Azure'ı SAP RISE yönetilen iş yükleriyle tümleştirme

SAP Enterprise Cloud Services (ECS) ve SAP S/4HANA Cloud ile RISE gibi SAP çözümlerine sahip müşteriler için, Azure'da dağıtılan özel sürüm (PCE), SAP yönetilen ortamını kendi Azure ekosistemi ve üçüncü taraf uygulamalarıyla tümleştirmek özellikle önemlidir. Aşağıdaki makalede, güvenli ve performanslı bir çözüm için izleyebileceğiniz kavramlar ve en iyi yöntemler açıklanmaktadır.

Azure destek özellikleri

SAP S/4HANA Bulutu, özel sürüm ve SAP Enterprise Cloud Services ile RISE, SAP'ye ait bir Azure aboneliğinde SAP ortamınızın SAP tarafından yönetilen hizmetleridir. Bu, SAP ortamınızın tüm Azure kaynaklarının yalnızca SAP tarafından görünür ve yönetilebiliyor olduğu anlamına gelir. Buna karşılık, müşterinin kendi Azure ortamı SAP sistemleriyle etkileşim kuran uygulamalar içerir. SANAL ağlar, ağ güvenlik grupları, güvenlik duvarları, yönlendirme, Azure Data Factory gibi Azure hizmetleri ve SAP tarafından yönetilen uygulamalara erişen müşteri aboneliği içinde çalışan diğer öğeler. Azure konu başlıklarında Azure desteğiyle etkileşime geçilirken yalnızca kendi müşteri aboneliklerinize ait kaynaklar kapsam dahilindedir. RISE iş yükünüz için SAP'nin Azure aboneliklerinde çalıştırılan tüm kaynaklarla ilgili sorunlar için SAP ile iletişime geçin.

RISE projenizin bir parçası olarak şirket içi, kendi Azure ortamınız ve SAP tarafından yönetilen SAP iş yükü arasındaki arabirim noktalarını belgeleyin. Bunun adres alanı, güvenlik duvarları ve yönlendirme, ağ dosya paylaşımları, Azure hizmetleri, DNS ve diğerleri gibi ağ bilgilerini içermesi gerekir. Herhangi bir arabirim iş ortağının ve herhangi bir kaynağın nerede çalıştığını belgeleyin, böylece bu bilgilere bir destek durumunda hızla erişebilir ve destek almanın en iyi yolunu belirleyebilirsiniz. SAP'nin Azure aboneliklerinde çalışan hizmetler için SAP'nin destek kuruluşuna başvurun.

Önemli

SAP Enterprise Cloud Services ile RISE ve SAP S/4HANA Cloud özel sürümü hakkındaki tüm ayrıntılar için SAP temsilcinize başvurun.

SAP RISE ile bağlantı

SAP RISE/ECS ile sanal ağ eşlemesi

Sanal ağ eşlemesi, Microsoft özel omurga ağını kullanarak güvenli ve özel olarak iki bağımsız sanal ağa bağlanmanın en yüksek performanslı yoludur. Eşlenen ağlar bağlantı amacıyla tek bir ağ olarak görünür ve uygulamaların birbiriyle konuşmasına olanak tanır. Farklı sanal ağlarda, aboneliklerde, Azure kiracılarında veya bölgelerinde çalışan uygulamalar doğrudan iletişim kurabilir. Tek bir sanal ağ üzerindeki ağ trafiği gibi sanal ağ eşleme trafiği de Microsoft'un özel ağında kalır ve İnternet'ten geçiş yapmaz.

SAP RISE/ECS dağıtımlarında, müşterinin mevcut Azure ortamıyla bağlantı kurmanın tercih edilen yolu sanal eşlemedir. Hem SAP sanal ağları hem de müşteri sanal ağları, ağ güvenlik grupları (NSG) ile korunarak sanal ağ eşlemesi aracılığıyla SAP ve veritabanı bağlantı noktaları üzerinde iletişimi etkinleştirir. Eşlenen sanal ağlar arasındaki iletişim bu NSG'ler aracılığıyla güvenli hale getirildiğinden, iletişim müşterinin SAP ortamıyla sınırlanır. Ayrıntılar ve açık bağlantı noktalarının listesi için SAP temsilcinize başvurun.

SAP yönetilen iş yükü, müşterinin merkezi altyapısı ve buna erişen uygulamalarla aynı Azure bölgesinde çalıştırılmalıdır. Sanal ağ eşlemesi SAP yönetilen ortamınızla aynı bölgede, aynı zamanda iki Azure bölgesi arasında genel sanal ağ eşlemesi aracılığıyla da ayarlanabilir. SAP RISE/ECS birçok Azure bölgesinde kullanılabilir durumda olduğundan, gecikme süresi ve sanal ağ eşleme maliyetiyle ilgili dikkat edilmesi gerekenler nedeniyle bölge, müşteri sanal ağlarında çalışan iş yüküyle eşleşmelidir. Ancak, bazı senaryoların (örneğin, çok ulusal/bölgesel, küresel olarak sunulan bir şirket için merkezi S/4HANA dağıtımı) ağları küresel olarak eşlemesi de gerekir.

