Sdílet prostřednictvím


Bezpečné zveřejnění starší verze middlewaru SAP pomocí Azure PaaS

Běžným požadavkem je povolení interních systémů a externích partnerů pro interakci s back-endy SAP. Stávající prostředí SAP se často spoléhají na starší verzi middlewaru SAP Process Orchestraation (PO) nebo integrace procesů (PI) pro potřeby integrace a transformace. Pro zjednodušení tento článek používá termín SAP Process Orchestraation k odkazování na obě nabídky.

Tento článek popisuje možnosti konfigurace v Azure s důrazem na internetové implementace.

Poznámka:

SAP zmíní sap Integration Suite – konkrétně SAP Cloud Integration – běží na platformě BTP (Business Technology Platform) jako následník pro SAP PO a PI. Platforma BTP i služby jsou k dispozici v Azure. Další informace najdete v tématu SAP Discovery Center. Další informace o časové ose podpory údržby pro starší komponenty najdete v poznámkovém 1648480 SAP OSS.

Přehled

Stávající implementace založené na middlewaru SAP se často spoléhaly na proprietární technologii odesílání SAP, která se nazývá SAP Web Dispatcher. Tato technologie funguje na vrstvě 7 modelu OSI. Funguje jako reverzní proxy server a řeší potřeby vyrovnávání zatížení pro úlohy podřízených aplikací SAP, jako je SAP Enterprise Resource Planning (ERP), SAP Gateway nebo SAP Process Orchestraation.

Přístupy k odesílání zahrnují tradiční reverzní proxy servery, jako je Apache, možnosti paaS (platforma jako služba), jako je Azure Load Balancer, a názorný SAP Web Dispatcher. Celkové koncepty popsané v tomto článku platí pro uvedené možnosti. Pokyny k používání nástrojů pro vyrovnávání zatížení jiných než SAP najdete na wikiwebu SAP.

Poznámka:

Všechna popsaná nastavení v tomto článku předpokládají hvězdicovou síťovou topologii, kde se sdílené služby nasazují do centra. V závislosti na závažnosti SAP možná budete potřebovat ještě větší izolaci. Další informace najdete v průvodci návrhem SAP pro hraniční sítě.

Primární služby Azure

Aplikace Azure lication Gateway zpracovává veřejné internetové a interní privátní směrování HTTP spolu s šifrovaným tunelováním napříč předplatnými Azure. Mezi příklady patří zabezpečení a automatické škálování.

Aplikace Azure lication Gateway se zaměřuje na zveřejnění webových aplikací, takže nabízí firewall webových aplikací (WAF). Úlohy v jiných virtuálních sítích, které budou komunikovat se SAP prostřednictvím brány Aplikace Azure lication Gateway, je možné připojit prostřednictvím privátních propojení, a to i napříč tenanty.

Diagram znázorňující komunikaci mezi tenanty prostřednictvím brány Aplikace Azure lication

Azure Firewall zpracovává veřejné internetové a interní privátní směrování pro typy provozu ve vrstvách 4 až 7 modelu OSI. Nabízí filtrování a analýzu hrozeb, které se chytnou přímo ze zabezpečení Microsoftu.

Azure API Management zpracovává veřejné internetové a interní privátní směrování speciálně pro rozhraní API. Nabízí omezení požadavků, kvótu využití a omezení, funkce zásad správného řízení, jako jsou zásady a klíče rozhraní API pro rozdělení služeb na klienta.

Azure VPN Gateway a Azure ExpressRoute slouží jako vstupní body do místních sítí. V diagramech se zkracují jako VPN a XR.

Důležité informace o nastavení

Architektura integrace se liší v závislosti na rozhraní, které organizace používá. Proprietární technologie SAP, jako je architektura IDoc (Intermediate Document), rozhraní BAPI (Business Application Programming Interface), transakční vzdálená volání funkcí (tRFCS) nebo prosté rfcs, vyžadují konkrétní běhové prostředí. Pracují na vrstvách 4 až 7 modelu OSI, na rozdíl od moderních rozhraní API, která obvykle spoléhají na komunikaci založenou na HTP (vrstva 7 modelu OSI). Z tohoto důvodu se rozhraní nedají považovat za stejnou.

Tento článek se zaměřuje na moderní rozhraní API a PROTOKOL HTTP, včetně scénářů integrace, jako je applicationability Statement 2 (AS2). Protokol FTP (File Transfer Protocol) slouží jako příklad pro zpracování potřeb integrace jiného typu než HTTP. Další informace o řešeních microsoftu pro vyrovnávání zatížení najdete v tématu Možnosti vyrovnávání zatížení.

Poznámka:

SAP publikuje vyhrazené konektory pro svá proprietární rozhraní. Projděte si například dokumentaci k SAP pro Javu a .NET. Podporují je také brány Microsoftu. Mějte na paměti, že IDocs lze také publikovat prostřednictvím PROTOKOLU HTTP.

