Tento článek obsahuje osvědčené postupy pro navrhování celého prostředí SAP v Azure. Prostředí SAP zahrnuje několik systémů SAP napříč centrem, produkčním prostředím, neprodukčním prostředím a prostředím pro zotavení po havárii. Poskytujeme doporučení, která se zaměřují na návrh sítě a ne na konkrétní systémy SAP. Cílem je poskytnout naše doporučení pro navrhování zabezpečeného, vysoce výkonného a odolného prostředí SAP.
Architektura
Stáhněte soubor Visia architektury.
Workflow
- Místní síť: Připojení ExpressRoute z místní sítě k připojeným oblastem Azure
- Regionální centra předplatného Azure: Předplatné Azure obsahující centrální služby pro celý podnik, nejen SAP. Předplatné centra poskytuje připojení prostřednictvím partnerského vztahu k paprskům virtuálních sítí obsahujících úlohy SAP.
- Virtuální síť centra: Paprsková virtuální síť pro centrální centrum v primární oblasti nebo oblasti A.
- Virtuální síť zotavení po havárii centra: Paprsková virtuální síť pro centrální centrum v oblasti zotavení po havárii. Zrcadlí návrh podsítě produkční virtuální sítě v primární oblasti.
- Azure Subscription SAP non-production: Předplatné Azure pro všechny neprodukční úlohy SAP. Zahrnuje předprodukční prostředí, kontrolu kvality, vývoj a prostředí sandboxu.
- Neprodukční virtuální sítě SAP: Oddělené virtuální sítě pro neprodukční úlohy SAP v primární oblasti. Každé prostředí SAP má svou vlastní virtuální síť a podsítě.
- Produkční prostředí SAP předplatného Azure: Předplatné Azure pro všechny produkční úlohy SAP.
- Virtuální síť v produkčním paprsku SAP: Virtuální síť pro produkční prostředí SAP s několika podsítěmi. Tato virtuální síť je v primární oblasti.
- Virtuální síť zotavení po havárii (DR) v produkčním prostředí SAP: Virtuální síť pro produkční prostředí SAP v sekundární oblasti zotavení po havárii. Zrcadlí návrh podsítě produkční virtuální sítě v primární oblasti.
- Služby Azure: Vzorkování služeb Azure, které se můžete připojit k prostředí SAP.
- SAP Business Technology Platform (BTP): Prostředí SAP přistupuje k platformě SAP Business Technology Platform prostřednictvím služby Azure Private Link.
Předplatná Azure
Doporučujeme použít návrh hvězdicové sítě. S hvězdicovým návrhem potřebujete aspoň tři předplatná k rozdělení prostředí SAP. Měli byste mít předplatné pro (1) virtuální sítě regionálního centra, (2) neprodukční virtuální sítě a (3) produkční virtuální sítě. Předplatná poskytují hranice fakturace, zásad a zabezpečení. Neexistuje žádný správný počet předplatných. Počet předplatných, která používáte, závisí na vašich potřebách fakturace, zásad a zabezpečení. Obecně platí, že se chcete vyhnout použití příliš velkého počtu předplatných. Příliš mnoho předplatných může přidat nepotřebné režijní náklady na správu a složitost sítí. Například pro každý systém SAP nepotřebujete předplatné. Naše architektura používá tři předplatná:
Regionální centra: Předplatné virtuálního centra Azure, ve kterém existuje virtuální síť centra pro primární a sekundární oblasti. Toto předplatné je určené pro všechny centrální služby, nejen PRO SAP.
Neprodukční systém SAP: Neprodukční předplatné Azure SAP, kde se nacházejí neprodukční systémy, včetně sandboxu, vývoje, zajištění kvality nebo předprodukčních systémů.
Produkční prostředí SAP: Produkční předplatné Azure SAP, ve kterém jsme nakonfigurovali produkční systémy a systémy zotavení po havárii.
Další informace naleznete v tématu:
Návrh sítě
Hvězdicová topologie je doporučeným návrhem sítě pro prostředí SAP. V této topologii funguje virtuální síť produkčního centra jako centrální bod připojení. Připojuje se k místní síti a různým paprskovým virtuálním sítím a umožňuje uživatelům a aplikacím přístup k úloze SAP. V této hvězdicové topologii najdete naše doporučení pro návrh sítě SAP.
