SAP Deployment Automation Framework を使用して SAP デプロイを計画する

SAP Deployment Automation Framework は、Terraform と Ansible を使用してAzureでの SAP デプロイを自動化するオープンソース オーケストレーション ツールです。 デプロイする前に、サブスクリプション、資格情報管理、仮想ネットワークの設計を計画する必要があります。

この記事では、デプロイを開始する前に行う必要がある主要な計画上の決定について説明します。 Azure設計に関する一般的な SAP の考慮事項については、「 SAP 導入シナリオの概要を参照してください。

サブスクリプション計画

コントロール プレーンとワークロード ゾーンをさまざまなサブスクリプションにデプロイします。 コントロール プレーンは、SAP オートメーション フレームワークの管理コンポーネントをホストするハブ サブスクリプションに存在する必要があります。

SAP システム専用のスポーク サブスクリプションで SAP システムをホストします。 たとえば、専用の仮想ネットワークを使用して、開発システムを別のサブスクリプションでホストできます。 運用システムは、専用の仮想ネットワークを使用して、独自のサブスクリプションに存在できます。

このアプローチでは、セキュリティ境界と、職務と責任の明確な分離の両方が提供されます。 たとえば、SAP Basis チームはワークロード ゾーンにシステムをデプロイできて、インフラストラクチャ チームはコントロール プレーンを管理できます。

コントロール プレーンの計画

Azure Pipelinesから、または提供されたシェル スクリプトを使用して、Azureホストされている Linux 仮想マシン (VM) から直接デプロイおよび構成アクティビティを実行します。 この環境はコントロール プレーンと呼ばれます。 デプロイ フレームワークのAzure DevOpsを設定するには、「 SAP Deployment Automation Framework のAzure DevOpsを設定するを参照してください。 Linux VM をデプロイツールとして設定するには、「 SAP Deployment Automation Framework 用の Linux VM を設定する」を参照してください。

コントロール プレーンを設計する前に、次の質問について検討してください。

• どのリージョンに SAP システムをデプロイする必要がありますか?
• コントロール プレーンの専用サブスクリプションはありますか?
• コントロール プレーンの専用デプロイ資格情報 (サービス プリンシパル) はありますか?
• 既存の仮想ネットワークがありますか、または新しい仮想ネットワークが必要ですか?
• VM に対して送信インターネットはどのように提供されますか?
• 送信インターネット接続用のAzure Firewallをデプロイしますか?
• ストレージ アカウントとキー コンテナーにプライベート エンドポイントは必要ですか?
• VM に既存のprivate DNS ゾーンを使用するか、コントロール プレーンを使用してプライベート DNSをホストしますか?
• VM へのセキュリティで保護されたリモート アクセスにAzure Bastionを使用しますか?
• SAP デプロイ自動化フレームワーク構成 Web アプリケーションを使用して、構成とデプロイのアクティビティを実行しますか?

制御プレーン

コントロール プレーンには、次のサービスが用意されています。

• デプロイ VM。Terraform デプロイと Ansible 構成を実行し、セルフホステッド エージェントAzure DevOpsとして機能します。
• キー ボールトは、デプロイを実行する際に Terraform によって使用されるデプロイ資格情報（サービス プリンシパル）を含んでいます。
• 送信インターネット接続を提供するためのAzure Firewall。
• デプロイされた VM へのセキュリティで保護されたリモート アクセスを提供するためのAzure Bastion。
• SAP Deployment Automation Framework の構成Azure構成とデプロイ アクティビティを実行するための Web アプリケーションです。

コントロール プレーンは、2 つの構成ファイルを使用して定義されます。1 つはデプロイ機能用、1 つは SAP ライブラリ用です。

デプロイ構成ファイルでは、リージョン、環境名、仮想ネットワーク情報を定義します。 次に例を示します。

# Deployer Configuration File
environment = "MGMT"
location = "westeurope"

management_network_logical_name = "DEP01"

management_network_address_space = "10.170.20.0/24"
management_subnet_address_prefix = "10.170.20.64/28"

firewall_deployment = true
management_firewall_subnet_address_prefix = "10.170.20.0/26"

bastion_deployment = true
management_bastion_subnet_address_prefix = "10.170.20.128/26"

use_webapp = true

webapp_subnet_address_prefix = "10.170.20.192/27"
deployer_assign_subscription_permissions = true

deployer_count = 2

use_service_endpoint = false
use_private_endpoint = false
public_network_access_enabled = true

