SAP NetWeaver プランニング ガイド

このガイドでは、SAP NetWeaver と Google Cloud Platform(GCP)の連携の概要について説明します。また、既存の新 SAP NetWeaver システムの移行を計画する際や、新しいシステムを実装する際に役立つ情報を提供します。GCP では、SAP NetWeaver アプリケーション サーバーの ABAP と Java、およびこれらのアプリケーション サーバー スタックをベースとする SAP プロダクトの実行が保証されています。

SAP NetWeaver システムのデプロイの詳細については説明しません。SAP NetWeaver のデプロイメントを計画する方法については、SAP NetWeaver マスターガイドをご覧ください。

GCP の基本

GCP は、クラウドベースの多くのサービスとプロダクトから構成されています。GCP 上で SAP プロダクトを実行する場合は、主に Compute EngineCloud Storage から提供される IaaS ベースのサービスと、開発および管理用ツールなどのプラットフォーム全体の機能を使用します。

重要なコンセプトと用語については、GCP プラットフォームの概要をご覧ください。このガイドでは、わかりやすく説明するため、この概要の情報を一部利用しています。

エンタープライズ規模の企業が GCP を利用する場合の考慮事項については、エンタープライズ企業のベスト プラクティスをご覧ください。

GCP の操作

GCP でプラットフォーム、リソース、クラウドを操作する場合、主に次の 3 つの方法があります。

  • Google Cloud Platform Console。これは、ウェブベースのユーザー インターフェースです。
  • gcloud コマンドライン ツール。GCP Console が提供する機能のスーパーセットです。
  • クライアント ライブラリ。サービスにアクセスし、リソースを管理するための API を提供します。クライアント ライブラリは、独自のツールを作成する場合に便利です。

料金と割り当て

料金計算ツールを使用すると、使用料金を概算できます。料金の詳細については、Compute Engine の料金Cloud Storage の料金Stackdriver の料金をご覧ください。

GCP リソースは割り当ての対象です。ハイ CPU またはハイメモリのマシンを使用する場合、割り当て量の追加リクエストが必要になる場合があります。詳細については、Compute Engine のリソース割り当てをご覧ください。

GCP 上の SAP NetWeaver の概要

GCP 上での SAP NetWeaver の実行は、さまざまな点で独自のデータセンターで実行する場合とよく似ています。データセンターの場合と同様、コンピューティング リソース、ストレージ、ネットワークについて考慮する必要があります。また、データベースのバックアップと障害復旧の方法についても検討する必要があります。

次に示す相違点についてご理解いただく必要があります。

  • サービスを通じてさまざまなインフラストラクチャ コンポーネントを操作します。サービスとは、通常使用するハードウェアを抽象化したものです。たとえば、コンピュータは常に仮想マシン(VM)であり、ネットワーク、ファイアウォール、大容量記憶装置などのコンポーネントは抽象化されたものとして管理されます。
  • GCP サービスは特定の機能を提供し、特定の制限を導入します。
  • GCP サービスは特定の方法で連携します。
  • SAP NetWeaver と GCP サービスは特定の方法で連携します。

次の図は、GCP で実行されている SAP NetWeaver の概要を示します。

GCP 上の SAP NetWeaver の概要

この図で注意すべき重要な点をいくつか挙げます。

  • システムではいくつかの VM と永続ディスク ドライブが使用されます。これらのコンポーネントは、メイン データベース システムを含むソフトウェアをホストします。
  • SAP NetWeaver システムは、通常のアプリケーション コンポーネントと Host Agent コンポーネントで構成されています。
  • SAP Host Agent/SAPOSCOL コンポーネントは、Google が提供するモニタリング エージェント コンポーネントからモニタリング メタデータを収集します。Google のモニタリング エージェントは、GCP のモニタリング ソリューションである Stackdriver Monitoring からメトリックを収集します。
  • GCP コンポーネントと外部コンポーネント間の通信はすべてネットワーク層を通過します。この層は、ファイアウォール、ルート、インターネット ゲートウェイ、VPN などのセキュリティ機能を提供します。

2 層アーキテクチャ

次の図は、Compute Engine 上で実行されている 2 層アーキテクチャの詳細を示します。

2 層アーキテクチャ

このアーキテクチャでは、すべてのコンポーネントが 1 つの VM 上で動作します。VM には 5 台のディスク ドライブが接続されており、各ドライブが特定の役割を果たします。これらの役割は次のとおりです。

  • Root Disk: VM のオペレーティング システムが含まれています。
  • Swap Disk: オペレーティング システムのページング ファイルが含まれています。
  • SAP NetWeaver: NetWeaver インストール機能とプロファイル ファイルが含まれています。
  • Data Volume: データベース ファイルが含まれています。
  • Logs Volume: データの整合性の維持、バックアップ、復元操作に使用されるデータベース システムログが含まれています。

