Szerkesztés

Megosztás a következőn keresztül:

SAP fekvő architektúra

Azure Virtual Machines
Azure Virtual Network
Azure Files
Azure Load Balancer

Ez a cikk ajánlott eljárásokat tartalmaz egy teljes SAP-környezet Azure-beli tervezőihez. Az SAP-környezet több SAP-rendszert tartalmaz a központi, az éles, a nem éles és a vészhelyreállítási környezetekben. Olyan javaslatokat nyújtunk, amelyek a hálózattervezésre összpontosítanak, nem pedig az adott SAP-rendszerekre. A cél az, hogy javaslatainkat nyújtsuk a biztonságos, nagy teljesítményű és rugalmas SAP-környezetek létrehozásához.

Architektúra

Diagram, amely az Azure-beli SAP-környezet mintáját mutatja be.

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

  1. Helyszíni hálózat: ExpressRoute-kapcsolat a helyszíni hálózatról a csatlakoztatott Azure-régiókhoz.
  2. Azure-előfizetés regionális központjai: Az Azure-előfizetés központi szolgáltatásokat tartalmaz az egész vállalat számára, nem csak az SAP-t. A hub-előfizetés kapcsolatot biztosít az SAP-számítási feladatokat tartalmazó küllős virtuális hálózatok közötti társviszony-létesítéssel.
  3. Központi virtuális hálózat: Küllős virtuális hálózat a központi központhoz az elsődleges régióban vagy az A régióban.
  4. Központi vészhelyreállítási (DR) virtuális hálózat: A központi központ küllős virtuális hálózata vészhelyreállítási régióban. Tükrözi az elsődleges régióban lévő éles virtuális hálózat alhálózati kialakítását.
  5. Azure-előfizetés– nem éles SAP: Azure-előfizetés az összes nem éles SAP-számítási feladathoz. Ez magában foglalja a gyártás előtti, a minőségbiztosítási, a fejlesztési és a tesztkörnyezeti környezeteket.
  6. SAP nem éles küllős virtuális hálózatok: Elkülöníti a virtuális hálózatokat a nem éles SAP számítási feladatokhoz az elsődleges régióban. Minden SAP-környezet saját virtuális hálózattal és alhálózatokkal rendelkezik.
  7. Azure-előfizetés SAP-termelés: Azure-előfizetés az összes éles SAP-számítási feladathoz.
  8. SAP éles küllős virtuális hálózat: Az SAP éles környezetének több alhálózattal rendelkező virtuális hálózata. Ez a virtuális hálózat az elsődleges régióban található.
  9. SAP éles vészhelyreállítás (DR) küllős virtuális hálózat: Az SAP-termelés virtuális hálózata a másodlagos, vészhelyreállítási régióban. Tükrözi az elsődleges régióban lévő éles virtuális hálózat alhálózati kialakítását.
  10. Azure-szolgáltatások: Az SAP-környezethez csatlakoztatható Azure-szolgáltatások mintavételezése.
  11. SAP Business Technology Platform (BTP): Az SAP-környezet az Azure Private Linken keresztül fér hozzá az SAP Business Technology Platformhoz.

Azure-előfizetések

Javasoljuk, hogy küllős hálózati kialakítást használjon. Küllős kialakítással legalább három előfizetésre van szüksége az SAP-környezetek megosztásához. Előfizetéssel kell rendelkeznie az (1) regionális központi virtuális hálózatokhoz, (2) nem éles virtuális hálózatokhoz és (3) éles virtuális hálózatokhoz. Az előfizetések számlázási, szabályzat- és biztonsági határokat biztosítanak. Nincs megfelelő számú előfizetés. A használt előfizetések száma a számlázástól, a szabályzattól és a biztonsági igényektől függ. Általában el szeretné kerülni a túl sok előfizetés használatát. A túl sok előfizetés szükségtelen felügyeleti többletterhelést és hálózatkezelés összetettségét okozhatja. Például nincs szükség előfizetésre az egyes SAP-rendszerekhez. Az architektúra három előfizetést használ:

  • Regionális központok: Olyan Azure-beli virtuális központ-előfizetés, amelyben a központi virtuális hálózat az elsődleges és a másodlagos régiók számára létezik. Ez az előfizetés az összes központi szolgáltatásra és nem csak az SAP-ra szól.