Použijte ExpressRoute pro místní připojení. Pro úlohy SAP doporučujeme použít ExpressRoute k připojení místní sítě k virtuální síti centra a virtuální síti zotavení po havárii centra. Pokud máte globální umístění, můžete použít topologii služby Azure Virtual WAN. Zvažte nastavení sítě VPN typu site-to-site (S2S) jako zálohy do Azure ExpressRoute nebo jakýchkoli požadavků na trasu třetích stran.
Další informace naleznete v tématu:
- Síťová topologie a připojení pro migraci SAP
- Hvězdicová architektura
- Azure virtual WAN
- S2S VPN jako zálohování privátního partnerského vztahu ExpressRoute
Pro každé prostředí použijte jednu virtuální síť. Pro každé prostředí doporučujeme použít jednu virtuální síť (úroveň nasazení SAP). Architektura používá pro produkční, vývoj, kontrolu kvality a sandbox jinou virtuální síť. Tento návrh sítě je ideální pro velké podnikové architektury.
Použijte centrální bránu firewall. Veškerý síťový provoz do paprskových virtuálních sítí, včetně připojení RFC (Remote Function Call), by měl projít centrální bránou firewall ve virtuální síti centra. Síťová komunikace mezi paprskovými virtuálními sítěmi (paprsková komunikace) prochází bránou firewall virtuální sítě rozbočovače v podsíti služby Azure Firewall virtuální sítě centra. Podobně síťová komunikace mezi paprskovými virtuálními sítěmi a místní sítí také prochází bránou firewall virtuální sítě rozbočovače. K propojení různých paprskových virtuálních sítí s virtuální sítí centra jsme použili peering virtuálních sítí virtuálních sítí. Veškerá komunikace mezi paprskovými virtuálními sítěmi prochází bránou firewall virtuální sítě centra. Místo brány firewall můžete použít také síťové virtuální zařízení. Další informace najdete v tématu Síťové virtuální zařízení.
Síťový provoz, který zůstává ve virtuální síti, by neměl procházet bránou firewall. Neukládejte například bránu firewall mezi podsíť aplikace SAP a podsíť databáze SAP. Mezi aplikací SAP a vrstvou systému pro správu databází (DBMS) systémů SAP, na kterých běží jádro SAP, nemůžete umístit bránu firewall ani síťová virtuální zařízení.
Vyhněte se virtuálním sítím s paprsky peeringu. Pokud je to možné, měli byste se vyhnout partnerskému vztahu virtuálních sítí mezi paprskovými virtuálními sítěmi. Peering virtuálních sítí paprsků na paprsky umožňuje komunikaci paprsku do paprsku obejít bránu firewall virtuální sítě centra. Partnerské vztahy virtuálních sítí s paprsky byste měli nakonfigurovat jenom v případě, že máte požadavky na velkou šířku pásma, například s replikací databáze mezi prostředími SAP. Všechny ostatní síťové přenosy by měly probíhat přes virtuální síť centra a bránu firewall. Další informace najdete v tématu příchozí a odchozí připojení k internetu pro SAP v Azure.
Podsítě
Osvědčeným postupem je rozdělit každé prostředí SAP (produkční, předprodukční, vývoj, sandbox) do podsítí a použít podsítě k seskupení souvisejících služeb. Tady jsou naše doporučení pro podsíť na šířku SAP.
Počet podsítí
Produkční virtuální síť v architektuře má pět podsítí. Tento návrh je ideální pro rozsáhlá podniková řešení. Počet podsítí může být menší nebo více. Počet prostředků ve virtuální síti by měl určovat počet podsítí ve virtuální síti.
Určení velikosti podsítě
Ujistěte se, že podsítě mají dostatečný adresní prostor sítě. Pokud používáte názvy virtuálních hostitelů SAP, potřebujete ve svých podsítích SAP více adresního prostoru. Každá instance SAP často vyžaduje 2 až 3 IP adresy a obsahuje jednu IP adresu pro název hostitele virtuálního počítače. Ostatní služby Azure můžou při nasazení ve virtuálních sítích úloh SAP vyžadovat vlastní vyhrazenou podsíť.
