Megosztás a következőn keresztül:

Az SAP örökölt köztes szoftverének biztonságos elérhetővé tétele az Azure PaaS-sel

  • Cikk

Gyakori követelmény a belső rendszerek és külső partnerek számára az SAP háttérrendszerekkel való interakciója. A meglévő SAP-környezetek gyakran támaszkodnak az örökölt köztes szoftveres SAP Process Orchestration (PO) vagy Folyamatintegráció (PI) használatára az integrációs és átalakítási igényeikhez. Az egyszerűség kedvéért ez a cikk az SAP Process Orchestration kifejezést használja mindkét ajánlatra való hivatkozáshoz.

Ez a cikk az Azure-beli konfigurációs lehetőségeket ismerteti, különös tekintettel az internetre irányuló implementációkra.

Megjegyzés:

Az SAP az SAP Po és a PI utódjaként említi meg az SAP Integration Suite-et – pontosabban az SAP Cloud Integration-t – az üzleti technológiai platformon (BTP) futó sap-integrációs csomagot. A BTP platform és a szolgáltatások is elérhetők az Azure-ban. További információ: SAP Discovery Center. Az örökölt összetevők karbantartási támogatási ütemtervével kapcsolatos további információkért lásd az SAP OSS megjegyzését 1648480.

Áttekintés

Az SAP köztes szoftveren alapuló meglévő implementációk gyakran támaszkodtak az SAP saját fejlesztésű diszpécser technológiájára, az SAP Web Dispatcherre. Ez a technológia az OSI-modell 7. rétegén működik. Fordított proxyként működik, és kezeli a terheléselosztási igényeket az olyan alárendelt SAP-alkalmazások számítási feladataihoz, mint az SAP Enterprise Resource Planning (ERP), az SAP Gateway vagy az SAP Process Orchestration.

A kézbesítési megközelítések közé tartoznak a hagyományos fordított proxyk, például az Apache, a szolgáltatásként nyújtott platform (PaaS) lehetőségei, például az Azure Load Balancer és a véleményezett SAP Web Dispatcher. A cikkben ismertetett általános fogalmak az említett lehetőségekre vonatkoznak. A nem SAP terheléselosztók használatával kapcsolatos útmutatásért tekintse meg az SAP wikijét.

Megjegyzés:

A cikkben ismertetett összes beállítás egy küllős hálózati topológiát feltételez, ahol a megosztott szolgáltatások a központban vannak üzembe helyezve. Az SAP kritikussága alapján előfordulhat, hogy még jobban el kell különítenie magát. További információ: SAP tervezési útmutató szegélyhálózatokhoz.

Elsődleges Azure-szolgáltatások

Azure-alkalmazás Átjáró kezeli a nyilvános internetes és belső privát HTTP-útválasztást, valamint az Azure-előfizetések közötti titkosított bújtatást. Ilyen például a biztonság és az automatikus skálázás.

Azure-alkalmazás Gateway a webalkalmazások felfedésével foglalkozik, ezért webalkalmazási tűzfalat (WAF) kínál. Más virtuális hálózatok számítási feladatai, amelyek Azure-alkalmazás átjárón keresztül kommunikálnak az SAP-val, privát kapcsolatokon keresztül is csatlakoztathatók, akár bérlők között is.

Diagram that shows cross-tenant communication via Azure Application Gateway.

Az Azure Firewall az OSI-modell 4–7. rétegében kezeli a forgalomtípusok nyilvános internetes és belső privát útválasztását. Szűrési és fenyegetésfelderítési lehetőségeket kínál, amelyek közvetlenül a Microsoft Securityből származnak.

Az Azure API Management a nyilvános internetes és belső privát útválasztást kezeli kifejezetten API-k számára. A kérések szabályozását, a használati kvótát és a korlátokat, az olyan szabályozási funkciókat, mint a szabályzatok és az API-kulcsok az ügyfélenkénti szolgáltatások lebontásához kínálják.

Az Azure VPN Gateway és az Azure ExpressRoute belépési pontként szolgálnak a helyszíni hálózatokhoz. A diagramok VPN-ként és XR-ként rövidítve jelennek meg.

