كشف البرامج الوسيطة القديمة ل SAP بأمان باستخدام Azure PaaS
يعد تمكين الأنظمة الداخلية والشركاء الخارجيين من التفاعل مع الأطراف الخلفية ل SAP مطلبا شائعا. غالبا ما تعتمد مناظر SAP الطبيعية الحالية على تنسيق عمليات SAP (PO) أو تكامل العملية (PI) القديم للبرامج الوسيطة لتلبية احتياجات التكامل والتحويل الخاصة بها. للتبسيط، تستخدم هذه المقالة مصطلح SAP Process Orchestration للإشارة إلى كلا العرضين.
توضح هذه المقالة خيارات التكوين على Azure، مع التركيز على التطبيقات التي تواجه الإنترنت.
إشعار
يشير SAP إلى SAP Integration Suite - على وجه التحديد، SAP Cloud Integration - الذي يعمل على Business Technology Platform (BTP) كخلف ل SAP PO وPI. يتوفر كل من النظام الأساسي BTP والخدمات على Azure. لمزيد من المعلومات، راجع مركز اكتشاف SAP. لمزيد من المعلومات حول المخطط الزمني لدعم الصيانة للمكونات القديمة، راجع ملاحظة SAP OSS 1648480.
نظرة عامة
غالبا ما تعتمد التطبيقات الحالية المستندة إلى برنامج SAP الوسيط على تقنية إرسال SAP الخاصة التي تسمى SAP Web Dispatcher. تعمل هذه التقنية على الطبقة 7 من نموذج OSI. وهو يعمل كوكيل عكسي ويعالج احتياجات موازنة التحميل لأحمال عمل تطبيق SAP المتلقين للمعلومات مثل SAP Enterprise Resource Planning (ERP) أو SAP Gateway أو SAP Process Orchestration.
تتضمن نهج الإرسال وكلاء عكسيين تقليديين مثل Apache وخيارات النظام الأساسي كخدمة (PaaS) مثل Azure Load Balancer وSAP Web Dispatcher الذي تمت مفاته. تنطبق المفاهيم الإجمالية الموضحة في هذه المقالة على الخيارات المذكورة. للحصول على إرشادات حول استخدام موازنات التحميل غير التابعة ل SAP، راجع SAP's wiki.
إشعار
تفترض جميع الإعدادات الموضحة في هذه المقالة تخطيط شبكة النظام المحوري، حيث يتم نشر الخدمات المشتركة في المركز. استنادا إلى أهمية SAP، قد تحتاج إلى المزيد من العزلة. لمزيد من المعلومات، راجع دليل تصميم SAP للشبكات المحيطة.
خدمات Azure الأساسية
تعالج بوابة تطبيق Azure توجيه HTTP الخاص العام المستند إلى الإنترنت والداخلي، جنبا إلى جنب مع التوجيه النفقي المشفر عبر اشتراكات Azure. تتضمن الأمثلة الأمان والتحجيم التلقائي.
تركز بوابة تطبيق Azure على الكشف عن تطبيقات الويب، لذلك توفر جدار حماية تطبيق ويب (WAF). يمكن توصيل أحمال العمل في الشبكات الظاهرية الأخرى التي ستتواصل مع SAP من خلال Azure Application Gateway عبر ارتباطات خاصة، حتى عبر المستأجرين.
يعالج جدار حماية Azure التوجيه الخاص العام المستند إلى الإنترنت والداخلية لنوع نسبة استخدام الشبكة على الطبقات من 4 إلى 7 من نموذج OSI. وهو يوفر التحليل الذكي للمخاطر والتصفية التي تتغذى مباشرة من Microsoft Security.
تتعامل Azure API Management مع التوجيه الخاص العام المستند إلى الإنترنت والداخلي خصيصا لواجهات برمجة التطبيقات. وهو يوفر تقييد الطلبات وحصة الاستخدام وحدوده وميزات الحوكمة مثل النهج ومفاتيح واجهة برمجة التطبيقات لتقسيم الخدمات لكل عميل.
تعمل بوابة Azure VPN وAzure ExpressRoute كنقاط دخول إلى الشبكات المحلية. يتم اختصارها في الرسومات التخطيطية مثل VPN وXR.