Podsíť aplikace
Podsíť aplikace obsahuje virtuální počítače, na kterých běží aplikační servery SAP, SLUŽBY SAP Central Services (ASCS), služby replikace SAP Enqueue (ERS) a instance SAP Web Dispatcheru. Podsíť obsahuje také privátní koncový bod pro Službu Azure Files. V diagramu jsme seskupili virtuální počítače podle role. Pro odolné nasazení doporučujeme používat škálovací sady virtuálních počítačů s flexibilní orchestrací, zónami dostupnosti nebo skupinami dostupnosti. Další informace najdete v dalších krocích.
Podsíť databáze
Podsíť databáze obsahuje virtuální počítače se spuštěnými databázemi. V diagramu představuje dvojice virtuálních počítačů s synchronní replikací všechny databázové virtuální počítače v jednom prostředí SAP.
Hraniční podsítě
Hraniční podsítě jsou internetové a zahrnují hraniční podsíť SAP a podsíť služby Application Gateway. Tady jsou naše doporučení pro návrh těchto dvou podsítí.
Hraniční podsíť SAP: Hraniční podsíť SAP je hraniční síť, která obsahuje internetové aplikace, jako jsou SAProuter, SAP Cloud Connector, SAP Analytics Cloud Agent a Application Gateway. Tyto služby mají závislosti na systémech SAP, které by tým SAP měl nasadit, spravovat a konfigurovat. Centrální IT tým by neměl spravovat služby v hraniční podsíti SAP. Z tohoto důvodu byste tyto služby měli umístit do virtuální sítě s paprskem SAP, nikoli do virtuální sítě centra. Diagram architektury znázorňuje pouze produkční hraniční síť SAP. V neprodukčních virtuálních sítích nemá hraniční podsíť SAP. Úlohy v neprodukčním předplatném SAP používají služby v hraniční podsíti SAP.
V neprodukčním předplatném můžete vytvořit samostatnou podsíť SAP pro hraniční podsíť SAP. Tento přístup doporučujeme pouze pro důležité úlohy nebo úlohy, které se často mění. Vyhrazený neprodukční obvod SAP je užitečný pro testování a nasazení nových funkcí. Méně důležité aplikace nebo aplikace, které budou mít v průběhu času pouze několik úprav, nepotřebují samostatnou neprodukční hraniční podsíť SAP.
Podsíť služby Application Gateway: Aplikace Azure lication Gateway vyžaduje vlastní podsíť. Použijte ho k povolení provozu z internetu, který můžou používat služby SAP, jako je SAP Fiori. Doporučená architektura umístí bránu Aplikace Azure lication Gateway společně s její front-endovou veřejnou IP adresou ve virtuální síti centra. Brána Aplikace Azure lication vyžaduje alespoň podsíť velikosti /29. Doporučujeme velikost /27 nebo větší. Ve stejné podsíti nemůžete používat obě verze služby Application Gateway (v1 i v2). Další informace najdete v podsíti pro Aplikace Azure lication Gateway.
Umístěte hraniční podsítě do samostatné virtuální sítě pro zvýšení zabezpečení: Pro zvýšení zabezpečení můžete podsíť SAP a podsíť služby Application Gateway umístit do samostatné virtuální sítě v rámci produkčního předplatného SAP. Virtuální síť s paprskovým paprskem SAP je v partnerském vztahu s virtuální sítí centra a veškerý síťový provoz do veřejných sítí prochází hraniční virtuální sítí. Tento alternativní přístup ukazuje Aplikace Azure lication Gateway s veřejnou IP adresou pro příchozí připojení umístěná ve virtuální síti paprsku výhradně pro použití SAP.
Stáhněte si soubor Visia včetně této alternativní architektury.
Tento návrh sítě poskytuje lepší možnosti reakce na incidenty a jemně odstupňované řízení přístupu k síti. Zvyšuje ale také složitost správy, latenci sítě a náklady na nasazení. Pojďme si probrat jednotlivé body.