使用しているデータベース サーバーによっては、データベース サーバーに必要なディスク ドライブは前の図に示したものと異なる場合があります。

たとえば、SAP HANA デプロイメントでは次のようになります。

  • 「Data volume」としてマークされているディスクには、データファイルが含まれています。
  • 「Logs」としてマークされているディスクには、HANA ログファイルが含まれています。
  • HANA のバイナリと共有ファイルは、「NetWeaver」というラベルが付いたディスクでホストできます。
  • データベース バックアップを保存するための追加のボリュームが必要です。

SAP HANA on GCP のデプロイメント アーキテクチャの詳細については、HANA プランニング ガイドをご覧ください。

SAP ASE に必要なディスク ドライブのリストについては、SAP ASE プランニング ガイドをご覧ください。

SAP MaxDB に必要なディスク ドライブのリストについては、SAP MaxDB プランニング ガイドをご覧ください。

IBM Db2 for Linux, UNIX and Windows(IBM Db2)のデプロイメントでは、前の図よりも多くのディスク ドライブが必要です。必要なディスク ドライブのリストについては、IBM Db2 for SAP プランニング ガイドをご覧ください。

GCP 上の Microsoft SQL Server については、Compute Engine での Windows をご覧ください。

以降のセクションでは、これらのコンポーネントの詳細と推奨事項について説明します。

3 層アーキテクチャ

次の図は、Compute Engine 上で実行されている 3 層アーキテクチャの詳細を示します。

3 層アーキテクチャ

このアーキテクチャでは、SAP NetWeaver システムは複数の VM でホストされている複数の NetWeaver Application Server(AS)に処理を分散します。すべての NetWeaver AS ノードは同じデータベースを共有し、このデータベースは別の VM でホストされています。すべての NetWeaver AS ノードは、SAP NetWeaver プロファイルをホストする共有ファイル システムをマウントしてこのシステムにアクセスします。この共有ファイル システムは、VM 1 に接続されている永続ディスクに SAP セントラル サービスとともに含まれています。

仮想マシン

GCP は Compute Engine を通じて、コンピューティング リソースを VM(VM インスタンスとも呼ばれる)として提供します。GCP で SAP Netweaver を実行するときには、Compute Engine VM を使用して次の操作を行います。

  • オペレーティング システムの実行。
  • SAP セントラル サービスのホスト。
  • SAP AS のホスト。
  • データベース サーバーのホスト。

SAP の実装を計画する際には、以下の点を考慮してください。

  • 実装アーキテクチャに必要な VM の数。この数は、開発システム、トレーニング システム、または小規模の本番システムの場合の 1 つの VM から、スケールアウト本番システムの場合の多数の VM までさまざまです。
  • 処理能力を決定する特定のマシンタイプ(CPU タイプ、コア数など)と使用可能な揮発性メモリ。
  • オペレーティング システムを決定するイメージタイプと、データベース タイプ(SQL Server を使用する場合)。
  • VM のロケーション。Compute Engine のリソースは世界中の Google のデータセンターで実行されており、これらのデータセンターはリージョンおよびゾーン別に編成されています。詳細は、リージョンとゾーンの計画をご覧ください。

以降のセクションではさらに詳しく説明します。

マシンタイプ

使用できる標準マシンタイプとハイメモリ マシンタイプを以下に示します。標準マシンタイプは vCPU あたり 3.75 GB の RAM を提供し、ハイメモリ マシンタイプは仮想 CPU あたり 6.50 GB の RAM を提供します。

データベースがネットワークに影響を与える可能性があり、これが原因でレイテンシに影響することがあります。ネットワークの帯域幅は仮想 CPU の数に基づいているため、大量のネットワーク トラフィックが予想される場合は、仮想 CPU の数が 8 以上のマシンタイプを選択する必要があります。GCP のマシンタイプと SAP のパフォーマンスの詳細については、SAP Note 2456432: SAP Applications on Google Cloud Platform: Supported Products and Google VM types をご覧ください。

マシン名 仮想 CPU メモリ(GB) 永続ディスク(PD)の最大数 PD の最大合計サイズ(TB)

n1-standard-8

8 30 16(ベータ版では 64 64

n1-standard-16

16 60 16(ベータ版では 64 64

n1-standard-32

32 120 16(ベータ版では 64 64

n1-standard-64

64 240 16(ベータ版では 64 64

n1-highmem-2

2 13 16(ベータ版では 64 64

n1-highmem-4

4 26 16(ベータ版では 64 64

n1-highmem-8

8 52 16(ベータ版では 128 64

n1-highmem-16

16 104 16(ベータ版では 128 64

n1-highmem-32

32 208 16(ベータ版では 128 64

n1-highmem-64

64 416 16(ベータ版では 128 64
カスタム マシンタイプ 1 または最大 96 までの偶数 標準的なメモリ使用量の場合は vCPU あたり 3.75 GB、メモリ使用量が多い場合は vCPU あたり 6.5 GB。 16(ベータ版では 128 64