Bu diyagramda tipik bir SAP müşteri merkezi ve uç sanal ağları gösterilmektedir. Kiracılar arası sanal ağ eşlemesi SAP RISE sanal ağını müşterinin hub sanal ağına bağlar.

SAP RISE/ECS SAP'nin Azure kiracısında ve aboneliklerinde çalıştığından , farklı kiracılar arasında sanal ağ eşlemesini ayarlayın. Bunu, SAP tarafından sağlanan ağın Azure kaynak kimliğiyle eşlemeyi ayarlayarak ve SAP'nin eşlemeyi onaylamasını sağlayarak gerçekleştirirsiniz. Karşı Azure AD kiracıdan bir kullanıcıyı konuk kullanıcı olarak ekleyin, konuk kullanıcı davetini kabul edin ve Sanal ağ eşlemesi oluşturma - farklı abonelikler sayfasında belgelenen işlemi izleyin. Tam olarak gerekli adımlar için SAP temsilcinize başvurun. Bu işlemin hızlı bir şekilde tamamlanması için kuruluşunuzdaki ağ, kullanıcı yönetimi ve mimariyle ilgilenen ilgili ekiplerle etkileşime geçin.

ECS/RISE'a geçiş sırasında bağlantı

SAP ortamınızı ECS/RISE'a geçirme işlemi birkaç ay veya daha uzun bir süre boyunca birkaç aşamada gerçekleştirilir. SAP ortamlarınızdan bazıları zaten geçirilir ve üretken bir şekilde kullanılırken, diğer SAP sistemleri geçiş için hazırlanmıştır. Çoğu müşteri projesinde en büyük ve en kritik sistemler projenin ortasında veya sonunda geçirilir. Veri geçişi veya veritabanı çoğaltması için geniş bant genişliğine sahip olmayı göz önünde bulundurmanız ve kullanıcılarınızın zaten üretken olan ECS/RISE ortamlarına giden ağ yolunu etkilememesi gerekir. Zaten geçirilen SAP sistemlerinin sap yatay ortamıyla hala şirket içinde veya mevcut hizmet sağlayıcısında iletişim kurması gerekebilir.

ECS/RISE'a geçiş planlamanız sırasında, her aşamada SAP sistemlerinin kullanıcı tabanınız için nasıl ulaşılabilir olduğunu ve ECS/RISE sanal asına veri aktarımının nasıl yönlendirilmiş olduğunu planlayın. Genellikle mevcut hizmet sağlayıcısı ve kurumsal ağınızla kendi bağlantısı olan veri merkezleri gibi birden çok konum ve taraf söz konusudur. SAP verilerinin iş açısından kritik ve en büyük sistemler için daha sonraki aşamalarda nasıl geçirildiğinden emin olmadan VPN bağlantıları ile geçici çözümler oluşturulmadığından emin olun.

VPN sanal adan sanal aya

Sanal ağ eşlemesine alternatif olarak, HEM SAP RISE/ECS aboneliğine hem de sahip olan müşterilere dağıtılan VPN ağ geçitleri arasında sanal özel ağ (VPN) bağlantısı oluşturulabilir. Bu iki VPN ağ geçidi arasında sanal ağdan sanal ağa bağlantı kurarak iki ayrı sanal ağ arasında hızlı iletişim kurabilirsiniz. İlgili sanal ağlar ve ağ geçitleri farklı Azure bölgelerinde bulunabilir.

Bu diyagramda tipik bir SAP müşteri merkezi ve uç sanal ağları gösterilmektedir. SAP RISE sanal akında bulunan VPN ağ geçidi, sanal ağdan sanal ağa bağlantı üzerinden müşterinin hub sanal akında bulunan ağ geçidine bağlanır.

Sanal ağ eşlemesi önerilen ve daha tipik bir dağıtım modeli olsa da VPN sanal ağdan sanal ağa, potansiyel olarak müşteri ile SAP RISE/ECS sanal ağları arasında karmaşık bir sanal eşlemeyi basitleştirebilir. VPN Gateway, müşterinin ağına yalnızca giriş noktası işlevi görür ve merkezi bir ekip tarafından yönetilir ve güvenliği sağlanır.

Ağ Güvenlik Grupları hem müşteri hem de SAP sanal ağında etkindir ve gerektiğinde SAP NetWeaver ve HANA bağlantı noktalarıyla iletişimi sağlayan sanal ağ eşleme mimarisiyle aynıdır. VPN bağlantısının nasıl ayarlanacağı ve hangi ayarların kullanılması gerektiği hakkında ayrıntılı bilgi için SAP temsilcinize başvurun.

