Uw SAP-implementatie plannen met SAP Deployment Automation Framework

SAP Deployment Automation Framework is een opensource-indelingsprogramma waarmee SAP-implementaties op Azure worden geautomatiseerd met behulp van Terraform en Ansible. Voordat u implementeert, moet u plannen voor abonnementen, referentiebeheer en het ontwerp van virtuele netwerken.

In dit artikel worden de belangrijkste planningsbeslissingen beschreven die u moet nemen voordat u begint met implementeren. Zie Inleiding tot een adoptiescenario voor SAP voor algemene ontwerpoverwegingen voor SAP op Azure.

Abonnementsplanning

Implementeer het control plane en de workloadzones in verschillende abonnementen. Het besturingsvlak moet zich in een hubabonnement bevinden dat als host fungeert voor de beheeronderdelen van het SAP Automation-framework.

Plaats de SAP-systemen in spoke-abonnementen, die speciaal bedoeld zijn voor de SAP-systemen. U kunt bijvoorbeeld ontwikkelsystemen hosten in een afzonderlijk abonnement met een toegewezen virtueel netwerk. Productiesystemen kunnen zich in hun eigen abonnement bevinden met een toegewezen virtueel netwerk.

Deze aanpak biedt zowel een veiligheidsgrens als een duidelijke scheiding van taken en verantwoordelijkheden. Het SAP-basisteam kan bijvoorbeeld systemen implementeren in de workloadzones en het infrastructuurteam kan het besturingsvlak beheren.

Planning van controlevlak

Voer de implementatie- en configuratieactiviteiten uit vanuit Azure-pipelines of met behulp van de opgegeven shellscripts rechtstreeks vanaf Azure gehoste virtuele Linux-machines (VM's). Deze omgeving wordt het besturingsvlak genoemd. Zie Set up Azure DevOps for SAP Deployment Automation Framework voor informatie over het instellen van Azure DevOps voor het implementatieframework. Zie Linux-VM's instellen voor SAP Deployment Automation Framework om Linux-VM's in te stellen als implementatieprogramma.

Voordat u uw besturingsvlak ontwerpt, moet u rekening houden met de volgende vragen:

• In welke regio's moet u SAP-systemen implementeren?
• Is er een speciaal abonnement voor het controlevlak?
• Is er een toegewijde implementatie-inloggegevens (service-principal) voor het controlevlak?
• Is er een bestaand virtueel netwerk of is er een nieuw virtueel netwerk nodig?
• Hoe wordt uitgaand internet geleverd voor de VM's?
• Gaat u Azure Firewall implementeren voor uitgaande internetverbinding?
• Zijn privé-eindpunten vereist voor opslagaccounts en de sleutelkluis?
• Gebruikt u een bestaande private DNS zone voor de VM's of gebruikt u het besturingsvlak voor het hosten van Privé-DNS?
• Gaat u Azure Bastion gebruiken voor beveiligde externe toegang tot de VM's?
• Gaat u de webtoepassing sap Deployment Automation Framework gebruiken voor het uitvoeren van configuratie- en implementatieactiviteiten?

beheerlaag

Het besturingsvlak biedt de volgende services:

• Implementatie-VM's, die Terraform-implementaties en Ansible-configuratie uitvoeren en fungeren als Azure DevOps zelf-hostende agents.
• Een sleutelkluis, die de implementatiereferenties (service-principals) bevat die door Terraform worden gebruikt bij het uitvoeren van de implementaties.
• Azure Firewall voor uitgaande internetverbinding.
• Azure Bastion voor beveiligde externe toegang tot de geïmplementeerde VM's.
• Een SAP Deployment Automation Framework-configuratie Azure webtoepassing voor het uitvoeren van configuratie- en implementatieactiviteiten.

Het besturingsvlak wordt gedefinieerd met behulp van twee configuratiebestanden, één voor de implementatie en één voor de SAP-bibliotheek.

