Планирование развертывания SAP с помощью SAP Deployment Automation Framework

SAP Deployment Automation Framework — это средство оркестрации с открытым исходным кодом, которое автоматизирует развертывания SAP на Azure с помощью Terraform и Ansible. Перед развертыванием необходимо запланировать подписки, управление учетными данными и проектирование виртуальной сети.

В этой статье описаны ключевые решения по планированию, которые необходимо принять перед началом развертывания. Общие рекомендации по проектированию SAP в Azure см. в разделе Введение в сценарий внедрения SAP.

Планирование подписки

Разверните плоскость управления и зоны рабочей нагрузки в разных подписках. Плоскость управления должна находиться в концентраторной подписке, в которой размещаются компоненты управления платформы автоматизации SAP.

Размещение систем SAP в периферийных подписках, предназначенных для систем SAP. Например, можно разместить системы разработки в отдельной подписке с выделенной виртуальной сетью. Производственные системы могут находиться в отдельной подписке с выделенной виртуальной сетью.

Этот подход обеспечивает как границу безопасности, так и четкое разделение обязанностей и обязанностей. Например, команда SAP Basis может развертывать системы в зонах рабочей нагрузки, а команда инфраструктуры может управлять плоскостем управления.

Планирование плоскости управления

Выполните действия по развертыванию и настройке из Azure Pipelines или с помощью предоставленных скриптов оболочки непосредственно из виртуальных машин Linux, размещенных Azure. Эта среда называется плоскость управления. Сведения о настройке Azure DevOps для платформы развертывания см. в статье Set up Azure DevOps for SAP Deployment Automation Framework. Сведения о настройке виртуальных машин Linux в качестве средства развертывания см. в разделе "Настройка виртуальных машин Linux для платформы автоматизации развертывания SAP".

Прежде чем разрабатывать плоскость управления, ознакомьтесь со следующими вопросами:

• В каких регионах необходимо развернуть системы SAP?
• Существует ли отдельная подписка для управляющей плоскости?
• Есть ли выделенные учетные данные развертывания (учетная запись службы) для уровня управления?
• Существует ли существующая виртуальная сеть или требуется ли новая виртуальная сеть?
• Как предоставляется исходящий интернет для виртуальных машин?
• Вы собираетесь развернуть Брандмауэр Azure для исходящего подключения к Интернету?
• Требуются ли частные конечные точки для учетных записей хранения и хранилища ключей?
• Вы собираетесь использовать существующую зону private DNS для виртуальных машин или использовать плоскость управления для размещения Частная зона DNS?
• Вы собираетесь использовать Бастион Azure для безопасного удаленного доступа к виртуальным машинам?
• Вы собираетесь использовать веб-приложение конфигурации SAP Deployment Automation Framework для выполнения действий по настройке и развертыванию?

Плоскость управления

Плоскость управления предоставляет следующие службы:

• Виртуальные машины развертывания, которые выполняют развертывания Terraform и конфигурацию Ansible и выполняют роль Azure DevOps локальных агентов.
• Хранилище ключей, содержащее учетные данные развертывания (служебные учётные записи), используемые Terraform, когда выполняется развертывание.
• Брандмауэр Azure для предоставления исходящего подключения к Интернету.
• Бастион Azure для обеспечения безопасного удаленного доступа к развернутыми виртуальным машинам.
• Веб-приложение Azure для автоматизации конфигурации и развертывания SAP, предназначенное для выполнения действий по настройке и развертыванию.

Плоскость управления определяется с помощью двух файлов конфигурации, одного для развертывающего средства и одного для библиотеки SAP.

