SAP HANA on Azure (Large Instances) の Azure でのルーティングについて調べる
SAP HANA on Azure (Large Instances) に適用されるルーティング動作に影響する、いくつかの規則があります。
- 既定では、SAP HANA on Azure (Large Instances) にできるのは、Azure VM および専用の ExpressRoute 接続経由のみで、オンプレミスから直接アクセスすることはできません。 この一時的なルーティングの制限は、SAP HANA Large Instances に使われている現在の Azure ネットワーク アーキテクチャに起因します。 直接アクセスを必要とする一部の管理クライアントやアプリケーション (オンプレミスで実行されている SAP Solution Manager など) は、既定では SAP HANA データベースに接続できません。
- ディザスター リカバリーのために 2 つの異なる Azure リージョンにデプロイされている HANA L インスタンス ユニットがある場合、以前は同じ一時的なルーティングの制限が適用されました。 つまり、一方のリージョン (例: 米国西部) の HANA L インスタンス ユニットの IP アドレスが、もう一方のリージョン (例: 米国東部) でデプロイされている HANA L インスタンス ユニットにルーティングされることはありませんでした。 この制限は、リージョン間の Azure ネットワーク ピアリング、または HANA L インスタンス ユニットを仮想ネットワークに接続する ExpressRoute 回線の交差接続の使用とは無関係でした。 デプロイ済みのアーキテクチャにはこのような制限があったため、HANA システム レプリケーションをディザスター リカバリー機能としてすぐに使用することはできませんでした。
- SAP HANA on Azure (L インスタンス) ユニットには、お客様が HANA L インスタンスのデプロイを要求したときに提出したサーバー IP プールのアドレス範囲から IP アドレスが割り当てられます。 この IP アドレスには、Azure サブスクリプションと、Azure 仮想ネットワークを HANA L インスタンスに接続する回線を使用してアクセスできます。 サーバー IP プールのアドレス範囲から割り当てられる IP アドレスは、ハードウェア ユニットに直接割り当てられます。 このソリューションの最初のデプロイでこの割り当てが行われるため、NAT を使用した割り当ては行われません。
上で説明したように、推移的なルーティングは、HANA L インスタンス ユニットとオンプレミスの間や、2 つの異なるリージョンにデプロイされた HANA L インスタンス ルーティングの間では、既定で機能しません。 そのような推移的なルーティングを可能にするためのいくつかの可能性があります。
- ExpressRoute Global Reach
- SAP HANA on Azure (Large Instances) との間でデータをルーティングするリバース プロキシ。 たとえば、Traffic Manager が Azure 仮想ネットワークにデプロイされた F5 BIG-IP や NGINX などです。
- オンプレミスの場所と HANA L インスタンス ユニット間、または別々のリージョンにある HANA L インスタンス ユニット間のルーティングを有効にする Linux VM の IPTables 規則。 IPTables を実行する VM は、HANA Large Instances とオンプレミス ネットワークに接続している Azure 仮想ネットワークにデプロイする必要があります。 その VM のネットワークのスループットが、予想されるネットワーク トラフィックに対して十分になるように、VM のサイズを適切に設定する必要があります。
- オンプレミスと HANA L インスタンス ユニットの間のトラフィックを管理する Azure Firewall。
リバース プロキシ、IPTables、Azure Firewall を使用すると、Azure 仮想ネットワーク経由でルーティングされるトラフィックを Azure ネットワーク セキュリティ グループによってさらにフィルター処理でき、HANA Large Instances へのアクセスに関して、オンプレミスからの特定の IP アドレスや IP アドレスの範囲をブロックしたり、明示的に許可したりすることができます。 サード パーティのネットワーク アプライアンスや IPTables を使用するカスタム ソリューションの実装とサポートは、Microsoft では提供されないことに注意してください。 使用するコンポーネントのベンダーまたはインテグレーターがサポートを提供する必要があります。
SAP HANA on Azure (Large Instances) の ExpressRoute Global Reach について調べる
ExpressRoute Global Reach を使用すると、ExpressRoute 回線どうしをリンクして、オンプレミス ネットワーク間でプライベート ネットワークを作成できます。 Global Reach は、2 つのシナリオで HANA L インスタンスに使用できます。
- 異なるリージョンにデプロイされている HANA Large Instances ユニットへのオンプレミスからの直接アクセスを可能にします。
- 異なるリージョンにデプロイされている HANA Large Instances ユニット間の直接通信を可能にします。
SAP HANA on Azure (Large Instances) でのオンプレミスからの直接アクセスについて調べる
Global Reach が提供されている Azure リージョンでは、オンプレミス ネットワークを HANA Large Instance ユニットに接続された Azure 仮想ネットワークに接続する ExpressRoute 回線の Global Reach 機能を有効にするよう要求することもできます。 ExpressRoute 回線のオンプレミス側には、コスト面で若干の影響があります。 HANA Large Instance ユニットを Azure に接続する回線に関連する追加コストはありません。
Global Reach を使って HANA Large Instance ユニットとオンプレミスの資産間の直接アクセスを有効にする場合、ネットワークのデータと制御フローは、Azure 仮想ネットワーク経由ではルーティングされず、Microsoft Enterprise Exchange ルーター間で直接ルーティングされます。 その結果、NSG や ASG 規則、あらゆる種類のファイアウォール、NVA、または Azure 仮想ネットワークにデプロイしたプロキシが接続に影響を与えることはありません。 ExpressRoute Global Reach を使ってオンプレミスから HANA Large Instance ユニットへの直接アクセスを有効にする場合は、オンプレミスのファイアウォールで HANA Large Instance ユニットへのアクセスに関する制限を定義する必要があります。
SAP HANA on Azure (Large Instances) のマルチリージョン接続について調べる
ExpressRoute Global Reach を使って、2 つの異なるリージョンにデプロイされた HANA Large Instances テナントを接続することもできます。 この接続では、ご使用の HANA L インスタンス テナントで両方のリージョンの Azure に接続するために使用されている ExpressRoute 回線を利用します。 2 つの異なるリージョンにデプロイされた 2 つの HANA L インスタンス テナントを接続するための追加の料金はかかりません。
異なる HANA Large Instance テナント間のネットワーク トラフィックのデータ フローと制御フローは、Azure 仮想ネットワーク経由でルーティングされません。 そのため、Azure NSG を使用して 2 つの HANA L インスタンス テナント間に接続制限を適用することはできません。
SAP HANA on Azure (Large Instances) のインターネット接続を認識する
HANA Large Instances には、インターネットとの間に直接的な接続がありません。 この制限があるため、オペレーティング システムのインスタンスを OS ベンダーに直接登録することができません。 回避策として、SUSE Linux Enterprise Server サブスクリプション管理ツールか Red Hat Enterprise Linux サブスクリプション マネージャーを使用できます。