SAP 移轉的網路拓撲和連線能力

本文以 Azure 登陸區域設計區域中針對網路拓撲和連線能力所定義的考慮和建議為基礎。 本文中的指引會檢查 Microsoft Azure 和 SAP 部署內網路和連線能力的重要設計考慮和最佳做法。 因為 SAP 是任務關鍵性平臺，因此您的設計也應該遵循 Azure 登陸區域設計區域的指引。

規劃IP尋址

Azure 中 IP 尋址的計劃對於確保：

• IP 位址空間不會與內部部署位置和 Azure 區域重疊。
• 虛擬網路包含正確的地址空間。
• 子網設定計劃會事先進行。

下列架構圖顯示 Azure 登陸區域加速器上 SAP 的網路考慮：

SAP 實作的設計考慮：

您可以將 子網奉獻 給特定服務，然後在這些子網內建立這些服務的實例。 雖然 Azure 可協助您在虛擬網路中建立多個委派子網，但您只能在 Azure NetApp Files 的虛擬網路中擁有一個委派的子網。 如果您針對 Azure NetApp Files 使用多個委派的子網，則無法建立新的磁碟區。

使用案例：

您需要委派的子網來實作 Azure NetApp Files。 這種方法很適用於共享文件系統的 SAP 部署。 在負載平衡期間，您只需要應用程式網關的委派子網，或 SAP BusinessObjects Business Intelligence，這是負載平衡 SAP Web 應用程式伺服器。

設定內部部署和 Azure 資源的 DNS 和名稱解析

功能變數名稱系統 （DNS） 是 Azure 登陸區域架構的重要部分。 某些組織可能會想要使用其在 DNS 中的現有投資。 其他人可能會將雲端採用視為將其內部 DNS 基礎結構現代化並使用原生 Azure 功能的機會。

SAP 實作的設計建議：

當虛擬機的 DNS 或虛擬名稱在移轉期間未變更時，請使用下列使用案例建議。

使用案例：

• 背景 DNS 和虛擬名稱會連接 SAP 橫向中的許多系統介面，而客戶有時只會了解發開人員隨時間定義的介面。 當虛擬或 DNS 名稱在移轉後變更時，系統之間會發生 連線 挑戰。 為了簡單起見，我們建議您保留 DNS 別名。

• 使用不同的 DNS 區域來區分每個環境，包括沙箱、開發、生產前和生產環境，彼此之間。 其中一個例外是具有自己虛擬網路的 SAP 部署。 在此案例中，可能不需要私人 DNS 區域。

定義 Azure 網路拓撲

企業級登陸區域支援兩個網路拓撲。 一個拓撲是以 Azure 虛擬 WAN 為基礎。 另一個是以中樞和輪輻架構為基礎的傳統網路拓撲。 本節說明這兩個部署模型的建議 SAP 組態和做法。

如果您的組織計劃：

• 跨數個 Azure 區域部署資源，並將您的全域位置連線到 Azure 和內部部署環境。
• 完全整合軟體定義的 WAN 部署與 Azure。
• 跨連線到一個虛擬 WAN 中樞的所有虛擬網路，部署最多 2,000 個虛擬機工作負載。

組織會使用虛擬 WAN 來滿足大規模的互連需求。 Microsoft 會管理此服務，以協助降低整體網路複雜性，並將組織的網路現代化。

如果您的組織，請使用以中樞和輪輻架構為基礎的傳統 Azure 網路拓撲：

• 計劃只在選取 [Azure 區域] 中部署資源。
• 不需要全域互連的網路。
• 每個區域的遠端或分支位置很少，且需要少於 30 個因特網通訊協定安全性 （IPSec） 通道。
• 需要完整控制和粒度，才能手動設定您的 Azure 網路。

SAP 實作的設計建議：

• 在需要跨 Azure 區域和內部部署位置進行全域傳輸連線的新、大型或全域網路中，使用虛擬 WAN 進行 Azure 部署。 藉由採用這種方法，您不需要手動設定 Azure 網路的可轉移路由，而且您可以遵循 Azure 上 SAP 部署的標準。

• 只有在您使用合作夥伴 NVA 時，才請考慮在區域之間部署網路虛擬設備 （NVA）。 如果原生 NVA 存在，則不需要區域或虛擬網路之間的 NVA。 當您部署合作夥伴網路技術和 NVA 時，請遵循廠商的指引，找出與 Azure 網路衝突的組態。