Lepší reakce na incidenty: Virtuální síť hraniční sítě SAP umožňuje rychlou izolaci ohrožených služeb, pokud zjistíte porušení zabezpečení. Partnerské vztahy virtuálních sítí můžete z hraniční virtuální sítě SAP odebrat do centra a okamžitě izolovat hraniční úlohy SAP a aplikace virtuální sítě SAP z internetu. Nechcete spoléhat na změny pravidel skupiny zabezpečení sítě (NSG) pro reakci na incidenty. Změna nebo odebrání pravidla NSG ovlivní jenom nová připojení a neoříznou stávající škodlivá připojení.
Jemně odstupňované řízení přístupu k síti: Hraniční virtuální síť SAP poskytuje přísnější řízení přístupu k síti a z produkční virtuální sítě SAP.
Zvýšená složitost, latence a náklady: Architektura zvyšuje složitost správy, náklady a latenci. Komunikace vázaná na internet z produkční virtuální sítě SAP je v partnerském vztahu dvakrát, jednou k virtuální síti centra a znovu k hraniční virtuální síti SAP do internetu. Brána firewall ve virtuální síti centra má největší vliv na latenci. Doporučujeme změřit latenci, abyste zjistili, jestli váš případ použití podporuje.
Další informace najdete v osvědčených postupech hraniční sítě.
Podsíť Azure NetApp Files
Pokud používáte NetApp Files, měli byste mít delegovanou podsíť pro poskytování sdílených složek systému souborů NFS (Network File System) nebo smb (server message block) pro různé scénáře SAP v Azure. Podsíť /24 je výchozí velikost podsítě NetApp Files, ale velikost můžete změnit tak, aby vyhovovala vašim potřebám. K určení správné velikosti použijte vlastní požadavky. Další informace najdete v tématu delegovaná podsíť.
Zabezpečení podsítě
Použití podsítí k seskupení prostředků SAP, které mají stejné požadavky na pravidlo zabezpečení, usnadňuje správu zabezpečení.
Skupiny zabezpečení sítě (NSG): Podsítě umožňují implementovat skupiny zabezpečení sítě na úrovni podsítě. Seskupení prostředků ve stejné podsíti, která vyžadují různá pravidla zabezpečení, vyžaduje skupiny zabezpečení sítě na úrovni podsítě a na úrovni síťového rozhraní. S tímto dvouúrovňovým nastavením můžou pravidla zabezpečení snadno kolidovat a způsobit neočekávané problémy s komunikací, které se obtížně řeší. Pravidla NSG také ovlivňují provoz v rámci podsítě. Další informace o skupinách zabezpečení sítě najdete v tématu Skupiny zabezpečení sítě.
Skupiny zabezpečení aplikací (ASG):Doporučujeme použít skupiny zabezpečení aplikací k seskupení síťových rozhraní virtuálních počítačů a odkazovat na skupiny zabezpečení aplikací v pravidlech skupiny zabezpečení sítě. Tato konfigurace umožňuje snadnější vytváření a správu pravidel pro nasazení SAP. Každé síťové rozhraní může patřit do více skupin zabezpečení aplikace s různými pravidly skupiny zabezpečení sítě. Další informace najdete v tématu Skupiny zabezpečení aplikace.
Azure Private Link
Ke zlepšení zabezpečení síťové komunikace doporučujeme použít Azure Private Link. Azure Private Link používá privátní koncové body s privátními IP adresami ke komunikaci se službami Azure. Azure Private Links zabraňuje odesílání síťové komunikace přes internet do veřejných koncových bodů. Další informace najdete v privátních koncových bodech služeb Azure.
Použijte privátní koncové body v podsíti aplikace: Doporučujeme použít privátní koncové body pro připojení podsítě aplikace k podporovaným službám Azure. V architektuře je privátní koncový bod pro Službu Azure Files v podsíti aplikace každé virtuální sítě. Tento koncept můžete rozšířit na jakoukoli podporovanou službu Azure.