イメージ

Compute Engine VM を作成するときには、必要な基本コンポーネントが含まれているイメージを使用します。たとえば、イメージに Microsoft Windows Server オペレーティング システムと SQL Server インストールを含めることができます。VM のイメージはさまざまな方法で指定できます。以下のいずれかの方法を使用します。

  • Google が提供する Cloud Deployment Manager スクリプトを使用します。これは SAP NetWeaver を容易に設定できるようにするスクリプトです。Cloud Deployment Manager スクリプトの使用方法の詳細については、ご使用のオペレーティング システムの SAP NetWeaver on GCP デプロイメント ガイドをご覧ください。
  • 公開イメージを使用します。Google はさまざまな公開イメージを提供しています。SAP NetWeaver でサポートされているコンポーネントが含まれているイメージを選択する必要があります。
  • 独自のカスタム イメージを作成します。独自のベースシステムを新規に設定し、再利用できるカスタム イメージを作成できます。Compute Engine に既存のブートディスクをインポートしてイメージを作成することもできます。

Deployment Manager のテンプレート

Cloud Deployment Manager では、一連の GCP リソースを宣言し、リソースを一貫性のある繰り返し可能な方法でデプロイできます。SAP NetWeaver の場合、GCP で SAP 認定の SAP NetWeaver アーキテクチャを簡単に設定できるようにする Deployment Manager テンプレートが Google から提供されています。

提供されるテンプレートは、次のリソースをインスタンス化します。

  • 各自が使用する VM タイプ。
  • Windows Server 2012 R2、SUSE Linux Enterprise Server(SLES)12.1 プレミアム OS、Red Hat Enterprise Linux(RHEL)7。
  • SAP NetWeaver 用永続ディスク。
  • Linux の場合、このテンプレートにより XFS ファイル システムがインスタンス化されます。

サポートされている公開イメージ

次のイメージ ファミリーの公開イメージを使用できます。

Red Hat Linux

これらのイメージ ファミリーには、サポートされている RHEL イメージが含まれています。

  • rhel-6
  • rhel-7
  • rhel-7-4-sap
  • rhel-7-6-sap-ha
SUSE Linux

これらのイメージ ファミリーには、サポートされている SLES イメージが含まれています。

  • sles-11sp4 バージョンのみ)
  • sles-12
  • sles-12-sp2-sap
  • sles-12-sp3-sap
Windows Server

これらのイメージ ファミリーには、サポートされている Windows Server イメージが含まれています。

  • windows-2016
  • windows-2016-core
  • windows-2012-r2
  • windows-2012-r2-core
SQL Server Enterprise

これらのイメージ ファミリーには、サポートされている SQL Server Enterprise 付属の Windows Server のイメージが含まれています。

  • sql-ent-2016-win-2016
  • sql-ent-2016-win-2012-r2
  • sql-ent-2014-win-2012-r2
  • sql-ent-2012-win-2012-r2

オペレーティング システム バージョンのサポート ステータスの詳細については、SAP NetWeaver on GCP でのオペレーティング システム サポート track-type="userGuide" track-name="internalLink" track-metadata-position="body" }を参照してください。

イメージ管理の計画

システムが稼働したらカスタム イメージを作成できます。必要に応じて新しい状態を簡単に復元できるようにするために、カスタム イメージは、ルート永続ディスクの状態を変更したときに作成してください。作成したカスタム イメージの管理について計画します。詳細については、イメージ管理のベスト プラクティスをご覧ください。

リージョンとゾーンの計画

VM をデプロイするときに、リージョンとゾーンを選択する必要があります。リージョンとは、リソースを実行できる特定の地理的な場所で、データセンターの場所に対応します。1 つのリージョンには 1 つまたは複数のゾーンがあります。

事前に構成されたディスク イメージやディスク スナップショットなどのグローバル リソースは、リージョンやゾーンを越えてアクセスできます。静的外部 IP アドレスなどのリージョン リソースには、同じリージョン内のリソースのみがアクセスできます。VM やディスクなどのゾーンリソースには、同じゾーン内のリソースのみがアクセスできます。

GCP のリージョンとゾーン

VM のリージョンとゾーンを選択するときは、次の点を考慮してください。

  • ユーザーとユーザーの内部リソースの場所(データセンターや企業ネットワークなど)。レイテンシを短縮するには、ユーザーやリソースに近い場所を選択します。
  • そのリージョンとゾーンで使用可能な CPU プラットフォーム。GCP 上の SAP NetWeaver は、本番ワークロード向けに Intel の Broadwell、Haswell、Skylake プロセッサをサポートしています。

  • SAP AS とデータベースが同じリージョンに配置されている必要があります。

VM のデプロイ

VM を Compute Engine にデプロイするには、標準的な GCP の手法(GCP Console ウェブ UI、gcloud コマンドライン ツール、Deployment Manager、REST API)を使用できます。以下のページには、VM のデプロイ方法に関する一般に役立つ情報が掲載されています。

