傳輸目錄需求，請使用傳輸群組選項，如針對 SAP NetWeaver 的 Azure 虛擬機器規劃與實施中所述。 另一種處理傳輸需求的方法是，將其中一個 SAP 層作為主要生產系統，提供傳輸目錄分享給橫向架構中的其他系統。

SAP Central Services 的高可用性需求因作業系統而異。 例如：

• 對於 Linux 作業系統，共用檔案系統通常會放置在高可用性 NFS 儲存或 Azure NetApp Files 執行個體上，以提供高可用性 NFS 共用。 如需詳細資訊，請參閱 NFS over Azure Files 或 Azure NetApp Files。

• 如需 Windows 上高可用性的相關資訊，請參閱含 SMB 的 Azure Files 和含 SMB 的 Azure NetApp Files。

Azure NetApp Files 共用可託管 SAP HANA 資料和記錄檔。 將此設定用於具有備用節點的 HANA 擴充部署模型。 Azure NetApp Files 支援 HANA 擴充或 HANA 向外延展與備用節點。

Azure Files 提供兩種主要類型的端點，用於存取 Azure 檔案分享：

• 公用端點具有公用 IP 位址，您可以從世界的任何地方存取這些端點。

• 私人端點存在於虛擬網路內，而且具有私人 IP 位址，其來自該虛擬網路的位址空間內部。

SAP 系統架構範例使用私有端點，因此虛擬網路的用戶端可以透過私人連結存取資料，進而提高安全性。

SAP BTP 連線能力

Azure Private Link 現已正式運作。 SAP Private Link 服務目前支援來自 SAP BTP、Cloud Foundry 執行階段以及其他服務在 Private Link 資源之上的連線，適用於最常見的負載平衡器加上虛擬機器的情境。 情境範例包括在虛擬機器上執行 SAP S/4HANA 或 SAP ERP，並連線至 Azure 原生服務，例如適用於 MariaDB 的 Azure 資料庫或適用於 MySQL 的 Azure 資料庫。

此架構範例顯示與 BTP 環境的 SAP Private Link 服務連線。 SAP Private Link 服務以服務提供者帳戶的方式，在特定 SAP BTP 服務與基礎結構中的特定服務之間建立專用連線。 如果您重複使用私人連結功能，BTP 服務就可以透過專用網路連線存取您的 S/4 HANA 環境，避免透過公共網際網路傳輸資料。

如需更多關於連接至 BTP 服務的情境資訊，請參閱 SAP 社群有關 Private Link 服務架構效果的部落格文章。

考量

在設計登陸區域時，請考慮以下因素。

橫向合併

考慮為沙箱和開發環境等非生產系統設定橫向合併。 例如，考慮不同的使用案例：

• HANA 資料庫方案通常會在不同的虛擬機器中執行應用程式和資料庫。

• AnyDB 方案可能有雙層部署，其中 SAP 應用程式和資料庫在同一台虛擬機器上執行。

在 SAP 系統架構範例中，這些元件是分開的，以便在維護、規劃、監控和變更控制方面提供更大的靈活性。 根據您的需求選擇設計。

元件資訊

架構範例中的元件可讓您用於第 2 天的作業。 這些元件包括用來備份 SAP 系統的 Azure 復原服務保存庫，以及其他可協助您利用雲端原生 Azure 資料服務擴充和改善 SAP 資料平台的元件。

Azure Synapse Analytics、Azure Data Factory 和 Azure Data Lake Storage 等服務可透過結合 SAP 資料與非 SAP 資料，並建立分析平台，協助您發掘業務深入解析。 若要評估解決方案開發環境設計，請檢閱最佳實務。 您可以根據 SAP 層級和環境設計的最佳實務，使用 Data Factory 和 Data Lake Storage 的不同執行個體。

Azure 整合執行階段是 Data Factory 和 Azure Synapse 管道用來提供資料整合功能的運算基礎結構。 考慮在各層中為這些服務部署執行時虛擬機器。 如需如何連線 SAP 系統和部署 Azure 整合執行階段的範例，請參閱這些文章：

• 設定在 SAP CDC 解決方案中使用的自我裝載式整合執行階段

• 從 SAP ECC 複製資料

• 從 SAP HANA 複製資料

• 從 SAP 表複製資料

• 透過開放式中心從 SAP Business Warehouse 複製資料

如需所有架構元件的詳細資訊，請參閱 Azure Linux 中的 SAP S/4HANA。

三種 SAP 產品的 SAP 橫向架構範例

以下的參考架構是本篇文章前面出現的高階架構的延伸。 圖中描述了一個使用三個 SAP 產品的範例。 該範例展示的只是您可以使用虛擬機器規模集將 SAP 系統部署到 Azure 的其中一個選項。