Beállítási szempontok

Az integrációs architektúrának a szervezet által használt felülettől függően eltérőnek kell lennie. Az SAP által védett technológiák, például a köztes dokumentum (IDoc) keretrendszer, az üzleti alkalmazásprogramozási felület (BAPI), a tranzakciós távoli függvényhívások (tRC-k) vagy az egyszerű RFC-k meghatározott futtatókörnyezetet igényelnek. Az OSI-modell 4–7. rétegén működnek, ellentétben a HTP-alapú kommunikációra jellemző modern API-kkal (az OSI-modell 7. rétegével). Emiatt az interfészek nem kezelhetők ugyanúgy.

Ez a cikk a modern API-kkal és HTTP-kkel foglalkozik, beleértve az olyan integrációs forgatókönyveket, mint az Applicability Statement 2 (AS2). A File Transfer Protocol (FTP) példaként szolgál a nem HTTP-integrációs igények kezelésére. További információ a Microsoft terheléselosztási megoldásairól: Terheléselosztási lehetőségek.

Megjegyzés:

Az SAP dedikált összekötőket tesz közzé saját felületeihez. Ellenőrizze például az SAP Java- és .NET-dokumentációját. Ezeket a Microsoft-átjárók is támogatják. Vegye figyelembe, hogy az IDocs HTTP-n keresztül is közzétehető.

A biztonsági szempontok megkövetelik az alacsonyabb szintű protokollok és WAF-ok tűzfalainak használatát a HTTP-alapú forgalom Transport Layer Security (TLS) használatával történő kezeléséhez. A hatékonyság érdekében a TLS-munkameneteket WAF-szinten kell leállíteni. A zéró megbízhatósági megközelítések támogatása érdekében javasoljuk, hogy később újratitkosítással biztosítsa a végpontok közötti titkosítást.

Az olyan integrációs protokollok, mint az AS2, szabványos WAF-szabályok használatával riasztásokat hozhatnak létre. Javasoljuk, hogy az Application Gateway WAF triage munkafüzetével azonosítsa és jobban megértse a szabály aktiválásának okát, hogy hatékonyan és biztonságosan szervizelhesse. Az Open Web Application Security Project (OWASP) biztosítja a szokásos szabályokat. A témával kapcsolatos részletes videóért, amely az SAP Fiori-kitettségre helyezi a hangsúlyt, tekintse meg az SAP-t az Azure-beli webes közvetítésben.

A biztonságot tovább növelheti a kölcsönös TLS (mTLS) használatával, amelyet kölcsönös hitelesítésnek is neveznek. A normál TLS-hez hasonlóan ellenőrzi az ügyfélidentitást.

Megjegyzés:

A virtuálisgép-készletek terheléselosztót igényelnek. A jobb olvashatóság érdekében a cikkben szereplő diagramok nem jelenítik meg a terheléselosztót.

Megjegyzés:

Ha nincs szüksége az SAP Web Dispatcher által biztosított SAP-specifikus kiegyensúlyozási funkciókra, lecserélheti őket az Azure Load Balancerre. Ez a csere egy felügyelt PaaS-ajánlat előnyeit biztosítja a szolgáltatásként nyújtott infrastruktúra (IaaS) beállítása helyett.

Forgatókönyv: A bejövő HTTP-kapcsolat koncentrált

Az SAP Web Dispatcher nem kínál WAF-t. Emiatt javasoljuk, hogy Azure-alkalmazás Átjárót a biztonságosabb beállítás érdekében. Az SAP Web Dispatcher és a Process Orchestration továbbra is felelős az SAP háttérrendszerének a kérelmek túlterhelése elleni védelméért méretezési útmutatóval és egyidejű kéréskorlátokkal. Az SAP-számítási feladatokban nem érhető el szabályozási képesség.

Az SAP Web Dispatcher hozzáférés-vezérlési listáival elkerülheti a véletlen hozzáférést.

Az SAP Process Orchestration kommunikációjának egyik forgatókönyve a bejövő folyamat. A forgalom helyszíni, külső alkalmazásokból vagy felhasználókból vagy belső rendszerből származhat. Az alábbi példa a HTTPS-ra összpontosít.

