Szerkesztés

Share via

SAP fekvő architektúra

Azure Virtual Machines
Azure Virtual Network
Azure Files
Azure Load Balancer

Ez a cikk az azure-beli teljes SAP-környezetek architektúrájának ajánlott eljárásait ismerteti. Az SAP-környezet több SAP-rendszert tartalmaz a központ, az éles, a nem éles és a vészhelyreállítási környezetek között. Olyan javaslatokat nyújtunk, amelyek a hálózattervezésre összpontosítanak, nem pedig az adott SAP-rendszerekre. A cél az, hogy javaslatokat nyújtsunk a biztonságos, nagy teljesítményű és rugalmas SAP-környezetek létrehozásához.

Architektúra

Diagram, amely az Azure-beli SAP-környezet mintáját mutatja be.

Töltse le az architektúra Visio-fájlját .

Munkafolyamat

  1. Helyszíni hálózat: ExpressRoute-kapcsolat a helyszíni hálózatról a csatlakoztatott Azure-régiókba.
  2. Azure-előfizetés regionális központjai: Az Azure-előfizetés központi szolgáltatásokat tartalmaz a teljes vállalat számára, nem csak az SAP-t. A hub-előfizetés az SAP számítási feladatokat tartalmazó küllős virtuális hálózatok közötti társviszony-létesítés révén biztosítja a kapcsolatot.
  3. Központi virtuális hálózat: Küllős virtuális hálózat a központi központhoz az elsődleges régióban vagy az A régióban.
  4. Központi vészhelyreállítási (DR) virtuális hálózat: A központi központ küllős virtuális hálózata a vészhelyreállítási régióban. Az elsődleges régióban található éles virtuális hálózat alhálózatának kialakítását tükrözi.
  5. Azure-előfizetés – NEM éles SAP: Azure-előfizetés az összes nem éles SAP-számítási feladathoz. Ez magában foglalja a gyártás előtti, a minőségbiztosítási, a fejlesztési és a tesztkörnyezeti környezeteket.
  6. SAP nem éles küllős virtuális hálózatok: Elkülöníti a virtuális hálózatokat az elsődleges régióban az SAP nem éles számítási feladataihoz. Minden SAP-környezet saját virtuális hálózattal és alhálózatokkal rendelkezik.
  7. Azure-előfizetés SAP-termelése: Azure-előfizetés az összes éles SAP-számítási feladathoz.
  8. SAP éles küllős virtuális hálózat: Az SAP éles környezetének több alhálózattal rendelkező virtuális hálózata. Ez a virtuális hálózat az elsődleges régióban található.
  9. SAP éles vészhelyreállítási (DR) küllős virtuális hálózat: Az SAP-termelés virtuális hálózata a másodlagos vészhelyreállítási régióban. Az elsődleges régióban található éles virtuális hálózat alhálózatának kialakítását tükrözi.
  10. Azure-szolgáltatások: Az SAP-környezethez csatlakoztatható Azure-szolgáltatások mintavételezése.
  11. SAP Business Technology Platform (BTP): Az SAP-környezet Azure Private Link keresztül fér hozzá az SAP Business Technology Platformhoz.

Azure-előfizetések

Küllős hálózat kialakítását javasoljuk. Küllős kialakítással legalább három előfizetésre van szüksége az SAP-környezetek megosztásához. Rendelkeznie kell egy előfizetéssel (1) regionális központi virtuális hálózatokhoz, (2) nem éles virtuális hálózatokhoz és (3) éles virtuális hálózatokhoz. Az előfizetések számlázási, szabályzati és biztonsági határokat biztosítanak. Nincs megfelelő számú előfizetés. A használt előfizetések száma a számlázástól, a szabályzattól és a biztonsági igényektől függ. Általában el szeretné kerülni a túl sok előfizetés használatát. Túl sok előfizetés adhat szükségtelen felügyeleti többletterhelést és a hálózatkezelés összetettségét. Például nincs szükség előfizetésre az egyes SAP-rendszerekhez. Az architektúra három előfizetést használ:

  • Regionális központok: Olyan Azure-beli virtuális központ-előfizetés, amelyben a központi virtuális hálózat az elsődleges és másodlagos régiókhoz tartozik. Ez az előfizetés az összes központi szolgáltatásra érvényes, nem csak az SAP-ra.