• 虛擬 WAN 會管理虛擬 WAN 型拓撲輪輻虛擬網路之間的連線，因此您不需要設定使用者定義的路由（UDR） 或 NVA。 相同虛擬中樞內網路對網路流量的最大網路輸送量為 50 Gbps。 為了克服此頻寬限制，SAP 登陸區域可以使用虛擬網路對等互連來連線到其他登陸區域。

• 這兩個拓撲都不支援 SAP 應用程式和資料庫伺服器之間的 NVA 部署。

• 本機和全域虛擬網路對等互連提供連線能力，是確保跨多個 Azure 區域進行 SAP 部署登陸區域之間的連線的慣用方法。

規劃輸入與輸出網際網路連線

本節說明對公用因特網的輸入和輸出連線的建議連線模型。 azure 原生網路安全性服務，例如 Azure 防火牆、Azure 應用程式閘道 上的 Azure Web 應用程式防火牆，以及 Azure Front Door 是完全受控的服務，因此您不會產生與基礎結構部署相關聯的作業和管理成本。

SAP 實作的設計建議：

• 對於具有全球使用量的客戶，Azure Front Door 會使用 Web 應用程式防火牆 原則來協助 SAP 部署，以跨 Azure 區域傳遞及保護全域 HTTP 和 HTTPS 應用程式。

• 當您使用 Azure Front Door 和 應用程式閘道 來保護 HTTP 和 HTTPS 應用程式時，請利用 Azure Front Door 中的 Web 應用程式防火牆 原則。 封鎖流量到 應用程式閘道，使其只接收來自 Azure Front Door 的流量。

• 當 應用程式閘道 做為 SAP Web 應用程式的反向 Proxy 時，應用程式閘道 和 Web 應用程式防火牆 有限制。 因為 SAP Web Dispatcher 和 NetScaler 比 應用程式閘道 更聰明，因此，如果您以 應用程式閘道 取代它們，則需要進行廣泛的測試。 請確認最新的狀態，並盡可能列出所有支援、不支援、測試及未測試的案例。

• 使用 Web 應用程式防火牆在因特網公開流量時掃描您的流量。 另一個選項是將它與負載平衡器或具有內建防火牆功能的 應用程式閘道 或第三方解決方案等資源搭配使用。

• 若要防止數據外泄，請使用 Azure Private Link 安全地存取平臺即服務（PaaS）資源，例如 Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake 儲存體 Gen2 和 Azure Data Factory。 私人端點也可以協助保護虛擬網路與服務之間的流量，例如 Azure 儲存體 和 Azure 備份。 虛擬網路與已啟用私人端點的服務之間的流量會透過 Microsoft 全球網路傳輸，以防止其暴露在公用因特網上。

使用高可用性實作 Azure ExpressRoute

Azure ExpressRoute 專為高可用性而設計，可為 Microsoft 資源提供電信業等級的專用網連線。 Microsoft 網路內的 ExpressRoute 路徑中沒有單一失敗點。 為了將可用性最大化，您 ExpressRoute 線路的客戶和服務提供者區段也應該針對高可用性而建置。

SAP 實作的設計建議：

• 請確定您將 ExpressRoute 線路的兩個實體連結連線到網路中兩個不同的邊緣裝置。 如需將ExpressRoute線路可用性最大化的建議，請參閱 ExpressRoute線路復原建議。
• 確保 ExpressRoute 的高可用性。 如需詳細資訊，請參閱 使用 ExpressRoute 設計高可用性。
• 對 ExpressRoute 進行架構完善的檢閱。 如需詳細資訊，請參閱 Azure 架構良好的架構檢閱 - Azure ExpressRoute 建議。
• 請確定您有 ExpressRoute 的災害復原計劃。 如需詳細資訊，請參閱 使用 ExpressRoute 私人對等互連設計災害復原。
• 請確定 ExpressRoute 線路的兩個連線都設定為主動-主動模式。 如需詳細資訊，請參閱 使用 ExpressRoute - 主動-主動連線設計高可用性。
• 設定 ExpressRoute 線路的監視和警示。
• 設定服務健康情況以接收 ExpressRoute 線路維護通知。