  • NEM éles SAP: Olyan Azure SAP nem éles előfizetés, amelyben nem éles rendszerek találhatók, beleértve a tesztkörnyezetet, a fejlesztést, a minőségbiztosítást vagy az éles üzem előtti rendszereket.

  • SAP-termelés: Azure SAP éles előfizetés, amelyben konfiguráltuk az éles és vészhelyreállítási rendszereket.

További információk:

Hálózattervezés

A küllős topológia az SAP-környezetek ajánlott hálózati kialakítása. Ebben a topológiában az éles központ virtuális hálózata központi csatlakozási pontként működik. Csatlakozik a helyszíni hálózathoz és a különböző küllős virtuális hálózatokhoz, és lehetővé teszi a felhasználók és alkalmazások számára az SAP-számítási feladathoz való hozzáférést. Ebben a küllős topológiában íme az SAP-hálózattervezésre vonatkozó javaslataink.

Használja az ExpressRoute-ot helyszíni kapcsolathoz. SAP-számítási feladatok esetén javasoljuk, hogy az ExpressRoute használatával csatlakoztassa a helyszíni hálózatot a központi virtuális hálózathoz és a központi dr. virtuális hálózathoz. Ha globális helyekkel rendelkezik, használhatja az Azure virtual WAN topológiát. Érdemes lehet beállítani egy helyek közötti (S2S) VPN-t az Azure ExpressRoute biztonsági mentéseként, vagy bármilyen külső útválasztási követelményként.

További információk:

Környezetenként egy virtuális hálózatot használjon. Javasoljuk, hogy környezetenként egy virtuális hálózatot használjunk (SAP üzembehelyezési szint). Az architektúra egy másik virtuális hálózatot használ az éles környezethez, a fejlesztéshez, a minőségbiztosításhoz és a tesztkörnyezethez. Ez a hálózati kialakítás ideális nagyvállalati architektúrákhoz.

Használjon központi tűzfalat. A küllős virtuális hálózatok felé irányuló összes hálózati forgalomnak, beleértve a távoli függvényhívási (RFC-) kapcsolatokat is, át kell haladnia a központi tűzfalon a központi virtuális hálózaton. A küllős virtuális hálózatok közötti hálózati kommunikáció (küllő-küllős kommunikáció) áthalad a központi virtuális hálózati tűzfalon a központi virtuális hálózat Azure Firewall-alhálózatán. Hasonlóképpen, a küllős virtuális hálózatok és a helyszíni hálózat közötti hálózati kommunikáció is áthalad a központi virtuális hálózati tűzfalon. Virtuális hálózatok közötti társviszony-létesítéssel csatlakoztattuk a különböző küllős virtuális hálózatokat a központi virtuális hálózathoz. A küllős virtuális hálózatok közötti összes kommunikáció áthalad a központi virtuális hálózati tűzfalon. Tűzfal helyett hálózati virtuális berendezést is használhat. További információ: hálózati virtuális berendezés.

A virtuális hálózaton maradó hálózati forgalom nem haladhat át tűzfalon. Ne helyezzen például tűzfalat az SAP-alkalmazás alhálózata és az SAP-adatbázis alhálózata közé. Nem helyezhet el tűzfalat vagy hálózati virtuális berendezéseket (NVA-kat) az SAP-alkalmazás és az SAP-kernelt futtató SAP-rendszerek adatbázis-kezelő rendszere (DBMS) rétege között.

Kerülje a küllős virtuális hálózatok közötti társviszony-létesítést. Ha lehetséges, kerülni kell a küllős virtuális hálózatok közötti virtuális hálózatok közötti társviszony-létesítést. A küllők közötti virtuális hálózatok közötti társviszony lehetővé teszi a küllők közötti kommunikációt a küllős hálózati tűzfal megkerüléséhez. A küllős virtuális hálózatok közötti társviszonyt csak akkor érdemes konfigurálni, ha nagy sávszélességű követelményekkel rendelkezik, például az ADATBÁZIS-replikációval az SAP-környezetek között. Minden más hálózati forgalomnak a központi virtuális hálózaton és a tűzfalon kell futnia. További információkért tekintse meg az Azure-beli SAP bejövő és kimenő internetkapcsolatait.