Şirket içi bağlantı

Mevcut bir müşteri Azure dağıtımıyla şirket içi ağ zaten ExpressRoute (ER) veya VPN üzerinden bağlanır. Aynı şirket içi ağ yolu genellikle SAP RISE/ECS tarafından yönetilen iş yükleri için kullanılır. Tercih edilen mimari, müşterinin merkez sanal ağında mevcut ER/VPN Ağ Geçitlerini bu amaçla kullanmaktır ve bağlı SAP RISE sanal ağı müşterinin sanal ağına bağlı bir uç ağı olarak görülür.

Bu diyagramda tipik bir SAP müşteri merkezi ve uç sanal ağları gösterilmektedir. Bir bağlantıyla şirket içi ağa bağlanır. Kiracılar arası sanal ağ eşlemesi SAP RISE sanal ağını müşterinin hub sanal ağına bağlar. Sanal ağ eşlemesi, SAP RISE sanal ağından şirket içinden erişilmesini sağlayan uzak ağ geçidi aktarımını etkinleştirmiştir.

Bu mimariyle, müşteri iş yüklerine ağ bağlantısını yöneten merkezi ilkeler ve güvenlik kuralları SAP RISE/ECS tarafından yönetilen iş yükleri için de geçerlidir. Aynı şirket içi ağ yolu hem müşterinin sanal ağları hem de SAP RISE/ECS sanal ağı için kullanılır.

Şu anda mevcut azure-şirket içi bağlantı yoksa, hangi bağlantı modellerinin oluşturulacağı hakkında ayrıntılı bilgi için SAP temsilcinize başvurun. Şirket içi sap RISE/ECS bağlantısı, yalnızca SAP tarafından yönetilen sanal ağa ulaşmak içindir. Şirket içi SAP RISE/ECS bağlantısı müşterinin kendi Azure sanal ağlarına erişmek için kullanılmaz.

Dikkat edilmesi gerekenler: Bir sanal ağ yalnızca yerel veya uzak bir ağ geçidine sahip olabilir. Uzak ağ geçidi aktarımı kullanılarak SAP RISE/ECS arasında sanal ağ eşlemesi kurulduğunda, SAP RISE/ECS sanal aya hiçbir ağ geçidi eklenemez. SAP RISE/ECS sanal ağındaki başka bir VPN ağ geçidiyle birlikte uzak ağ geçidi aktarımı ile sanal ağ eşlemesinin birleşimi mümkün değildir.

SAP RISE/ECS yönetilen iş yükleri ile Sanal WAN

Hem SAP RISE/ECS sanal ağına hem de şirket içine bağlantısı olan bir merkez-uç ağ mimarisi kullanmaya benzer şekilde Azure Sanal Wan (vWAN) hub'ı da aynı amaçla kullanılabilir. Daha önce açıklanan her iki bağlantı seçeneği de (sanal ağ eşlemesi ve VPN sanal ağdan sanal ağa– vWAN hub'ı ile kullanılabilir.

vWAN ağ hub'ı, müşteri aboneliğinde ve sanal ağda tamamen müşteri tarafından dağıtılır ve yönetilir. Şirket içi bağlantı ve vWAN ağ hub'ı üzerinden yönlendirme de tamamen müşteri tarafından yönetilir.

Gereken ayrıntılar ve adımlar için SAP temsilcinize başvurun.

SAP RISE/ECS tarafından yönetilen iş yükleriyle DNS tümleştirmesi

Müşteriye ait ağların Bulut tabanlı altyapıyla tümleştirilmesi ve sorunsuz bir ad çözümleme kavramının sağlanması, başarılı bir proje uygulamasının önemli bir parçasıdır.

Bu diyagramda SAP'ye ait aboneliklerin, sanal ağların ve DNS altyapısının müşterinin yerel ağı ve DNS hizmetleriyle ortak tümleştirme senaryolarından biri açıklanır. Böyle bir kurulumda şirket içi DNS sunucuları tüm DNS girişlerini barındırıyor. DNS altyapısı tüm kaynaklardan (şirket içi istemciler, müşterinin Azure hizmetleri ve SAP yönetilen ortamları) gelen DNS isteklerini çözümleyebilme özelliğine sahiptir.

Tasarım açıklaması ve özellikleri:

• SAP'ye ait sanal ağlar için özel DNS yapılandırması

• RISE/STE/ECS Azure sanal asında DNS sunucularını barındıran iki VM

• Müşterilerin SAP yönetilen ortamını çalıştıran sanal makineler için ad atamak ve ileri ve ters DNS girişleri oluşturmak için SAP'ye bir alt etki alanı/bölge (örneğin, *ecs.contoso.com) sağlaması ve devretmesi gerekir. SAP DNS sunucuları, temsilci seçilen bölge için ana DNS rolüne sahip

• DNS girişlerini RISE/STE/ECS ortamından şirket içi DNS'ye çoğaltmak için birincil yöntem, SAP DNS sunucusundan müşterinin DNS sunucularına DNS bölgesi aktarımıdır

• Müşteriye ait Azure sanal ağları, Azure Hub sanal akında bulunan müşteri DNS sunucularına başvuran özel DNS yapılandırmasını da kullanıyor.

