インフラストラクチャのデプロイ用にネットワークを準備する
この攻略ガイドでは、Azure Center for SAP solutions を使って S/4 HANA インフラストラクチャをデプロイするための仮想ネットワークを準備する方法について説明します。 この記事では、仮想ネットワークの作成に関する一般的なガイダンスを提供します。 個々の環境とユース ケースによって、Virtual Instance for SAP (VIS) リソースで使うために必要な独自のネットワーク設定の構成方法が決まります。
Azure Center for SAP solutions で使用できる状態の既存のネットワークがある場合は、このガイドに従うのではなく、デプロイ ガイドに進んでください。
前提条件
- Azure サブスクリプション。
- Azure サブスクリプションのクォータを確認します。 クォータが少ない場合は、インフラストラクチャのデプロイを作成する前に、サポート リクエストの作成が必要になる場合があります。 そうしないと、デプロイが失敗したりクォータ不足エラーが発生したりする可能性があります。
- デプロイを始める前に、1 つ以上のサブネットに複数の IP アドレスを設定することをお勧めします。 たとえば、
/29の代わりに/26マスクを使うことを常にお勧めします。 - AzureFirewallSubnet、AzureFirewallManagementSubnet、AzureBastionSubnet、GatewaySubnet などの名前は、Azure 内で予約済みの名前です。 これらをサブネット名として使用しないでください。
- Azure Center for SAP solutions で SAP システムのサイズを設定できるように、必要な SAP Application Performance Standard (SAPS) とデータベース メモリ サイズに注意してください。 わからない場合は、VM を選ぶこともできます。 ルートがあります。
- VIS 内の 1 つの ASCS インスタンスを構成する 1 つの ASCS VM または ASCS VM のクラスター。
- VIS 内の 1 つのデータベース インスタンスを構成する 1 つのデータベース VM またはデータベース VM のクラスター。
- VIS 内の 1 つのアプリケーション インスタンスを構成する 1 つのアプリケーション サーバー VM。 デプロイまたは登録されているアプリケーション サーバーの数によっては、複数のアプリケーション インスタンスが存在する場合があります。
ネットワークを作成する
Azure にインフラストラクチャをデプロイするためのネットワークを作成する必要があります。 SAP システムをデプロイするのと同じリージョンにネットワークを作成してください。
必要なネットワーク コンポーネントの一部を次に示します。
- 仮想ネットワーク
- アプリケーション サーバーとデータベース サーバーのサブネット。 構成では、これらのサブネット間の通信を許可する必要があります。
- Azure ネットワーク セキュリティ グループ
- ルート テーブル
- ファイアウォール (または NAT ゲートウェイ)
詳しくは、ネットワークの構成例をご覧ください。
ネットワークを接続する
インフラストラクチャのデプロイとソフトウェアのインストールが成功するには、少なくとも、ネットワークにアウトバウンド インターネット接続が必要です。 アプリケーションとデータベースのサブネットが相互に通信できる必要もあります。
インターネットに接続できない場合は、次の領域の IP アドレスを許可リストに載せます。
- SUSE または Red Hat のエンドポイント
- Azure Storage アカウント
- Azure Key Vault を許可リストに載せる
- Azure Active Directory (Azure AD) を許可リストに載せる
- Azure Resource Manager を許可リストに載せる
次に、仮想ネットワーク内のすべてのリソースが相互に接続できることを確認します。 たとえば、仮想ネットワーク内のリソースがすべてのポートをリッスンして通信できるように、ネットワーク セキュリティ グループを構成します。
- [接続元ポート範囲] を* に設定します。
- [宛先ポート範囲] を * に設定します。
- [アクション] を [許可] に設定します
仮想ネットワーク内のリソースの相互接続を許可できない場合は、アプリケーションとデータベースのサブネット間の接続を許可し、代わりに仮想ネットワークで重要な SAP ポートを開きます。
SUSE または Red Hat のエンドポイントを許可リストに載せる
VM に SUSE を使っている場合は、SUSE エンドポイントを許可リストに載せます。 次に例を示します。
- Azure portal を使用するか Azure Cloud Shell を使用して、任意の OS で VM を作成します。 または、Microsoft Store から openSUSE Leap をインストールし、WSL を有効にします。