  • NEM éles SAP: Olyan Azure SAP nem éles előfizetés, amelyben nem éles rendszerek találhatók, beleértve a tesztkörnyezetet, a fejlesztést, a minőségbiztosítást vagy az éles üzem előtti rendszereket.

  • SAP-termelés: Egy Azure SAP éles előfizetés, amelyben az éles és vészhelyreállítási rendszereket konfiguráltuk.

További információkért lásd:

Hálózattervezés

A küllős topológia az SAP-környezetek ajánlott hálózati kialakítása. Ebben a topológiában az éles központ virtuális hálózata központi csatlakozási pontként működik. Csatlakozik a helyszíni hálózathoz és a különböző küllős virtuális hálózatokhoz, és lehetővé teszi a felhasználók és alkalmazások számára az SAP számítási feladathoz való hozzáférést. Ebben a küllős topológiában íme az SAP-hálózat tervezésére vonatkozó javaslataink.

Használja az ExpressRoute-ot a helyszíni kapcsolathoz. SAP-alapú számítási feladatok esetén javasoljuk, hogy az ExpressRoute használatával csatlakoztassa a helyszíni hálózatot a központi virtuális hálózathoz és a központi dr. virtuális hálózathoz. Ha globális helyekkel rendelkezik, használhatja az Azure virtual WAN-topológiát. Fontolja meg a helyek közötti (S2S) VPN beállítását az Azure ExpressRoute biztonsági mentéseként vagy bármely külső útvonalra vonatkozó követelményként.

További információkért lásd:

Környezetenként egy virtuális hálózatot használjon. Javasoljuk, hogy környezetenként egy virtuális hálózatot használjunk (SAP üzembehelyezési szint). Az architektúra egy másik virtuális hálózatot használ az éles környezethez, a fejlesztéshez, a minőségbiztosításhoz és a tesztkörnyezethez. Ez a hálózati kialakítás ideális nagyvállalati architektúrákhoz.

Használjon központi tűzfalat. A küllős virtuális hálózatok felé irányuló összes hálózati forgalomnak, beleértve a távoli függvényhívási (RFC-) kapcsolatokat is, át kell haladnia a központi tűzfalon a központi virtuális hálózaton. A küllős virtuális hálózatok közötti hálózati kommunikáció (küllő-küllős kommunikáció) a központi virtuális hálózati tűzfalon halad át a központi virtuális hálózat Azure Firewall alhálózatán. Hasonlóképpen, a küllős virtuális hálózatok és a helyszíni hálózat közötti hálózati kommunikáció is áthalad a központi virtuális hálózati tűzfalon. A virtuális hálózatok közötti társviszony-létesítés használatával csatlakoztattuk a különböző küllős virtuális hálózatokat a központi virtuális hálózathoz. A küllős virtuális hálózatok közötti összes kommunikáció áthalad a központi virtuális hálózati tűzfalon. Tűzfal helyett hálózati virtuális berendezést is használhat. További információ: hálózati virtuális berendezés.

A virtuális hálózaton maradó hálózati forgalom nem haladhat át tűzfalon. Például ne helyezzen tűzfalat az SAP-alkalmazás alhálózata és az SAP-adatbázis alhálózata közé. Nem helyezhet el tűzfalat vagy hálózati virtuális berendezéseket (NVA-kat) az SAP-alkalmazás és az SAP-kernelt futtató SAP-rendszerek adatbázis-felügyeleti rendszerrétege (DBMS) között.

