Топология сети и возможности подключения для миграции SAP

В этой статье рассматриваются рекомендации и рекомендации, определенные в области проектирования целевой зоны Azure для топологии сети и подключения. В этой статье рассматриваются основные рекомендации по проектированию и рекомендации по работе с сетями и подключением к развертываниям Microsoft Azure и SAP. Так как SAP является критически важной платформой, проект также должен следовать инструкциям в области разработки целевой зоны Azure.

Планирование IP-адресации

План IP-адресации в Azure жизненно важен для обеспечения следующего:

• Пространство IP-адресов не перекрывается локальными расположениями и регионами Azure.
• Виртуальная сеть содержит правильное адресное пространство.
• Планы конфигурации подсети выполняются заранее.

На следующей схеме архитектуры показаны рекомендации по сети в SAP в акселераторе целевой зоны Azure:

Рекомендации по проектированию для реализации SAP

Вы можете выделить и делегировать подсети определенным службам, а затем создавать экземпляры этих служб в этих подсетях. Хотя Azure помогает создавать несколько делегированных подсетей в виртуальной сети, вы можете использовать только одну делегированную подсеть в виртуальной сети для Azure NetApp Files. Если для Azure NetApp Files используется несколько делегированных подсетей, создать новый том нельзя.

Вариант использования

Для реализации Azure NetApp Files требуются делегированные подсети. Этот подход популярен для развертываний SAP, использующих файловые системы. Вам нужна делегированная подсеть только для шлюза приложений во время балансировки нагрузки или для SAP BusinessObjects Business Intelligence, который является сервером веб-приложений SAP для балансировки нагрузки.

Настройка DNS и разрешения имен для локальных ресурсов и ресурсов Azure

Система доменных имен (DNS) является важной частью архитектуры целевой зоны Azure. Некоторым организациям может потребоваться использовать существующие инвестиции в DNS. Другие могут рассматривать внедрение облака как возможность модернизировать свою внутреннюю инфраструктуру DNS и использовать собственные возможности Azure.

Рекомендации по проектированию для реализации SAP

Используйте приведенные ниже рекомендации по использованию, если DNS-имя виртуальной машины или имя виртуальной машины не изменяется во время миграции.

Вариант использования

• Фоновые DNS и виртуальные имена соединяют множество системных интерфейсов в ландшафте SAP, а клиентам лишь в редким известно об интерфейсах, которые со временем определяются разработчиком. Подключение проблемы возникают между системами при изменении виртуальных или DNS-имен после миграции. Для простоты рекомендуется сохранить псевдонимы DNS.

• Используйте разные зоны DNS, чтобы различать каждую среду, включая песочницу, разработку, предварительное производство и рабочие среды друг от друга. Одним из исключений является развертывание SAP с собственной виртуальной сетью. В этом сценарии частные зоны DNS могут не потребоваться.

Определение топологии сети Azure

Целевые зоны корпоративного масштаба поддерживают две топологии сети. Одна топология основана на Виртуальная глобальная сеть Azure. Другой — это традиционная топология сети, основанная на архитектуре концентратора и периферийной архитектуры. В этом разделе описаны рекомендуемые конфигурации и методики SAP для обеих моделей развертывания.

Используйте топологию сети на основе виртуальной глобальной сети, если ваша организация планирует:

• Разверните ресурсы в нескольких регионах Azure и подключите глобальные расположения как к Azure, так и к локальным средам.
• полная интеграция программно-определяемых развертываний глобальной сети с помощью Azure;
• Разверните до 2000 рабочих нагрузок виртуальных машин во всех виртуальных сетях, подключенных к одному Виртуальная глобальная сеть концентратору.

Организации используют виртуальную глобальную сеть для удовлетворения потребности в крупномасштабном взаимодействии. Корпорация Майкрософт управляет этой службой, которая помогает снизить общую сложность сети и модернизировать сеть организации.

Используйте традиционную топологию сети Azure на основе архитектуры концентратора и периферийной сети, если ваша организация:

• Планируется развернуть ресурсы только в выбранном регионе Azure.
• Не требуется глобальная, межсоединяемая сеть.
• Имеет несколько удаленных расположений или расположений филиалов в каждом регионе и требует менее 30 туннелей безопасности протокола Интернета (IPSec).
• Требуется полный контроль и степень детализации для настройки сети Azure вручную.

Рекомендации по проектированию для реализации SAP

• Используйте Виртуальная глобальная сеть для развертываний Azure в новых, крупных или глобальных сетях, в которых требуется глобальное транзитное подключение между регионами Azure и локальными расположениями. С помощью этого подхода вам не нужно вручную настроить транзитивную маршрутизацию для сети Azure, и вы можете следовать стандарту для развертываний SAP в Azure.

• Рассмотрите возможность развертывания виртуальных (модуль) сети между регионами только в том случае, если вы используете NVAs партнера. NVAs между регионами или виртуальными сетями не требуются, если существуют собственные NVA. При развертывании сетевых технологий партнеров и NVAs следуйте инструкциям поставщика по выявлению конфликтующих конфигураций с сетями Azure.