• İsteğe bağlı olarak, müşteriler Azure sanal ağlarında bir DNS ileticisi ayarlayabilir. Bu iletici daha sonra Azure hizmetlerinden gelen DNS isteklerini temsilcili bölgeye (*ecs.contoso.com) hedeflenen SAP DNS sunucularına yönlendirir.

Alternatif olarak, SAP DNS sunucularından Azure hub sanal ağında (bu bölümdeki diyagram) bulunan bir müşterinin DNS sunucularına DNS bölgesi aktarımı gerçekleştirilebilir. Bu, müşteriler merkez sanal ağlarında özel DNS çözümü (örneğin AD DS veya BIND sunucuları) çalıştırdığında tasarımlar için geçerlidir.

Hem Azure tarafından sağlanan DNS hem de Azure özel bölgelerinin DNS bölge aktarımı özelliğini desteklemediğini , bu nedenle SAP RISE/STE/ECS DNS sunucularından DNS çoğaltmasını kabul etmek için kullanılamadığını unutmayın. Ayrıca dış DNS hizmet sağlayıcıları genellikle SAP RISE/ECS tarafından desteklenmez.

SAP RISE/ECS kullanımı dışında SAP için Azure DNS kullanımı hakkında daha fazla bilgi edinmek için aşağıdaki blog gönderisindeki ayrıntılara bakın.

SAP RISE/ECS ile İnternet giden ve gelen bağlantılar

Dış uygulamalarla veya bir şirketin kullanıcı tabanından gelen bağlantılarla (örneğin SAP Fiori) iletişim kurabilen SAP iş yükleri, müşterinin gereksinimlerine bağlı olarak İnternet'e giden bir ağ yolu gerektirebilir. SAP RISE/ECS tarafından yönetilen iş yükleri içinde, bu tür https/RFC/diğer iletişim yollarına yönelik gereksinimleri keşfetmek için SAP temsilcinizle birlikte çalışın. İnternet'e/İnternet'ten ağ iletişimi SAP RISE/ECS müşterileri için varsayılan olarak etkin değildir ve varsayılan ağ yalnızca özel IP aralıklarını kullanır. İnternet bağlantısı, müşterinin SAP ortamını en iyi şekilde korumak için SAP ile planlama gerektirir.

SAP temsilcilerinizle İnternet'e bağlı veya gelen trafiği etkinleştirirseniz, ağ iletişimi NSG'ler, ASG'ler, Web Uygulaması Güvenlik Duvarı (WAF) ile Application Gateway, proxy sunucuları ve diğerleri gibi çeşitli Azure teknolojileri aracılığıyla korunur. Bu hizmetler tamamen SAP RISE/ECS sanal ağı ve aboneliği içinde SAP aracılığıyla yönetilir. İnternet'e giden ve İnternet'ten sap RISE/ECS ağ yolu genellikle yalnızca SAP RISE/ECS sanal ağında kalır ve müşterinin kendi sanal ağlarına/sanal ağlarından geçiş yapmaz.

Müşterinin kendi sanal ağındaki uygulamalar doğrudan ilgili sanal ağdan veya müşterinin Azure Güvenlik Duvarı, Azure Application Gateway, NAT Gateway ve diğerleri gibi merkezi olarak yönetilen hizmetleri aracılığıyla İnternet'e bağlanır. SAP RISE/ECS olmayan uygulamalardan SAP BTP'ye bağlantı aynı ağ İnternet'e bağlı yolu alır. Bu tür bir tümleştirme için bir SAP Cloud Connecter gerekiyorsa, müşterinin SAP BTP iletişimi ve müşteri tarafından yönetilen ağ yolu gerektiren SAP olmayan VM'lerine yerleştirilir.

SAP BTP Bağlantısı

SAP İş Teknolojisi Platformu (BTP), çoğunlukla İnternet üzerinden genel IP/ana bilgisayar adıyla erişilen çok sayıda uygulama sağlar. Azure aboneliklerinde çalışan müşteri hizmetleri, bunlara doğrudan VM/Azure hizmeti İnternet bağlantısı üzerinden veya tüm İnternet'e bağlı trafiği merkezi olarak yönetilen bir güvenlik duvarından veya diğer ağ sanal gereçlerinden geçmeye zorlayan Kullanıcı Tanımlı Yollar aracılığıyla erişiyor. Ancak SAP Data Intelligence gibi az sayıda SAP BTP hizmeti, genellikle BTP uygulaması için kullanılan genel uç nokta yerine ayrı bir sanal ağ eşlemesi aracılığıyla erişilen bir tasarımdır.

SAP, Azure'da SAP BTP kullanan müşteriler için Özel Bağlantı Hizmeti sunar. SAP Özel Bağlantı Hizmeti, SAP BTP hizmetlerini özel bir IP aralığı üzerinden müşterinin Azure ağına bağlar ve böylece İnternet yerine özel bağlantı hizmeti üzerinden özel olarak erişilebilir. SAP RISE/ECS iş yükleri için bu hizmetin kullanılabilirliği için SAP'ye başvurun.