SAP NetWeaver システムを Compute Engine にデプロイする方法の詳細と手順については、ご使用のオペレーティング システムの NetWeaver デプロイメント ガイドをご覧ください。

VM へのアクセス

VM の作成者は完全なルート権限を保有しています。

  • Linux ベースの VM では、作成者は SSH で接続でき、GCP Console を使用して他のユーザーに SSH の使用を許可できます。
  • Windows ベースの VM では、作成者は GCP Console を使用してユーザー名とパスワードを生成できます。その後は、そのユーザー名とパスワードを知っている人はだれでも RDP を使用して VM に接続できます。

管理者権限を持つユーザーは、SSH または RDP でインスタンスに接続した後、標準の Linux コマンドまたは Windows ユーザー アカウントの管理を使用して、他のシステム ユーザーを追加できます。以下のページでは、Compute Engine VM への接続に関する一般に役立つ情報が掲載されています。

Linux インスタンスを使用する場合は、SSH 認証鍵の使用方法について計画する必要があります。一般に、Compute Engine はユーザーに代わって SSH 認証鍵を管理します。自分で SSH 認証鍵を管理することもできますが、この管理に伴うリスクを理解しておく必要があります。詳細については、SSH 認証鍵をご覧ください。

SAP NetWeaver デプロイメントでの Compute Engine VM への接続方法の詳細と手順については、ご使用のオペレーティング システムの SAP NetWeaver デプロイメント ガイドをご覧ください。

データベース

GCP 上の SAP NetWeaver では、次のデータベース管理システムを使用できます。

  • Linux での SAP HANA
  • Linux または Windows での SAP ASE
  • Linux または Windows での SAP MaxDB
  • Linux または Windows での IBM Db2
  • Windows での Microsoft SQL Server Enterprise

SAP HANA

SAP HANA は、次の Linux オペレーティング システムにおいて GCP での動作が保証されています。

サポートされている VM のタイプとオペレーティング システムの詳細については、SAP HANA プランニング ガイドをご覧ください。

SAP HANA の詳細については、SAP HANA オペレーション ガイドSAP のドキュメントをご覧ください。

SAP HANA のサイジング ガイドラインと推奨事項を確認するには、SAP サイジング計算ツールをご覧ください。

SAP ASE

GCP 上の SAP ASE は、次のオペレーティング システムでサポートされています。

サポートされている VM のタイプとオペレーティング システムの詳細については、SAP ASE プランニング ガイドをご覧ください。

SAP ASE を GCP にデプロイするには、ご使用のオペレーティング システムの ASE デプロイガイドをご覧ください。

SAP ASE の詳細については、SAP のドキュメントをご覧ください。

SAP MaxDB

Google Cloud Platform 上の SAP MaxDB は、次のオペレーティング システムでサポートされています。

サポートされている VM のタイプとオペレーティング システムの詳細については、SAP MaxDB プランニング ガイドをご覧ください。GCP に SAP MaxDB をデプロイするには、ご使用のオペレーティング システムの SAP MaxDB デプロイガイドをご覧ください。

SAP MaxDB の詳細については、SAP MaxDB ライブラリをご覧ください。

IBM Db2 for Linux、UNIX、および Windows

IBM Db2 は SLES 12 SP2RHEL 7.4、および Windows Server 2012 R2 以降でサポートされています。サポートされている VM のタイプとオペレーティング システムの詳細については、IBM Db2 for SAP プランニング ガイドをご覧ください。IBM Db2 を GCP にデプロイするには、IBM Db2 for SAP デプロイガイドをご覧ください。

IBM Db2 の詳細については、SAP on IBM Db2 for Linux, UNIX, and Windows をご覧ください。

Microsoft SQL Server

次のようないくつかの方法で、SQL Server をインストールできます。

  • Google が提供する公開イメージを SQL Server Enterprise で使用できます。Windows Server イメージの SQL Server はプレミアム イメージです。つまり、イメージのコストはマシンタイプのコストに追加されています。
  • SAP から SQL Server DVD をダウンロードして、SAP 固有のスクリプト SQL4SAP.bat を使用できます。このスクリプトは、SQL Server を正しい設定でインストールします。
  • SQL Server DVD を SAP または Microsoft からダウンロードし、標準の Microsoft setup.exe を使用して SQL Server をインストールできます。この場合、設定をカスタマイズできます。

データベースとして SQL Server を使用する場合は、SAP システムとの互換性を維持するため、SAP 照合順序 SQL_Latin1_General_CP850_BIN2 を使用するように SQL Server を構成する必要があります。

サーバーのプロパティで SQL Server の照合順序を確認できます。

照合設定を示す SQL Server ダイアログ

SQL Server をすでに構成している場合は、照合順序を更新できますが、更新後にデータベースを再作成する必要があります。照合順序を指定または変更する方法の詳細については、SAP NetWeaver on Windows デプロイメント ガイドをご覧ください。