Файл конфигурации развертывающего средства определяет регион, имя среды и сведения о виртуальной сети. Например:

# Deployer Configuration File
environment = "MGMT"
location = "westeurope"

management_network_logical_name = "DEP01"

management_network_address_space = "10.170.20.0/24"
management_subnet_address_prefix = "10.170.20.64/28"

firewall_deployment = true
management_firewall_subnet_address_prefix = "10.170.20.0/26"

bastion_deployment = true
management_bastion_subnet_address_prefix = "10.170.20.128/26"

use_webapp = true

webapp_subnet_address_prefix = "10.170.20.192/27"
deployer_assign_subscription_permissions = true

deployer_count = 2

use_service_endpoint = false
use_private_endpoint = false
public_network_access_enabled = true

Рекомендации по DNS

При планировании конфигурации DNS для платформы автоматизации рассмотрите следующие вопросы:

• Существует ли существующий частный DNS, с которыми могут интегрироваться решения или вам нужно использовать настраиваемую частную зону DNS для среды развертывания?
• Вы будете использовать предопределенные IP-адреса для виртуальных машин или позволите Azure динамически назначать их?

Чтобы интегрироваться с существующей частной зоной DNS, укажите следующие значения в tfvars файлах:

management_dns_subscription_id = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
#management_dns_resourcegroup_name = "RESOURCEGROUPNAME"
use_custom_dns_a_registration = false

Без этих значений частная зона DNS создается в группе ресурсов библиотеки SAP.

Дополнительные сведения см. в подробном описании процесса настройки средства развертывания.

Конфигурация библиотеки SAP

Группа ресурсов библиотеки SAP предоставляет хранилище для установочного носителя SAP, файлов спецификации материалов, файлов состояния Terraform и, опционально, частных зон DNS. Файл конфигурации определяет регион и имя среды для библиотеки SAP. Сведения о параметрах и примерах см. в разделе "Настройка библиотеки SAP для автоматизации".

Планирование зоны рабочей нагрузки

Большинство ландшафтов приложений SAP секционируются на разных уровнях. В SAP Deployment Automation Framework эти уровни называются зонами рабочей нагрузки. Например, у вас могут быть разные зоны рабочей нагрузки для разработки, обеспечения качества и производственных систем. Дополнительные сведения см. в разделе "Зоны рабочей нагрузки".

Зона рабочей нагрузки предоставляет следующие общие службы для приложений SAP:

• Azure Virtual Network для виртуальных сетей, подсетей и групп безопасности сети.
• Azure Key Vault для хранения учетных данных виртуальной машины и системы SAP.
• Учетные записи служба хранилища Azure для диагностики загрузки и Cloud Witness.
• Общее хранилище для систем SAP Файлы Azure или Azure NetApp Files.

Прежде чем приступать к проектированию компоновки зоны рабочей нагрузки, учтите перечисленные ниже факторы.

• В каких регионах требуется развернуть рабочие нагрузки?
• Сколько зон рабочей нагрузки требуется для вашего сценария (разработка, обеспечение качества и производство)?
• Вы развертываете новые виртуальные сети или используете существующие виртуальные сети?
• Какой тип хранилища вам нужен для совместного использования (сетевой файловый ресурс Файлы Azure (NFS) или Azure NetApp Files)?
• Вы собираетесь развернуть шлюз NAT для исходящего подключения к Интернету?

Соглашение об именовании по умолчанию для зон рабочей нагрузки [ENVIRONMENT]-[REGIONCODE]-[NETWORK]-INFRASTRUCTURE. Например, DEV-WEEU-SAP01-INFRASTRUCTURE используется для среды разработки, размещенной в регионе Западной Европы, с использованием виртуальной сети SAP01. PRD-WEEU-SAP02-INFRASTRUCTURE предназначен для рабочей среды, размещенной в регионе Западной Европы, с помощью виртуальной сети SAP02.

Обозначения SAP01 и SAP02 определяют логические имена виртуальных сетей Azure. Их можно использовать для дальнейшей секционирования сред. Предположим, что для одной зоны рабочей нагрузки требуется две виртуальные сети Azure. Например, у вас может быть сценарий с несколькими подписками, в котором размещаются среды разработки в двух подписках. Для каждой виртуальной сети можно использовать разные логические имена. Например, можно использовать DEV-WEEU-SAP01-INFRASTRUCTURE и DEV-WEEU-SAP02-INFRASTRUCTURE.