Alhálózatok

Ajánlott eljárás az egyes SAP-környezetek (éles üzem, gyártás előtti, fejlesztés, tesztkörnyezet) alhálózatokra való felosztása, valamint alhálózatok használata a kapcsolódó szolgáltatások csoportosítására. Íme az SAP-környezetek aláosztására vonatkozó javaslataink.

Alhálózatok száma

Az architektúra éles virtuális hálózata öt alhálózattal rendelkezik. Ez a kialakítás ideális nagyvállalati megoldásokhoz. Az alhálózatok száma kisebb vagy több is lehet. A virtuális hálózatban lévő erőforrások számának meg kell határoznia a virtuális hálózat alhálózatainak számát.

Alhálózat méretezése

Győződjön meg arról, hogy az alhálózatok elegendő hálózati címtérrel rendelkeznek. Ha SAP virtuális gazdagépneveket használ, több címtérre van szüksége az SAP-alhálózatokban. Gyakran minden SAP-példányhoz 2–3 IP-cím szükséges, és egy IP-címet tartalmaz a virtuális gép gazdagépének nevéhez. Más Azure-szolgáltatásokhoz saját dedikált alhálózatra lehet szükség az SAP számítási feladatok virtuális hálózataiban való üzembe helyezéskor.

Alkalmazás alhálózata

Az alkalmazás alhálózata SAP-alkalmazáskiszolgálókat, SAP Central Servicest (ASCS), SAP Enqueue Replikációs Szolgáltatásokat (ERS) és SAP Web Dispatcher-példányokat futtató virtuális gépeket tartalmaz. Az alhálózat egy privát végpontot is tartalmaz az Azure Fileshoz. A diagramban szerepkör szerint csoportosítottuk a virtuális gépeket. Javasoljuk, hogy rugalmas vezénylési, rendelkezésre állási zónákkal vagy rendelkezésre állási csoportokkal rendelkező virtuálisgép-méretezési csoportokat használjunk a rugalmas üzembe helyezéshez. További információt a következő lépésekben talál.

Adatbázis-alhálózat

Az adatbázis alhálózata adatbázisokat futtató virtuális gépeket tartalmaz. A diagramon a szinkron replikációval rendelkező virtuális gépek párja egy SAP-környezet összes adatbázis-virtuális gépét képviseli.

Szegélyhálózatok

A szegélyhálózatok internetkapcsolattal rendelkezőek, és egy SAP szegélyhálózatot és egy Application Gateway-alhálózatot is tartalmaznak. Íme a két alhálózat tervezésére vonatkozó javaslataink.

SAP szegélyhálózat: Az SAP szegélyhálózata egy szegélyhálózat, amely olyan internetes alkalmazásokat tartalmaz, mint a SAProuter, az SAP Cloud Connector, az SAP Analytics Cloud Agent és az Application Gateway. Ezek a szolgáltatások függőségekkel rendelkeznek az SAP-rendszerekhez, amelyeket az SAP-csapatnak telepítenie, kezelnie és konfigurálnia kell. Egy központi informatikai csapatnak nem szabad felügyelnie az SAP szegélyhálózatán lévő szolgáltatásokat. Ezért ezeket a szolgáltatásokat az SAP küllős virtuális hálózatában kell elhelyeznie, nem pedig a központi virtuális hálózaton. Az architektúradiagram csak egy éles SAP szegélyhálózatot jelenít meg. Nem rendelkezik SAP szegélyhálózattal a nem éles virtuális hálózatokban. A nem éles SAP-előfizetés számítási feladatai az SAP peremhálózatán lévő szolgáltatásokat használják.