• Виртуальная глобальная сеть управляет подключением между периферийными виртуальными сетями для топологий на основе Виртуальная глобальная сеть, поэтому вам не нужно настраивать определяемые пользователем маршруты или NVA. Максимальная пропускная способность сети для сетевого трафика в том же виртуальном концентраторе составляет 50 Гбит/с. Чтобы преодолеть это ограничение пропускной способности, целевые зоны SAP могут использовать пиринг между виртуальными сетями для подключения к другим целевым зонам.

• Ни один из топологий не поддерживает развертывания NVA между приложением SAP и сервером базы данных.

• Пиринг локальной и глобальной виртуальной сети обеспечивает подключение и является предпочтительным подходом для обеспечения подключения между целевыми зонами для развертываний SAP в нескольких регионах Azure.

Планирование входящего и исходящего подключения к Интернету

В этом разделе описываются рекомендуемые модели подключения для входящего и исходящего подключения к общедоступному Интернету. Службы безопасности сети Azure, такие как Брандмауэр Azure, Azure Брандмауэр веб-приложений в Шлюз приложений Azure, и Azure Front Door являются полностью управляемыми службами, поэтому вы не несете затраты на эксплуатацию и управление, связанные с развертываниями инфраструктуры.

Рекомендации по проектированию для реализации SAP

• Для клиентов, имеющих глобальное пространство, Azure Front Door упрощает развертывание SAP с помощью политик Брандмауэр веб-приложений для доставки и защиты глобальных приложений HTTP и HTTPS в регионах Azure.

• Используйте политики Брандмауэр веб-приложений в Azure Front Door при использовании Azure Front Door и Шлюз приложений для защиты приложений HTTP и HTTPS. Блокировать трафик для Шлюз приложений, чтобы он получал трафик только из Azure Front Door.

• Шлюз приложений и Брандмауэр веб-приложений имеют ограничения, если Шлюз приложений служит обратным прокси-сервером для веб-приложений SAP. Так как веб-диспетчер SAP и NetScaler являются более интеллектуальными, чем Шлюз приложений, необходимо выполнить обширное тестирование, если заменить их Шлюз приложений. Проверьте наиболее текущее состояние и список всех поддерживаемых, не поддерживаемых, проверенных и не тестируемых сценариев, если это возможно.

• Используйте брандмауэр веб-приложения для сканирования трафика при доступе к Интернету. Другой вариант — использовать его с подсистемой балансировки нагрузки или с ресурсами, такими как Шлюз приложений или сторонние решения, которые имеют встроенные возможности брандмауэра.

• Чтобы предотвратить утечку данных, используйте Приватный канал Azure для безопасного доступа к ресурсам платформы как услуга (PaaS), таким как Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения и Фабрика данных Azure. Частные конечные точки также могут помочь защитить трафик между виртуальными сетями и службами, такими как служба хранилища Azure и Azure Backup. Трафик между виртуальной сетью и службой с поддержкой частной конечной точки проходит по глобальной сети Майкрософт, что предотвращает его воздействие на общедоступный Интернет.

Реализация Azure ExpressRoute с высоким уровнем доступности

Azure ExpressRoute предназначен для обеспечения высокого уровня доступности для подключения частной сети уровня оператора к ресурсам Майкрософт. В сети Майкрософт нет единой точки сбоя в пути ExpressRoute. Чтобы обеспечить максимальную доступность, клиент и сегмент поставщика услуг канала ExpressRoute также должны быть созданы для обеспечения высокой доступности.

Рекомендации по проектированию реализаций SAP:

• Убедитесь, что вы подключаете два физических канала ExpressRoute к двум отдельным пограничным устройствам в сети. Рекомендации по максимальной доступности канала ExpressRoute см. в рекомендациях по устойчивости каналов ExpressRoute.
• Обеспечение высокой доступности для ExpressRoute. Дополнительные сведения см. в статье "Проектирование для обеспечения высокой доступности с помощью ExpressRoute".
• Провести хорошо спроектированный обзор ExpressRoute. Дополнительные сведения см. в обзоре Azure Well-Architected Framework — рекомендации Azure ExpressRoute.
• Убедитесь, что у вас есть план аварийного восстановления для ExpressRoute. Дополнительные сведения см. в статье "Проектирование аварийного восстановления с помощью частного пиринга ExpressRoute".
• Убедитесь, что оба подключения канала ExpressRoute настроены в активно-активном режиме. Дополнительные сведения см. в разделе "Проектирование для обеспечения высокой доступности с помощью ExpressRoute — активные подключения".
• Настройте мониторинг и оповещения для каналов ExpressRoute.
• Настройте работоспособности службы для получения уведомлений о обслуживании канала ExpressRoute.

Определение требований к шифрованию сети

В этом разделе рассматриваются основные рекомендации по шифрованию сетей между локальными средами и средами Azure и между регионами Azure.

Рекомендации по проектированию реализаций SAP:

• Трафик по умолчанию не шифруется при использовании ExpressRoute для настройки частного пиринга.

