Planifier votre déploiement SAP avec SAP Deployment Automation Framework

SAP Deployment Automation Framework est un outil d’orchestration open source qui automatise les déploiements SAP sur Azure à l’aide de Terraform et d’Ansible. Avant de déployer, vous devez planifier les abonnements, la gestion des informations d’identification et la conception de réseau virtuel.

Cet article décrit les principales décisions de planification que vous devez prendre avant de commencer le déploiement. Pour des considérations générales sur la conception de SAP sur Azure, consultez Présentation d’un scénario d’adoption de SAP.

Planification des abonnements

Déployez le plan de contrôle et les zones de charge de travail dans différents abonnements. Le plan de contrôle doit résider dans un abonnement hub qui héberge les composants de gestion de l’infrastructure d’automatisation SAP.

Hébergez les systèmes SAP dans les abonnements spoke, qui sont dédiés aux systèmes SAP. Par exemple, vous pouvez héberger des systèmes de développement dans un abonnement distinct avec un réseau virtuel dédié. Les systèmes de production peuvent résider dans leur propre abonnement avec un réseau virtuel dédié.

Cette approche fournit à la fois une limite de sécurité et une séparation claire des tâches et des responsabilités. Par exemple, l’équipe Base SAP peut déployer des systèmes dans les zones de charge de travail, et l’équipe d’infrastructure peut gérer le plan de contrôle.

Planification du plan de contrôle

Effectuez les activités de déploiement et de configuration à partir de Azure Pipelines ou à l’aide des scripts shell fournis directement à partir de machines virtuelles Linux hébergées par Azure. Cet environnement est appelé plan de contrôle. Pour configurer Azure DevOps pour l’infrastructure de déploiement, consultez Configurer Azure DevOps pour SAP Deployment Automation Framework. Pour configurer des machines virtuelles Linux en tant que déployeur, consultez Configurer des machines virtuelles Linux pour SAP Deployment Automation Framework.

Avant de concevoir votre plan de contrôle, posez-vous les questions suivantes :

• Dans quelles régions avez-vous besoin de déployer des systèmes SAP ?
• Existe-t-il un abonnement dédié au plan de contrôle ?
• Existe-t-il des identifiants de déploiement dédiés (principal de service) pour le plan de contrôle ?
• Existe-t-il déjà un réseau virtuel ou est-ce qu’un nouveau réseau virtuel est nécessaire ?
• Comment internet sortant est-il fourni pour les machines virtuelles ?
• Allez-vous déployer Pare-feu Azure pour la connectivité Internet sortante ?
• Des points de terminaison privés sont-ils requis pour les comptes de stockage et le coffre de clés ?
• Allez-vous utiliser une zone private DNS existante pour les machines virtuelles ou utiliser le plan de contrôle pour héberger des DNS privé ?
• Allez-vous utiliser Azure Bastion pour sécuriser l’accès à distance aux machines virtuelles ?
• Allez-vous utiliser l’application web de configuration de l’infrastructure d’automatisation de déploiement SAP pour effectuer des activités de configuration et de déploiement ?

Plan de contrôle

Le plan de contrôle fournit les services suivants :

• Les machines virtuelles de déploiement, qui effectuent des déploiements Terraform et une configuration Ansible, agissent en tant qu’agents auto-hébergés Azure DevOps.
• Coffre de clés, qui contient les informations d’identification de déploiement (principaux de service) utilisées par Terraform lors de l’exécution des déploiements.
• Pare-feu Azure pour fournir une connectivité Internet sortante.
• Azure Bastion pour fournir un accès à distance sécurisé aux machines virtuelles déployées.
• Une application web Azure de configuration du SAP Deployment Automation Framework, utilisée pour effectuer des activités de configuration et de déploiement.

Le plan de contrôle est défini à l’aide de deux fichiers de configuration, un pour le déployeur et un pour la bibliothèque SAP.