Дополнительные сведения см. в статье "Настройка развертывания зоны рабочей нагрузки для автоматизации".

развертывания на основе Windows

При развертывании на основе Windows виртуальные машины в виртуальной сети зоны рабочей нагрузки должны иметь возможность взаимодействовать с Active Directory, чтобы присоединить виртуальные машины SAP к домену Active Directory. Имя DNS должно быть разрешаемо с помощью Active Directory.

Sap Deployment Automation Framework не создает учетные записи в Active Directory, поэтому учетные записи должны быть предварительно созданы и сохранены в хранилище ключей зоны рабочей нагрузки.

Параметры DNS

Для сценариев высокой доступности запись DNS необходима в Active Directory для кластера центральных служб SAP. Запись DNS должна быть создана в зоне DNS Active Directory. Имя записи DNS определяется как [sid]>scs[scs instance number]cl1. Например, w01scs00cl1 используется для кластера с W01 идентификатором безопасности и 00 номером экземпляра.

Управление учетными данными

Платформа автоматизации использует субъекты-службы для развертывания инфраструктуры. Для каждой зоны рабочей нагрузки рекомендуется использовать разные учетные данные развертывания (учетные записи службы). Платформа сохраняет эти учетные данные в хранилище ключей средства развертывания . Затем платформа извлекает эти учетные данные в динамическом режиме в процессе развертывания.

Управление доступом к учетным данным SAP и виртуальных машин

Платформа автоматизации использует хранилище ключей зоны рабочей нагрузки для хранения учетных данных пользователя службы автоматизации и учетных данных системы SAP. В следующей таблице перечислены имена учетных данных виртуальной машины.

Создание служебного субъекта

Чтобы создать представителя службы, выполните приведенные действия.

1. Войдите в Azure CLI с учетной записью с разрешениями на создание субъекта-службы.

2. Создайте новую учетную запись службы с помощью команды az ad sp create-for-rbac. Обязательно используйте описательное имя для --name. Например:

   az ad sp create-for-rbac --role="Contributor" --scopes="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --name="DEV-Deployment-Account"
   

3. Обратите внимание на выходные данные. Для следующего шага требуется идентификатор приложения (appId), пароль (password) и идентификатор клиента (tenant). Например:

   {
       "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
       "displayName": "DEV-Deployment-Account",
       "name": "http://DEV-Deployment-Account",
       "password": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
       "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

4. Назначьте роль администратора доступа пользователей субъекту-службе. Например:

   az role assignment create --assignee <your-application-ID> --role "User Access Administrator" --scope /subscriptions/<your-subscription-ID>/resourceGroups/<your-resource-group-name>
   

Чтобы получить дополнительную информацию, см. документацию Azure CLI по созданию учетной записи службы.

Управление разрешениями

В заблокированной среде может потребоваться назначить другое разрешение субъектам-службам. Например, может потребоваться назначить роль администратора доступа пользователей служебному принципалу.

Необходимые разрешения

В следующей таблице показаны необходимые разрешения для сервисных принципалов.

Настройка брандмауэра

Проверьте подключение к URL-адресам виртуальной машины Linux в Azure с помощью скрипта PowerShell, использующего функцию run-command в Azure.

В следующем примере показано, как проверить подключение к URL-адресам с помощью интерактивного скрипта PowerShell.