DNS の考慮事項

オートメーション フレームワークの DNS 構成を計画する場合は、次の点を考慮してください。

• ソリューションが統合できる既存のプライベート DNS はありますか。または、デプロイ環境にカスタム プライベート DNS ゾーンを使用する必要がありますか?
• VM にあらかじめ設定された IP アドレスを使用しますか、それとも Azure に動的に割り当てさせますか?

既存のプライベート DNS ゾーンと統合するには、 tfvars ファイルに次の値を指定します。

management_dns_subscription_id = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
#management_dns_resourcegroup_name = "RESOURCEGROUPNAME"
use_custom_dns_a_registration = false

これらの値がない場合、SAP ライブラリ リソース グループにプライベート DNS ゾーンが作成されます。

詳細については、配置機能を構成する方法の詳細な説明を参照してください。

SAP ライブラリの構成

SAP ライブラリ リソース グループは、SAP インストール メディア、部品表ファイル、Terraform 状態ファイル、およびオプションでプライベート DNS ゾーン用のストレージを提供します。 構成ファイルでは、SAP ライブラリのリージョンと環境の名前を定義します。 パラメータの情報と例については、「自動化用に SAP ライブラリを構成する」をご覧ください。

ワークロード ゾーンの計画策定

ほとんどの SAP アプリケーション ランドスケープは、異なる層でパーティション分割されています。 SAP デプロイ自動化フレームワークでは、これらの層はワークロード ゾーンと呼ばれます。 たとえば、開発、品質保証、運用環境システムに異なるワークロード ゾーンがある場合があります。 詳細については、「ワークロード ゾーン」をご覧ください。

ワークロード ゾーンは、SAP アプリケーションに対して次の共有サービスを提供します。

• Azure Virtual Network、仮想ネットワーク、サブネット、およびネットワーク セキュリティ グループの場合。
• Azure Key Vault、仮想マシンと SAP システムの資格情報を格納します。
• ブート診断とCloud Witness用のAzure Storageアカウント。
• SAP システムの共有ストレージ (Azure FilesまたはAzure NetApp Files。

ワークロード ゾーンのレイアウトを設計する前に、次の質問について検討してください。

• どのリージョンにワークロードをデプロイする必要がありますか?
• シナリオでは、いくつのワークロード ゾーン (開発、品質保証、運用など) が必要ですか?
• 新しい仮想ネットワークにデプロイしますか、それとも既存の仮想ネットワークを使いますか?
• 共有ストレージ (Azure Files ネットワーク ファイル共有 (NFS) または Azure NetApp Files) に必要なストレージの種類は何ですか?
• 送信インターネット接続用に NAT Gateway をデプロイしますか?

ワークロード ゾーンの既定の名前付け規則は [ENVIRONMENT]-[REGIONCODE]-[NETWORK]-INFRASTRUCTURE です。 たとえば、DEV-WEEU-SAP01-INFRASTRUCTURE は SAP01 仮想ネットワークを使用して西ヨーロッパ リージョンでホストされている開発環境を対象としています。 PRD-WEEU-SAP02-INFRASTRUCTURE は、SAP02 仮想ネットワークを使用して西ヨーロッパ リージョンでホストされている運用環境用です。

SAP01および SAP02の指定は、Azure仮想ネットワークの論理名を定義します。 これらは、環境をさらにパーティション分割するために使用できます。 同じワークロード ゾーンに 2 つのAzure仮想ネットワークが必要だとします。 たとえば、2 つのサブスクリプションで開発環境をホストするマルチサブスクリプション シナリオがあるとします。 仮想ネットワークごとに異なる論理名を使用できます。 たとえば、DEV-WEEU-SAP01-INFRASTRUCTURE と DEV-WEEU-SAP02-INFRASTRUCTURE を使用できます。