Külön sap szegélyhálózatot hozhat létre a nem éles előfizetésben. Ezt a megközelítést csak a gyakran változó kritikus számítási feladatokhoz vagy számítási feladatokhoz javasoljuk. A dedikált, nem éles SAP-szegélyek hasznosak a teszteléshez és az új funkciók üzembe helyezéséhez. A kevésbé kritikus alkalmazásoknak és alkalmazásoknak, amelyek idővel csak kevés módosítást fognak elvégezni, nincs szükségük külön, nem éles SAP szegélyhálózatra.

Application Gateway-alhálózat: Azure-alkalmazás átjárónak saját alhálózatra van szüksége. Ezzel engedélyezheti az internetről érkező forgalmat, amelyet az SAP-szolgáltatások, például az SAP Fiori használhatnak. Az ajánlott architektúra Azure-alkalmazás Átjárót a központi virtuális hálózat előtérbeli nyilvános IP-címével együtt helyezi el. Az Azure-alkalmazás-átjárók legalább /29 méretű alhálózatot igényelnek. A méretet /27 vagy nagyobbnak javasoljuk. Az Application Gateway (v1 és v2) mindkét verzióját nem használhatja ugyanabban az alhálózatban. További információ: Azure-alkalmazás Gateway alhálózata.

Helyezze a szegélyhálózatokat egy külön virtuális hálózatba a nagyobb biztonság érdekében: A nagyobb biztonság érdekében az SAP szegélyhálózatát és az Application Gateway alhálózatot egy külön virtuális hálózatba helyezheti az SAP éles előfizetésén belül. Az SAP peremhálózat küllős virtuális hálózata a központi virtuális hálózattal van társviszonyban, és a nyilvános hálózatok felé irányuló összes hálózati forgalom a peremhálózati virtuális hálózaton keresztül áramlik. Ez az alternatív megközelítés azt mutatja be, Azure-alkalmazás átjáró nyilvános IP-címével a küllős virtuális hálózaton elhelyezett bejövő kapcsolatokhoz kizárólag sap-használatra.

Diagram a virtuális hálózati küllők közötti hálózati forgalomról a központi virtuális hálózaton keresztül.

Töltsön le egy Visio-fájlt , beleértve ezt az alternatív architektúrát is.

Ez a hálózati kialakítás jobb incidenskezelési képességeket és részletes hálózati hozzáférés-vezérlést biztosít. Ugyanakkor növeli a felügyelet összetettségét, a hálózati késést és az üzembe helyezés költségeit is. Beszéljünk meg minden pontot.

Jobb incidenskezelés: Az SAP peremhálózat küllős virtuális hálózata lehetővé teszi a feltört szolgáltatások gyors elkülönítését, ha incidenst észlel. Eltávolíthatja a virtuális hálózatok közötti társviszonyt az SAP peremhálózat küllős virtuális hálózatáról a központba, és azonnal elkülönítheti az SAP szegélyterheléseit és az SAP-alkalmazás virtuális hálózati alkalmazásait az internetről. Nem szeretne a hálózati biztonsági csoport (NSG) szabályainak módosításaira támaszkodni az incidenskezeléshez. Az NSG-szabály módosítása vagy eltávolítása csak az új kapcsolatokat érinti, és nem csökkenti a meglévő rosszindulatú kapcsolatokat.

Részletes hálózati hozzáférés-vezérlés: Az SAP peremhálózata szigorúbb hálózati hozzáférés-vezérlést biztosít az SAP éles küllős virtuális hálózatához és az azokból.

Nagyobb összetettség, késés és költség: Az architektúra növeli a felügyelet összetettségét, költségeit és késését. Az SAP éles virtuális hálózatából származó internetkapcsolat kétszer van társviszonyban, egyszer a központi virtuális hálózathoz, majd ismét az SAP peremhálózatához az interneten keresztül. A központi virtuális hálózat tűzfala a legnagyobb hatással van a késésre. Javasoljuk, hogy mérje meg a késést, és ellenőrizze, hogy a használati eset támogatja-e.

További információkért tekintse meg a szegélyhálózat ajánlott eljárásait.