$sdaf_path = Get-Location
if ( $PSVersionTable.Platform -eq "Unix") {
    if ( -Not (Test-Path "SDAF") ) {
      $sdaf_path = New-Item -Path "SDAF" -Type Directory
    }
}
else {
    $sdaf_path = Join-Path -Path $Env:HOMEDRIVE -ChildPath "SDAF"
    if ( -not (Test-Path $sdaf_path)) {
        New-Item -Path $sdaf_path -Type Directory
    }
}

Set-Location -Path $sdaf_path

git clone https://github.com/Azure/sap-automation.git

cd sap-automation
cd deploy
cd scripts

if ( $PSVersionTable.Platform -eq "Unix") {
 ./Test-SDAFURLs.ps1
}
else {
 .\Test-SDAFURLs.ps1
}

Структура DevOps

Платформа развертывания использует три отдельных репозитория для артефактов развертывания. Собственные файлы параметров рекомендуется хранить в репозитории системы контроля версий, которым вы управляете.

Основной репозиторий

Этот репозиторий содержит файлы параметров Terraform и файлы, необходимые для сборников схем Ansible для всех зон рабочей нагрузки и системных развертываний.

Создайте этот репозиторий, клонируя репозиторий SAP Deployment Automation Framework bootstrap в ваш репозиторий системы управления версиями.

Структура папок

В следующем примере иерархия папок демонстрирует, как структурировать файлы конфигурации вместе с файлами платформы автоматизации.

Имя файла параметров преобразуется в имя файла состояния Terraform. По этой причине обязательно используйте уникальное имя файла параметров.

Репозиторий кода

Этот репозиторий содержит шаблоны автоматизации Terraform, сборники схем Ansible и конвейеры развертывания и скрипты. В большинстве случаев этот репозиторий рекомендуется использовать только для чтения и не изменять его.

Чтобы создать этот репозиторий, клонируйте репозиторий SAP Deployment Automation Framework в репозиторий системы управления версиями.

Присвойте этому репозиторию sap-automationимя.

Пример репозитория

Этот репозиторий содержит примеры файлов спецификации материалов и примеры файлов конфигурации Terraform.

Чтобы создать этот репозиторий, клонируйте репозиторий примеров SAP Deployment Automation Framework в репозиторий системы контроля версий.

Присвойте этому репозиторию samplesимя.

Поддерживаемые сценарии развертывания

Платформа автоматизации поддерживает развертывание как в новых, так и в существующих сценариях.

регионы Azure

Перед развертыванием решения важно учитывать, какие Azure регионы следует использовать. Различные регионы Azure могут входить в охват в зависимости от вашего конкретного сценария.

Платформа автоматизации поддерживает развертывания в нескольких регионах Azure. В каждом регионе проводятся:

• Инфраструктура развертывания.
• Библиотека SAP с файлами состояния и установочными носителями.
• Зоны рабочей нагрузки 1-N.
• 1-N систем SAP в зонах рабочей нагрузки.

Среды развертывания

Если вы поддерживаете несколько зон рабочей нагрузки в регионе, используйте уникальный идентификатор для среды развертывания и библиотеки SAP. Не используйте идентификатор для зоны рабочей нагрузки. Например, используйте MGMT для целей управления.

Платформа автоматизации также поддерживает возможность использования среды развертывания и библиотеки SAP в отдельных подписках, а не зонах рабочей нагрузки.

Среда развертывания предоставляет следующие службы:

• Одна или несколько виртуальных машин развертывания, которые выполняют развертывания инфраструктуры с помощью Terraform и выполняют настройку системы и установку SAP с помощью сборников схем Ansible.
• Хранилище ключей, содержащее учетные данные служебной учетной записи для использования в развертываниях Terraform.
• Компонент Брандмауэр Azure, обеспечивающий исходящее подключение к Интернету.

Файл конфигурации развертывания определяет регион, имя среды и сведения о виртуальной сети. Например:

# The environment value is a mandatory field, it is used for partitioning the environments, for example (PROD and NP)
environment = "MGMT"

# The location/region value is a mandatory field, it is used to control where the resources are deployed
location = "westeurope"

# management_network_address_space is the address space for management virtual network
management_network_address_space = "10.10.20.0/25"

# management_subnet_address_prefix is the address prefix for the management subnet
management_subnet_address_prefix = "10.10.20.64/28"

# management_firewall_subnet_address_prefix is the address prefix for the firewall subnet
management_firewall_subnet_address_prefix = "10.10.20.0/26"

# management_bastion_subnet_address_prefix is a mandatory parameter if bastion is deployed and if the subnets are not defined in the workload or if existing subnets are not used
management_bastion_subnet_address_prefix = "10.10.20.128/26"

deployer_enable_public_ip = false

firewall_deployment = true

bastion_deployment = true

Дополнительные сведения см. в подробном описании процесса настройки средства развертывания.