Použití Služby Azure Private Link pro platformu BTP (Business Technology Platform): Azure Private Link pro PLATFORMU SAP Business Technology Platform (BTP) je nyní obecně dostupná. Služba SAP Private Link podporuje připojení ze systému SAP BTP, modulu runtime Cloud Foundry a dalších služeb. Mezi ukázkové scénáře patří SAP S/4HANA nebo SAP ERP běžící na virtuálním počítači. Můžou se připojit k nativním službám Azure, jako jsou Azure Database for MariaDB a Azure Database for MySQL.
Tato architektura znázorňuje připojení služby SAP Private Link z prostředí SAP BTP. Služba SAP Private Link vytvoří privátní připojení mezi konkrétními službami SAP BTP a konkrétními službami v každé síti jako účty poskytovatele služeb. Private Link umožňuje službám BTP přistupovat k prostředí SAP prostřednictvím privátních síťových připojení. Zlepšuje zabezpečení tím, že ke komunikaci nepoužívá veřejný internet.
Další informace naleznete v tématu:
- Prostředky Služby Azure Private Link
- Azure Database for MariaDB
- Azure Database for MySQL
- Připojení k internetu pro SAP v Azure
Sdílené složky systému souborů NFS (Network File System) a smb (server message block)
Systémy SAP často závisejí na svazcích systému souborů sítě nebo na sdílených složkách bloků zpráv serveru. Tyto sdílené složky přesouvají soubory mezi virtuálními počítači nebo fungují jako rozhraní souborů s jinými aplikacemi. Doporučujeme používat nativní služby Azure, jako jsou Azure Premium Files a Azure NetApp Files, jako jsou sdílené složky systému souborů NFS (Network File System) a smb (server message block). Služby Azure mají lepší kombinovanou dostupnost, odolnost a smlouvy o úrovni služeb (SLA) než nástroje založené na operačním systému.
Další informace naleznete v tématu:
Při navrhování řešení SAP je potřeba správně nastavit velikost jednotlivých svazků sdílených složek a zjistit, ke které systémové sdílené složce SAP se připojuje. Při plánování mějte na paměti škálovatelnost a výkonnostní cíle služby Azure. Následující tabulka popisuje běžné sdílené složky SAP a poskytuje stručný popis a doporučené použití v celém prostředí SAP.
| Názvy sdílené složky | Využití | Doporučení |
|---|---|---|
sapmnt |
Distribuovaný systém, profil a globální adresáře SAP | Vyhrazená sdílená složka pro každý systém SAP, bez opakovaného použití |
cluster |
Sdílené složky s vysokou dostupností pro ASCS, ERS a databázi podle příslušného návrhu | Vyhrazená sdílená složka pro každý systém SAP, bez opakovaného použití |
saptrans |
Adresář přenosu SAP | Jedna sdílená složka pro jednu nebo několik prostředí SAP (ERP, Business Warehouse) |
interface |
Výměna souborů s aplikacemi mimo SAP | Požadavky specifické pro zákazníky, samostatné sdílené složky na prostředí (produkční, neprodukční) |
Sdílet můžete jenom saptrans mezi různými prostředími SAP, a proto byste měli pečlivě zvážit jeho umístění. Vyhněte se konsolidaci příliš mnoha systémů SAP do jedné saptrans sdílené složky z důvodů škálovatelnosti a výkonu.
Firemní zásady zabezpečení budou řídit architekturu a oddělení svazků mezi prostředími. Transportní adresář s oddělením podle prostředí nebo vrstvy potřebuje komunikaci RFC mezi prostředími SAP, aby bylo možné povolit transportní skupiny SAP nebo propojení dopravních domén. Další informace naleznete v tématu:
Datové služby
Architektura obsahuje datové služby Azure, které vám pomůžou rozšířit a vylepšit datovou platformu SAP. K odemknutí obchodních přehledů doporučujeme používat služby, jako jsou Azure Synapse Analytics, Azure Data Factory a Azure Data Lake Storage. Tyto datové služby vám pomůžou analyzovat a vizualizovat data SAP a jiná data než SAP.