Azure NetApp Files-alhálózat

NetApp Files használata esetén rendelkeznie kell egy delegált alhálózattal, amely hálózati fájlrendszer (NFS) vagy kiszolgálói üzenetblokk (SMB) fájlmegosztásokat biztosít különböző SAP-ekhez az Azure-forgatókönyvekben. A NetApp Files alhálózat alapértelmezett mérete a /24 alhálózat, de a méretet az igényeinek megfelelően módosíthatja. A megfelelő méretezés meghatározásához használja a saját követelményeit. További információ: delegált alhálózat.

Alhálózat biztonsága

Ha alhálózatokkal csoportosítja az azonos biztonságiszabály-követelményekkel rendelkező SAP-erőforrásokat, egyszerűbbé válik a biztonság kezelése.

Hálózati biztonsági csoportok (NSG):Az alhálózatok lehetővé teszik a hálózati biztonsági csoportok alhálózati szintű implementálását. Ha ugyanabban az alhálózatban csoportosítja az erőforrásokat, amelyek különböző biztonsági szabályokat igényelnek, az alhálózat szintjén és a hálózati adapter szintjén kell hálózati biztonsági csoportokat létrehozni. Ezzel a kétszintű beállítással a biztonsági szabályok könnyen ütköznek, és nem várt kommunikációs problémákat okozhatnak, amelyeket nehéz elhárítani. Az NSG-szabályok az alhálózaton belüli forgalmat is befolyásolják. Az NSG-kkel kapcsolatos további információkért lásd a hálózati biztonsági csoportokat.

Alkalmazásbiztonsági csoportok (ASG):Azt javasoljuk, hogy alkalmazásbiztonsági csoportok használatával csoportosítsa a virtuálisgép-hálózati adaptereket, és hivatkozzon az alkalmazásbiztonsági csoportokra a hálózatbiztonsági csoport szabályaiban. Ez a konfiguráció megkönnyíti a szabályok létrehozását és kezelését az SAP-üzemelő példányok számára. Minden hálózati adapter több alkalmazásbiztonsági csoporthoz tartozhat, amelyek különböző hálózati biztonsági csoportszabályokat tartalmaznak. További információ: alkalmazásbiztonsági csoportok.

Javasoljuk, hogy az Azure Private Link használatával javítsa a hálózati kommunikáció biztonságát. Az Azure Private Link privát IP-címekkel rendelkező privát végpontokat használ az Azure-szolgáltatásokkal való kommunikációhoz. Az Azure Private Links nem küld hálózati kommunikációt az interneten keresztül a nyilvános végpontokra. További információkért tekintse meg az Azure-szolgáltatások privát végpontjait.

Privát végpontok használata az alkalmazás alhálózatán: Javasoljuk, hogy privát végpontokkal csatlakoztassa az alkalmazás alhálózatát a támogatott Azure-szolgáltatásokhoz. Az architektúrában az egyes virtuális hálózatok alkalmazásalhálózatában található egy privát Azure Files-végpont. Ezt a koncepciót bármely támogatott Azure-szolgáltatásra kiterjesztheti.

Az Azure Private Link for SAP Business Technology Platform (BTP) használata: Általánosan elérhető az Azure Private Link for SAP Business Technology Platform (BTP). Az SAP Private Link Service támogatja az SAP BTP, a Cloud Foundry futtatókörnyezet és más szolgáltatások kapcsolatait. Példaforgatókönyvek például a virtuális gépen futó SAP S/4HANA vagy SAP ERP. Csatlakozhatnak natív Azure-szolgáltatásokhoz, például az Azure Database for MariaDB-hez és az Azure Database for MySQL-hez.

Az architektúra egy SAP Private Link Service-kapcsolatot ábrázol SAP BTP-környezetekből. Az SAP Private Link Service privát kapcsolatot hoz létre az egyes SAP BTP-szolgáltatások és az egyes hálózatok egyes szolgáltatásai között szolgáltatói fiókként. A privát kapcsolat lehetővé teszi, hogy a BTP-szolgáltatások privát hálózati kapcsolatokon keresztül érhessék el az SAP-környezetet. Növeli a biztonságot azáltal, hogy nem használja a nyilvános internetet a kommunikációhoz.