Le fichier de configuration du déployeur définit la région, le nom de l’environnement et les informations du réseau virtuel. Par exemple :

# Deployer Configuration File
environment = "MGMT"
location = "westeurope"

management_network_logical_name = "DEP01"

management_network_address_space = "10.170.20.0/24"
management_subnet_address_prefix = "10.170.20.64/28"

firewall_deployment = true
management_firewall_subnet_address_prefix = "10.170.20.0/26"

bastion_deployment = true
management_bastion_subnet_address_prefix = "10.170.20.128/26"

use_webapp = true

webapp_subnet_address_prefix = "10.170.20.192/27"
deployer_assign_subscription_permissions = true

deployer_count = 2

use_service_endpoint = false
use_private_endpoint = false
public_network_access_enabled = true

Considérations relatives au DNS

Lorsque vous planifiez la configuration DNS pour l’infrastructure d’automatisation, tenez compte des questions suivantes :

• Existe-t-il un service DNS privé auquel les solutions peuvent s’intégrer, ou devez-vous utiliser une zone DNS privée personnalisée pour l’environnement de déploiement ?
• Allez-vous utiliser des adresses IP prédéfinies pour les machines virtuelles ou laisser Azure les affecter dynamiquement ?

Pour intégrer une zone DNS privée existante, fournissez les valeurs suivantes dans vos tfvars fichiers :

management_dns_subscription_id = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
#management_dns_resourcegroup_name = "RESOURCEGROUPNAME"
use_custom_dns_a_registration = false

Sans ces valeurs, une zone DNS privée est créée dans le groupe de ressources de la bibliothèque SAP.

Pour plus d’informations, consultez l’explication détaillée de la configuration du déployeur.

Configuration de la bibliothèque SAP

Le groupe de ressources de la bibliothèque SAP fournit le stockage pour les fichiers de support d’installation SAP, les fichiers de nomenclature, les fichiers d’état Terraform et, éventuellement, les zones DNS privées. Le fichier de configuration définit le nom de la région et de l’environnement de la bibliothèque SAP. Pour obtenir des informations sur les paramètres et des exemples, consultez Configurer la bibliothèque SAP pour l’automatisation.

Planification de la zone de charge de travail

La plupart des paysages d’application SAP sont partitionnés sur différents niveaux. Dans l’infrastructure d’automatisation de déploiement SAP, ces niveaux sont appelés « zones de charge de travail ». Par exemple, vous pouvez avoir différentes zones de charge de travail pour les systèmes de développement, d’assurance qualité et de production. Pour plus d’informations, consultez Zones de charge de travail.

La zone de charge de travail fournit les services partagés suivants pour les applications SAP :

• Réseau virtuel Azure, pour les réseaux virtuels, les sous-réseaux et les groupes de sécurité réseau.
• Azure Key Vault, pour stocker la machine virtuelle et les informations d’identification du système SAP.
• Comptes de stockage Azure, pour les diagnostics de démarrage et le témoin cloud.
• Stockage partagé pour les systèmes SAP, Azure Files ou Azure NetApp Files.

Avant de concevoir la disposition de votre zone de charge de travail, posez-vous les questions suivantes :

• Dans quelles régions avez-vous besoin de déployer des charges de travail ?
• De combien de zones de charge de travail votre scénario a-t-il besoin (développement, assurance qualité et production) ?
• Déployez-vous sur de nouveaux réseaux virtuels, ou utilisez-vous des réseaux virtuels existants ?
• Quel type de stockage avez-vous besoin pour le stockage partagé (Azure Files Network File Share (NFS) ou Azure NetApp Files) ?
• Allez-vous déployer la passerelle NAT pour la connectivité Internet sortante ?

La convention d’affectation de noms par défaut pour les zones de charge de travail est [ENVIRONMENT]-[REGIONCODE]-[NETWORK]-INFRASTRUCTURE. Par exemple, DEV-WEEU-SAP01-INFRASTRUCTURE concerne un environnement de développement hébergé dans la région Europe Ouest à l’aide du réseau virtuel SAP01. PRD-WEEU-SAP02-INFRASTRUCTURE concerne un environnement de production hébergé dans la région Europe Ouest à l’aide du réseau virtuel SAP02.

Les désignations SAP01 et SAP02 définissent les noms logiques des réseaux virtuels Azure. Ces noms peuvent être utilisés pour partitionner davantage les environnements. Supposons que vous avez besoin de deux réseaux virtuels Azure pour la même zone de charge de travail. Par exemple, vous pouvez avoir un scénario multi-abonnement dans lequel vous hébergez des environnements de développement dans deux abonnements. Vous pouvez utiliser les différents noms logiques pour chaque réseau virtuel. Par exemple, vous pouvez utiliser DEV-WEEU-SAP01-INFRASTRUCTURE et DEV-WEEU-SAP02-INFRASTRUCTURE.