SAP'nin belgelerine ve SAP BTP Özel Bağlantı Hizmeti mimarisi ve özel bağlantı yöntemleriyle ilgili bir dizi blog gönderisi, aşağıdaki SAP blog serisinde DNS ve sertifikalarla ilgilenme konusuna bakın. Azure için BTP Özel Bağlantı Hizmeti'ni Kullanmaya Başlama.

SAP RISE/ECS ile ağ iletişim bağlantı noktaları

Müşteri sanal asına erişimi olan tüm Azure hizmetleri, kullanılabilir bağlantı noktaları aracılığıyla SAP RISE/ECS aboneliğinde çalışan SAP ortamıyla iletişim kurabilir.

Şirket içinde çalışan uygulamalar, özel bir IP adresi aracılığıyla kurulan sanal ağ eşlemesini veya VPN sanal ağdan sanal ağa bağlantıyı kullanır. SAP RISE tarafından yönetilen Azure uygulama ağ geçidi aracılığıyla kullanıma sunulan genel kullanıma açık bir IP'ye erişen uygulamalar da https üzerinden SAP sistemiyle iletişim kurabilir. Uygulama ağ geçidi ve NSG açık bağlantı noktalarıyla ilgili ayrıntılar ve güvenlik için SAP'ye başvurun.

SAP RISE/ECS sistemindeki açık bağlantı noktalarının diyagramı. BAPI ve IDoc için RFC bağlantıları, OData ve Rest/SOAP için https. SAP HANA'ya doğrudan veritabanı bağlantıları için ODBC/JDBC. Özel sanal ağ eşlemesi aracılığıyla tüm bağlantılar. SAP aracılığıyla yönetilen olası bir seçenek olarak https için genel IP'ye sahip Application Gateway.

Azure hizmetleriyle tümleştirme

SAP RISE/ECS ortamına yönelik kullanılabilir arabirimler hakkındaki bilgilerle, Azure Hizmetleri ile çeşitli tümleştirme yöntemleri mümkündür.

• Azure Data Factory veya Synapse Analytics ile veri tümleştirme senaryoları için şirket içinde barındırılan tümleştirme çalışma zamanı veya Azure Integration Runtime gerekir. Ayrıntılar için sonraki bölüme bakın.

• Azure için ABAP SDK ve SAP için Microsoft AI SDK ile ABAP kullanan Microsoft hizmetleriyle uygulama tümleştirme senaryoları. Yükleme için abapGit'in önceden ayarlanması gerekir. Bu konuda ABAP Platformu ve ABAP Bulut ortamı hakkında daha fazla bilgi için bu SAP blog gönderisini inceleyin.

• İstenen tümleştirme düzenini ele almak için aracı olarak hizmet veren Azure Integration Services kullanan Microsoft hizmetleriyle uygulama tümleştirme senaryoları. Power Apps, Power BI, Azure İşlevleri ve Azure App Service gibi tüketiciler, müşteri ortamında dağıtılan Azure API Management aracılığıyla yönetilir ve güvenlik altına alınır. Bu bileşen, Microsoft 365 kimliği doğrulanmış arayanlarla SAP arka uç yetkilendirmelerini korumak için istek azaltma, kullanım kotaları ve SAP Sorumlusu Yayma gibi sektör standardı özellikler sunar. SAP Sorumlusu Yayma için API Management ilkesini burada bulabilirsiniz.

• SAP RISE sistemi ile Azure hizmeti arasındaki Microsoft şirket içi veri ağ geçidi aracılığıyla Azure Logic Apps, Power Apps, Power BI için yerleşik bağlayıcılarla SAP eski protokolleri uzak işlev çağrıları (RFC) desteği. Diğer ayrıntılar için aşağıdaki bölümlere bakın.

Tüm kullanılabilir SAP ve Microsoft tümleştirme senaryolarına ilişkin kapsamlı bir genel bakışı burada bulabilirsiniz.

Şirket içi barındırılan tümleştirme çalışma zamanıyla tümleştirme

SAP sisteminizi Azure Data Factory veya Azure Synapse gibi Azure buluta özel hizmetlerle tümleştirmek, bu iletişim kanallarını SAP RISE/ECS yönetilen ortamıyla kullanır.

Aşağıdaki üst düzey mimari, Data Factory veya Synapse Analytics gibi Azure veri hizmetleriyle olası tümleştirme senaryolarını gösterir. Bu Azure hizmetleri için şirket içinde barındırılan tümleştirme çalışma zamanı (şirket içinde barındırılan IR veya IR) veya Azure tümleştirme çalışma zamanı (Azure IR) kullanılabilir. Tümleştirme çalışma zamanının kullanımı seçilen veri bağlayıcıya bağlıdır; SAP bağlayıcılarının çoğu yalnızca şirket içi barındırılan IR için kullanılabilir. SAP ECC bağlayıcısı hem Azure IR hem de şirket içinde barındırılan IR aracılığıyla kullanılabilir. IR seçimi, alınan ağ yolunu yönetir. SAP .NET bağlayıcısı SAP tablo bağlayıcısı, SAP BW ve SAP OpenHub bağlayıcıları için kullanılır. Tüm bu bağlayıcılar, RFC bağlantıları aracılığıyla yürütülen SAP sistemindeki SAP işlev modüllerini (FM) kullanır. Son olarak, SAP ile doğrudan veritabanı erişimine izin verildiyse, kullanıcılar ve bağlantı yolu açıksa, SAP HANA için ODBC/JDBC bağlayıcısı şirket içi barındırılan IR'den de kullanılabilir.