Структура зоны рабочей нагрузки

Большинство конфигураций SAP используют несколько зон рабочей нагрузки для разных уровней приложений. Например, у вас могут быть разные рабочие зоны для разработки, контроля качества и производства.

Вы создаете или предоставляете доступ к следующим службам в каждой зоне рабочей нагрузки:

• Azure виртуальные сети для виртуальных сетей, подсетей и групп безопасности сети.
• Azure Key Vault для системных учетных данных и субъекта-службы развертывания.
• Учетные записи служба хранилища Azure для диагностики загрузки и для Cloud Witness.
• Общее хранилище для систем SAP Файлы Azure или Azure NetApp Files.

Прежде чем приступать к проектированию компоновки зоны рабочей нагрузки, учтите перечисленные ниже факторы.

• Сколько зон рабочей нагрузки требуется вашему сценарию?
• В каких регионах требуется развернуть рабочие нагрузки?
• Каков ваш сценарий развертывания?

Дополнительные сведения см. в статье "Настройка развертывания зоны рабочей нагрузки для автоматизации".

Настройка системы SAP

Система SAP содержит все Azure компоненты, необходимые для размещения приложения SAP.

Перед настройкой системы SAP учтите перечисленные ниже факторы.

• Какую серверную часть базы данных вы хотите использовать?
• Сколько серверов базы данных вам требуется?
• Требуется ли для вашего сценария высокий уровень доступности?
• Сколько требуется серверов приложений?
• Сколько требуется веб-диспетчеров (и требуются ли они вообще)?
• Сколько требуется экземпляров центральных служб?
• Какой размер виртуальной машины требуется?
• Какой образ виртуальной машины вы хотите использовать? Является ли изображение Azure Marketplace или пользовательским?
• Выполняется ли развертывание в новом или существующем сценарии развертывания?
• Что такое стратегия распределения IP-адресов? Хотите ли вы Azure задать IP-адреса или использовать пользовательские параметры?

Дополнительные сведения см. в разделе "Настройка системы SAP для автоматизации".

Процесс развертывания

При планировании развертывания важно учитывать общий поток. Существует три основных шага развертывания SAP на Azure с платформой автоматизации.

1. Разверните плоскость управления. На этом шаге развертываются компоненты для поддержки платформы автоматизации SAP в указанном регионе Azure.

   1. Создайте среду развертывания.
   2. Создайте общее хранилище для файлов состояния Terraform.
   3. Создайте общее хранилище для установочного носителя SAP.

2. Разверните зону рабочей нагрузки. На этом этапе развертываются компоненты зоны рабочей нагрузки, такие как виртуальная сеть и хранилища ключей.

3. Разверните систему. Этот шаг включает инфраструктуру для развертывания системы SAP и конфигурации SAP и установки SAP.

Соглашения об именах

Платформа автоматизации использует соглашение об именовании по умолчанию. Если вы хотите использовать настраиваемое соглашение об именовании, запланируйте и определите пользовательские имена перед развертыванием. Дополнительные сведения см. в разделе "Настройка соглашения об именовании".

Выбор размера диска

Если вы хотите настроить пользовательские размеры дисков, обязательно спланируйте свою конфигурацию перед развертыванием.

Связанный контент

• Обзор платформы автоматизации развертывания SAP
• Настройка плоскости управления
• Настройка развертывания зоны рабочей нагрузки
• Ручное развертывание платформы автоматизации