Pour plus d’informations, consultez Configurer un déploiement de zone de charge de travail pour l’automatisation.

déploiements basés sur des Windows

Lorsque vous effectuez des déploiements basés sur des Windows, les machines virtuelles du réseau virtuel de la zone de charge de travail doivent être en mesure de communiquer avec Active Directory pour joindre les machines virtuelles SAP au domaine Active Directory. Le nom DNS fourni doit être résolu par Active Directory.

SAP Deployment Automation Framework ne crée pas de comptes dans Active Directory. Les comptes doivent donc être précréés et stockés dans le coffre de clés de zone de charge de travail.

Paramètres DNS

Pour les scénarios de haute disponibilité, un enregistrement DNS est nécessaire dans le Active Directory pour le cluster de services centraux SAP. L’enregistrement DNS doit être créé dans la zone DNS Active Directory. Le nom de l’enregistrement DNS est défini comme [sid]>scs[scs instance number]cl1. Par exemple, w01scs00cl1 est utilisé pour le cluster, avec W01 comme SID et 00 comme numéro d’instance.

Gestion des informations d’identification

Le cadre d'automatisation utilise des service principals pour le déploiement de l'infrastructure. Nous vous recommandons d’utiliser des informations d’identification de déploiement (principaux de service) différentes pour chaque zone de charge de travail. L’infrastructure stocke ces informations d’identification dans le coffre de clés de Deployer. L’infrastructure récupère ensuite ces informations d’identification de manière dynamique pendant le processus de déploiement.

Gestion des informations d’identification de machines virtuelles et SAP

L’infrastructure d’automatisation utilise le coffre de clés de zone de charge de travail pour stocker les informations d’identification de l’utilisateur d’automatisation et les informations d’identification du système SAP. Le tableau suivant répertorie les noms des informations d’identification de machine virtuelle.

Création du principal du service

Pour créer votre principal de service :

1. Connectez-vous au Azure CLI avec un compte disposant des autorisations nécessaires pour créer un principal de service.

2. Créez un principal de service en exécutant la commande az ad sp create-for-rbac. Veillez à utiliser un nom descriptif pour --name. Par exemple :

   az ad sp create-for-rbac --role="Contributor" --scopes="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --name="DEV-Deployment-Account"
   

3. Notez la sortie. Vous avez besoin de l’identificateur d’application (appId), du mot de passe (password) et de l’identificateur de locataire (tenant) pour l’étape suivante. Par exemple :

   {
       "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
       "displayName": "DEV-Deployment-Account",
       "name": "http://DEV-Deployment-Account",
       "password": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
       "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

4. Attribuez le rôle Administrateur de l’accès utilisateur au principal de service. Par exemple :

   az role assignment create --assignee <your-application-ID> --role "User Access Administrator" --scope /subscriptions/<your-subscription-ID>/resourceGroups/<your-resource-group-name>
   

Pour plus d’informations, consultez la documentation Azure CLI pour créer un principal de service.

Gestion des autorisations

Dans un environnement verrouillé, vous devrez peut-être attribuer une autre autorisation aux principaux de service. Par exemple, vous devrez peut-être doter le principal de service du rôle Administrateur de l’accès utilisateur.

Autorisations requises

Le tableau suivant montre les autorisations requises pour le principal de service.

Configuration du pare-feu

Testez la connectivité aux URL à partir d’une machine virtuelle Linux dans Azure à l’aide d’un script PowerShell qui utilise la fonctionnalité run-command dans Azure.

L’exemple suivant montre comment tester la connectivité aux URL à l’aide d’un script PowerShell interactif.