使用此架構作為起點。 下載 Visio 檔案，並在規劃您的登陸區域實施時，修改它以符合您特定的業務和技術需求。

範例工作流程

SAP 客戶根據其特定的使用案例，執行各種 SAP 產品。 該架構圖顯示了一個使用三種常見 SAP 產品的範例。 途中說明了一個分散在不同層級的 SAP 架構範例。

在工作流程圖中，ERP 代表舊版的 SAP ECC 系統或新一代的 SAP S/4HANA 系統。 BW 是 SAP Business Warehouse。 PI/PO 指程序整合或流程協調。 不同的顏色代表工作流程中出現的各種 SAP 產品。

實作

有兩種實施選項。

選項 1

Azure 上的 SAP 部署自動化架構是結合彈性工作流程的流程集合。 該架構存放庫包含在 Azure 上自動部署 SAP 橫向架構的程式碼。 這些範本可分為下列類別。

• Azure 模組上的 Terraform。 使用 Terraform 模組在 Azure 上部署基礎結構元件，包括：
  • 虛擬機器
  • 網路
  • 儲存體
• Ansible 劇本。 將 Ansible 劇本用於：
  • 設定和部署虛擬機器。
  • 安裝 SAP HANA。
  • 安裝其他必要應用程式。

使用 Terraform on Azure 模組，在基礎結構上部署和安裝 Ansible 劇本元件。

選項 2

Azure SAP 解決方案中心是一套 Azure 服務，透過整合服務、工具和框架，為部署和管理 SAP 工作負載提供統一的解決方案。

適用於 SAP 解決方案的虛擬執行個體是 Azure SAP 解決方案中心的基礎。 您可以使用適用於 SAP 解決方案的虛擬執行個體，在 SID 層級或個別元件層級，以對您有意義的方式建立和管理 SAP 系統。

您可以使用 Azure SAP 解決方案中心採取下列步驟：

1. Deploy。 選擇如何在 Azure 上部署您的 SAP 系統。
2. 代表。 在您部署或註冊現有部署時，建立每個系統的邏輯表示。
3. 管理。 設定具有管理功能的作業。

Azure SAP 解決方案中心提供這些功能：

引導式 SAP 部署

Azure SAP 解決方案中心可在 Azure 上自動部署 SAP S/4HANA 系統。 該中心提供部署基礎結構的引導式解決方案，並自動安裝 S/4HANA 軟體。

您只需提供最少的輸入，即可選擇適當的部署類型。 這些部署以最新的最佳實務和參考架構為基礎。 您可以根據 SAPS 和資料庫記憶體需求，取得部署 SAP 系統的規格建議。

現有 SAP 系統之註冊

如果您已經在 Azure 上執行 SAP 系統或正在移轉，您可以使用 Azure SAP 解決方案中心，透過簡單的註冊程序整合現有系統。 此註冊程序支援在 Linux 和 Windows 上執行的 SAP S/4HANA 和 NetWeaver ABAP 系統。

智慧 SAP 管理

無論是建立新的 SAP 系統或是註冊現有系統，Azure SAP 解決方案中心都能提供這些優點：

• 與 Azure Advisor 整合的品質檢查，可讓您知道基礎結構和作業系統組態何時偏離已記錄的最佳實務和標準。 這些檢查可以節省疑難排解的時間，並在偏差導致問題之前提示您採取行動，從而提高系統品質。
• 能夠從集中式工具檢視多個 SAP 系統的 SAP 狀態與健康狀況。 此功能可讓您快速找出影響 SAP 系統及其元件的問題。
• 能夠直接從 Azure 停止或啟動 SAP 系統。
• 能夠在 SAP SID 層級檢視部署後成本。
• 與 Azure Monitor for SAP Solutions 整合。 此整合可提供技術監控，並使您能夠將 SAP 系統的遙測資料與作業系統、DBMS 及底層 Azure 基礎結構的遙測資料相互關聯。
• 透過使用 Azure Resource Graph，能夠根據 SID 在您的 SAP 系統中搜尋。 此功能可讓您更容易發現哪些 Azure 資源是 SAP 橫向架構的一部分。 Resource Graph 是一項 Azure 服務，可讓您跨訂用帳戶進行規模查詢，從而提供高效的資源探索。

下一步

針對您的 Azure 上的 SAP 登陸區域加速器架構，檢閱下列設計區域：

• 企業註冊
• 身分識別和存取管理
• 網路拓撲和連線能力
• 資源組織
• 治理
• 作業基準
• 商務持續性和災害復原
• 部署選項