Diagram that shows an inbound HTTP scenario with SAP Process Orchestration on Azure.

Forgatókönyv: A kimenő HTTP-/FTP-kapcsolat koncentrált

A fordított kommunikációs irány érdekében az SAP Process Orchestration virtuális hálózati útválasztással érheti el a helyszíni számítási feladatokat vagy az internetes célokat az internetes kitörésen keresztül. Azure-alkalmazás átjáró fordított proxyként működik az ilyen helyzetekben. Nem HTTP-kommunikáció esetén fontolja meg az Azure Firewall hozzáadását. További információ: Forgatókönyv: Az átjáróösszetevők fájlalapú és összehasonlítása a cikk későbbi részében.

Az alábbi kimenő forgatókönyv két lehetséges módszert mutat be. Az egyik https-t használ Azure-alkalmazás átjárón keresztül, amely webszolgáltatást hív meg (például SOAP-adaptert). A másik az FTP-t SSH-n (SFTP-n) keresztül használja az Azure Firewallon keresztül, amely fájlokat továbbít egy üzleti partner SFTP-kiszolgálójára.

Diagram that shows an outbound scenario with SAP Process Orchestration on Azure.

Forgatókönyv: API Management-alapú

A bejövő és kimenő kapcsolatok forgatókönyveihez képest az Azure API Management belső módban (csak magánhálózati IP-cím és virtuális hálózati integráció) való bevezetése beépített képességeket ad hozzá, például:

Diagram that shows an inbound scenario with Azure API Management and SAP Process Orchestration on Azure.

Ha nincs szüksége WAF-ra, az Azure API Managementet külső módban is üzembe helyezheti egy nyilvános IP-cím használatával. Ez az üzembe helyezés leegyszerűsíti a telepítést, miközben megtartja a szabályozási és API-szabályozási képességeket. Az alapszintű védelem minden Azure PaaS-ajánlathoz implementálva van.

Diagram that shows an inbound scenario with Azure API Management in external mode and SAP Process Orchestration.

Forgatókönyv: Globális elérés

Azure-alkalmazás átjáró régióhoz kötött szolgáltatás. Az előző forgatókönyvekhez képest az Azure Front Door biztosítja a régiók közötti globális útválasztást, beleértve a webalkalmazási tűzfalat is. A különbségekkel kapcsolatos részletekért tekintse meg ezt az összehasonlítást.

Az alábbi ábra az SAP Web Dispatchert, az SAP Process Orchestrationt és a háttérrendszert egyetlen képpé tömöríti a jobb olvashatóság érdekében.

Diagram that shows a global reach scenario with SAP Process Orchestration on Azure.

Forgatókönyv: Fájlalapú

A nem HTTP-protokollok, például az FTP nem kezelhetők az Azure API Management, az Application Gateway vagy az Azure Front Door használatával az előző forgatókönyvekben látható módon. Ehelyett a felügyelt Azure Firewall-példány vagy az azzal egyenértékű hálózati virtuális berendezés (NVA) veszi át a bejövő kérések biztonságossá tételének szerepét.

A fájlokat tárolni kell, mielőtt az SAP feldolgozhatja őket. Javasoljuk, hogy használja az SFTP-t. Az Azure Blob Storage natív módon támogatja az SFTP-t.

Diagram that shows a file-based scenario with Azure Blob Storage and SAP Process Orchestration on Azure.

Szükség esetén alternatív SFTP-lehetőségek érhetők el az Azure Marketplace-en.

Az alábbi ábrán a forgatókönyv egy változata látható külső és helyszíni integrációs célokkal. A kommunikációs útvonalat különböző típusú biztonságos FTP-k szemléltetik.

Diagram that shows a file-based scenario with on-premises file share and external party using SAP Process Orchestration on Azure.

A Hálózati fájlrendszer (NFS) fájlmegosztásainak a Blob Storage alternatívaként való megismeréséhez tekintse meg az NFS-fájlmegosztásokat az Azure Filesban.