• Для развертываний SAP не нужно шифровать трафик через ExpressRoute. Трафик SAP обычно потребляет большой объем пропускной способности и зависит от производительности. Туннели IPSec шифруют интернет-трафик по умолчанию, а шифрование или расшифровка может негативно повлиять на производительность трафика.

• Клиент определяет, следует ли шифровать трафик SAP. Дополнительные сведения о параметрах шифрования сети в целевых зонах корпоративного масштаба см. в статье "Топология сети" и "Подключение".

Разделение систем

Существуют различные среды, включая разработку, тестирование, качество, предварительное производство и рабочие среды, в сценарии SAP, и клиенты, как правило, классифицируют эти системы в логические или физические конструкции для обеспечения безопасности и соответствия стандартам. Идея заключается в управлении всеми системами с одинаковым жизненным циклом в одной общей группе ресурсов. Эти группы можно определить на различных уровнях, например на уровне подписки или группы ресурсов.

Ваша организация также должна учитывать структуру безопасности и политики при группировке ресурсов в ландшафте SAP. Однако для передачи транспорта SAP между разработками, тестированием, качеством и рабочими средами может потребоваться:

• Пиринг между виртуальными сетями.
• Порт брандмауэра открывается между виртуальными сетями.
• Правила UDR и группы безопасности сети (NSG).

Мы не рекомендуем размещать систему управления базами данных (СУБД) и уровни приложений систем SAP в разных виртуальных сетях и подключать их с помощью пиринга виртуальных сетей. Чрезмерный сетевой трафик между слоями может начислять значительные затраты.

Дополнительные рекомендации для реализации SAP

• Ни та топология не поддерживает размещение уровня приложений SAP и СУБД SAP в разных виртуальных сетях Azure, которые не пиринговые.

• Можно использовать правила группы безопасности приложений (ASG) и правила NSG для определения списков управления доступом к сети между приложением SAP и уровнями СУБД. Вы можете добавить виртуальные машины в ASG для управления безопасностью.

• Включите ускоренную сеть Azure на виртуальных машинах, используемых в уровнях приложения SAP и СУБД. Следующие уровни операционной системы поддерживают ускоренную сеть в Azure:

  • Windows Server 2012 R2 и более поздние версии
  • SUSE Linux Enterprise Desktop 12 с пакетом обновления 3 (SP3) или более поздней версии
  • Red Hat Enterprise Linux 7.4 или более поздней версии
  • Oracle Linux 7.5
    • Ядро, совместимое с Red Hat Enterprise Linux, требует выпуска 3.10.0-862.13.1.el7.
    • Для ядра Oracle Unbreakable Enterprise Требуется выпуск 5.

• Убедитесь, что вы настроили внутренние развертывания для Azure Load Balancer, чтобы использовать функцию возврата прямого сервера. Эта функция снижает задержку при использовании конфигураций внутренней подсистемы балансировки нагрузки для конфигураций с высоким уровнем доступности на уровне СУБД.

• Если вы используете Load Balancer с гостевыми операционными системами Linux, убедитесь, что для параметра net.ipv4.tcp_timestamps сети Linux задано 0значение .

• Для оптимизации сетевой задержки при использовании приложений SAP можно использовать группа размещения близкого взаимодействия Azure.

• Для проектов миграции рекомендуется настроить параметры сети. Например, можно повысить производительность, отключив подтверждения в течение периода миграции.

• Изучите информацию на портале поддержки SAP и примечание SAP 2391465, чтобы узнать больше о реализации SAP.

Рекомендации по проектированию реализаций RISE

При запуске развертываний SAP RISE в Azure интеграция управляемой SAP средой с собственной экосистемой Azure имеет первостепенное значение. Дополнительные сведения о рекомендациях и рекомендациях см. в статье Интеграции Azure с управляемыми рабочими нагрузками SAP RISE.

Реализация SAP RISE обычно имеет два варианта подключения: VPN типа "сеть — сеть" или пиринг между виртуальными сетями. Если у вас нет предыдущих рабочих нагрузок Azure, VPN типа "сеть — сеть" может быть проще. Однако если вы хотите внедрить Azure в качестве стратегической платформы, можно настроить правильную целевую зону Azure и использовать пиринг виртуальной сети в клиенте SAP RISE. В этих сценариях упрощенная целевая зона, например целевая зона Azure, может быть хорошим вариантом. Вы можете легко адаптировать этот готовый интерфейс развертывания к вашим требованиям, в частности параметры виртуальной сети.

Для развертывания пиринга между виртуальными сетями в клиенте SAP RISE также требуется больше работы. Необходимо тщательно спланировать архитектуру виртуальной сети, чтобы обеспечить отсутствие перекрывающихся диапазонов маршрутизации между доменами без перекрывающихся классов. Кроме того, необходимо правильно выполнить одноранговый DNS-сервер в клиенте SAP RISE.

Учитывайте ограничения и ограничения, если вы решили настроить решение Виртуальная глобальная сеть и нуждаться в VPN-подключениях типа "сеть — сеть" или ExpressRoute.