Pro mnoho scénářů integrace dat se vyžaduje prostředí Integration Runtime. Prostředí Azure Integration Runtime je výpočetní infrastruktura, kterou kanály Azure Data Factory a Azure Synapse Analytics používají k poskytování možností integrace dat. Pro každé prostředí doporučujeme nasazení virtuálních počítačů runtime pro tyto služby samostatně. Další informace naleznete v tématu:
- Prostředí Azure Integration Runtime
- Nastavení místního prostředí Integration Runtime pro použití v řešení SAP CDC
- Kopírování dat ze SAP HANA
- Kopírování dat ze SAP Business Warehouse přes Open Hub
Sdílené služby
Řešení SAP spoléhají na sdílené služby. Příkladem služeb, které používají různé systémy SAP, jsou nástroje pro vyrovnávání zatížení a aplikační brány. Architektura, ale vaše organizace by měla určit, jak můžete navrhovat sdílené služby. Tady jsou obecné pokyny, které byste měli dodržovat.
Nástroje pro vyrovnávání zatížení: Doporučujeme jeden nástroj pro vyrovnávání zatížení na systém SAP. Tato konfigurace pomáhá minimalizovat složitost. Chcete se vyhnout příliš mnoha fondům a pravidlům v jednom nástroji pro vyrovnávání zatížení. Tato konfigurace také zajišťuje, že pojmenování a umístění odpovídá systému a skupině prostředků SAP. Každý systém SAP s clusterovanou architekturou vysoké dostupnosti (HA) by měl mít aspoň jeden nástroj pro vyrovnávání zatížení. Architektura používá jeden nástroj pro vyrovnávání zatížení pro virtuální počítače ASCS a druhý nástroj pro vyrovnávání zatížení pro databázové virtuální počítače. Některé databáze nemusí vyžadovat nástroje pro vyrovnávání zatížení k vytvoření nasazení s vysokou dostupností. SAP HANA dělá. Další podrobnosti najdete v dokumentaci specifické pro databázi.
Application Gateway: Pokud není složitost a počet připojených systémů příliš vysoký, doporučujeme alespoň jednu aplikační bránu na jedno prostředí SAP (produkční, neprodukční prostředí a sandbox). Aplikační bránu můžete použít pro více systémů SAP, abyste snížili složitost, protože ne všechny systémy SAP v prostředí vyžadují veřejný přístup. Jedna aplikační brána může obsluhovat více portů webového dispečera pro jeden systém SAP S/4HANA nebo může být používána různými systémy SAP.
Virtuální počítače SAP Web Dispatcher: Architektura zobrazuje fond dvou nebo více virtuálních počítačů SAP Web Dispatcher. Doporučujeme nepoužití virtuálních počítačů SAP Web Dispatcher mezi různými systémy SAP. Jejich oddělení umožňuje velikost virtuálních počítačů Web Dispatcher tak, aby vyhovovaly potřebám každého systému SAP. U menších řešení SAP doporučujeme vložit služby Web Dispatcher do instance SLUŽBY ASCS.
Služby SAP: Služby SAP, jako jsou SAProuter, Cloud Connector a Analytický cloudový agent, se nasazují na základě požadavků aplikací, a to buď centrálně, nebo se rozdělí. Vzhledem k různým požadavkům zákazníků se nepoužívá mezi systémy SAP žádné doporučení k opakovanému použití. Hlavní rozhodnutí, které je potřeba provést, je uvedeno v části sítě, pokud a kdy se má použít hraniční podsíť SAP pro neprodukční prostředí. V opačném případě s pouze produkční hraniční podsítí pro SAP se hraniční služby SAP spotřebovávají v celém prostředí SAP.
Zotavení po havárii
Zotavení po havárii řeší požadavek na kontinuitu podnikových procesů v případě, že primární oblast Azure není dostupná nebo je ohrožena. Z celkové perspektivy SAP na šířku a znázorněné v diagramu jsou zde naše doporučení pro návrh zotavení po havárii.
Používejte různé rozsahy IP adres virtuálních sítí pouze v jedné oblasti Azure. Všechna řešení zotavení po havárii by měla používat jinou oblast. V sekundární oblasti potřebujete vytvořit jinou virtuální síť. Virtuální síť v prostředí zotavení po havárii potřebuje jiný rozsah IP adres, aby bylo možné synchronizaci databáze prostřednictvím nativní technologie databáze.