詳細については、「自動化用にワークロード ゾーンのデプロイを構成する」をご覧ください。

Windows ベースのデプロイ

Windowsベースのデプロイを実行する場合、ワークロード ゾーンの仮想ネットワーク内の VM は、SAP VM を Active Directory ドメインに参加させるためにActive Directoryと通信できる必要があります。 指定された DNS 名は、Active Directoryで解決できる必要があります。

SAP Deployment Automation Framework ではActive Directoryにアカウントが作成されないため、アカウントを事前に作成し、ワークロード ゾーンのキー コンテナーに格納する必要があります。

DNS の設定

高可用性シナリオでは、SAP セントラル サービス クラスターのActive Directoryに DNS レコードが必要です。 DNS レコードは、Active Directory DNS ゾーンに作成する必要があります。 DNS レコード名は [sid]>scs[scs instance number]cl1 のように定義されます。 たとえば、w01scs00cl1 はクラスター、W01 は SID、00 はインスタンス番号に使用されます。

資格情報の管理

オートメーション フレームワークでは、インフラストラクチャのデプロイにサービス プリンシパルが使用されます。 ワークロード ゾーンごとに異なるデプロイ資格情報 (サービス プリンシパル) を使用することをお勧めします。 フレームワークでは、これらの資格情報が配置機能のキー コンテナーに格納されます。 その後、フレームワークではデプロイ処理中にこれらの資格情報を動的に取得します。

SAP と仮想マシンの資格情報の管理

自動化フレームワークでは、ワークロード ゾーン キー コンテナーを使用して、自動化ユーザーの資格情報と SAP システム資格情報の両方を格納します。 次の表に、仮想マシンの資格情報の名前を示します。

サービス プリンシパルの作成

サービス プリンシパルを作成するには次の手順に従います。

1. サービス プリンシパルを作成するアクセス許可を持つアカウントで Azure CLI にサインインします。

2. az ad sp create-for-rbac コマンドを実行して、新しいサービス プリンシパルを作成します。 --nameにはわかりやすい名前を使用してください。 次に例を示します。

   az ad sp create-for-rbac --role="Contributor" --scopes="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --name="DEV-Deployment-Account"
   

3. 出力をメモします。 次のステップで、アプリケーション ID (appId)、パスワード (password)、テナント ID (tenant) が必要となります。 次に例を示します。

   {
       "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
       "displayName": "DEV-Deployment-Account",
       "name": "http://DEV-Deployment-Account",
       "password": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
       "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

4. サービス プリンシパルにユーザー アクセス管理者ロールを割り当てます。 次に例を示します。

   az role assignment create --assignee <your-application-ID> --role "User Access Administrator" --scope /subscriptions/<your-subscription-ID>/resourceGroups/<your-resource-group-name>
   

詳細については、サービス プリンシパルの作成に関する Azure CLI ドキュメントを参照してください。

アクセス許可の管理

ロックダウンされた環境では、サービス プリンシパルに別のアクセス許可を割り当てなければならない場合があります。 たとえば、ユーザー アクセス管理者ロールをサービス プリンシパルに割り当てる必要がある場合があります。

必要なアクセス許可

次の表は、サービス プリンシパルに必要なアクセス許可を示しています。

ファイアウォールの構成

Azureの run-command 機能を使用する PowerShell スクリプトを使用して、Azureの Linux 仮想マシンからの URL への接続をテストします。

次の例は、対話型の PowerShell スクリプトを使用して URL への接続をテストする方法を示しています。

$sdaf_path = Get-Location
if ( $PSVersionTable.Platform -eq "Unix") {
    if ( -Not (Test-Path "SDAF") ) {
      $sdaf_path = New-Item -Path "SDAF" -Type Directory
    }
}
else {
    $sdaf_path = Join-Path -Path $Env:HOMEDRIVE -ChildPath "SDAF"
    if ( -not (Test-Path $sdaf_path)) {
        New-Item -Path $sdaf_path -Type Directory
    }
}