データベースのバックアップと復元

最悪の事態が発生した場合のシステムの復旧方法を計画しておく必要があります。GCP で障害復旧を計画する方法に関する一般的なガイダンスについては、次の情報をご覧ください。

SAP HANA のバックアップと復元については、SAP HANA on GCP 運用ガイドをご覧ください。

SAP ASE のバックアップと復元については、SAP ASE Performance and Tuning Series: Physical Database Tuning をご覧ください。

SAP MaxDB のバックアップと復元については、SAP MaxDB Database Administration をご覧ください。

IBM Db2 のバックアップと復元については、Backup and Recovery をご覧ください。

SQL Server のバックアップと復元の計画の作成については、Compute Engine 上の Microsoft SQL Server に対する障害復旧計画の作成をご覧ください。

ストレージ

デフォルトでは、それぞれの Compute Engine VM に、オペレーティング システムを含む小規模なルート永続ディスクが設定されています。システムのさまざまなコンポーネント用のストレージとして使用するディスクを VM に追加できます。

永続ディスク

永続ディスクは長期的なストレージ デバイスであり、パソコンやサーバーの物理ディスクと同じように機能します。Google はこれらのデバイスの背後にあるハードウェアを管理して、データの冗長性を保証し、パフォーマンスを最適化しています。永続ディスクには、標準ハードディスク ドライブ(HDD)またはソリッド ステート ドライブ(SSD)が使用できます。標準 HDD 永続ディスクは、順次読み取り / 書き込みオペレーションの処理には効率的かつ経済的な選択肢ですが、1 秒あたりのランダム入出力オペレーション(IOPS)量が多い処理には不向きです。

永続ディスクは VM とは独立して存在するので、VM を削除した後でも、永続ディスクを接続解除または移動してデータを保持できます。永続ディスクのパフォーマンスはサイズに応じて自動的に調整されます。つまり、既存の永続ディスクのサイズ変更や VM への永続ディスクの追加を行うことで、ストレージ容量の要件だけでなくパフォーマンスの要件も満たすことができます。

パフォーマンス特性が安定した高信頼性で低価格のストレージが必要な場合は、永続ディスクをインスタンスに追加します。

データベースのデータ用に 1.7 テラバイト以上の SSD を使用すると、次の最大持続スループットを達成できます。

仮想 CPU 読み取り(MB/秒) 書き込み(MB/秒)
16 480 240
32(注を参照) 800 400

ローカル SSD(非永続)

GCP ではローカル SSD ディスク ドライブを提供しています。ローカル SSD には永続ディスクにはない利点がいくつかありますが、SAP NetWeaver システムの一部として使用しないでください。ローカル SSD が接続されている VM インスタンスを停止して、再起動することはできません。

オブジェクト ストレージとして Cloud Storage を使用する

Cloud Storage は、あらゆるタイプや形式のファイルを格納できるオブジェクト ストアです。容量は事実上無制限であり、プロビジョニングや容量の追加を気にする必要がありません。Cloud Storage のオブジェクトにはファイルデータとその関連メタデータが含まれており、オブジェクトのサイズは最大 5 TB になります。Cloud Storage バケットには、任意の数のオブジェクトを格納できます。

一般には、ほぼあらゆる目的で Cloud Storage を使用してバックアップ ファイルを保存します。たとえば SAP HANA バックアップの場合、Cloud Storage はファイルを保存するのに適しています。データベースのバックアップの計画については、データベースのバックアップと復元に記載されている資料を参照してください。また、移行プロセスの一環として Cloud Storage を使用することもできます。

必要なデータへのアクセス頻度に基づいて Cloud Storage オプションを選択してください。月に何回も頻繁にアクセスする場合は、ストレージ クラスとして Multi-Regional Storage または Regional Storage を選択します。アクセスの頻度が低い場合は、Nearline Storage または Coldline Storage を選択します。

ストレージ オプションを計画する場合は、アクセス頻度が高い層から始め、古くなったバックアップ データはアクセス頻度の低い層に保管します。これは、古くなったバックアップはほとんど使用されないためです。3 年前のバックアップが必要になる可能性はきわめて低いので、そうしたバックアップを Coldline 階層に保管することでコストを最適化できます。

詳細な比較については、ストレージ クラスをご覧ください。利用可能な各種ストレージ オプションについては、ストレージ オプションの選択をご覧ください。

ネットワークとセキュリティ

ネットワークとセキュリティを計画する際は、以降のセクションの情報を参考にしてください。

最小権限モデル

最前線の防御策としてまず行うべきことは、ファイアウォールを使用してネットワークと VM にアクセスできるユーザーを制限することです。デフォルトでは、アクセスを許可するルールを作成しない限り、VM へのトラフィックはすべてファイアウォールによってブロックされます。他の VM からのトラフィックについても同様です。例外は、各プロジェクトで自動的に作成され、デフォルトのファイアウォール ルールが設定されている default ネットワークです。

