Planera din SAP-distribution med SAP Deployment Automation Framework

SAP Deployment Automation Framework är ett dirigeringsverktyg med öppen källkod som automatiserar SAP-distributioner på Azure med hjälp av Terraform och Ansible. Innan du distribuerar måste du planera för prenumerationer, autentiseringsuppgifter och design av virtuella nätverk.

Den här artikeln beskriver viktiga planeringsbeslut som du behöver fatta innan du börjar distribuera. För generiska SAP om Azure-designöverväganden, se Introduktion till ett SAP-adoptionsscenario.

Prenumerationsplanering

Distribuera kontrollplanet och arbetsbelastningszonerna i olika prenumerationer. Kontrollplanet ska finnas i en hubbprenumeration som är värd för hanteringskomponenterna i SAP Automation-ramverket.

Hosta SAP-systemen i spoke-abonnemang, som är dedikerade till SAP-systemen. Du kan till exempel vara värd för utvecklingssystem i en separat prenumeration med ett dedikerat virtuellt nätverk. Produktionssystemen kan vara i en egen prenumeration och ha ett dedikerat virtuellt nätverk.

Den här metoden ger både en säkerhetsgräns och en tydlig uppdelning av uppgifter och ansvarsområden. SAP Basis-teamet kan till exempel distribuera system till arbetsbelastningszonerna och infrastrukturteamet kan hantera kontrollplanet.

Planering av kontrollplan

Utför distributions- och konfigurationsaktiviteterna från antingen Azure-pipelines eller med hjälp av de angivna gränssnittsskripten direkt från Azure virtuella Linux-datorer (VM). Den här miljön kallas för kontrollplanet. Information om hur du konfigurerar Azure DevOps för distributionsramverket finns i Set up Azure DevOps for SAP Deployment Automation Framework. Information om hur du konfigurerar virtuella Linux-datorer som distribuerare finns i Konfigurera virtuella Linux-datorer för SAP Deployment Automation Framework.

Innan du utformar kontrollplanet bör du tänka på följande frågor:

• I vilka regioner behöver du distribuera SAP-system?
• Finns det en dedikerad prenumeration för kontrollplanet?
• Finns det ett dedikerat driftsautentiseringsuppdrag (tjänstehuvudkonto) för kontrollplanet?
• Finns det ett befintligt virtuellt nätverk eller behövs ett nytt virtuellt nätverk?
• Hur tillhandahålls utgående Internet för de virtuella datorerna?
• Ska du distribuera Azure Firewall för utgående Internetanslutning?
• Krävs privata slutpunkter för lagringskonton och nyckelvalvet?
• Ska du använda en befintlig private DNS zon för de virtuella datorerna eller använda kontrollplanet som värd för Private DNS?
• Ska du använda Azure Bastion för säker fjärråtkomst till de virtuella datorerna?
• Ska du använda konfigurationswebbprogrammet för SAP Deployment Automation Framework för att utföra konfigurations- och distributionsaktiviteter?

Kontrollplan

Kontrollplanet tillhandahåller följande tjänster:

• Virtuella distributionsdatorer som utför Terraform-distributioner och Ansible-konfiguration och fungerar som Azure DevOps lokalt installerade agenter.
• Ett nyckelvalv, som innehåller autentiseringsuppgifterna för distribution (tjänstehuvudmän) som används av Terraform när de utför distributionerna.
• Azure Firewall för att tillhandahålla utgående Internetanslutning.
• Azure Bastion för att tillhandahålla säker fjärråtkomst till de distribuerade virtuella datorerna.
• En SAP Deployment Automation Framework-konfiguration Azure webbprogram för att utföra konfigurations- och distributionsaktiviteter.

Kontrollplanet definieras med hjälp av två konfigurationsfiler, en för distribueraren och en för SAP-biblioteket.