Obavy zabezpečení vyžadují použití bran firewall pro protokoly nižší úrovně a WAF k řešení provozu založeného na protokolu HTTP pomocí protokolu TLS (Transport Layer Security). Aby byly relace TLS efektivní, musí se ukončit na úrovni WAF. Pokud chcete podporovat přístupy nulové důvěryhodnosti, doporučujeme znovu šifrovat později, abyste zajistili kompletní šifrování.

Integrační protokoly, jako je AS2, můžou vyvolat výstrahy pomocí standardních pravidel WAF. K identifikaci a lepšímu pochopení toho, proč se pravidlo aktivuje, doporučujeme použít sešit WAF služby Application Gateway, abyste mohli efektivně a bezpečně napravit. Open Web Application Security Project (OWASP) poskytuje standardní pravidla. Podrobnou video relaci týkající se tohoto tématu s důrazem na expozici SAP Fiori najdete v SAP na webovém vysílání Azure.

Zabezpečení můžete dále vylepšit pomocí vzájemného protokolu TLS (mTLS), který se také označuje jako vzájemné ověřování. Na rozdíl od normálního protokolu TLS ověřuje identitu klienta.

Poznámka:

Fondy virtuálních počítačů vyžadují nástroj pro vyrovnávání zatížení. Kvůli lepší čitelnosti diagramy v tomto článku nezobrazují nástroj pro vyrovnávání zatížení.

Poznámka:

Pokud nepotřebujete funkce vyrovnávání specifické pro SAP, které poskytuje SAP Web Dispatcher, můžete je nahradit službou Azure Load Balancer. Toto nahrazení poskytuje výhodu spravované nabídky PaaS místo nastavení infrastruktury jako služby (IaaS).

Scénář: Prioritní příchozí připojení HTTP

SAP Web Dispatcher nenabízí WAF. Proto doporučujeme Aplikace Azure lication Gateway pro bezpečnější nastavení. SAP Web Dispatcher a orchestrace procesů zůstávají na starosti, aby pomohly chránit back-end SAP před přetížením požadavků pomocí pokynů k určení velikosti a souběžných limitů požadavků. V úlohách SAP není k dispozici žádná schopnost omezování.

Neúmyslnému přístupu se můžete vyhnout prostřednictvím seznamů řízení přístupu v SAP Web Dispatcheru.

Jedním ze scénářů komunikace orchestrace procesů SAP je příchozí tok. Provoz může pocházet z místních, externích aplikací nebo uživatelů nebo z interního systému. Následující příklad se zaměřuje na HTTPS.

Diagram znázorňující scénář příchozího protokolu HTTP s orchestrací procesů SAP v Azure

Scénář: Prioritní odchozí připojení HTTP/FTP

Pro směr zpětné komunikace může orchestrace procesů SAP použít směrování virtuální sítě k dosažení místních úloh nebo internetových cílů prostřednictvím přerušení internetu. Aplikace Azure lication Gateway funguje jako reverzní proxy v takových scénářích. Pro komunikaci bez protokolu HTTP zvažte přidání služby Azure Firewall. Další informace najdete v tématu Scénář: Soubor založený na souborech a porovnání komponent brány dále v tomto článku.

Následující scénář odchozích přenosů ukazuje dvě možné metody. Jeden používá https prostřednictvím brány Aplikace Azure lication, která volá webovou službu (například adaptér SOAP). Druhý používá protokol FTP přes SSH (SFTP) prostřednictvím služby Azure Firewall, který přenáší soubory na server SFTP obchodního partnera.

Diagram znázorňující scénář odchozích přenosů s orchestrací procesů SAP v Azure

Scénář: Služba API Management zaměřená na

Ve srovnání se scénáři příchozího a odchozího připojení přidává zavedení služby Azure API Management v interním režimu (pouze privátní IP adresa a integrace virtuální sítě) integrované funkce, jako jsou:

Diagram znázorňující příchozí scénář se službou Azure API Management a orchestrací procesů SAP v Azure

Pokud nepotřebujete WAF, můžete službu Azure API Management nasadit v externím režimu pomocí veřejné IP adresy. Toto nasazení zjednodušuje nastavení a zároveň zachovává možnosti omezení a zásad správného řízení rozhraní API. Základní ochrana se implementuje pro všechny nabídky Azure PaaS.

Diagram znázorňující příchozí scénář se službou Azure API Management v externím režimu a orchestraci procesů SAP

Scénář: Globální dosah

Aplikace Azure lication Gateway je služba vázaná na oblast. V porovnání s předchozími scénáři zajišťuje Azure Front Door globální směrování mezi oblastmi, včetně firewallu webových aplikací. Podrobnosti o rozdílech najdete v tomto porovnání.

Následující diagram kondenzuje SAP Web Dispatcher, SAP Process Orchestraation a back-end do jediné image, aby byl lépe čitelný.