Centrální služby a připojení k místnímu prostředí: Připojení k místním a klíčovým centrálním službám (DNS nebo bránám firewall) musí být dostupné v oblasti zotavení po havárii. Dostupnost a konfigurace změn centrálních IT služeb musí být součástí plánu zotavení po havárii. Centrální IT služby jsou klíčové komponenty pro funkční prostředí SAP.
Azure Site Recovery Azure Site Recovery replikuje a chrání konfigurace spravovaných disků a virtuálních počítačů pro aplikační servery do oblasti zotavení po havárii.
Zajištění dostupnosti sdílené složky: SAP závisí na dostupnosti sdílených složek klíčů. Zálohování nebo průběžná replikace sdílených složek je nezbytná k poskytování dat na těchto sdílených složkách s minimální ztrátou dat ve scénáři zotavení po havárii.
Replikace databáze Azure Site Recovery nemůže chránit databázové servery SAP kvůli vysoké míře změn a nedostatku podpory databáze službou. Potřebujete nakonfigurovat průběžnou a asynchronní replikaci databáze do oblasti zotavení po havárii.
Další informace najdete v přehledu zotavení po havárii a pokyny pro infrastrukturu pro úlohy SAP.
Menší architektura SAP
U menších řešení SAP může být užitečné zjednodušit návrh sítě. Virtuální síť každého prostředí SAP by pak byla podsítěmi uvnitř takové kombinované virtuální sítě. Jakékoli zjednodušení potřeb návrhu sítě a předplatného může mít vliv na zabezpečení. Měli byste znovu vyhodnotit směrování sítě, přístup k veřejným sítím a z veřejných sítí, přístup ke sdíleným službám (sdílené složky) a přistupovat k dalším službám Azure. Tady je několik možností pro zmenšení architektury tak, aby lépe vyhovovala potřebám organizace.
Zkombinujte aplikační a databázové podsítě SAP do jedné. Zkombinováním podsítí aplikace a databáze můžete vytvořit jednu velkou síť SAP. Tento návrh sítě zrcadlí mnoho místních sítí SAP. Kombinace těchto dvou podsítí vyžaduje větší pozornost k zabezpečení podsítě a pravidlům skupiny zabezpečení sítě. Skupiny zabezpečení aplikací jsou důležité při použití jedné podsítě pro aplikační a databázové podsítě SAP.
Kombinování hraniční podsítě SAP a podsítě aplikace Hraniční podsíť a podsíť aplikace SAP můžete kombinovat. Zvýšená pozornost musí být umístěna v pravidlech skupiny zabezpečení sítě a použití skupiny zabezpečení aplikace. Tento přístup ke zjednodušení doporučujeme pouze u malých aktiv SAP.
Kombinace virtuálních sítí s paprsky SAP mezi různými prostředími SAP Architektura používá různé virtuální sítě pro každé prostředí SAP (centrum, produkční prostředí, neprodukční prostředí a zotavení po havárii). V závislosti na velikosti prostředí SAP můžete kombinovat paprskové virtuální sítě SAP do menšího nebo dokonce jednoho paprsku SAP. Stále je potřeba rozdělit mezi produkční a neprodukční prostředí. Každé produkční prostředí SAP se stane podsítí v jedné produkční virtuální síti SAP. Každé neprodukční prostředí SAP se stane podsítí v jedné neprodukční virtuální síti SAP.
Přispěvatelé
Microsoft udržuje tento článek. Původně byla napsána následujícími přispěvateli.
Hlavní autoři:
- Robert Biro | Vedoucí architekt
- Pankaj Meshram | Hlavní programový manažer
Další kroky
- SAP S/4HANA v Linuxu v Azure
- Spuštění SAP NetWeaver ve Windows v Azure
- Spuštění SAP HANA v architektuře vertikálního navýšení kapacity v Azure
- Architektura přechodu na cloud – scénář SAP
- Příchozí a odchozí připojení k internetu pro SAP v Azure
- Dokumentace k SAP v Azure
- Průvodce plánováním a implementací Azure pro úlohy SAP
- Úlohy SAP na platformě Azure: kontrolní seznam pro plánování a nasazování