Azure IR kullanan veri bağlayıcıları için bu IR, GENEL IP adresi üzerinden SAP ortamınıza erişir. SAP RISE/ECS bu uç noktayı kullanmak üzere bir uygulama ağ geçidi üzerinden sağlar ve iletişim ile veri taşıma https üzerinden gerçekleştirilir.

Şirket içinde barındırılan tümleştirme çalışma zamanı içindeki veri bağlayıcıları SAP RISE/ECS aboneliğindeki SAP sistemi ve sanal ağ ile yalnızca yerleşik sanal ağ eşlemesi ve özel ağ adresi aracılığıyla iletişim kurar. Oluşturulan ağ güvenlik grubu kuralları, hangi uygulamanın SAP sistemiyle iletişim kurabileceğini sınırlar.

Müşteri, kendi abonelikleri ve sanal ağları içinde şirket içinde barındırılan tümleştirme çalışma zamanının dağıtımından ve çalıştırılmasından sorumludur. Data Factory veya Synapse Analytics gibi Azure PaaS hizmetleri ile şirket içinde barındırılan tümleştirme çalışma zamanı arasındaki iletişim müşterinin aboneliğindedir. SAP RISE/ECS, bu uygulamaların kullanması için iletişim bağlantı noktalarını kullanıma sunar, ancak bağlı uygulama veya hizmetin ayrıntıları hakkında bilgi veya destek sağlamaz.

SAP RISE ile kullanabileceğiniz iletişim yolları ve bunları açmak için gerekli adımlar hakkında ayrıntılı bilgi için SAP ile iletişime geçin. SAP verilerine dış uygulamalar aracılığıyla erişmenin olası etkileri için SAP lisans ayrıntıları için SAP ile de bağlantı kurulmalıdır.

Bulut Benimseme Çerçevesi'nden SAP veri tümleştirme senaryosuyla ilgili genel destek hakkında daha fazla bilgi edinmek için her SAP bağlayıcısı, karşılaştırması ve kılavuzuna ayrıntılı giriş yapın. Azure Data Factory kullanarak SAP veri tümleştirmesi teknik incelemesi, resmi tamamlar.

Şirket içi veri ağ geçidi

Azure Logic Apps, Power Apps veya Power BI gibi diğer Azure Hizmetleri, gerektiğinde şirket içi veri ağ geçidi aracılığıyla SAP sistemleriyle iletişim kurar ve veri alışverişinde bulunur. Şirket içi veri ağ geçidi, Azure'da veya şirket içinde çalışan bir sanal makinedir. Sap RFC'ler için çalışma zamanı ve sürücü desteği seçeneği dahil olmak üzere bu Azure Hizmetleri ile SAP sistemleriniz arasında güvenli veri aktarımı sağlar.

SAP RISE ile şirket içi veri ağ geçidi müşterinin Azure aboneliğinde çalışan Azure Hizmetlerine bağlanabilir. Veri ağ geçidini çalıştıran bu VM müşteri tarafından dağıtılır ve çalıştırılır. Aşağıdaki üst düzey mimari genel bakış görevi görür ve her iki hizmet için de benzer bir yöntem kullanılabilir.

Buradaki SAP RISE ortamı, DAHA önce açıklanan RFC ve https için SAP bağlantı noktalarına erişim sağlar. İletişim bağlantı noktalarına özel ağ adresi tarafından sanal ağ eşlemesi veya VPN siteden siteye bağlantı üzerinden erişilir. Müşterinin Azure aboneliğinde çalışan şirket içi veri ağ geçidi VM'si, RFC bağlantısı üzerinden RFC, BAPI veya IDoc çağrılarını çalıştırmak için SAP .NET bağlayıcısını kullanır. Ayrıca, hizmete ve iletişimin kurulma şekline bağlı olarak, HTTPS aracılığıyla SAP sistemleri REST API'sinin genel IP'sine bağlanmanın bir yolu gerekebilir. Genel IP'ye yönelik https bağlantısı, SAP RISE/ECS tarafından yönetilen uygulama ağ geçidi aracılığıyla gösterilebilir. Bu üst düzey mimari, olası tümleştirme senaryolarını gösterir. İletişimin ve diğer uygulamaların güvenliğini sağlamak için Logic Apps tek kiracı ve özel uç noktaları kullanma gibi alternatifler uzantı olarak görülebilir ve burada açıklanamaz.