ファイアウォール ルールを作成することで、特定のポートセットに対するアクセスを特定の送信元 IP アドレスからのトラフィックに制限できます。このとき、最小権限モデルに従って特定の IP アドレス、プロトコル、ポートへのアクセスのみを許可し、不要なアクセスを防ぐ必要があります。たとえば、踏み台インスタンスを常に設定し、そのインスタンスからのみ SAP NetWeaver システムへの SSH 接続を許可します。

アクセス管理

実装を計画する前に、GCP でのアクセス管理の方法を理解しておく必要があります。計画では次のことを決める必要があります。

  • GCP でリソースを整理する方法
  • リソースへのアクセスを許可するチームメンバー
  • 各チームメンバーの権限
  • どのサービスやアプリケーションがどのサービス アカウントを使用する必要があるかと、それぞれに付与する権限のレベル

まず、Cloud Platform のリソース階層について理解しましょう。さまざまなリソース コンテナとその関連性、アクセス境界がどこに作成されるかを理解しておく必要があります。

Cloud Identity and Access Management(IAM)は、GCP リソースに対する権限を一元管理します。誰がどのリソースにアクセスできるのかを定義することで、アクセス制御を管理できます。たとえば、VM、永続ディスク、ネットワークの作成や変更など、SAP インスタンスに対するコントロール プレーンの処理を実行できるユーザーを制御できます。

Cloud IAM の詳細については、Cloud IAM の概要をご覧ください。

Compute Engine での Cloud IAM の概要については、アクセス制御オプションをご覧ください。

Cloud IAM の役割は、ユーザーに権限を付与する重要な機能です。役割とそれによって付与される権限について詳しくは、Identity and Access Management の役割をご覧ください。

アプリケーションやサービスに権限を付与するときに GCP のサービス アカウントを使用できます。従って、Compute Engine 内でサービス アカウントがどのように機能するか理解しておく必要があります。詳細については、サービス アカウントをご覧ください。

カスタム ネットワークとファイアウォール ルール

ネットワークを使用して、ネットワークに接続している VM のゲートウェイ IP とネットワーク範囲を定義できます。すべての Compute Engine ネットワークは IPv4 プロトコルを使用します。どの GCP プロジェクトにも、構成とファイアウォール ルールが事前に設定されたデフォルトのネットワークが用意されていますが、最小権限モデルに基づいてカスタム サブ ネットワークとファイアウォール ルールを追加する必要があります。デフォルトでは、新たに作成されたネットワークにはファイアウォール ルールがありません。つまり、このネットワークにはアクセスできません。

ネットワークの一部を分離する場合、要件によっては複数のサブネットワークを追加しなければならないこともあります。詳細については、サブネットワークをご覧ください。

ファイアウォール ルールは、ネットワーク全体とネットワーク内のすべての VM に適用されます。同じネットワーク内の VM 間またはサブネットワーク間のトラフィックを許可するファイアウォール ルールを追加できます。タグを使用して、特定のターゲット VM に適用されるようにファイアウォールを構成することもできます。

SAP は特定のポートへのアクセスを必要としているため、SAP が定義しているポートへのアクセスを許可するファイアウォール ルールを追加してください。

ルート

ルートは、1 つのネットワークに関連付けられるグローバル リソースです。ユーザーが作成したルートは、ネットワーク内のすべての VM に適用されます。つまり、外部 IP アドレスを使用せずに、同じネットワーク内およびサブネットワーク間での VM 間のトラフィックを転送するルートを追加できます。

インターネット リソースへの外部アクセスの場合、外部 IP アドレスを指定せずに VM を起動し、別の仮想マシンを NAT ゲートウェイとして構成します。この構成では、SAP インスタンスのルートとして NAT ゲートウェイを追加する必要があります。

踏み台インスタンスと NAT ゲートウェイを使用する

VM を完全に内部的なものにすることがセキュリティ ポリシーの要件となっている場合、ネットワーク上で NAT プロキシを手動で設定し、対応するルートを設定する必要があります。これにより、VM とインターネットとの接続が可能となります。SSH を使用して完全な内部 VM インスタンスに直接接続することはできません。このような内部マシンに接続するには、外部 IP アドレスを持つ踏み台インスタンスを設定し、そのアドレスからトンネル接続を行う必要があります。外部 IP アドレスを持たない VM に他の VM から到達するには、その VM が同じネットワーク上にあるか、マネージド VPN ゲートウェイを経由する必要があります。ネットワーク内の VM を、受信接続(踏み台インスタンス)または下りネットワーク(NAT ゲートウェイ)用の信頼できるリレーとしてプロビジョニングできます。このような接続の設定が不要な透過的な接続を行うには、マネージド VPN ゲートウェイ リソースを使用します。