További információk:

Hálózati fájlrendszer (NFS) és kiszolgálói üzenetblokk (SMB) fájlmegosztások

Az SAP-rendszerek gyakran függenek a hálózati fájlrendszer köteteitől vagy a kiszolgálói üzenetblokk-megosztásoktól. Ezek a fájlmegosztások áthelyezik a fájlokat a virtuális gépek között, vagy fájlillesztőként működnek más alkalmazásokkal. Javasoljuk natív Azure-szolgáltatások, például az Azure Premium Files és az Azure NetApp Files használatát a hálózati fájlrendszer (NFS) és a kiszolgálói üzenetblokk (SMB) fájlmegosztásaiként. Az Azure-szolgáltatások jobban kombinálják a rendelkezésre állást, a rugalmasságot és a szolgáltatásiszint-szerződéseket (SLA-kat), mint az operációs rendszeralapú eszközöket.

További információk:

Az SAP-megoldás létrehozásakor megfelelően kell méreteznie az egyes fájlmegosztási köteteket, és tudnia kell, hogy melyik SAP-rendszerfájlmegosztáshoz csatlakozik. A tervezés során tartsa szem előtt az Azure-szolgáltatás méretezhetőségét és teljesítménycéljait. Az alábbi táblázat a gyakori SAP-fájlmegosztásokat ismerteti, és rövid leírást és ajánlott használatot biztosít egy teljes SAP-környezetben.

Fájlmegosztás neve Használat Ajánlás
sapmnt Elosztott SAP-rendszer, profil és globális könyvtárak Dedikált megosztás az egyes SAP-rendszerekhez, újrahasználat nélkül
cluster Magas rendelkezésre állású megosztások az ASCS-hez, az ERS-hez és az adatbázishoz a megfelelő kialakítás szerint Dedikált megosztás az egyes SAP-rendszerekhez, újrahasználat nélkül
saptrans SAP átviteli könyvtár Egy megosztás egy vagy néhány SAP-környezethez (ERP, Business Warehouse)
interface Fájlcsere nem SAP-alkalmazásokkal Ügyfélspecifikus követelmények, külön fájlmegosztások környezetenként (éles, nem éles)

Csak különböző SAP-környezetek között oszthat meg saptrans megosztást, ezért érdemes alaposan megfontolni annak elhelyezését. Skálázhatósági és teljesítménybeli okokból ne konszolidáljon túl sok SAP-rendszert egy saptrans megosztásba.

A vállalati biztonsági szabályzatok a kötetek architektúráját és elkülönítését fogják vezérelni a környezetek között. A környezetenként vagy rétegenként különvált átviteli címtáraknak RFC-kommunikációra van szükségük az SAP-környezetek között az SAP átviteli csoportjainak vagy átviteli tartománykapcsolatainak engedélyezéséhez. További információk:

Adatszolgáltatások

Az architektúra azure-beli adatszolgáltatásokat tartalmaz, amelyek segítenek az SAP-adatplatform bővítésében és fejlesztésében. Az üzleti elemzések feloldásához javasoljuk, hogy olyan szolgáltatásokat használjon, mint az Azure Synapse Analytics, az Azure Data Factory és az Azure Data Lake Storage. Ezek az adatszolgáltatások segítenek elemezni és vizualizálni az SAP-adatokat és a nem SAP-adatokat.

Számos adatintegrációs forgatókönyv esetén integrációs futtatókörnyezetre van szükség. Az Azure integrációs modul az Azure Data Factory és az Azure Synapse Analytics-folyamatok által az adatintegrációs képességek biztosításához használt számítási infrastruktúra. Javasoljuk, hogy ezekhez a szolgáltatásokhoz külön-külön üzemelő futtatókörnyezeti virtuális gépeket helyezhessen üzembe. További információk:

Megosztott szolgáltatások

Az SAP-megoldások megosztott szolgáltatásokra támaszkodnak. A terheléselosztó és az application gateway olyan szolgáltatások, amelyeket több SAP-rendszer is használ. Az architektúra, de a szervezeti igények határozzák meg, hogyan kell felépíteni a megosztott szolgáltatásokat. Kövesse az alábbi általános útmutatást.