Set-Location -Path $sdaf_path

git clone https://github.com/Azure/sap-automation.git

cd sap-automation
cd deploy
cd scripts

if ( $PSVersionTable.Platform -eq "Unix") {
 ./Test-SDAFURLs.ps1
}
else {
 .\Test-SDAFURLs.ps1
}

DevOps の構造

デプロイ フレームワークは、デプロイ成果物のために 3 つの個別のリポジトリを使います。 独自のパラメーター ファイルの場合は、管理しているソース管理リポジトリにこれらのファイルを保持することをお勧めします。

メイン リポジトリ

このリポジトリには、Terraform パラメーター ファイルと、すべてのワークロード ゾーンとシステムデプロイ用の Ansible プレイブックに必要なファイルが含まれています。

このリポジトリを作成するには、SAP Deployment Automation Framework ブートストラップ リポジトリをソース管理リポジトリに複製します。

フォルダー構造

次のフォルダー階層の例では、自動化フレームワーク ファイルと共に構成ファイルを構成する方法を示しています。

パラメーター ファイルの名前が Terraform 状態ファイルの名前になります。 このため、必ず一意のパラメーター ファイル名を使用してください。

コード リポジトリ

このリポジトリには、Terraform の自動化テンプレートや Ansible のプレイブック、デプロイ パイプラインやスクリプトが含まれています。 ほとんどのユース ケースでは、このリポジトリを読み取り専用と見なし、変更しないようにしてください。

このリポジトリを作成するには、SAP Deployment Automation Framework リポジトリをソース管理リポジトリに複製します。

このリポジトリに sap-automation の名前を付けます。

サンプル リポジトリ

このリポジトリには、サンプルの部品表ファイルとサンプルの Terraform 構成ファイルが含まれています。

このリポジトリを作成するには、SAP Deployment Automation Framework サンプル リポジトリをソース管理リポジトリに複製します。

このリポジトリに samples の名前を付けます。

サポートされているデプロイ シナリオ

自動化フレームワークでは、新規と既存の両方のシナリオへのデプロイがサポートされます。

Azure リージョン

ソリューションをデプロイする前に、使用するAzureリージョンを検討することが重要です。 特定のシナリオによっては、Azureリージョンが異なる場合があります。

自動化フレームワークでは、複数のAzureリージョンへのデプロイがサポートされています。 各リージョンでは次のものがホストされます。

• インフラストラクチャの配備。
• 状態ファイルとインストール メディアを含む SAP ライブラリ。
• 1～n 個のワークロード ゾーン。
• ワークロード ゾーンの 1 から N 個の SAP システム。

デプロイ環境

1 つのリージョンで複数のワークロード ゾーンをサポートしている場合は、デプロイ環境と SAP ライブラリの一意の識別子を使用します。 ワークロード ゾーンの識別子は使用しないでください。 たとえば、管理目的では MGMT を使用します。

自動化フレームワークでは、ワークロード ゾーンとは別のサブスクリプションにデプロイ環境と SAP ライブラリを配置することもサポートされます。

デプロイ環境には、次のサービスが用意されています。

• 1 つ以上のデプロイ VM。Terraform を使用してインフラストラクチャのデプロイを実行し、Ansible プレイブックを使用してシステム構成と SAP インストールを実行します。
• Terraform のデプロイで使用されるサービス プリンシパルの ID 情報を含むキー コンテナー。
• 送信インターネット接続を提供するAzure Firewall コンポーネント。

デプロイ構成ファイルでは、リージョン、環境名、仮想ネットワーク情報を定義します。 次に例を示します。

# The environment value is a mandatory field, it is used for partitioning the environments, for example (PROD and NP)
environment = "MGMT"

# The location/region value is a mandatory field, it is used to control where the resources are deployed
location = "westeurope"

# management_network_address_space is the address space for management virtual network
management_network_address_space = "10.10.20.0/25"

# management_subnet_address_prefix is the address prefix for the management subnet
management_subnet_address_prefix = "10.10.20.64/28"