受信接続に踏み台インスタンスを使用する

踏み台インスタンスは、ネットワーク(プライベート ネットワーク内に VM を含む)と外部とのエントリ ポイントを提供します。このインスタンスで要塞化や監査を一元的に行うことができます。また、インターネットからの受信 SSH 通信を有効または無効にするために、このインスタンスを起動または停止できます。

SSH シナリオの踏み台インスタンス

最初に踏み台インスタンスに接続することで、外部 IP アドレスを持たない VM への SSH アクセスを確立できます。踏み台インスタンスの完全な強化は、本ドキュメントの範囲外ですが、実施する最初のステップには以下のものが挙げられます。

  • 踏み台インスタンスと通信できるソース IP の CIDR 範囲を制限します。
  • 踏み台インスタンスからのみプライベート VM への SSH トラフィックを許可するように、ファイアウォール ルールを構成します。

デフォルトでは、VM 上の SSH は、認証用に秘密鍵を使用するように構成されます。踏み台インスタンスを使用する場合、まず踏み台インスタンスにログインし、次にターゲット プライベート VM にログインします。このように 2 段階でログインを行うため、ターゲット VM の秘密鍵を踏み台インスタンスに保存する代わりに、SSH エージェント転送を使用してターゲット VM に接続する必要があります。これは、踏み台インスタンスとターゲット VM に同じ鍵のペアを使用する場合でも必要です。踏み台インスタンスは、鍵のペアの公開鍵にしか直接アクセスできないためです。

下りトラフィックに NAT ゲートウェイを使用する

VM に外部 IP アドレスが割り当てられていない場合、他の GCP サービスを含め、外部サービスに直接接続できません。これらの VM がインターネット上のサービスに到達できるようにするには、NAT ゲートウェイをセットアップして構成します。NAT ゲートウェイは、ネットワーク上の他の VM の代わりにトラフィックをルーティングする VM です。ネットワークごとに 1 つの NAT ゲートウェイを使用します。単一 VM の NAT ゲートウェイは可用性が高くないため、複数の VM の高スループットのトラフィックをサポートできません。NAT ゲートウェイとして機能するように VM を設定する手順については、ご使用のオペレーティング システムの NetWeaver デプロイメント ガイドをご覧ください。

Cloud VPN

Cloud VPN を使用すると、IPsec 経由の VPN 接続を介して、GCP と既存のネットワークを安全に接続できます。2 つのネットワーク間を移動するトラフィックは、一方の VPN ゲートウェイで暗号化され、もう一方の VPN ゲートウェイで復号されます。これにより、インターネットでデータをやり取りする際もデータが保護されます。ルート上のインスタンス タグを使用すると、トラフィックを VPN に送信する VM を動的に制御できます。Cloud VPN トンネルは、固定の月額料金に標準の下り料金が加算されて課金されます。同じプロジェクト内で 2 つのネットワークを接続しても、標準の下り料金が適用されることに注意してください。詳細については、次のトピックをご覧ください。

Cloud Storage バケットの保護

Cloud Storage を使用してデータとログのバックアップをホストする場合、送信中のデータを保護するため、VM から Cloud Storage へのデータ送信に必ず TLS(HTTPS)を使用してください。Cloud Storage は保存されるデータを自動的に暗号化します。独自の鍵管理システムを使用している場合は、独自の暗号鍵を指定できます。

セキュリティのベスト プラクティスについては、Cloud Storage のセキュリティをご覧ください。

メールの送信

ご使用のシステムと Google のシステムを不正行為から保護するために、GCP では Compute Engine からのメール送信に制限が適用されます。詳細については、インスタンスからのメールの送信をご覧ください。

GCP 上の SAP 環境については、以下のセキュリティ リソースもご覧ください。

GCP 上の SAP NetWeaver のモニタリング

SAP NetWeaver には、システム パフォーマンスの分析、問題の早期発見、診断などの作業を行うために、システム全体のコンポーネントやアクティビティに関するデータを 1 か所で収集するモニタリング システムが用意されています。GCP には、メトリック、イベント、メタデータを収集するために、独自のモニタリング システムである Stackdriver Monitoring が用意されています。GCP 上に SAP NetWeaver を実装して運用する際、2 つの異なるシステムを使用して問題の根幹を特定することは、サポート担当者にとって困難な作業となる可能性があります。この問題を解消するために、Google と SAP は協力して、GCP 上で実行される SAP NetWeaver 用のモニタリング エージェントを作成しました。

Google のモニタリング エージェントから、SAP モニタリング システムにデータが提供されます。モニタリング エージェントは次のメトリックを提供します。

  • CPU(CPU 使用率など)
  • ストレージ(ディスク スループットとレイテンシなど)
  • メモリ(メモリ消費量など)
  • ネットワーク(ネットワーク帯域幅など)
  • 構成(VM 情報など)

Google のモニタリング エージェントは、GCP に SAP NetWeaver とともにインストールできます。Google のモニタリング エージェントのインストール方法の詳細と手順については、ご使用のオペレーティング システムの NetWeaver デプロイメント ガイドを参照してください。