$sdaf_path = Get-Location
if ( $PSVersionTable.Platform -eq "Unix") {
    if ( -Not (Test-Path "SDAF") ) {
      $sdaf_path = New-Item -Path "SDAF" -Type Directory
    }
}
else {
    $sdaf_path = Join-Path -Path $Env:HOMEDRIVE -ChildPath "SDAF"
    if ( -not (Test-Path $sdaf_path)) {
        New-Item -Path $sdaf_path -Type Directory
    }
}

Set-Location -Path $sdaf_path

git clone https://github.com/Azure/sap-automation.git

cd sap-automation
cd deploy
cd scripts

if ( $PSVersionTable.Platform -eq "Unix") {
 ./Test-SDAFURLs.ps1
}
else {
 .\Test-SDAFURLs.ps1
}

Structure de DevOps

L’infrastructure de déploiement utilise trois référentiels distincts pour les artefacts de déploiement. Pour vos propres fichiers de paramètres, il est recommandé de conserver ces fichiers dans un référentiel de contrôle de code source que vous gérez.

Référentiel principal

Ce référentiel contient les fichiers de paramètres Terraform et les fichiers nécessaires aux playbooks Ansible pour toutes les zones de charge de travail et déploiements système.

Créez ce référentiel en clonant le référentiel SAP Deployment Automation Framework bootstrap dans votre référentiel de contrôle de code source.

Structure de dossiers

L’exemple de hiérarchie de dossiers suivant montre comment structurer vos fichiers de configuration en même temps que les fichiers de l’infrastructure d’automatisation.

Le nom de votre fichier de paramètres devient le nom du fichier d’état Terraform. Veillez à utiliser un nom de fichier de paramètre unique pour cette raison.

Dépôt de code

Ce dépôt contient les modèles d’automatisation Terraform, les playbooks Ansible, et les pipelines et scripts de déploiement. Pour la plupart des cas d’usage, considérez ce référentiel comme étant en lecture seule et ne le modifiez pas.

Pour créer ce référentiel, clonez le référentiel SAP Deployment Automation Framework dans votre référentiel de contrôle de code source.

Nommez ce dépôt sap-automation.

Exemple de référentiel

Ce référentiel contient les fichiers d'exemple de liste de matériaux et les fichiers d'exemple de configuration Terraform.

Pour créer ce référentiel, clonez le référentiel d’exemples SAP Deployment Automation Framework dans votre référentiel de contrôle de code source.

Nommez ce dépôt samples.

Scénarios de déploiement pris en charge

L’infrastructure d’automatisation prend en charge le déploiement dans les scénarios nouveaux et existants.

régions Azure

Avant de déployer une solution, il est important de prendre en compte les régions Azure à utiliser. Différentes régions Azure peuvent être pertinentes selon votre scénario spécifique.

Le cadre d'automatisation prend en charge les déploiements dans plusieurs régions Azure. Chaque région héberge :

• L’infrastructure de déploiement.
• La bibliothèque SAP avec des fichiers d’état et un support d’installation.
• Les zones de charge de travail 1-N.
• Les systèmes SAP 1-N dans les zones de charge de travail.

Environnements de déploiement

Si vous prenez en charge plusieurs zones de charge de travail dans une région, utilisez un identificateur unique pour votre environnement de déploiement et votre bibliothèque SAP. N’utilisez pas l’identificateur pour la zone de charge de travail. Par exemple, utilisez MGMT à des fins de gestion.

L’infrastructure d’automatisation prend également en charge l’environnement de déploiement et la bibliothèque SAP dans des abonnements distincts par rapport aux zones de charge de travail.

L’environnement de déploiement fournit les services suivants :

• Une ou plusieurs machines virtuelles de déploiement, qui effectuent les déploiements d’infrastructure à l’aide de Terraform et effectuent la configuration du système et l’installation SAP à l’aide de playbooks Ansible.
• Un coffre de clés, qui contient les informations d’identité du principal de service pour une utilisation par les déploiements Terraform.
• Composant Pare-feu Azure, qui fournit une connectivité Internet sortante.

Le fichier de configuration de déploiement définit la région, le nom de l’environnement et les informations du réseau virtuel. Par exemple :

# The environment value is a mandatory field, it is used for partitioning the environments, for example (PROD and NP)
environment = "MGMT"

# The location/region value is a mandatory field, it is used to control where the resources are deployed
location = "westeurope"

# management_network_address_space is the address space for management virtual network
management_network_address_space = "10.10.20.0/25"

# management_subnet_address_prefix is the address prefix for the management subnet
management_subnet_address_prefix = "10.10.20.64/28"

# management_firewall_subnet_address_prefix is the address prefix for the firewall subnet
management_firewall_subnet_address_prefix = "10.10.20.0/26"

# management_bastion_subnet_address_prefix is a mandatory parameter if bastion is deployed and if the subnets are not defined in the workload or if existing subnets are not used
management_bastion_subnet_address_prefix = "10.10.20.128/26"

deployer_enable_public_ip = false

firewall_deployment = true

bastion_deployment = true

Pour plus d’informations, consultez l’explication détaillée de la configuration du déployeur.