# management_firewall_subnet_address_prefix is the address prefix for the firewall subnet
management_firewall_subnet_address_prefix = "10.10.20.0/26"

# management_bastion_subnet_address_prefix is a mandatory parameter if bastion is deployed and if the subnets are not defined in the workload or if existing subnets are not used
management_bastion_subnet_address_prefix = "10.10.20.128/26"

deployer_enable_public_ip = false

firewall_deployment = true

bastion_deployment = true

詳細については、配置機能を構成する方法の詳細な説明を参照してください。

ワークロード ゾーンの構造

ほとんどの SAP 構成では、異なるアプリケーション層に対して複数のワークロード ゾーンがあります。 たとえば、開発、品質保証、実稼働用に異なるワークロード ゾーンがある場合があります。

各ワークロード ゾーンで、次のサービスを作成またはアクセス権を付与します。

• Azure仮想ネットワーク、仮想ネットワーク、サブネット、およびネットワーク セキュリティ グループ用。
• Azure Key Vault、システム資格情報とデプロイ サービス プリンシパル用です。
• ブート診断とクラウド監視用のAzure Storage アカウント。
• SAP システムの共有ストレージ (Azure FilesまたはAzure NetApp Files。

ワークロード ゾーンのレイアウトを設計する前に、次の質問について検討してください。

• シナリオで必要なワークロード ゾーンの数はいくつですか?
• どのリージョンにワークロードをデプロイする必要がありますか?
• どのようなデプロイメント シナリオですか?

詳細については、「自動化用にワークロード ゾーンのデプロイを構成する」をご覧ください。

SAP システムの設定

SAP システムには、SAP アプリケーションをホストするために必要なすべてのAzureコンポーネントが含まれています。

SAP システムを構成する前に、次の質問について検討してください。

• どのデータベース バックエンドを使用しますか?
• 必要なデータベース サーバーの数はいくつですか?
• シナリオに高可用性は必要ですか?
• 必要なアプリケーション サーバーの数はいくつですか?
• 必要な Web ディスパッチャーの数はいくつですか (必要な場合) ?
• 必要な中央サービス インスタンスの数はいくつですか?
• 必要な仮想マシン (VM) のサイズはどの程度ですか?
• 使用する仮想マシンのイメージはどれですか? イメージはAzure Marketplaceですか、それともカスタムですか?
• 新規または既存のデプロイ シナリオにデプロイしますか?
• どのような IP 割り当て戦略ですか? AZUREで IP を設定するか、カスタム設定を使用しますか?

詳細については、「自動化用に SAP システムを構成する」をご覧ください。

デプロイ フロー

デプロイを計画する場合は、フロー全体を考慮することが重要です。 自動化フレームワークを使用したAzureでの SAP デプロイには、主に 3 つの手順があります。

1. コントロール プレーンをデプロイします。 この手順では、指定した Azure リージョンで SAP オートメーション フレームワークをサポートするコンポーネントをデプロイします。

   1. デプロイ環境を作成します。
   2. Terraform 状態ファイル用の共有ストレージを作成します。
   3. SAP インストール メディア用の共有ストレージを作成します。

2. ワークロード ゾーンをデプロイします。 この手順では、仮想ネットワークやキー コンテナーなどのワークロード ゾーン コンポーネントをデプロイします。

3. システムをデプロイします。 この手順には、SAP システム用のインフラストラクチャのデプロイと、SAP の構成と SAP のインストールが含まれています。

名前付け規則

自動化フレームワークでは、既定の名前付け規則が使用されます。 カスタムの名前付け規則を使用する場合は、デプロイ前にカスタム名を計画して定義します。 詳細については、「名前付け規則を構成する」をご覧ください。

ディスクのサイズ変更

カスタム ディスク サイズを構成する場合は、デプロイ前にカスタム セットアップを計画してください。

関連するコンテンツ

• SAP Deployment Automation Framework の概要
• コントロール プレーンを構成する
• ワークロード ゾーンのデプロイを構成する
• 自動化フレームワークの手動デプロイ