Terheléselosztók: SAP-rendszerenként egy terheléselosztót ajánlunk. Ez a konfiguráció segít minimalizálni az összetettségeket. Egy terheléselosztón túl sok készletet és szabályt szeretne elkerülni. Ez a konfiguráció azt is biztosítja, hogy az elnevezés és az elhelyezés igazodjon az SAP-rendszerhez és az erőforráscsoporthoz. A fürtözött magas rendelkezésre állású (HA) architektúrájú SAP-rendszereknek legalább egy terheléselosztóval kell rendelkezniük. Az architektúra egy terheléselosztót használ az ASCS virtuális gépekhez, és egy második terheléselosztót az adatbázis virtuális gépeihez. Egyes adatbázisok esetében előfordulhat, hogy a terheléselosztók nem igényelnek magas rendelkezésre állású üzembe helyezést. Az SAP HANA igen. További részletekért tekintse meg az adatbázis-specifikus dokumentációt.

Application Gateway: SAP-környezetenként (éles, nem éles és tesztkörnyezet) legalább egy Application Gatewayt ajánlunk, kivéve, ha a csatlakoztatott rendszerek összetettsége és száma túl magas. Több SAP-rendszerhez is használhat alkalmazásátjárót az összetettség csökkentése érdekében, mivel a környezet nem minden SAP-rendszere igényel nyilvános hozzáférést. Egyetlen alkalmazásátjáró több webküldő portot is kiszolgálhat egyetlen SAP S/4HANA rendszerhez, vagy különböző SAP-rendszerek használhatják.

SAP Web Dispatcher virtuális gépek: Az architektúra két vagy több SAP Web Dispatcher virtuális gépből álló készletet jelenít meg. Javasoljuk, hogy ne használja újra az SAP Web Dispatcher virtuális gépeket a különböző SAP-rendszerek között. Ha külön tartja őket, lehetővé teszi a Web Dispatcher virtuális gépek méretezését az egyes SAP-rendszerek igényeinek megfelelően. Kisebb SAP-megoldások esetén javasoljuk, hogy ágyazza be a Web Dispatcher-szolgáltatásokat az ASCS-példányba.

SAP-szolgáltatások: Az OLYAN SAP-szolgáltatások, mint az SAProuter, a Cloud Connector és az Analytics Cloud Agent, központilag vagy felosztva az alkalmazáskövetelmények alapján vannak üzembe helyezve. Nincs javaslat az SAP-rendszerek közötti újrafelhasználásra a különböző ügyfélkövetelmények miatt. A fő döntés a hálózatkezelési szakaszban szerepel, ha és amikor az SAP nem éles peremhálózatát kell használni. Ellenkező esetben az SAP csak éles peremhálózata esetén az SAP peremhálózati szolgáltatásait a teljes SAP-környezet használja fel.

Vészhelyreállítás

A vészhelyreállítás (DR) az üzletmenet-folytonosság követelményét kezeli abban az esetben, ha az elsődleges Azure-régió nem érhető el vagy sérül. A teljes SAP-környezet szempontjából, és a diagramon látható, az alábbi javaslatok a vészhelyreállítás tervezéséhez.

Használjon különböző IP-címtartományokat A virtuális hálózatok csak egyetlen Azure-régióra terjednek ki. A vészhelyreállítási megoldásoknak más régiót kell használniuk. Egy másik virtuális hálózatot kell létrehoznia a másodlagos régióban. A DR-környezetben a virtuális hálózatnak más IP-címtartományra van szüksége az adatbázis-szinkronizálás natív adatbázis-technológián keresztüli engedélyezéséhez.