Forgatókönyv: SAP RI Standard kiadás specifikus

Az SAP RI Standard kiadás üzemelő példányai technikailag megegyeznek a korábban ismertetett forgatókönyvekkel, azzal a kivétellel, hogy maga az SAP kezeli a cél SAP-számítási feladatot. A leírt fogalmak itt alkalmazhatók.

Az alábbi ábrák két beállítást mutatnak be példaként. További információt az SAP RI Standard kiadás referencia-útmutatójában talál.

Fontos

Lépjen kapcsolatba az SAP-ral, és győződjön meg arról, hogy a forgatókönyvhöz tartozó kommunikációs portok engedélyezettek és nyitva vannak az NSG-kben.

HTTP bejövő

Az első beállításban az ügyfél szabályozza az integrációs réteget, beleértve az SAP Process Orchestrationt és a teljes bejövő útvonalat. Csak a végleges SAP-cél fut a RI Standard kiadás-előfizetésen. A ri Standard kiadás által üzemeltetett számítási feladatokkal való kommunikáció virtuális hálózati társviszony-létesítésen keresztül van konfigurálva, általában a központon keresztül. Lehetséges integráció lehet egy külső fél által az SAP ERP webszolgáltatásban /sap/bc/idoc_xml közzétett IDocs.

Diagram that shows an inbound scenario with Azure API Management and self-hosted SAP Process Orchestration on Azure in the RISE context.

Ez a második példa egy olyan beállítást mutat be, amelyben az SAP RI Standard kiadás futtatja a teljes integrációs láncot, kivéve az API Management réteget.

Diagram that shows an inbound scenario with Azure API Management and SAP-hosted SAP Process Orchestration on Azure in the RISE context.

Kimenő fájl

Ebben a forgatókönyvben az SAP által felügyelt folyamat vezénylési példánya fájlokat ír az ügyfél által felügyelt fájlmegosztásba az Azure-ban vagy egy helyszíni számítási feladatba. Az ügyfél kezeli a külön szekciót.

Diagram that shows a file share scenario with SAP Process Orchestration on Azure in the RISE context.

Átjáróbeállítások összehasonlítása

Megjegyzés:

A teljesítmény- és költségmetrikák éles szintű szinteket feltételeznek. További információ: Azure-díjkalkulátor. Lásd még a következő cikkeket: Azure Firewall-teljesítmény, Nagy forgalmú Application Gateway-támogatás és Azure API Management-példány kapacitása.

A table that compares the gateway components discussed in this article.

A használt integrációs protokolloktól függően több összetevőre is szükség lehet. A Azure-alkalmazás Gateway és az Azure Firewall közötti láncolás különböző kombinációinak előnyeiről az Azure Firewall és az Application Gateway virtuális hálózatokhoz című témakörben talál további információt.

Integrálási szabály

Ha szeretné meghatározni, hogy a cikkben ismertetett integrációs forgatókönyvek mely integrációs forgatókönyvek felelnek meg a követelményeknek, eseti alapon értékelje ki őket. Fontolja meg a következő képességek engedélyezését:

Az SAP Process Orchestration és az Azure Integration Services alternatívái

Az Azure Integration Services portfóliójával natív módon kezelheti az SAP Process Orchestration által lefedett integrációs forgatókönyveket. Ebből a blogsorozatból megtudhatja, hogyan tervezhet SAP IFlow-mintákat natív felhőbeli eszközökkel. Az összekötő útmutatója további részleteket tartalmaz az AS2-ről és az EDIFACT-ről.

További információkért tekintse meg a kívánt SAP-felületekhez tartozó Azure Logic Apps-összekötőket .

Következő lépések

API-k védelme az Application Gateway és az API Management használatával

Az API Management integrálása belső virtuális hálózatba az Application Gateway használatával

Az Application Gateway WAF-osztályozási munkafüzetének üzembe helyezése az SAP-hoz kapcsolódó WAF-riasztások jobb megértéséhez

Az Application Gateway WAF for SAP ismertetése

Az Azure Firewall és az Azure-alkalmazás Gateway kombinálásának következményeinek megismerése

SAP OData API-k használata az Azure API Managementben