定義網路加密需求

本節探討在內部部署與 Azure 環境之間，以及跨 Azure 區域加密網路的重要建議。

SAP 實作的設計考慮：

• 當您使用 ExpressRoute 來設定私人對等互連時，流量預設不會加密。

• 您不需要透過 ExpressRoute 加密 SAP 部署的流量。 SAP 流量通常會耗用大量的頻寬，而且對效能很敏感。 根據預設，IPSec 通道會加密因特網流量，加密或解密可能會對流量的效能造成負面影響。

• 客戶會判斷是否應加密SAP流量。 若要深入了解企業級登陸區域中的網路加密選項，請參閱 網路拓撲和連線能力。

隔離系統

SAP 案例中有不同的環境，包括開發、測試、品質、生產前和生產環境，客戶通常會將這些系統分類為邏輯或實體建構，以維護安全性和合規性標準。 其概念是管理一個通用資源群組中具有相同生命週期的所有系統。 您可以在各種層級定義這些群組，例如訂用帳戶或資源群組層級。

貴組織也應該在將 SAP 環境中的資源分組時，考慮安全性和原則結構。 不過，若要讓 SAP 傳輸在開發、測試、品質和生產環境之間流動，您的組織可能需要：

• 虛擬網路對等互連。
• 虛擬網路之間的防火牆埠開啟。
• UDR 和網路安全組 （NSG） 規則。

我們不建議您在不同的虛擬網路中裝載 SAP 系統的資料庫管理系統 （DBMS） 和應用層，並使用虛擬網路對等互連加以連線。 層之間的網路流量過多可能會產生大量成本。

SAP 實作的其他建議：

• 這兩個拓撲都不支援將 SAP 應用層和 SAP DBMS 放在未對等互連的不同 Azure 虛擬網路中。

• 您可以使用應用程式安全組 （ASG） 和 NSG 規則來定義 SAP 應用程式和 DBMS 層之間的網路安全性存取控制清單。 您可以將虛擬機新增至 ASG，以協助管理其安全性。

• 在 SAP 應用程式和 DBMS 層中使用的虛擬機上啟用 Azure 加速網路。 下列作業系統層級支援 Azure 中的加速網路功能：

  • Windows Server 2012 R2 或更新版本
  • SUSE Linux Enterprise Desktop 12 SP3 或更新版本
  • Red Hat Enterprise Linux 7.4 或更新版本
  • Oracle Linux 7.5
    • 與 Red Hat Enterprise Linux 相容的核心需要 3.10.0-862.13.1.el7 版。
    • Oracle Unbreakable Enterprise Kernel 需要第 5 版。

• 請確定您已設定 Azure Load Balancer 的內部部署，以使用直接伺服器傳回功能。 當您針對 DBMS 層上的高可用性設定使用內部負載平衡器組態時，此功能可減少延遲。

• 如果您使用 Load Balancer 搭配 Linux 客體作業系統，請確定 Linux 網路參數 net.ipv4.tcp_timestamps 已設定為 0。

• 若要讓 SAP 應用程式達到最佳網路等待時間，請考慮使用 Azure 鄰近放置群組。

• 針對移轉專案，請考慮調整網路參數。 例如，您可以藉由在移轉期間停用通知來改善效能。

• 探索 SAP 支援入口網站和 SAP 附注2391465，以深入了解實作 SAP。

RISE 實作的設計考慮

當您在 Azure 中執行 SAP RISE 部署時，SAP 受控環境與您自己的 Azure 生態系統整合至關重要。 若要深入瞭解最佳做法和指引，請參閱 整合 Azure 與 SAP RISE 受控工作負載。

SAP RISE 實作通常有兩種連線選項：站對站 VPN 或虛擬網路對等互連。 如果您沒有任何先前的 Azure 工作負載，站對站 VPN 可能是較容易的選項。 不過，如果您想要採用 Azure 作為策略性平臺，您可以設定適當的 Azure 登陸區域，並使用虛擬網路對等互連至 SAP RISE 租使用者。 在這些案例中，Azure 登陸區域之類的 簡化登陸區域 可能是不錯的選擇。 您可以輕鬆地調整此現成的部署體驗，以符合您的需求，特別是虛擬網路參數。

將跨租使用者虛擬網路對等互連部署至 SAP RISE 租使用者也需要更多工作。 您必須仔細規劃虛擬網路架構，以確保沒有重疊的無類別網路域間路由範圍。 您也必須正確地 將 DNS 對等互連至 SAP RISE 租使用者。

如果您決定設定虛擬 WAN 解決方案，而且需要站對站 VPN 或 ExpressRoute 連線，請考慮限制和限制。