اعتبارات الإعداد
تختلف احتياجات بنية التكامل، اعتمادا على الواجهة التي تستخدمها المؤسسة. تتطلب تقنيات SAP المملوكة مثل إطار عمل المستندات الوسيطة (IDoc) أو واجهة برمجة تطبيقات الأعمال (BAPI) أو استدعاءات الوظائف عن بعد للمعاملات (tRFCs) أو RFCs العادية بيئة وقت تشغيل محددة. وهي تعمل على طبقات من 4 إلى 7 من نموذج OSI، على عكس واجهات برمجة التطبيقات الحديثة التي تعتمد عادة على الاتصال المستند إلى HTP (الطبقة 7 من نموذج OSI). وبسبب ذلك، لا يمكن التعامل مع الواجهات بنفس الطريقة.
تركز هذه المقالة على واجهات برمجة التطبيقات الحديثة وHTTP، بما في ذلك سيناريوهات التكامل مثل بيان القابلية للتطبيق 2 (AS2). بروتوكول نقل الملفات (FTP) بمثابة مثال للتعامل مع احتياجات التكامل غير HTTP. لمزيد من المعلومات حول حلول موازنة التحميل من Microsoft، راجع خيارات موازنة التحميل.
إشعار
تنشر SAP موصلات مخصصة لواجهاتها الخاصة. تحقق من وثائق SAP ل Java و.NET، على سبيل المثال. وهي مدعومة من قبل بوابات Microsoft أيضا. يجب أن تدرك أنه يمكن أيضا نشر IDocs عبر HTTP.
تتطلب المخاوف الأمنية استخدام جدران الحماية للبروتوكولات ذات المستوى الأدنى وWAFs لمعالجة نسبة استخدام الشبكة المستندة إلى HTTP باستخدام بروتوكول أمان طبقة النقل (TLS). لكي تكون جلسات TLS فعالة، يجب إنهاءها على مستوى WAF. لدعم نهج عدم الثقة، نوصي بإعادة التشفير مرة أخرى بعد ذلك لتوفير التشفير الشامل.
يمكن لبروتوكولات التكامل مثل AS2 رفع التنبيهات باستخدام قواعد WAF القياسية. نوصي باستخدام مصنف فرز WAF لبوابة التطبيق لتحديد سبب تشغيل القاعدة وفهمها بشكل أفضل، حتى تتمكن من المعالجة بشكل فعال وآمن. يوفر Open Web Application Security Project (OWASP) القواعد القياسية. للحصول على جلسة فيديو مفصلة حول هذا الموضوع مع التركيز على التعرض ل SAP Fiori، راجع SAP على بث ويب Azure.
يمكنك تعزيز الأمان بشكل أكبر باستخدام TLS (mTLS) المتبادل، والذي يسمى أيضا المصادقة المتبادلة. على عكس TLS العادي، فإنه يتحقق من هوية العميل.
إشعار
تتطلب تجمعات الجهاز الظاهري (VM) موازن تحميل. لتحسين إمكانية القراءة، لا تظهر الرسومات التخطيطية في هذه المقالة موازن تحميل.
إشعار
إذا لم تكن بحاجة إلى ميزات موازنة خاصة ب SAP يوفرها SAP Web Dispatcher، يمكنك استبدالها ب Azure Load Balancer. يمنح هذا الاستبدال فائدة عرض PaaS المدار بدلا من إعداد البنية الأساسية كخدمة (IaaS).
السيناريو: تركيز اتصال HTTP الوارد
لا يقدم SAP Web Dispatcher WAF. ولهذا السبب، نوصي ببوابة تطبيق Azure لإعداد أكثر أمانا. يظل SAP Web Dispatcher وتنسيق العملية مسؤولا للمساعدة في حماية الواجهة الخلفية ل SAP من التحميل الزائد للطلب مع إرشادات تغيير الحجم وحدود الطلبات المتزامنة. لا تتوفر إمكانية التقييد في أحمال عمل SAP.
يمكنك تجنب الوصول غير المقصود من خلال قوائم التحكم في الوصول على SAP Web Dispatcher.