Het configuratiebestand voor de implementatie definieert de regio- en omgevingsnaam en informatie over het virtuele netwerk. Voorbeeld:

# Deployer Configuration File
environment = "MGMT"
location = "westeurope"

management_network_logical_name = "DEP01"

management_network_address_space = "10.170.20.0/24"
management_subnet_address_prefix = "10.170.20.64/28"

firewall_deployment = true
management_firewall_subnet_address_prefix = "10.170.20.0/26"

bastion_deployment = true
management_bastion_subnet_address_prefix = "10.170.20.128/26"

use_webapp = true

webapp_subnet_address_prefix = "10.170.20.192/27"
deployer_assign_subscription_permissions = true

deployer_count = 2

use_service_endpoint = false
use_private_endpoint = false
public_network_access_enabled = true

DNS-overwegingen

Houd rekening met de volgende vragen wanneer u de DNS-configuratie voor het automation-framework plant:

• Is er een bestaande privé-DNS waarmee de oplossingen kunnen worden geïntegreerd of moet u een aangepaste privé-DNS-zone gebruiken voor de implementatieomgeving?
• Gaat u vooraf gedefinieerde IP-adressen voor de VM's gebruiken of Azure deze dynamisch toewijzen?

Als u wilt integreren met een bestaande privé-DNS-zone, geeft u de volgende waarden op in uw tfvars bestanden:

management_dns_subscription_id = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
#management_dns_resourcegroup_name = "RESOURCEGROUPNAME"
use_custom_dns_a_registration = false

Zonder deze waarden wordt een privé-DNS-zone gemaakt in de resourcegroep van de SAP-bibliotheek.

Zie de uitgebreide uitleg over het configureren van de implementatie voor meer informatie.

CONFIGURATIE van SAP-bibliotheek

De SAP-bibliotheekresourcegroep biedt opslag voor SAP-installatiemedia, Bill of Material-bestanden, Terraform-statusbestanden en, optioneel, de privé-DNS-zones. Het configuratiebestand definieert de regio- en omgevingsnaam voor de SAP-bibliotheek. Zie De SAP-bibliotheek configureren voor automatisering voor informatie en voorbeelden van parameters.

Planning van workloadzone

De meeste SAP-toepassingslandschappen worden gepartitioneerd in verschillende lagen. In SAP Deployment Automation Framework worden deze lagen workloadzones genoemd. U hebt bijvoorbeeld verschillende workloadzones voor ontwikkeling, kwaliteitscontrole en productiesystemen. Zie Workloadzones voor meer informatie.

De workloadzone biedt de volgende gedeelde services voor de SAP-toepassingen:

• Azure Virtual Network voor virtuele netwerken, subnetten en netwerkbeveiligingsgroepen.
• Azure Key Vault voor het opslaan van de referenties van de virtuele machine en het SAP-systeem.
• Azure Storage-accounts voor opstartdiagnostiek en Cloud Witness.
• Gedeelde opslag voor de SAP-systemen, Azure Files of Azure NetApp Files.

Voordat u de indeling van uw workloadzone ontwerpt, moet u rekening houden met de volgende vragen:

• In welke regio's moet u workloads implementeren?
• Hoeveel workloadzones heeft uw scenario nodig (ontwikkeling, kwaliteitscontrole en productie)?
• Implementeert u in nieuwe virtuele netwerken of gebruikt u bestaande virtuele netwerken?
• Welk opslagtype hebt u nodig voor de gedeelde opslag (Azure Files Network File Share (NFS) of Azure NetApp Files)?
• Gaat u NAT Gateway implementeren voor uitgaande internetverbinding?

De standaardnaamconventie voor workloadzones is [ENVIRONMENT]-[REGIONCODE]-[NETWORK]-INFRASTRUCTURE. Is bijvoorbeeld DEV-WEEU-SAP01-INFRASTRUCTURE voor een ontwikkelomgeving die wordt gehost in de regio Europa - west met behulp van het virtuele SAP01-netwerk. PRD-WEEU-SAP02-INFRASTRUCTURE is bedoeld voor een productieomgeving die wordt gehost in de regio Europa - west met behulp van het virtuele SAP02-netwerk.

De aanduidingen SAP01 en SAP02 definiëren de logische namen voor de Azure virtuele netwerken. Ze kunnen worden gebruikt om de omgevingen verder te partitioneren. Stel dat u twee Azure virtuele netwerken nodig hebt voor dezelfde workloadzone. U hebt bijvoorbeeld een scenario met meerdere abonnementen waarin u ontwikkelomgevingen in twee abonnementen host. U kunt de verschillende logische namen voor elk virtueel netwerk gebruiken. U kunt bijvoorbeeld DEV-WEEU-SAP01-INFRASTRUCTURE en DEV-WEEU-SAP02-INFRASTRUCTURE gebruiken.