SAP RISE/ECS, bu uygulamaların kullanması için iletişim bağlantı noktalarını kullanıma sunar, ancak müşterinin aboneliğinde çalışan bağlı uygulama veya hizmetin ayrıntıları hakkında bilgi sahibi değildir.

SAP RISE/ECS, bu uygulamaların kullanması için iletişim bağlantı noktalarını kullanıma sunar, ancak müşterinin aboneliğinde çalışan bağlı uygulama veya hizmetin ayrıntıları hakkında bilgi sahibi değildir. SAP sistemine veya veritabanına bağlanan Azure hizmeti aracılığıyla SAP verilerine erişmenin olası etkileri için SAP lisans ayrıntıları için SAP'ye başvurun.

SAP RISE ile kimlik, güvenlik ve izleme

SAP için çoklu oturum açma

Çoklu oturum açma (SSO), birçok SAP ortamı için yapılandırılır. ECS/RISE'da çalışan SAP iş yükleri ile yerel olarak çalıştırılan bir SAP sistemiyle aynı adımlar izlenebilir. Azure Active Directory (Azure AD) tabanlı SSO ile tümleştirme adımları tipik ECS/RISE yönetilen iş yükleri için kullanılabilir:

• Öğretici: SAP NetWeaver ile Azure Active Directory Çoklu oturum açma (SSO) tümleştirmesi
• Öğretici: SAP Fiori ile Azure Active Directory çoklu oturum açma (SSO) tümleştirmesi
• Öğretici: SAP HANA ile Azure Active Directory tümleştirmesi

SSO yöntemi	Kimlik Sağlayıcı	Tipik kullanım örneği	Uygulama
SAML/OAuth	Azure AD	SAP Fiori, Web GUI, Portal, HANA	Müşteri yapılandırması
SNC	Azure AD	SAP GUI	Müşteri yapılandırması
SPNEGO	Active Directory (AD)	Web GUI, Portal	Müşteri yapılandırması

SAP SSO Güvenli Oturum Açma İstemcisi ile ECS/RISE tarafından yönetilen SAP ortamı için Windows etki alanınızın Active Directory'ye (AD) karşı SSO'sunun son kullanıcı cihazları için AD tümleştirmesi gerekir. SAP RISE ile, herhangi bir Windows sistemi müşterinin Active Directory etki alanıyla tümleştirilmemiştir. Etki alanı güvenlik belirteci istemci cihazında okunduğu ve SAP sistemiyle güvenli bir şekilde değiştirildiğinden, AD/Kerberos ile SSO için bu gerekli değildir. AD tabanlı SSO ile tümleştirmek veya SAP SSO Güvenli Oturum Açma İstemcisi dışındaki üçüncü taraf ürünleri kullanmak için herhangi bir değişikliğe ihtiyacınız varsa, RISE tarafından yönetilen sistemlerde bazı yapılandırmalar yapılması gerekebileceğinden SAP ile iletişime geçin.

SAP RISE ile Microsoft Sentinel

SAP uygulamaları için SAP RISE sertifikalı Microsoft Sentinel çözümü, şüpheli etkinlikleri izlemenize, algılamanıza ve yanıtlamanıza ve kritik verilerinizi Azure'da, diğer bulutlarda veya şirket içi altyapıda barındırılan SAP sistemlerine yönelik karmaşık siber saldırılara karşı korumanıza olanak tanır.

Çözüm, SAP RISE/ECS ve SAP iş mantığı katmanlarındaki kullanıcı etkinliklerine görünürlük kazanmanıza ve Sentinel'in yerleşik içeriğini uygulamanıza olanak tanır.

• Azure'da SAP RISE/ECS'deki SAP örnekleri ve diğer bulutlar, SAP Azure yerel ve şirket içi varlığı dahil olmak üzere tüm kurumsal varlıklarınızı izlemek için tek bir konsol kullanın
• Tehditleri algılama ve bunlara otomatik olarak yanıt verme: Ayrıcalık yükseltme, yetkisiz değişiklikler, hassas işlemler, veri sızdırma ve kullanıma açık algılama özellikleri gibi daha birçok şüpheli etkinliği algılama
• SAP etkinliğini diğer sinyallerle ilişkilendirme: Uç noktalar, Azure AD veriler ve daha fazlası arasında çapraz bağıntı oluşturarak SAP tehditlerini daha doğru bir şekilde algılama
• Gereksinimlerinize göre özelleştirme - hassas işlemleri ve diğer iş risklerini izlemek için kendi algılamalarınızı oluşturun
• Yerleşik çalışma kitaplarıyla verileri görselleştirme

Bu diyagramda, SAP tarafından yönetilen SAP sistemine aracı bir VM veya kapsayıcı aracılığıyla bağlanan Bir Microsoft Sentinel örneği gösterilmektedir. Aracı VM veya kapsayıcı, yapılandırılmış SAP veri bağlayıcısı aracısı ile müşterinin kendi aboneliğinde çalışır.