أحد السيناريوهات لاتصال تنسيق عملية SAP هو التدفق الوارد. قد تنشأ نسبة استخدام الشبكة من تطبيقات محلية أو تطبيقات خارجية أو مستخدمين أو نظام داخلي. يركز المثال التالي على HTTPS.
السيناريو: تركيز اتصال HTTP/FTP الصادر
للحصول على اتجاه الاتصال العكسي، يمكن ل SAP Process Orchestration استخدام توجيه الشبكة الظاهرية للوصول إلى أحمال العمل المحلية أو الأهداف المستندة إلى الإنترنت عبر الانقطاع عبر الإنترنت. تعمل بوابة تطبيق Azure كوكيل عكسي في مثل هذه السيناريوهات. للاتصالات غير HTTP، ضع في اعتبارك إضافة Azure Firewall. لمزيد من المعلومات، راجع السيناريو: مستند إلى ملف ومقارنة مكونات البوابة لاحقا في هذه المقالة.
يوضح السيناريو الصادر التالي طريقتين محتملتين. يستخدم أحدهم HTTPS عبر بوابة تطبيق Azure التي تستدعي خدمة ويب (على سبيل المثال، محول SOAP). يستخدم الآخر FTP عبر SSH (SFTP) عبر Azure Firewall الذي ينقل الملفات إلى خادم SFTP لشريك الأعمال.
السيناريو: إدارة واجهة برمجة التطبيقات التي تركز على
بالمقارنة مع سيناريوهات الاتصال الوارد والصادر، فإن إدخال Azure API Management في الوضع الداخلي (IP الخاص فقط وتكامل الشبكة الظاهرية) يضيف قدرات مضمنة مثل:
- الخنق.
- إدارة واجهة برمجة التطبيقات.
- خيارات أمان إضافية مثل تدفقات المصادقة الحديثة.
- تكامل معرف Microsoft Entra.
- فرصة إضافة واجهات برمجة تطبيقات SAP إلى حل واجهة برمجة تطبيقات مركزي عبر الشركة.
عندما لا تحتاج إلى WAF، يمكنك نشر Azure API Management في الوضع الخارجي باستخدام عنوان IP عام. يعمل هذا النشر على تبسيط الإعداد مع الحفاظ على قدرات التحكم في واجهة برمجة التطبيقات وحوكمتها. يتم تنفيذ الحماية الأساسية لجميع عروض Azure PaaS.
السيناريو: الوصول العمومي
تعد بوابة تطبيق Azure خدمة مرتبطة بالمنطقة. بالمقارنة مع السيناريوهات السابقة، يضمن Azure Front Door التوجيه العمومي عبر المناطق، بما في ذلك جدار حماية تطبيق الويب. للحصول على تفاصيل حول الاختلافات، راجع هذه المقارنة.
يكثف الرسم التخطيطي التالي SAP Web Dispatcher وSAP Process Orchestration والنهاية الخلفية في صورة واحدة لتحسين قابلية القراءة.
السيناريو: مستند إلى ملف
لا يمكن معالجة البروتوكولات غير HTTP مثل FTP باستخدام Azure API Management أو Application Gateway أو Azure Front Door كما هو موضح في السيناريوهات السابقة. بدلا من ذلك، يتولى مثيل Azure Firewall المدار أو الجهاز الظاهري المكافئ للشبكة (NVA) دور تأمين الطلبات الواردة.
يجب تخزين الملفات قبل أن يتمكن SAP من معالجتها. نوصي باستخدام SFTP. يدعم تخزين كائن ثنائي كبير الحجم من Azure SFTP في الأصل.
تتوفر خيارات SFTP البديلة في Azure Marketplace إذا لزم الأمر.
يوضح الرسم التخطيطي التالي تباينا لهذا السيناريو مع أهداف التكامل خارجيا ومحنيا. توضح الأنواع المختلفة من بروتوكول نقل الملفات الآمن مسار الاتصال.
للحصول على رؤى حول مشاركات ملفات نظام ملفات الشبكة (NFS) كبديل ل Blob Storage، راجع مشاركات ملفات NFS في ملفات Azure.
السيناريو: SAP RISE محدد
عمليات توزيع SAP RISE مطابقة تقنيا للسيناريوهات الموضحة سابقا، باستثناء أن SAP نفسها تدير حمل عمل SAP الهدف. يمكن تطبيق المفاهيم الموضحة هنا.