Zie Een implementatie van een workloadzone configureren voor automatisering voor meer informatie.

implementaties op basis van Windows

Wanneer u op Windows gebaseerde implementaties uitvoert, moeten de VIRTUELE machines in het virtuele netwerk van de workloadzone kunnen communiceren met Active Directory om de SAP-VM's aan het Active Directory-domein toe te voegen. De opgegeven DNS-naam moet kunnen worden omgezet door Active Directory.

SAP Deployment Automation Framework maakt geen accounts in Active Directory, dus de accounts moeten vooraf worden gemaakt en opgeslagen in de sleutelkluis van de workloadzone.

DNS-instellingen

Voor scenario's met hoge beschikbaarheid is een DNS-record nodig in de Active Directory voor het SAP Central Services-cluster. De DNS-record moet worden gemaakt in de Active Directory DNS-zone. De naam van de DNS-record wordt gedefinieerd als [sid]>scs[scs instance number]cl1. Wordt bijvoorbeeld w01scs00cl1 gebruikt voor het cluster, met W01 voor de SID en 00 voor het exemplaarnummer.

Referentiebeheer

Het automation-framework maakt gebruik van service-principals voor infrastructuurimplementatie. U wordt aangeraden voor elke workloadzone verschillende implementatiereferenties (service-principals) te gebruiken. In het framework worden deze referenties opgeslagen in de deployer's sleutelkluis. Vervolgens haalt het framework deze referenties dynamisch op tijdens het implementatieproces.

Beheer van SAP- en virtuele-machinereferenties

Het automatiseringsframework maakt gebruik van de sleutelkluis van de werkbelastingzone voor het opslaan van zowel de referenties van de automatiseringsgebruiker als de SAP-systeemreferenties. De volgende tabel bevat de namen van de inloggegevens van de virtuele machine.

Aanmaak van service-principal

Om uw service-principal te creëren:

1. Meld u aan bij de Azure CLI met een account met machtigingen voor het maken van een service-principal.

2. Maak een nieuwe service-principal door de opdracht az ad sp create-for-rbacuit te voeren. Zorg ervoor dat u een beschrijvende naam gebruikt voor --name. Voorbeeld:

   az ad sp create-for-rbac --role="Contributor" --scopes="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --name="DEV-Deployment-Account"
   

3. Noteer de uitvoer. Voor de volgende stap hebt u de toepassings-id (appId), het wachtwoord (password) en de tenant-id (tenant) nodig. Voorbeeld:

   {
       "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
       "displayName": "DEV-Deployment-Account",
       "name": "http://DEV-Deployment-Account",
       "password": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
       "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

4. Wijs de rol Administrator voor gebruikerstoegang toe aan uw service-principal. Voorbeeld:

   az role assignment create --assignee <your-application-ID> --role "User Access Administrator" --scope /subscriptions/<your-subscription-ID>/resourceGroups/<your-resource-group-name>
   

Zie de documentatie Azure CLI voor het maken van een service-principal voor meer informatie.

Machtigingenbeheer

In een vergrendelde omgeving moet u mogelijk nog een machtiging toewijzen aan de service-principals. U moet bijvoorbeeld de rol Gebruikerstoegangsbeheerder toewijzen aan de service-principal.

Vereiste toestemmingen

In de volgende tabel ziet u de vereiste machtigingen voor de service-principals.

Firewall configuratie

Test de connectiviteit met de URL's van een virtuele Linux-machine in Azure met behulp van een PowerShell-script dat gebruikmaakt van de functie run-command in Azure.

In het volgende voorbeeld ziet u hoe u de connectiviteit met de URL's kunt testen met behulp van een interactief PowerShell-script.