Diagram znázorňující scénář globálního dosahu s orchestrací procesů SAP v Azure

Scénář: Souborové

Protokoly jiného typu než HTTP, jako je FTP, se nedají řešit pomocí služby Azure API Management, Application Gateway nebo Služby Azure Front Door, jak je znázorněno v předchozích scénářích. Místo toho spravovaná instance služby Azure Firewall nebo ekvivalentní síťové virtuální zařízení převezme roli zabezpečení příchozích požadavků.

Soubory je potřeba uložit, aby je SAP mohl zpracovat. Doporučujeme používat protokol SFTP. Azure Blob Storage nativně podporuje SFTP.

Diagram znázorňující scénář založený na souborech se službou Azure Blob Storage a orchestrací procesů SAP v Azure

Alternativní možnosti SFTP jsou v případě potřeby k dispozici na Azure Marketplace.

Následující diagram znázorňuje variantu tohoto scénáře s cíli integrace externě i místně. Různé typy zabezpečeného ftp ilustrují komunikační cestu.

Diagram znázorňující scénář založený na souborech s místní sdílenou složkou a externí stranou využívající orchestraci procesů SAP v Azure

Přehled o sdílených složkách systému souborů NFS (Network File System) jako alternativu ke službě Blob Storage najdete v tématu Sdílené složky NFS ve službě Azure Files.

Scénář: Specifické pro SAP RISE

Nasazení SAP RISE jsou technicky identická se scénáři popsanými výše, s výjimkou, že SAP sám spravuje cílovou úlohu SAP. Zde lze použít popsané koncepty.

Následující diagramy znázorňují dvě nastavení jako příklady. Další informace najdete v referenční příručce SAP RISE.

Důležité

Obraťte se na SAP a ujistěte se, že jsou povolené a otevřené komunikační porty pro váš scénář v NSG.

Příchozí provoz HTTP

V prvním nastavení se zákazník řídí integrační vrstvou, včetně orchestrace procesů SAP a úplné příchozí cesty. Pouze konečný cíl SAP běží v předplatném RISE. Komunikace s úlohou hostovanou službou RISE se konfiguruje prostřednictvím partnerského vztahu virtuálních sítí, obvykle přes centrum. Potenciální integrací může být IDocs publikováno do webové služby /sap/bc/idoc_xml SAP ERP externí stranou.

Diagram znázorňující příchozí scénář se službou Azure API Management a místní orchestrací procesů SAP v Azure v kontextu RISE

Tento druhý příklad ukazuje nastavení, ve kterém SAP RISE spouští celý řetězec integrace s výjimkou vrstvy API Management.

Diagram znázorňující příchozí scénář se službou Azure API Management a orchestrací procesů SAP hostované v Azure v kontextu RISE

Odchozí přenos souborů

V tomto scénáři instance orchestrace procesů spravovaná sap zapisuje soubory do sdílené složky spravované zákazníkem v Azure nebo do úlohy sedící místně. Zákazník to zpracuje.

Diagram znázorňující scénář sdílené složky s orchestrací procesů SAP v Azure v kontextu RISE

Porovnání nastavení brány

Poznámka:

Metriky výkonu a nákladů předpokládají úrovně na úrovni produkce. Další informace najdete v tématu Cenová kalkulačka Azure. Projděte si také následující články: Výkon služby Azure Firewall, podpora vysokého provozu ve službě Application Gateway a kapacita instance služby Azure API Management.

Tabulka, která porovnává komponenty brány, které jsou popsány v tomto článku.

V závislosti na protokolech integrace, které používáte, možná budete potřebovat více komponent. Další informace o výhodách různých kombinací řetězení brány Aplikace Azure lication Gateway se službou Azure Firewall najdete v tématu Azure Firewall a Application Gateway pro virtuální sítě.

Pravidlo integrace palce

Pokud chcete zjistit, které scénáře integrace popsané v tomto článku nejlépe vyhovují vašim požadavkům, vyhodnoťte je podle případu. Zvažte povolení následujících možností:

Alternativy k orchestraci procesů SAP s využitím integračních služeb Azure

S portfoliem Azure Integration Services můžete nativně řešit scénáře integrace, které se týká orchestrace procesů SAP. Přehled o tom, jak navrhovat vzory SAP IFlow prostřednictvím nativních cloudových prostředků, najdete v této sérii blogů. Průvodce konektorem obsahuje další podrobnosti o AS2 a EDIFACT.

Další informace najdete v konektorech Azure Logic Apps pro požadovaná rozhraní SAP.

Další kroky

Ochrana rozhraní API pomocí služby Application Gateway a služby API Management

Integrace služby API Management do interní virtuální sítě se službou Application Gateway

Nasazení sešitu se tříděním WAF služby Application Gateway, abyste lépe porozuměli upozorněním WAF souvisejícím se SAP

Vysvětlení WAF služby Application Gateway pro SAP

Vysvětlení důsledků kombinování služby Azure Firewall a brány Aplikace Azure lication

Práce s rozhraními API SAP OData ve službě Azure API Management