zypper install python3-pipを実行して pip3 をインストールします。pip3 install susepubliccloudinfoを実行して pip パッケージ susepubliccloudinfo をインストールします。- 適切な Azure リージョン パラメーターを指定して
pint microsoft servers --json --regionを実行することで、ネットワークとファイアウォールで構成する IP アドレスの一覧を取得します。 - サブネットをアタッチする予定のファイアウォールまたはネットワーク セキュリティ グループで、これらの IP アドレスをすべて許可リストに載せます。
VM に Red Hat を使っている場合は、必要に応じて Red Hat エンドポイントを許可リストに載せます。 既定の許可リストは、Azure Global の IP アドレスです。 ユース ケースによっては、Azure US Government または Azure Germany の IP アドレスを許可リストに載せることが必要になる場合もあります。 サブネットをアタッチするファイアウォールまたはネットワーク セキュリティ グループで、一覧のすべての IP アドレスを構成します。
ストレージ アカウントを許可リストに載せる
Azure Center for SAP solutions は、SAP ソフトウェアを正しくインストールするために、次のストレージ アカウントにアクセスする必要があります。
- ソフトウェアのインストールの間に必要になる SAP メディアを格納しているストレージ アカウント。
- Azure Center for SAP solutions によって管理対象リソース グループに作成されたストレージ アカウント。これは、Azure Center for SAP solutions も所有し管理します。
これらのストレージ アカウントへのアクセスを許可するには、複数のオプションがあります。
- インターネット接続を許可します
- Storage サービス タグを構成します
- リージョン スコープで Storage サービス タグを構成します。 インフラストラクチャのデプロイ先であり、SAP メディアを含むストレージ アカウントが存在する Azure リージョンに、タグを構成してください。
- リージョンの Azure IP 範囲を許可リストに載せます。
Key Vault を許可リストに載せる
Azure Center for SAP solutions は、ソフトウェアのインストール時に、秘密鍵を格納してアクセスするためのキー コンテナーを作成します。 このキー コンテナーには、SAP システムのパスワードも格納されます。 このキー コンテナーへのアクセスを許可するには、次の方法を使用できます。
- インターネット接続を許可します
- AzureKeyVault サービス タグを構成します
- リージョン スコープで AzureKeyVault サービス タグを構成します。 インフラストラクチャをデプロイするリージョンでタグを構成してください。
Azure AD を許可リストに載せる
Azure Center for SAP solutions は、SAP をインストールしている間に、Azure AD を使って、マネージド キー コンテナーからシークレットを取得するための認証トークンを取得します。 Azure AD へのアクセスを許可するには、次の方法を使用できます。
- インターネット接続を許可します
- AzureActiveDirectory サービス タグを構成します。
Azure Resource Manager を許可リストに載せる
Azure Center for SAP solutions では、ソフトウェアのインストールにマネージド ID が使用されます。 マネージド ID 認証には、Azure Resource Manager エンドポイントを呼び出す必要があります。 このエンドポイントへのアクセスを許可するには、次の方法を使用できます。
- インターネット接続を許可します
- AzureResourceManager サービス タグを構成します。
重要な SAP ポートを開く
前に説明したように、仮想ネットワーク内のすべてのリソース間の接続を許可できない場合は、代わりに仮想ネットワークで重要な SAP ポートを開くことができます。 この方法を使うと、仮想ネットワーク内のリソースが、通信目的でこれらのポートをリッスンできます。 複数のサブネットを使っている場合、これらの設定によりサブネット内の接続も許可されます。
次の表の一覧で示されている SAP ポートを開きます。 該当するポートのプレースホルダー値 (xx) を SAP インスタンス番号に置き換えます。 たとえば、SAP インスタンス番号が 01 の場合、32xx は 3201 になります。
| SAP サービス | ポート範囲 | 着信トラフィックを許可する | 発信トラフィックを許可する | 目的 |