Kerülje a küllős virtuális hálózatok közötti társviszony-létesítést. Ha lehetséges, el kell kerülni a küllős virtuális hálózatok közötti virtuális hálózatok közötti társviszony-létesítést. A küllős virtuális hálózatok közötti társviszony-létesítés lehetővé teszi a küllők közötti kommunikációt a központi virtuális hálózati tűzfal megkerüléséhez. A küllős virtuális hálózatok közötti társviszony-létesítést csak akkor érdemes konfigurálni, ha nagy sávszélességű követelményekkel rendelkezik, például az adatbázis-replikációval az SAP-környezetek között. Minden más hálózati forgalomnak a központi virtuális hálózaton és a tűzfalon keresztül kell futnia. További információ: Az AZURE-beli SAP bejövő és kimenő internetkapcsolata.

Alhálózatok

Ajánlott eljárás az egyes SAP-környezetek (éles, éles üzem előtti, fejlesztés, tesztkörnyezet) alhálózatokra való felosztása, valamint alhálózatok használata a kapcsolódó szolgáltatások csoportosítására. Íme az SAP-környezetek aláépítésére vonatkozó javaslataink.

Alhálózatok száma

Az architektúra éles virtuális hálózata öt alhálózattal rendelkezik. Ez a kialakítás ideális nagyvállalati megoldásokhoz. Az alhálózatok száma kisebb vagy több is lehet. A virtuális hálózatban lévő erőforrások számának meg kell határoznia a virtuális hálózat alhálózatainak számát.

Alhálózat méretezése

Győződjön meg arról, hogy az alhálózatok elegendő hálózati címtérrel rendelkeznek. Ha SAP-beli virtuális gazdagépneveket használ, több címtérre van szüksége az SAP-alhálózatokban. Gyakran minden SAP-példányhoz 2–3 IP-cím szükséges, és egy IP-címet tartalmaz a virtuális gép gazdaneve számára. Más Azure-szolgáltatásokhoz saját dedikált alhálózatra lehet szükség az SAP számítási feladat virtuális hálózataiban való üzembe helyezéskor.

Alkalmazás alhálózata

Az alkalmazás alhálózata SAP-alkalmazáskiszolgálókat, SAP Central Servicest (ASCS), SAP Enqueue Replication Servicest (ERS) és SAP Web Dispatcher-példányokat futtató virtuális gépeket tartalmaz. Az alhálózat egy privát végpontot is tartalmaz a Azure Files. Az ábrán a virtuális gépeket szerepkör szerint csoportosítottuk. Javasoljuk, hogy rugalmas vezényléssel, rendelkezésre állási zónákkal vagy rendelkezésre állási csoportokkal rendelkező virtuálisgép-méretezési csoportokat használjunk a rugalmas üzembe helyezéshez. További információt a következő lépésekben talál.

Adatbázis-alhálózat

Az adatbázis alhálózata adatbázisokat futtató virtuális gépeket tartalmaz. A diagramon a szinkron replikációval rendelkező virtuális gépek párja egy SAP-környezet összes adatbázis-virtuális gépét képviseli.

Szegélyhálózatok

A szegélyhálózatok internetkapcsolattal rendelkezőek, és egy SAP szegélyhálózatot és egy Application Gateway alhálózatot tartalmaznak. Íme a két alhálózat tervezésére vonatkozó javaslataink.

SAP szegélyhálózati alhálózat: Az SAP szegélyhálózat egy szegélyhálózat, amely olyan internetes alkalmazásokat tartalmaz, mint az SAProuter, az SAP Cloud Connector, az SAP Analytics Cloud Agent és a Application Gateway. Ezek a szolgáltatások olyan SAP-rendszerekhez tartoznak, amelyeket az SAP-csapatnak üzembe kell helyeznie, kezelnie és konfigurálnia kell. Egy központi informatikai csapat nem felügyelheti a szolgáltatásokat az SAP szegélyhálózatán. Ezért ezeket a szolgáltatásokat ne a központi virtuális hálózaton, hanem az SAP küllős virtuális hálózatában helyezze el. Az architektúradiagramon csak egy éles SAP szegélyhálózat látható. Nem rendelkezik SAP szegélyhálózattal a nem éles virtuális hálózatokban. A nem éles SAP-előfizetés számítási feladatai az SAP peremhálózati alhálózatán található szolgáltatásokat használják.