Központi szolgáltatások és a helyszíni kapcsolatok: A helyszíni és a kulcsfontosságú központi szolgáltatásokhoz (DNS- vagy tűzfalakhoz) való kapcsolódásnak elérhetőnek kell lennie a vészhelyreállítási régióban. A központi informatikai szolgáltatások rendelkezésre állásának és változáskonfigurációjának a vészhelyreállítási terv részét kell képeznie. A központi informatikai szolgáltatások a működő SAP-környezet fő összetevői.

Az Azure Site Recovery Azure Site Recovery használatával replikálja és védi az alkalmazáskiszolgálók felügyelt lemezeit és virtuálisgép-konfigurációit a DR régióba.

Győződjön meg arról, hogy a fájlmegosztások rendelkezésre állnak: az SAP a kulcsfájlmegosztások elérhetőségétől függ. Biztonsági mentésre vagy folyamatos fájlmegosztás-replikációra van szükség ahhoz, hogy ezeken a fájlmegosztásokon minimális adatvesztéssel biztosítsanak adatokat a dr. forgatókönyvben.

Az Azure Site Recovery adatbázis-replikációja nem tudja megvédeni az SAP-adatbázis-kiszolgálókat a szolgáltatás által nyújtott magas változási arány és az adatbázis-támogatás hiánya miatt. Konfigurálnia kell a vészhelyreállítási régióba irányuló folyamatos és aszinkron adatbázis-replikációt.

További információkért tekintse meg a vészhelyreállítás áttekintését és az SAP számítási feladataira vonatkozó infrastruktúra-irányelveket.

Kisebb SAP-architektúra

A kisebb SAP-megoldások esetében előnyös lehet a hálózat kialakításának egyszerűsítése. Ezután minden SAP-környezet virtuális hálózata alhálózat lenne az ilyen kombinált virtuális hálózaton belül. A hálózat- és előfizetéstervezési igények egyszerűsítése hatással lehet a biztonságra. Át kell értékelnie a hálózati útválasztást, a nyilvános hálózatokhoz való hozzáférést és a nyilvános hálózatokról való hozzáférést, a megosztott szolgáltatásokhoz (fájlmegosztásokhoz) való hozzáférést, valamint a többi Azure-szolgáltatás elérését. Íme néhány lehetőség az architektúra zsugorítására a szervezeti igények jobb kielégítése érdekében.

Egyesítse az SAP-alkalmazásokat és az adatbázis-alhálózatokat egybe. Az alkalmazás- és adatbázis-alhálózatok kombinálásával egyetlen nagy SAP-hálózatot hozhat létre. Ez a hálózattervezés számos helyszíni SAP-hálózatot tükröz. E két alhálózat együttes használata nagyobb figyelmet igényel az alhálózatok biztonságára és a hálózatbiztonsági csoport szabályaira. Az alkalmazásbiztonsági csoportok akkor fontosak, ha egyetlen alhálózatot használnak az SAP-alkalmazásokhoz és az adatbázis-alhálózatokhoz.

Kombinálja az SAP szegélyhálózatát és az alkalmazás alhálózatát. Kombinálhatja a szegélyhálózatot és az SAP-alkalmazás alhálózatát. Fokozott figyelmet kell fordítani a hálózati biztonsági csoport szabályaira és az alkalmazásbiztonsági csoportok használatára. Ezt az egyszerűsítési módszert csak kis SAP-tulajdonok esetében javasoljuk.

SAP küllős virtuális hálózatok kombinálása különböző SAP-környezetek között Az architektúra különböző virtuális hálózatokat használ az egyes SAP-környezetekhez (központ, éles környezet, nem éles környezet és vészhelyreállítás). Az SAP-környezet méretétől függően az SAP küllős virtuális hálózatait kevesebb vagy akár egyetlen SAP küllős hálózatba is kombinálhatja. Továbbra is meg kell osztania az éles és a nem éles környezeteket. Minden SAP éles környezet alhálózattá válik egy SAP éles virtuális hálózatban. Minden nem éles SAP-környezet alhálózattá válik egy SAP nem éles virtuális hálózatban.

Közreműködők

A Microsoft fenntartja ezt a cikket. Eredetileg a következő közreműködők írták.

Fő szerzők:

Következő lépések