Konfigurationsfilen för distribueraren definierar region, miljönamn och information om virtuella nätverk. Till exempel:

# Deployer Configuration File
environment = "MGMT"
location = "westeurope"

management_network_logical_name = "DEP01"

management_network_address_space = "10.170.20.0/24"
management_subnet_address_prefix = "10.170.20.64/28"

firewall_deployment = true
management_firewall_subnet_address_prefix = "10.170.20.0/26"

bastion_deployment = true
management_bastion_subnet_address_prefix = "10.170.20.128/26"

use_webapp = true

webapp_subnet_address_prefix = "10.170.20.192/27"
deployer_assign_subscription_permissions = true

deployer_count = 2

use_service_endpoint = false
use_private_endpoint = false
public_network_access_enabled = true

DNS-överväganden

När du planerar DNS-konfigurationen för automationsramverket bör du tänka på följande frågor:

• Finns det en befintlig privat DNS som lösningarna kan integrera med eller behöver du använda en anpassad privat DNS-zon för distributionsmiljön?
• Ska du använda fördefinierade IP-adresser för de virtuella datorerna eller låta Azure tilldela dem dynamiskt?

Om du vill integrera med en befintlig privat DNS-zon anger du följande värden i dina tfvars filer:

management_dns_subscription_id = "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
#management_dns_resourcegroup_name = "RESOURCEGROUPNAME"
use_custom_dns_a_registration = false

Utan dessa värden skapas en privat DNS-zon i SAP-biblioteksresursgruppen.

Mer information finns i den ingående förklaringen av hur du konfigurerar distribueraren.

Konfiguration av SAP-bibliotek

SAP-biblioteksresursgruppen tillhandahåller lagring för SAP-installationsmedia, materialfakturafiler, Terraform-tillståndsfiler och, om du vill, de privata DNS-zonerna. Konfigurationsfilen definierar region- och miljönamnet för SAP-biblioteket. Parameterinformation och exempel finns i Konfigurera SAP-biblioteket för automatisering.

Planering av arbetsbelastningszon

De flesta SAP-programlandskap partitioneras på olika nivåer. I SAP Deployment Automation Framework kallas dessa nivåer för arbetsbelastningszoner. Du kan till exempel ha olika arbetsbelastningszoner för utveckling, kvalitetssäkring och produktionssystem. Mer information finns i Arbetsbelastningszoner.

Arbetsbelastningszonen tillhandahåller följande delade tjänster för SAP-programmen:

• Azure Virtual Network för virtuella nätverk, undernät och nätverkssäkerhetsgrupper.
• Azure Key Vault för lagring av autentiseringsuppgifterna för den virtuella datorn och SAP-systemet.
• Azure Storage-konton för startdiagnostik och Cloud Witness.
• Delad lagring för SAP-systemen, antingen Azure Files eller Azure NetApp Files.

Innan du utformar layouten för arbetsbelastningszonen bör du tänka på följande frågor:

• I vilka regioner behöver du distribuera arbetsbelastningar?
• Hur många arbetsbelastningszoner kräver ditt scenario (utveckling, kvalitetssäkring och produktion)?
• Distribuerar du till nya virtuella nätverk eller använder du befintliga virtuella nätverk?
• Vilken lagringstyp behöver du för den delade lagringen (Azure Files Nätverksfilresurs (NFS) eller Azure NetApp Files)?
• Ska du distribuera NAT Gateway för utgående Internetanslutning?

Standardnamngivningskonventionen för arbetsbelastningszoner är [ENVIRONMENT]-[REGIONCODE]-[NETWORK]-INFRASTRUCTURE. Till exempel är DEV-WEEU-SAP01-INFRASTRUCTURE för en utvecklingsmiljö som finns i Västeuropa-regionen med hjälp av det virtuella nätverket SAP01. PRD-WEEU-SAP02-INFRASTRUCTURE är för en produktionsmiljö som finns i Västeuropa-regionen med hjälp av det virtuella nätverket SAP02.

Beteckningarna SAP01 och SAP02 definierar de logiska namnen för de Azure virtuella nätverken. De kan användas för att ytterligare partitionera miljöerna. Anta att du behöver två Azure virtuella nätverk för samma arbetsbelastningszon. Du kan till exempel ha ett scenario med flera prenumerationer där du är värd för utvecklingsmiljöer i två prenumerationer. Du kan använda de olika logiska namnen för varje virtuellt nätverk. Du kan till exempel använda DEV-WEEU-SAP01-INFRASTRUCTURE och DEV-WEEU-SAP02-INFRASTRUCTURE.