A nem éles előfizetésben külön sap szegélyhálózatot hozhat létre. Ezt a megközelítést csak a kritikus fontosságú számítási feladatokhoz vagy a gyakran változó számítási feladatokhoz javasoljuk. A dedikált, nem éles SAP szegélyhálózat hasznos a teszteléshez és az új funkciók üzembe helyezéséhez. A kevésbé kritikus alkalmazásoknak és azoknak az alkalmazásoknak, amelyeknek idővel csak kevés módosításuk lesz, nincs szükségük külön, nem éles SAP szegélyhálózatra.

Application Gateway alhálózat: Azure Application Gateway saját alhálózatot igényel. Segítségével engedélyezheti az internetről érkező forgalmat, amelyet az SAP-szolgáltatások, például az SAP Fiori használhatnak. Az ajánlott architektúra Azure Application Gateway az előtérbeli nyilvános IP-címével együtt helyezi el a központi virtuális hálózaton. Egy Azure Application Gateway legalább /29 méretű alhálózatot igényel. A /27-es vagy nagyobb méretet javasoljuk. A Application Gateway (v1 és v2) mindkét verzióját nem használhatja ugyanabban az alhálózatban. További információ: Azure Application Gateway alhálózata.

Helyezze a szegélyhálózatokat egy külön virtuális hálózatba a nagyobb biztonság érdekében: A nagyobb biztonság érdekében az SAP szegélyhálózati alhálózatát és Application Gateway alhálózatot egy külön virtuális hálózatba helyezheti az SAP éles előfizetésen belül. Az SAP szegélyhálózati küllős virtuális hálózata a központi virtuális hálózattal van társítva, és a nyilvános hálózatokra érkező összes hálózati forgalom áthalad a szegélyhálózati virtuális hálózaton. Ez az alternatív megközelítés azt mutatja be, Azure Application Gateway a nyilvános IP-címével a küllős virtuális hálózaton elhelyezett bejövő kapcsolatokhoz kizárólag SAP-használatra.

Diagram a küllők közötti hálózati forgalomról a központi virtuális hálózaton keresztül.

Töltsön le egy Visio-fájlt , amely tartalmazza ezt az alternatív architektúrát.

Ez a hálózat kialakítása jobb incidensmegoldási képességeket és részletesebb hálózati hozzáférés-vezérlést biztosít. Ugyanakkor növeli a felügyelet összetettségét, a hálózati késést és az üzembe helyezés költségeit is. Beszéljünk meg minden pontot.

Jobb incidenskezelés: Az SAP peremhálózati küllős virtuális hálózata lehetővé teszi a feltört szolgáltatások gyors elkülönítését, ha incidenst észlel. Eltávolíthatja a virtuális hálózatok közötti társviszonyt az SAP peremhálózat küllős virtuális hálózatáról a központhoz, és azonnal elkülönítheti az SAP szegélyhálózati számítási feladatait és az SAP-alkalmazás virtuális hálózati alkalmazásait az internetről. Nem szeretne a hálózati biztonsági csoport (NSG) szabályainak módosításaira támaszkodni az incidenskezeléshez. Az NSG-szabályok módosítása vagy eltávolítása csak az új kapcsolatokat érinti, és nem csökkenti a meglévő rosszindulatú kapcsolatokat.

Finomított hálózati hozzáférés-vezérlés: Az SAP szegélyhálózati virtuális hálózata szigorúbb hálózati hozzáférés-vezérlést biztosít az SAP éles küllős virtuális hálózatához és onnan.

Megnövekedett összetettség, késés és költség: Az architektúra növeli a felügyelet összetettségét, költségeit és késését. Az SAP éles virtuális hálózat internethez kötött kommunikációja kétszer, egyszer a központi virtuális hálózathoz, majd ismét az SAP peremhálózati virtuális hálózatához kapcsolódik az internethez. A központi virtuális hálózat tűzfala a legnagyobb hatással van a késésre. Javasoljuk, hogy mérje meg a késést, és ellenőrizze, hogy a használati eset támogatja-e.

További információ: A szegélyhálózat ajánlott eljárásai.