$sdaf_path = Get-Location
if ( $PSVersionTable.Platform -eq "Unix") {
    if ( -Not (Test-Path "SDAF") ) {
      $sdaf_path = New-Item -Path "SDAF" -Type Directory
    }
}
else {
    $sdaf_path = Join-Path -Path $Env:HOMEDRIVE -ChildPath "SDAF"
    if ( -not (Test-Path $sdaf_path)) {
        New-Item -Path $sdaf_path -Type Directory
    }
}

Set-Location -Path $sdaf_path

git clone https://github.com/Azure/sap-automation.git

cd sap-automation
cd deploy
cd scripts

if ( $PSVersionTable.Platform -eq "Unix") {
 ./Test-SDAFURLs.ps1
}
else {
 .\Test-SDAFURLs.ps1
}

DevOps-structuur

Het implementatieframework maakt gebruik van drie afzonderlijke opslagplaatsen voor de implementatieartefacten. Voor uw eigen parameterbestanden kunt u deze bestanden het beste bewaren in een opslagplaats voor broncodebeheer die u beheert.

Hoofdopslagplaats

Deze opslagplaats bevat de Terraform-parameterbestanden en de bestanden die nodig zijn voor de Ansible-playbooks voor alle workloadzones en systeemimplementaties.

Maak deze opslagplaats door de SAP Deployment Automation Framework bootstrap-opslagplaats te klonen in uw opslagplaats voor broncodebeheer.

Mapstructuur

In de volgende voorbeeldmaphiërarchie ziet u hoe u uw configuratiebestanden samen met de automation-frameworkbestanden kunt structuren.

De naam van het parameterbestand wordt de naam van het Terraform-statusbestand. Zorg ervoor dat u om deze reden een unieke parameterbestandsnaam gebruikt.

Codeopslagplaats

Deze opslagplaats bevat de Terraform-automatiseringssjablonen, de Ansible-playbooks en de implementatiepijplijnen en scripts. Beschouw deze opslagplaats voor de meeste gebruikssituaties als alleen-lezen en wijzig deze niet.

Als u deze opslagplaats wilt maken, kloont u de opslagplaats SAP Deployment Automation Framework naar uw opslagplaats voor broncodebeheer.

Geef deze opslagplaats sap-automationeen naam.

Voorbeeldopslagplaats

Deze opslagplaats bevat de voorbeeldbestanden Bill of Materials en de terraform-voorbeeldconfiguratiebestanden.

Als u deze opslagplaats wilt maken, kloont u de opslagplaats SAP Deployment Automation Framework naar uw opslagplaats voor broncodebeheer.

Geef deze opslagplaats sampleseen naam.

Ondersteunde implementatiescenario's

Het automation-framework ondersteunt implementatie in zowel nieuwe als bestaande scenario's.

Azure regio's

Voordat u een oplossing implementeert, is het belangrijk om na te gaan welke Azure regio's moeten worden gebruikt. Afhankelijk van uw specifieke scenario kunnen verschillende Azure regio's binnen het bereik vallen.

Het automation-framework ondersteunt implementaties in meerdere Azure regio's. Elke regiohost:

• De implementatie-infrastructuur.
• De SAP-bibliotheek met statusbestanden en installatiemedia.
• 1-N-werklastzones.
• 1-N SAP-systemen in de workloadzones.

Implementatieomgevingen

Als u meerdere workloadzones in een regio ondersteunt, gebruikt u een unieke id voor uw implementatieomgeving en SAP-bibliotheek. Gebruik de identifier niet voor de workload zone. Gebruik bijvoorbeeld MGMT voor beheerdoeleinden.

Het automatiseringsframework biedt ook ondersteuning voor het hebben van de implementatieomgeving en SAP-bibliotheek in afzonderlijke abonnementen dan de workloadzones.

De implementatieomgeving biedt de volgende services:

• Een of meer implementatie-VM's, die de infrastructuurimplementaties uitvoeren met behulp van Terraform en de systeemconfiguratie en SAP-installatie uitvoeren met behulp van Ansible-playbooks.
• Een sleutelkluis, die identiteitsinformatie over de service-principal bevat voor gebruik bij Terraform-implementaties.
• Een Azure Firewall-onderdeel, dat uitgaande internetverbinding biedt.