Mer information finns i Konfigurera en distribution av arbetsbelastningszoner för automatisering.

Windows-baserade distributioner

När du utför Windows-baserade distributioner måste de virtuella datorerna i arbetsbelastningszonens virtuella nätverk kunna kommunicera med služba Active Directory för att ansluta de virtuella SAP-datorerna till den služba Active Directory domänen. Det angivna DNS-namnet måste kunna matchas av služba Active Directory.

SAP Deployment Automation Framework skapar inte konton i služba Active Directory, så kontona måste skapas i förväg och lagras i arbetsbelastningszonens nyckelvalv.

DNS-inställningar

För scenarier med hög tillgänglighet krävs en DNS-post i služba Active Directory för SAP:s centrala tjänstkluster. DNS-posten måste skapas i služba Active Directory DNS-zonen. DNS-postnamnet definieras som [sid]>scs[scs instance number]cl1. Används till exempel w01scs00cl1 för klustret, med W01 för SID och 00 för instansnumret.

Hantering av autentiseringsuppgifter

Automation-ramverket använder serviceprincipaler för infrastrukturimplementering. Vi rekommenderar att du använder olika autentiseringsuppgifter för distribution (tjänstens huvudnamn) för varje arbetsbelastningszon. Ramverket lagrar dessa autentiseringsuppgifter i distribuerarens nyckelvalv. Sedan hämtar ramverket dessa autentiseringsuppgifter dynamiskt under distributionsprocessen.

Hantering av SAP- och autentiseringsuppgifter för virtuella datorer

Automation-ramverket använder arbetsbelastningszonens nyckelvalv för att lagra både autentiseringsuppgifterna för automationsanvändare och SAP-systemets autentiseringsuppgifter. I följande tabell visas namnen på autentiseringsuppgifterna för den virtuella datorn.

Skapande av tjänstens huvudnamn

Så här skapar du en service principal:

1. Logga in på Azure CLI med ett konto som har behörighet att skapa ett huvudnamn för tjänsten.

2. Skapa ett nytt huvudnamn för tjänsten genom att köra kommandot az ad sp create-for-rbac. Se till att använda ett beskrivande namn för --name. Till exempel:

   az ad sp create-for-rbac --role="Contributor" --scopes="/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" --name="DEV-Deployment-Account"
   

3. Observera utdata. Du behöver programidentifieraren (appId), lösenordet (password) och klientidentifieraren (tenant) för nästa steg. Till exempel:

   {
       "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
       "displayName": "DEV-Deployment-Account",
       "name": "http://DEV-Deployment-Account",
       "password": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
       "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
   }
   

4. Tilldela rollen Administratör för användaråtkomst till ditt tjänsthuvudnamn. Till exempel:

   az role assignment create --assignee <your-application-ID> --role "User Access Administrator" --scope /subscriptions/<your-subscription-ID>/resourceGroups/<your-resource-group-name>
   

Mer information finns i dokumentationen Azure CLI för att skapa ett huvudnamn för tjänsten.

Behörighetshantering

I en låst miljö kan du behöva tilldela tjänstens huvudenheter en annan behörighet. Du kan till exempel behöva tilldela rollen Administratör för användaråtkomst till tjänstens principal.

Behörigheter som krävs

I följande tabell visas de behörigheter som krävs för tjänsthuvudmän.

Konfigurering av brandvägg

Testa anslutningen till URL:er från en virtuell Linux-dator i Azure med hjälp av ett PowerShell-skript som använder funktionen run-command i Azure.

I följande exempel visas hur du testar anslutningen till URL:erna med hjälp av ett interaktivt PowerShell-skript.