Azure NetApp Files alhálózat

NetApp Files használata esetén rendelkeznie kell egy delegált alhálózattal, amely hálózati fájlrendszerbeli (NFS) vagy kiszolgálói üzenetblokk (SMB) fájlmegosztásokat biztosít különböző AZURE-beli SAP-forgatókönyvekhez. A NetApp Files-alhálózat alapértelmezett mérete a /24 alhálózat, de igény szerint módosíthatja a méretet. A megfelelő méretezés meghatározásához használja a saját követelményeit. További információ: Delegált alhálózat.

Alhálózat biztonsága

Ha alhálózatokkal csoportosítja az azonos biztonságiszabály-követelményekkel rendelkező SAP-erőforrásokat, egyszerűbbé válik a biztonság kezelése.

Hálózati biztonsági csoportok (NSG): Az alhálózatok lehetővé teszik a hálózati biztonsági csoportok implementálását az alhálózat szintjén. Ha ugyanabban az alhálózatban csoportosítja az erőforrásokat, amelyek különböző biztonsági szabályokat igényelnek, az alhálózat és a hálózati adapter szintjén hálózati biztonsági csoportokra van szükség. Ezzel a kétszintű beállítással a biztonsági szabályok könnyen ütközhetnek, és olyan váratlan kommunikációs problémákat okozhatnak, amelyek nehezen háríthatók el. Az NSG-szabályok az alhálózaton belüli forgalmat is befolyásolják. Az NSG-kkel kapcsolatos további információkért lásd: Hálózati biztonsági csoportok.

Alkalmazásbiztonsági csoportok (ASG):Azt javasoljuk, hogy alkalmazásbiztonsági csoportokkal csoportosítsa a virtuális gépek hálózati adaptereit, és hivatkozzon az alkalmazásbiztonsági csoportokra a hálózati biztonsági csoport szabályaiban. Ez a konfiguráció megkönnyíti a szabályok létrehozását és kezelését az SAP-környezetekben. Minden hálózati adapter több alkalmazásbiztonsági csoporthoz is tartozhat, amelyek különböző hálózati biztonsági csoportszabályokat tartalmaznak. További információ: Alkalmazásbiztonsági csoportok.

Javasoljuk, hogy Azure Private Link használatával javítsa a hálózati kommunikáció biztonságát. Azure Private Link privát IP-címekkel rendelkező privát végpontokat használ az Azure-szolgáltatásokkal való kommunikációhoz. Az Azure Private Links nem küld hálózati kommunikációt az interneten keresztül a nyilvános végpontokra. További információ: Privát végpontok az Azure-szolgáltatásokban.

Privát végpontok használata az alkalmazás alhálózatán: Azt javasoljuk, hogy privát végpontok használatával csatlakoztassa az alkalmazás alhálózatát a támogatott Azure-szolgáltatásokhoz. Az architektúrában az egyes virtuális hálózatok Alkalmazás alhálózatában található egy privát végpont az Azure Files számára. Ezt a koncepciót bármely támogatott Azure-szolgáltatásra kiterjesztheti.

Használja a Azure Private Link az SAP Business Technology Platformhoz (BTP): az SAP Business Technology Platform (BTP) Azure Private Link mostantól általánosan elérhető. Az SAP Private Link Service támogatja az SAP BTP, a Cloud Foundry-futtatókörnyezet és más szolgáltatások kapcsolatait. Példaforgatókönyvek például a virtuális gépen futó SAP S/4HANA vagy SAP ERP. Csatlakozhatnak natív Azure-szolgáltatásokhoz, például Azure Database for MariaDB és Azure Database for MySQL.

Az architektúra SAP Private Link Service-kapcsolatot ábrázol SAP BTP-környezetekből. Az SAP Private Link Service privát kapcsolatot hoz létre az egyes hálózatokban található egyes SAP BTP-szolgáltatások és adott szolgáltatások között szolgáltatói fiókként. A privát kapcsolat lehetővé teszi, hogy a BTP-szolgáltatások privát hálózati kapcsolatokon keresztül hozzáférjenek az SAP-környezethez. Növeli a biztonságot azáltal, hogy nem használja a nyilvános internetet a kommunikációhoz.