Het configuratiebestand voor de implementatie definieert de regio- en omgevingsnaam en informatie over het virtuele netwerk. Voorbeeld:

# The environment value is a mandatory field, it is used for partitioning the environments, for example (PROD and NP)
environment = "MGMT"

# The location/region value is a mandatory field, it is used to control where the resources are deployed
location = "westeurope"

# management_network_address_space is the address space for management virtual network
management_network_address_space = "10.10.20.0/25"

# management_subnet_address_prefix is the address prefix for the management subnet
management_subnet_address_prefix = "10.10.20.64/28"

# management_firewall_subnet_address_prefix is the address prefix for the firewall subnet
management_firewall_subnet_address_prefix = "10.10.20.0/26"

# management_bastion_subnet_address_prefix is a mandatory parameter if bastion is deployed and if the subnets are not defined in the workload or if existing subnets are not used
management_bastion_subnet_address_prefix = "10.10.20.128/26"

deployer_enable_public_ip = false

firewall_deployment = true

bastion_deployment = true

Zie de uitgebreide uitleg over het configureren van de implementatie voor meer informatie.

Structuur van workloadzone

De meeste SAP-configuraties hebben meerdere workloadzones voor verschillende toepassingslagen. U hebt bijvoorbeeld verschillende workloadzones voor ontwikkeling, kwaliteitscontrole en productie.

U maakt of verleent toegang tot de volgende services in elke workloadzone:

• Azure virtuele netwerken voor virtuele netwerken, subnetten en netwerkbeveiligingsgroepen.
• Azure Key Vault, voor systeemreferenties en de implementatieservice-principal.
• Azure Storage-accounts, voor opstartdiagnostiek en Cloud Witness.
• Gedeelde opslag voor de SAP-systemen, Azure Files of Azure NetApp Files.

Voordat u de indeling van uw workloadzone ontwerpt, moet u rekening houden met de volgende vragen:

• Hoeveel workloadzones is voor uw scenario vereist?
• In welke regio's moet u workloads implementeren?
• Wat is uw implementatiescenario?

Zie Een implementatie van een workloadzone configureren voor automatisering voor meer informatie.

SAP-systeeminstallatie

Het SAP-systeem bevat alle Azure onderdelen die nodig zijn om de SAP-toepassing te hosten.

Voordat u het SAP-systeem configureert, moet u rekening houden met de volgende vragen:

• Welke back-end van de database wilt u gebruiken?
• Hoeveel databaseservers hebt u nodig?
• Is voor uw scenario hoge beschikbaarheid vereist?
• Hoeveel toepassingsservers hebt u nodig?
• Hoeveel web-dispatchers hebt u nodig, indien van toepassing?
• Hoeveel centrale diensten-exemplaren hebt u nodig?
• Welke grootte hebt u nodig voor de virtuele machine?
• Welke virtuele machine-afbeelding wilt u gebruiken? Bevindt de afbeelding zich in Azure Marketplace of aangepast?
• Implementeert u in een nieuw of bestaand implementatiescenario?
• Wat is uw IP-toewijzingsstrategie? Wilt u Azure IP-adressen instellen of aangepaste instellingen gebruiken?

Zie Het SAP-systeem configureren voor automatisering voor meer informatie.

Uitrolproces

Wanneer u een implementatie plant, is het belangrijk om rekening te houden met de algehele stroom. Er zijn drie belangrijke stappen van een SAP-implementatie op Azure met het automatiseringsframework.

1. Implementeer het besturingsvlak (control plane). Met deze stap worden onderdelen geïmplementeerd ter ondersteuning van het SAP-automatiseringsframework in een opgegeven Azure regio.

   1. Maak de implementatieomgeving.
   2. Gedeelde opslag maken voor Terraform-statusbestanden.
   3. Maak gedeelde opslag voor SAP-installatiemedia.

2. Rol de workloadzone uit. Met deze stap worden de onderdelen van de workloadzone geïmplementeerd, zoals het virtuele netwerk en sleutelkluizen.

3. Implementeer het systeem. Deze stap omvat de infrastructuur voor de implementatie van het SAP-systeem en de SAP-configuratie en SAP-installatie.

Naamgevingsconventies

Het automation-framework maakt gebruik van een standaardnaamconventie. Als u een aangepaste naamconventie wilt gebruiken, moet u uw aangepaste namen plannen en definiëren vóór de implementatie. Zie De naamconventie configureren voor meer informatie.

Grootte van schijf aanpassen

Als u aangepaste schijfgrootten wilt configureren, moet u ervoor zorgen dat u de aangepaste installatie plant vóór de implementatie.

Verwante inhoud

• Overzicht van SAP Deployment Automation Framework
• Het besturingsvlak configureren
• Een implementatie van een workloadzone configureren
• Handmatige implementatie van het automatiseringsframework