SAP RISE/ECS için Microsoft Sentinel çözümünün müşterinin Azure aboneliğinde dağıtılması gerekir. Sentinel çözümünün tüm bölümleri SAP tarafından değil müşteri tarafından yönetilir. SAP RISE/ECS tarafından yönetilen SAP manzaralarına ulaşmak için müşterinin sanal ağından özel ağ bağlantısı gerekir. Genellikle, bu bağlantı kurulan sanal ağ eşlemesi üzerinden veya bu belgede açıklanan alternatifler aracılığıyla yapılır.

Çözümü etkinleştirmek için yalnızca yetkili bir RFC kullanıcısı gerekir ve SAP sistemlerine hiçbir şey yüklenmesi gerekmez. Çözüme dahil edilen kapsayıcı tabanlı SAP veri toplama aracısı VM veya AKS/herhangi bir Kubernetes ortamına yüklenebilir. Toplayıcı aracısı, standart RFC çağrılarını kullanarak RFC arabirimi aracılığıyla SAP ortamınızdan uygulama günlüğü verilerini kullanmak için bir SAP hizmet kullanıcısı kullanır.

• SAP RISE'da desteklenen kimlik doğrulama yöntemleri: SAP kullanıcı adı ve parolası veya X509/SNC sertifikaları
• Şu anda SAP RISE/ECS ortamlarında yalnızca RFC tabanlı bağlantılar mümkündür

Microsoft Sentinel'i bir SAP RISE/ECS ortamında çalıştırmaya yönelik not:

• Aşağıdaki günlük alanları/kaynağı bir SAP aktarım değişikliği isteği gerektirir: SAP güvenlik denetim günlüğünden istemci IP adresi bilgileri, VERITABANı tablo günlükleri (önizleme), biriktirme çıktı günlüğü. Sentinel'in yerleşik içeriği (algılamalar, çalışma kitapları ve playbook'lar) bu günlük kaynakları olmadan kapsamlı kapsam ve bağıntı sağlar.
• SAP çalıştıran VM'ler, SAPControl veri kaynakları, ECS içine yerleştirilen ağ kaynakları dahil olmak üzere SAP altyapısı ve işletim sistemi günlükleri RISE'de Sentinel tarafından kullanılamaz. SAP, Azure altyapı ve işlem sisteminin öğelerini bağımsız olarak izler.

Tehditlere hızlı tepki vermek için güvenlik, düzenleme, otomasyon ve yanıt özellikleri (SOAR) için önceden oluşturulmuş playbook'ları kullanın. Popüler ilk senaryolardan biri, SAP kullanıcılarının Microsoft Teams'den müdahale seçeneğini engellemesidir. Tümleştirme düzeni, SALDıRı yüzeyini azaltmayla ilgili olarak SAP business Technology Platform'a (BTP) veya Azure AD yayılan herhangi bir olay türüne ve hedef hizmete uygulanabilir.

SAP için Microsoft Sentinel ve SOAR hakkında daha fazla bilgi için kritik SAP güvenlik sinyalleriniz için Microsoft Sentinel ile sıfırdan kahramana güvenlik kapsamı blog serisine bakın.

Bu görüntüde, Sap ERP, SAP Business Technology Platform veya Azure AD şüpheli kullanıcıyı engelleme seçeneği sunan Sentinel tarafından algılanan bir SAP olayı gösterilmektedir.

Microsoft Sentinel ve SAP hakkında dağıtım kılavuzu da dahil olmak üzere daha fazla bilgi için bkz. Sentinel ürün belgeleri.

SAP RISE ile SAP için Azure İzleme

SAP için Azure İzleme, SAP sisteminizi izlemeye yönelik Azure'a özel bir çözümdür. SAP NetWeaver, veritabanı ve işletim sistemi ayrıntıları hakkında veri toplama desteğiyle Azure izleme platformu izleme özelliğini genişletir.

Not

SAP RISE/ECS, SAP ortamınız için tam olarak yönetilen bir hizmettir ve bu nedenle SAP için Azure İzleme'nin bu tür yönetilen ortamlar için kullanılması amaçlanmamıştır.

SAP RISE/ECS, SAP için Azure İzleme ile herhangi bir tümleştirmeyi desteklemez. RISE/ECS'nin kendi izleme ve raporlaması, SAP ile hizmet açıklamanız tarafından tanımlandığı şekilde müşteriye sağlanır.

SAP Çözümleri için Azure Merkezi

SAP için Azure İzleme'de olduğu gibi SAP RISE/ECS de SAP Çözümleri için Azure Merkezi ile herhangi bir tümleştirmeyi hiçbir özellikte desteklemez. Tüm SAP RISE iş yükleri SAP tarafından dağıtılır ve müşterinin Azure kaynaklarına erişimi olmadan SAP'nin Azure kiracısında ve aboneliğinde çalışır.

Sonraki adımlar

Belgelere göz atın:

• Azure’da SAP iş yükleri: planlama ve dağıtım denetim listesi
• Sanal ağ eşleme
• Azure Data Factory Kullanarak SAP Veri Entegrasyonu