További információkért lásd:

Hálózati fájlrendszer ( NFS) és kiszolgálói üzenetblokk (SMB) fájlmegosztások

Az SAP-rendszerek gyakran függenek a hálózati fájlrendszer köteteitől vagy a kiszolgálói üzenetblokk-megosztásoktól. Ezek a fájlmegosztások fájlokat helyeznek át virtuális gépek között, vagy fájlillesztőként működnek más alkalmazásokkal. Javasoljuk, hogy natív Azure-szolgáltatásokat használjon, például az Azure Premium Filest és a Azure NetApp Files hálózati fájlrendszer (NFS) és kiszolgálói üzenetblokk (SMB) fájlmegosztásként. Az Azure-szolgáltatások jobban kombinálják a rendelkezésre állást, a rugalmasságot és a szolgáltatói szerződéseket (SLA-kat), mint az operációs rendszer alapú eszközöket.

További információkért lásd:

Az SAP-megoldás létrehozásakor megfelelően kell méreteznie az egyes fájlmegosztási köteteket, és tudnia kell, hogy melyik SAP-rendszerfájlmegosztáshoz csatlakozik. A tervezés során tartsa szem előtt az Azure-szolgáltatás skálázhatósági és teljesítménycéljait. Az alábbi táblázat a gyakori SAP-fájlmegosztásokat ismerteti, és rövid leírást és ajánlott használatot tartalmaz egy teljes SAP-környezetben.

Fájlmegosztás neve Használat Ajánlás
sapmnt Elosztott SAP-rendszer, profil és globális címtárak Dedikált megosztás minden SAP-rendszerhez, nincs újrafelhasználás
cluster Magas rendelkezésre állású megosztások ascs, ERS és adatbázis esetén a megfelelő kialakítás szerint Dedikált megosztás minden SAP-rendszerhez, nincs újrafelhasználás
saptrans SAP átviteli könyvtár Egy megosztás egy vagy néhány SAP-környezethez (ERP, Business Warehouse)
interface Fájlcsere nem SAP-alkalmazásokkal Ügyfélspecifikus követelmények, külön fájlmegosztások környezetenként (éles, nem éles)

Csak a különböző SAP-környezetek között oszthat meg saptrans megosztást, és ezért alaposan mérlegelje annak elhelyezését. Skálázhatósági és teljesítménybeli okokból kerülje a túl sok SAP-rendszer egyetlen saptrans megosztásba való összevonását.

A vállalati biztonsági szabályzatok a kötetek architektúráját és elkülönítését fogják vezérelni a környezetek között. A környezetenkénti vagy rétegenkénti elkülönítéssel rendelkező átviteli címtáraknak RFC-kommunikációra van szükségük az SAP-környezetek között az SAP átviteli csoportok vagy átviteli tartománykapcsolatok engedélyezéséhez. További információkért lásd:

Adatszolgáltatások

Az architektúra azure-beli adatszolgáltatásokat tartalmaz, amelyek segítenek az SAP-adatplatform bővítésében és fejlesztésében. Az üzleti elemzések feloldásához javasoljuk, hogy olyan szolgáltatásokat használjon, mint a Azure Synapse Analytics, a Azure Data Factory és a Azure Data Lake Storage. Ezek az adatszolgáltatások segítenek elemezni és megjeleníteni az SAP-adatokat és a nem SAP-adatokat.

Számos adatintegrációs forgatókönyv esetén integrációs modulra van szükség. Az Azure-integrációs modul az a számítási infrastruktúra, amelyet Azure Data Factory és Azure Synapse Analytics-folyamatok az adatintegrációs képességek biztosításához. Javasoljuk, hogy ezekhez a szolgáltatásokhoz külön-külön üzemelő futtatókörnyezeti virtuális gépeket helyezhessen üzembe. További információkért lásd:

Megosztott szolgáltatások

Az SAP-megoldások megosztott szolgáltatásokra támaszkodnak. A terheléselosztó és az Application Gateway olyan szolgáltatások, amelyeket több SAP-rendszer is használ. Az architektúra, de a szervezeti igényeknek meg kell határozniuk, hogyan kell felépíteni a megosztott szolgáltatásokat. Kövesse az alábbi általános útmutatást.