|---|---|---|---|---|
| ホスト エージェント | 1128、1129 | はい | はい | SAP ホスト エージェント用の HTTP/S ポート。 |
| Web ディスパッチャ | 32xx | はい | はい | SAPGUI と RFC の通信。 |
| Gateway | 33xx | はい | はい | RFC の通信。 |
| ゲートウェイ (セキュリティ保護付き) | 48xx | はい | はい | RFC の通信。 |
| インターネット通信マネージャー (ICM) | 80xx、443xx | はい | はい | SAP Fiori と WEB GUI の HTTP/S 通信 |
| メッセージ サーバー | 36xx、81xx、444xx | はい | いいえ | 負荷分散、ASCS からアプリ サーバーへの通信、GUI サインイン、メッセージ サーバーとの間の HTTP/S トラフィック。 |
| コントロール エージェント | 5xx13、5xx14 | はい | いいえ | SAP システムの停止、開始、状態取得。 |
| SAP のインストール | 4237 | はい | いいえ | SAP の初期インストール。 |
| HTTP および HTTPS | 5xx00、5xx01 | はい | はい | HTTP/S サーバー ポート。 |
| IIOP | 5xx02、5xx03、5xx07 | はい | はい | サービス リクエスト ポート。 |
| P4 | 5xx04 - 6 | はい | はい | サービス リクエスト ポート。 |
| Telnet | 5xx08 | はい | いいえ | 管理用のサービス ポート。 |
| SQL 通信 | 3xx13、3xx15、3xx40 - 98 | はい | いいえ | ABAP または JAVA サブネットを含む、アプリケーションとのデータベース通信ポート。 |
| [データベースのインポート] | 1433 | はい | いいえ | ABAP または JAVA データベースの通信に必要な、SAP での MS-SQL 用の既定のポート。 |
| HANA XS エンジン | 43xx、80xx | はい | はい | Web コンテンツ用の HTTP/S 要求ポート。 |
ネットワーク構成の例
ネットワークの例の構成プロセスには、次のことが含まれます。
仮想ネットワークを作成するか、既存の仮想ネットワークを使います。
仮想ネットワーク内に次のサブネットを作成します。
アプリケーション層サブネット。
データベース層サブネット。
ファイアウォールで使う、Azure FirewallSubnet という名前のサブネット。
新しいファイアウォール リソースを作成します。
ファイアウォールを仮想ネットワークにアタッチします。
RHEL または SUSE のエンドポイントを許可リストに載せるためのルールを作成します。 すべてのソース IP アドレスを許可し (
*)、送信元ポートを [すべて] に設定し、RHEL または SUSE の宛先 IP アドレスを許可して、宛先ポートを [すべて] に設定します。サービス タグを許可するルールを作成します。 すべての送信元 IP アドレスを許可し (
*)、宛先の種類を [サービス タグ] に設定します。 次に、タグ Microsoft.Storage、Microsoft.KeyVault、AzureResourceManager、Microsoft.AzureActiveDirectory を許可します。
ルート テーブル リソースを作成します。
種類が仮想アプライアンスの新しいルートを追加します。
IP アドレスをファイアウォールの IP アドレスに設定します。これは、Azure portal のファイアウォール リソースの概要で確認できます。
新しいルート テーブルを使うように、アプリケーション層とデータベース層のサブネットを更新します。
仮想ネットワークでネットワーク セキュリティ グループを使っている場合は、次のインバウンド規則を追加します。 この規則は、アプリケーション層とデータベース層のサブネット間の接続を提供します。
優先度 Port Protocol source 到着地 アクション 100 Any Any 仮想ネットワーク 仮想ネットワーク Allow ファイアウォールではなくネットワーク セキュリティ グループを使っている場合は、アウトバウンド規則を追加してインストールを許可します。
優先度 Port Protocol source 到着地 アクション 110 Any Any Any SUSE または Red Hat エンドポイント Allow 115 Any Any Any Azure Resource Manager Allow 116 Any Any Any Azure AD Allow 117 Any Any Any ストレージ アカウント Allow 118 8080 Any Any Key Vault Allow 119 Any Any Any 仮想ネットワーク Allow