تظهر الرسومات التخطيطية التالية إعدادين كأمثلة. لمزيد من المعلومات، راجع دليل مرجع SAP RISE.
هام
اتصل ب SAP للتأكد من السماح بمنافذ الاتصال للسيناريو الخاص بك وفتحها في NSGs.
HTTP الوارد
في الإعداد الأول، يحكم العميل طبقة التكامل، بما في ذلك SAP Process Orchestration والمسار الوارد الكامل. يتم تشغيل هدف SAP النهائي فقط على اشتراك RISE. يتم تكوين الاتصال بأحمال العمل المستضافة من خلال تناظر الشبكة الظاهرية، عادة عبر المركز. يمكن أن يكون التكامل المحتمل هو IDocs التي تم نشرها إلى خدمة /sap/bc/idoc_xml
ويب SAP ERP من قبل طرف خارجي.
يوضح هذا المثال الثاني إعدادا حيث يقوم SAP RISE بتشغيل سلسلة التكامل بأكملها، باستثناء طبقة APIM.
الملف الصادر
في هذا السيناريو، يكتب مثيل تزامن العملية المدار من SAP الملفات إلى مشاركة الملفات المدارة من قبل العميل على Azure أو إلى حمل عمل موجود محليا. يتعامل العميل مع التقسيم.
مقارنة إعدادات البوابة
إشعار
تفترض مقاييس الأداء والتكلفة مستويات من فئة الإنتاج. لمزيدٍ من المعلومات، يُرجى الرجوع إلى صفحة أسعار Azure. راجع أيضا المقالات التالية: أداء جدار حماية Azure، ودعم نسبة استخدام الشبكة العالية لبوابة التطبيق، وسعة مثيل إدارة واجهة برمجة تطبيقات Azure.
اعتمادا على بروتوكولات التكامل التي تستخدمها، قد تحتاج إلى مكونات متعددة. لمزيد من المعلومات حول فوائد المجموعات المختلفة لربط Azure Application Gateway بجدار حماية Azure، راجع جدار حماية Azure وبوابة التطبيق للشبكات الظاهرية.
قاعدة تكامل الإبهام
لتحديد سيناريوهات التكامل الموضحة في هذه المقالة التي تناسب متطلباتك بشكل أفضل، قم بتقييمها على أساس كل حالة على حدة. ضع في اعتبارك تمكين الإمكانات التالية:
حدود الطلبات المتزامنة على SAP Web Dispatcher
TLS المتبادلة للتحقق من العميل والمتلقي
WAF وإعادة التشفير بعد إنهاء TLS
جدار حماية Azure للتكاملات غير HTTP
قابلية الوصول العالية والتعافي من الكوارث لأحمال عمل تكامل SAP المستندة إلى الجهاز الظاهري
آليات المصادقة الحديثة مثل OAuth2، حيثما ينطبق ذلك
مخزن مفاتيح مدار مثل Azure Key Vault لجميع بيانات الاعتماد والشهادات والمفاتيح المعنية
بدائل تنسيق SAP Process مع Azure Integration Services
باستخدام قائمة مشاريع خدمات تكامل Azure، يمكنك معالجة سيناريوهات التكامل التي يغطيها SAP Process Orchestration. للحصول على رؤى حول كيفية تصميم أنماط SAP IFlow من خلال الوسائل السحابية الأصلية، راجع سلسلة المدونة هذه. يحتوي دليل الموصل على مزيد من التفاصيل حول AS2 وEDIFACT.
لمزيد من المعلومات، اعرض موصلات Azure Logic Apps لواجهات SAP المطلوبة.
الخطوات التالية
حماية واجهات برمجة التطبيقات باستخدام Application Gateway وAPIM
دمج APIM في شبكة ظاهرية داخلية مع بوابة التطبيق
نشر مصنف فرز WAF لبوابة التطبيق لفهم تنبيهات WAF المتعلقة ب SAP بشكل أفضل
فهم Application Gateway WAF ل SAP
فهم الآثار المترتبة على الجمع بين Azure Firewall وAzure Application Gateway