Terheléselosztók: SAP-rendszerenként egy terheléselosztót ajánlunk. Ez a konfiguráció segít minimalizálni a bonyolultságot. El szeretné kerülni, hogy egy terheléselosztó túl sok készletet és szabályt használjon. Ez a konfiguráció azt is biztosítja, hogy az elnevezés és az elhelyezés összhangban legyen az SAP-rendszerrel és az erőforráscsoporttal. Minden fürtözött magas rendelkezésre állású (HA) architektúrával rendelkező SAP-rendszernek rendelkeznie kell legalább egy terheléselosztóval. Az architektúra egy terheléselosztót használ az ASCS virtuális gépekhez, és egy második terheléselosztót az adatbázis virtuális gépeihez. Előfordulhat, hogy egyes adatbázisokhoz nincs szükség terheléselosztókra a magas rendelkezésre állású üzemelő példány létrehozásához. Az SAP HANA igen. További részletekért tekintse meg az adatbázis-specifikus dokumentációt.

Application Gateway: SAP-környezetenként (éles, nem éles és tesztkörnyezetenként) legalább egy Application Gateway használatát javasoljuk, kivéve, ha a csatlakoztatott rendszerek összetettsége és száma túl magas. Az application gateway több SAP-rendszerhez is használható az összetettség csökkentése érdekében, mivel a környezetben nem minden SAP-rendszer igényel nyilvános hozzáférést. Egyetlen alkalmazásátjáró több webküldő portot is kiszolgálhat egyetlen SAP S/4HANA rendszerhez, vagy különböző SAP-rendszerek használhatják.

SAP Web Dispatcher virtuális gépek: Az architektúra két vagy több SAP Web Dispatcher virtuális gépből álló készletet jelenít meg. Javasoljuk, hogy ne használja újra az SAP Web Dispatcher virtuális gépeket a különböző SAP-rendszerek között. Ha külön tartja őket, a Web Dispatcher virtuális gépek mérete az egyes SAP-rendszerek igényeinek megfelelően méretezendő. Kisebb SAP-megoldások esetén javasoljuk, hogy ágyazza be a Web Dispatcher-szolgáltatásokat az ASCS-példányba.

SAP-szolgáltatások: Az OLYAN SAP-szolgáltatások, mint az SAProuter, a Cloud Connector és az Analytics Cloud Agent, központilag vagy felosztva, az alkalmazáskövetelmények alapján vannak üzembe helyezve. Az SAP-rendszerek közötti újrafelhasználásra nem vonatkoznak javaslatok a különböző ügyfélkövetelmények miatt. A fő döntés a hálózatkezelésről szóló szakaszban szerepel, ha és amikor nem éles sap szegélyhálózatot kell használni. Ellenkező esetben az SAP csak éles peremhálózati alhálózata esetén az SAP szegélyhálózati szolgáltatásait a teljes SAP-környezet használja.

Vészhelyreállítás

A vészhelyreállítás (DR) megfelel az üzletmenet-folytonosság követelményének abban az esetben, ha az elsődleges Azure-régió nem érhető el vagy sérül. Az SAP fekvő tájolását tekintve és a diagramon látható módon az alábbiakban a vészhelyreállítás tervezésére vonatkozó javaslatainkat találja.

Különböző IP-címtartományok használata A virtuális hálózatok csak egyetlen Azure-régióra terjednek ki. A vészhelyreállítási megoldásoknak más régiót kell használniuk. Létre kell hoznia egy másik virtuális hálózatot a másodlagos régióban. A vészhelyreállítási környezet virtuális hálózatának más IP-címtartományra van szüksége az adatbázis natív technológiával történő szinkronizálásának engedélyezéséhez.