Structure de la zone de charge de travail

La plupart des configurations SAP comportent plusieurs zones de charge de travail pour différentes couches application. Par exemple, vous pouvez avoir différentes zones de charge de travail pour le développement, l’assurance qualité et la production.

Vous créez ou accordez l’accès aux services suivants dans chaque zone de charge de travail :

• Réseaux virtuels Azure, pour les réseaux virtuels, les sous-réseaux et les groupes de sécurité réseau.
• Azure Key Vault, pour les identifiants système et le principal du service de déploiement.
• comptes stockage Azure, pour les diagnostics de démarrage et le Cloud Witness.
• Stockage partagé pour les systèmes SAP, Azure Files ou Azure NetApp Files.

Avant de concevoir la disposition de votre zone de charge de travail, posez-vous les questions suivantes :

• Combien de zones de charge de travail votre scénario nécessite-t-il ?
• Dans quelles régions avez-vous besoin de déployer des charges de travail ?
• Quel est votre scénario de déploiement ?

Pour plus d’informations, consultez Configurer un déploiement de zone de charge de travail pour l’automatisation.

Configuration du système SAP

Le système SAP contient tous les composants Azure requis pour héberger l’application SAP.

Avant de configurer le système SAP, posez-vous les questions suivantes :

• Quel back-end de base de données voulez-vous utiliser ?
• De combien de serveurs de base de données avez-vous besoin ?
• Votre scénario nécessite-t-il une haute disponibilité ?
• De combien de serveurs d’applications avez-vous besoin ?
• De combien de répartiteurs web avez-vous besoin, le cas échéant ?
• De combien d’instances des services centraux avez-vous besoin ?
• De quelle taille de machine virtuelle avez-vous besoin ?
• Quelle image de machine virtuelle souhaitez-vous utiliser ? L’image est-elle Place de marché Azure ou personnalisée ?
• Déployez-vous dans un scénario de déploiement nouveau ou existant ?
• Quelle est votre stratégie d’allocation des adresses IP ? Voulez-vous Azure définir des adresses IP ou utiliser des paramètres personnalisés ?

Pour plus d’informations, consultez Configurer le système SAP pour l’automatisation.

Flux de déploiement

Lorsque vous planifiez un déploiement, il est important d’envisager le déroulement global. Il existe trois étapes principales d’un déploiement SAP sur Azure avec l’infrastructure d’automatisation.

1. Déployez le plan de contrôle. Cette étape déploie des composants pour prendre en charge l’infrastructure d’automatisation SAP dans une région Azure spécifiée.

   1. Créez l’environnement de déploiement.
   2. Créez un stockage partagé pour les fichiers d’état Terraform.
   3. Créez un espace de stockage partagé pour le support d’installation SAP.

2. Déployer la zone de charge de travail. Cette étape déploie les composants de la zone de charge de travail, tels que le réseau virtuel et les coffres à clés.

3. Déployer le système. Cette étape inclut le déploiement de l’infrastructure pour le système SAP et la configuration de SAP et installation de SAP.

Conventions d’affectation de noms

L’infrastructure d’automatisation utilise une convention d’affectation de noms par défaut. Si vous souhaitez utiliser une convention d’affectation de noms personnalisée, planifiez et définissez vos noms personnalisés avant le déploiement. Pour plus d’informations, consultez Configurer la convention d’affectation de noms.

Dimensionnement du disque

Si vous souhaitez configurer des tailles de disque personnalisées, veillez à planifier votre installation personnalisée avant le déploiement.

Contenu connexe

• Vue d’ensemble de SAP Deployment Automation Framework
• Configurer le plan de contrôle
• Configurer un déploiement de zone de charge de travail
• Déploiement manuel de l’infrastructure d’automatisation