$sdaf_path = Get-Location
if ( $PSVersionTable.Platform -eq "Unix") {
    if ( -Not (Test-Path "SDAF") ) {
      $sdaf_path = New-Item -Path "SDAF" -Type Directory
    }
}
else {
    $sdaf_path = Join-Path -Path $Env:HOMEDRIVE -ChildPath "SDAF"
    if ( -not (Test-Path $sdaf_path)) {
        New-Item -Path $sdaf_path -Type Directory
    }
}

Set-Location -Path $sdaf_path

git clone https://github.com/Azure/sap-automation.git

cd sap-automation
cd deploy
cd scripts

if ( $PSVersionTable.Platform -eq "Unix") {
 ./Test-SDAFURLs.ps1
}
else {
 .\Test-SDAFURLs.ps1
}

DevOps-struktur

Distributionsramverket använder tre separata lagringsplatser för distributionsartefakterna. För dina egna parameterfiler är det bästa praxis att behålla filerna på en lagringsplats för källkontroll som du hanterar.

Huvudlagringsplats

Den här lagringsplatsen innehåller Terraform-parameterfilerna och de filer som behövs för Ansible-spelböckerna för alla arbetsbelastningszoner och systemdistributioner.

Skapa den här lagringsplatsen genom att klona SAP Deployment Automation Framework bootstrap-lagringsplatsen till källkontrolllagringsplatsen.

Mappstrukturen

Följande exempelmapphierarki visar hur du strukturerar dina konfigurationsfiler tillsammans med Automation Framework-filerna.

Parameterfilens namn blir namnet på Terraform-tillståndsfilen. Se till att använda ett unikt parameterfilnamn av den anledningen.

Kodlagringsplats

Den här lagringsplatsen innehåller Terraform Automation-mallarna, Ansible-spelböckerna och distributionspipelines och skript. För de flesta användningsfall bör du betrakta den här lagringsplatsen som skrivskyddad och ändra den inte.

Om du vill skapa den här lagringsplatsen klonar du lagringsplatsen SAP Deployment Automation Framework till källkontrolllagringsplatsen.

Ge den här lagringsplatsen sap-automationnamnet .

Exempellagringsplats

Den här lagringsplatsen innehåller exempelfilerna för materialräkningen och Terraform-exempelkonfigurationsfilerna.

För att skapa det här kodförrådet, klonar du SAP Deployment Automation Framework samples repository till ditt källkontrollförråd.

Ge den här lagringsplatsen samplesnamnet .

Distributionsscenarier som stöds

Automation-ramverket stöder distribution till både nya och befintliga scenarier.

Azure regioner

Innan du distribuerar en lösning är det viktigt att tänka på vilka Azure regioner som ska användas. Olika Azure-regioner kan omfattas beroende på ditt specifika scenario.

Automation-ramverket stöder distributioner i flera Azure regioner. Varje region är värd för:

• Utplaceringsinfrastrukturen.
• SAP-biblioteket med tillståndsfiler och installationsmedia.
• 1 N arbetsbelastningszoner.
• 1-N SAP-system i arbetsbelastningszonerna.

Distributionsmiljöer

Om du stöder flera arbetsbelastningszoner i en region använder du en unik identifierare för distributionsmiljön och SAP-biblioteket. Använd inte identifieraren för arbetsbelastningszonen. Använd till exempel MGMT i hanteringssyfte.

Automation-ramverket har också stöd för att ha distributionsmiljön och SAP-biblioteket i separata prenumerationer än arbetsbelastningszonerna.

Distributionsmiljön tillhandahåller följande tjänster:

• En eller flera virtuella distributionsdatorer som utför infrastrukturdistributionerna med hjälp av Terraform och utför systemkonfigurationen och SAP-installationen med hjälp av Ansible-spelböcker.
• Ett nyckelvalv som innehåller tjänstens huvud-ID för användning med Terraform-distributioner.
• En Azure Firewall komponent som tillhandahåller utgående Internetanslutning.