Központi szolgáltatások és helyszíni kapcsolatok: A helyszíni és a fő központi szolgáltatásokhoz (DNS- vagy tűzfalakhoz) való csatlakozásnak elérhetőnek kell lennie a vészhelyreállítási régióban. A központi informatikai szolgáltatások rendelkezésre állásának és változáskonfigurációjának a vészhelyreállítási terv részét kell képeznie. A központi informatikai szolgáltatások a működő SAP-környezet kulcsfontosságú összetevői.

Az Azure Site Recovery Azure Site Recovery replikálja és védi az alkalmazáskiszolgálók felügyelt lemezeinek és virtuális gépeinek konfigurációit a VÉSZ régióba.

A fájlmegosztás rendelkezésre állásának biztosítása: Az SAP a kulcsfájlmegosztások rendelkezésre állásától függ. Biztonsági mentésre vagy folyamatos fájlmegosztás-replikációra van szükség ahhoz, hogy a vészhelyreállítási forgatókönyvben minimális adatvesztéssel biztosítsanak adatokat ezeken a fájlmegosztásokon.

Adatbázis-replikáció Az Azure Site Recovery nem tudja megvédeni az SAP-adatbáziskiszolgálók védelmét a szolgáltatás által nyújtott magas változási arány és az adatbázis-támogatás hiánya miatt. Konfigurálnia kell a vészhelyreállítási régióba történő folyamatos és aszinkron adatbázis-replikációt.

További információ: Vészhelyreállítás áttekintése és az SAP számítási feladatok infrastruktúrájának irányelvei.

Kisebb SAP-architektúra

A kisebb SAP-megoldások esetében előnyös lehet egyszerűsíteni a hálózat kialakítását. Ezután az egyes SAP-környezetek virtuális hálózatai alhálózatok lennének az ilyen kombinált virtuális hálózaton belül. A hálózati és előfizetés-tervezési igények egyszerűsítése hatással lehet a biztonságra. Újra kell értékelnie a hálózati útválasztást, a nyilvános hálózatokhoz való hozzáférést és a nyilvános hálózatokról való hozzáférést, a megosztott szolgáltatásokhoz (fájlmegosztásokhoz) való hozzáférést, valamint más Azure-szolgáltatások elérését. Íme néhány lehetőség az architektúra zsugorítására, hogy jobban megfeleljen a szervezeti igényeknek.

Egyesítse az SAP-alkalmazásokat és az adatbázis-alhálózatokat egybe. Az alkalmazás- és adatbázis-alhálózatok kombinálásával egyetlen nagy SAP-hálózatot hozhat létre. Ez a hálózattervezés számos helyszíni SAP-hálózatot tükröz. A két alhálózat kombinációja nagyobb figyelmet igényel az alhálózati biztonságra és a hálózati biztonsági csoport szabályaira. Az alkalmazásbiztonsági csoportok akkor fontosak, ha egyetlen alhálózatot használnak az SAP-alkalmazásokhoz és az adatbázis-alhálózatokhoz.

Az SAP szegélyhálózat és az alkalmazás alhálózatának kombinálása. A szegélyhálózatot és az SAP-alkalmazás alhálózatát kombinálhatja. Fokozott figyelmet kell fordítani a hálózati biztonsági csoportok szabályaira és az alkalmazásbiztonsági csoportok használatára. Ezt az egyszerűsítési megközelítést csak kis SAP-tulajdonok esetében javasoljuk.

SAP küllős virtuális hálózatok kombinálása különböző SAP-környezetek között Az architektúra különböző virtuális hálózatokat használ minden SAP-környezethez (központ, éles, nem éles és vészhelyreállítás). Az SAP-környezet méretétől függően az SAP küllős virtuális hálózatokat kevesebb vagy akár csak egy SAP küllős hálózatba kombinálhatja. Továbbra is meg kell osztania az éles és a nem éles környezetek között. Minden SAP éles környezet egy sap éles virtuális hálózat alhálózatává válik. Minden nem éles SAP-környezet alhálózattá válik egy sap nem éles virtuális hálózatban.

Közreműködők

A Microsoft fenntartja ezt a cikket. Eredetileg a következő közreműködők írták.

Fő szerzők:

Következő lépések