モニタリングのライフサイクルと運用の詳細については、SAP NetWeaver on GCP オペレーション ガイドをご覧ください。

SAP NetWeaver アプリケーション サーバーのスケールアウト

SAP では、複数のアプリケーション サーバーを使用するスケールアウト アーキテクチャがサポートされています。これにより、より高いワークロードに対応できます。

オペレーティング システムとして Windows Server を使用している場合は、VM で実行されている Active Directory をドメイン コントローラとして使用できます。詳細については、Google Compute Engine で Active Directory を設定するをご覧ください。あるいは、VPN を使用して Compute Engine VM をオンプレミスの Active Directory ドメイン コントローラに接続できます。

スケールアウト構成では、ノードが共有ファイル システムにアクセスする必要があります。Windows Server の場合、SAP インストーラでインストール中に共有ファイル システムをマウントする場所を指定します。Linux の場合、セントラル システムの NetWeaver バイナリ/ プロファイル ディスクで、ファイル共有としてネットワーク ファイル システム(NFS)を使用します(/sapmnt/[SID]、ここで [SID] はシステム ID)。詳細については SAP のドキュメントをご覧ください。

既存の SAP NetWeaver システムの移行

既存の SAP NetWeaver ランドスケープを移行することで、クラウド内の既存の構成への投資を活用できます。大規模なシステムを移行する場合には常に、システム コンポーネント間の整合性を失わないようにするため、入念に計画して段階的な移行を実施する必要があります。

移行については、SAP の標準的な移行方法に従ってください。SAP は、ソースシステムから新規に作成されたターゲット システムへコンポーネントをコピーする際に、SAP のベスト プラクティスに従うことを推奨しています。ソースシステムとターゲット システムが同じ OS とデータベース システムを使用する場合は同種システムコピーを使用し、ソースシステムとターゲット システムが異なる OS またはデータベース システムを使用する場合は異種システムコピーを使用します。

ライセンス

このセクションでは、ライセンス要件について説明します。

SAP ライセンス

SAP を GCP で実行するには、お客様側でライセンスを用意していただく必要があります(Bring Your Own License(BYOL))。

次の SAP ノートをご覧ください。

SAP NetWeaver ライセンスの管理に関する SAP の詳細情報については、SAP Licensing Procedure をご覧ください。

Microsoft Windows Server と SQL Server

Compute Engine では Microsoft ソフトウェアのライセンスを取得する方法が 2 種類あります。

  • 従量課金制ライセンスの場合、Compute Engine VM の 1 時間あたりの料金にライセンス料が含まれます。Google は Microsoft と共同でライセンスに関する処理を管理しています。時間あたりの料金は高くなりますが、必要に応じてコストを増減できるため、料金の柔軟性が高まります。これは、SQL Server の有無に関係なく Windows Server を含む GCP パブリック イメージで採用されているライセンス モデルです。

  • BYOL の場合、ライセンス料が含まれていないため、Compute Engine VM の料金は低くなります。既存のライセンスを移行するか、独自のライセンスを購入する必要があります。この場合、前払いとなるため、料金の柔軟性は低くなります。ただし、使用量のニーズが非常に安定している場合、または Microsoft のライセンス契約による無償または割引ライセンスの場合は、この方法のほうが低価格である可能性があります。

Windows Server と SQL Server では、Microsoft のライセンスの移行に関する条件が異なります。GCP での BYOL の詳細については、既存の Microsoft アプリケーション ライセンスの使用をご覧ください。

SQL Server の SAP ライセンス制限については、SAP Note 2139358 をご覧ください。

Linux

Compute Engine では、SLES と RHEL のライセンスを取得する方法が 2 つあります。

  • 従量課金制ライセンスの場合、Compute Engine VM の 1 時間あたりの料金にライセンス料が含まれます。ライセンスは Google が管理しています。時間あたりの料金は高くなりますが、必要に応じてコストを増減できるため、料金の柔軟性が高まります。これは、SLES または RHEL を含む GCP 公開イメージで採用されているライセンス モデルです。

  • BYOL の場合、ライセンス料が含まれていないため、Compute Engine VM の料金は低くなります。既存のライセンスを移行するか、独自のライセンスを購入する必要があります。この場合、前払いとなるため、料金の柔軟性は低くなります。

サポート

本番環境サポートの役割またはエンタープライズ サポートのいずれかを持つ Google Cloud Platform のお客様は、SAP システムに必要な GCP リソースのプロビジョニングと構成に関するサポートを利用できます。本番環境での SAP システムのサポートには、GCP 本番環境レベルのサポートまたはエンタープライズ サポートが必要です。

GCP サポート オプションの詳細については、Google Cloud Platform のサポートをご覧ください。

SAP プロダクト関連の問題については、SAP サポートでサポート リクエストを送信してください。SAP はサポート チケットを評価し、GCP インフラストラクチャの問題と判断した場合は、そのチケットを GCP キューに転送します。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...