Distributionskonfigurationsfilen definierar region, miljönamn och information om virtuella nätverk. Till exempel:

# The environment value is a mandatory field, it is used for partitioning the environments, for example (PROD and NP)
environment = "MGMT"

# The location/region value is a mandatory field, it is used to control where the resources are deployed
location = "westeurope"

# management_network_address_space is the address space for management virtual network
management_network_address_space = "10.10.20.0/25"

# management_subnet_address_prefix is the address prefix for the management subnet
management_subnet_address_prefix = "10.10.20.64/28"

# management_firewall_subnet_address_prefix is the address prefix for the firewall subnet
management_firewall_subnet_address_prefix = "10.10.20.0/26"

# management_bastion_subnet_address_prefix is a mandatory parameter if bastion is deployed and if the subnets are not defined in the workload or if existing subnets are not used
management_bastion_subnet_address_prefix = "10.10.20.128/26"

deployer_enable_public_ip = false

firewall_deployment = true

bastion_deployment = true

Mer information finns i den ingående förklaringen av hur du konfigurerar distribueraren.

Struktur för arbetsbelastningszon

De flesta SAP-konfigurationer har flera arbetsbelastningszoner för olika programnivåer. Du kan till exempel ha olika arbetsbelastningszoner för utveckling, kvalitetssäkring och produktion.

Du skapar eller beviljar åtkomst till följande tjänster i varje arbetsbelastningszon:

• Azure virtuella nätverk för virtuella nätverk, undernät och nätverkssäkerhetsgrupper.
• Azure Key Vault för systemautentiseringsuppgifter och distributionstjänstens huvudnamn.
• Azure Storage konton för startdiagnostik och molnvittne.
• Delad lagring för SAP-systemen, antingen Azure Files eller Azure NetApp Files.

Innan du utformar layouten för arbetsbelastningszonen bör du tänka på följande frågor:

• Hur många arbetsbelastningszoner kräver ditt scenario?
• I vilka regioner behöver du distribuera arbetsbelastningar?
• Vad är ditt distributionsscenario?

Mer information finns i Konfigurera en distribution av arbetsbelastningszoner för automatisering.

SAP-systemkonfiguration

SAP-systemet innehåller alla Azure komponenter som krävs för att vara värd för SAP-programmet.

Innan du konfigurerar SAP-systemet bör du tänka på följande frågor:

• Vilken databasserverdel vill du använda?
• Hur många databasservrar behöver du?
• Kräver ditt scenario hög tillgänglighet?
• Hur många programservrar behöver du?
• Hur många webbdistributörer behöver du, om det behövs alls?
• Hur många instanser av centrala tjänster behöver du?
• Vilken storlek behöver du för virtuell dator?
• Vilken avbildning av den virtuella datorn vill du använda? Är avbildningen på Azure Marketplace eller anpassad?
• Distribuerar du till ett nytt eller befintligt distributionsscenario?
• Vad är din IP-allokeringsstrategi? Vill du att Azure ska ange IP-adresser eller använda anpassade inställningar?

Mer information finns i Konfigurera SAP-systemet för automatisering.

Implementeringsflöde

När du planerar en distribution är det viktigt att tänka på det övergripande flödet. Det finns tre huvudsakliga steg i en SAP-distribution på Azure med automationsramverket.

1. Distribuera kontrollplanet. Det här steget distribuerar komponenter för att stödja SAP-automatiseringsramverket i en angiven Azure region.

   1. Skapa distributionsmiljön.
   2. Skapa delad lagring för Terraform-tillståndsfiler.
   3. Skapa delad lagring för SAP-installationsmedia.

2. Distribuera arbetsbelastningszonen. Det här steget distribuerar komponenterna i arbetsbelastningszonen, till exempel det virtuella nätverket och nyckelvalv.

3. Distribuera systemet. Det här steget omfattar infrastrukturen för SAP-systemdistributionen och SAP-konfigurationen och SAP-installationen.

Namngivningskonventioner

Automation-ramverket använder en standardnamngivningskonvention. Om du vill använda en anpassad namngivningskonvention planerar du och definierar dina anpassade namn före distributionen. Mer information finns i Konfigurera namngivningskonventionen.

Diskstorlek

Om du vill konfigurera anpassade diskstorlekar måste du planera din anpassade installation före distributionen.

Relaterat innehåll

• Översikt över SAP Deployment Automation Framework
• Konfigurera kontrollplanet
• Konfigurera en distribution i arbetsbelastningszonen
• Manuell distribution av automationsramverket