SAP ASE プランニング ガイド

このガイドでは、SAP Adaptive Server Enterprise(ASE)と Google Cloud の連携の概要について説明し、新しい SAP ASE システムの実装を計画する際に役立つ詳細情報を提供します。

SAP ASE を Google Cloud にデプロイする方法については、以下をご覧ください。

Google Cloud の基礎

Google Cloud は、クラウドベースの多くのサービスとプロダクトから構成されています。Google Cloud 上で SAP プロダクトを実行する場合は、主に Compute Engine および Cloud Storage から提供される IaaS ベースのサービスと、ツールなどのプラットフォーム全体の機能を使用します。

重要なコンセプトと用語については、Google Cloud Platform の概要をご覧ください。このガイドでは、わかりやすく説明するため、この概要の情報を一部利用しています。

エンタープライズ規模の企業が Google Cloud を利用する場合の考慮事項の概要については、エンタープライズ企業向けのベスト プラクティスをご覧ください。

Google Cloud の操作

Google Cloud では、クラウド上のプラットフォームとリソースを操作する際に、主に次の 3 つの方法を使用できます。

  • ウェブベースのユーザー インターフェースである Google Cloud Console。
  • gcloud コマンドライン ツール。Cloud Console が提供する機能のスーパーセットです。
  • サービスへのアクセス、リソースの管理のための API を提供するクライアント ライブラリ。クライアント ライブラリは、オリジナルのツールを作成する際に便利です。

Google Cloud サービス

SAP のデプロイでは通常、次の Google Cloud サービスの一部またはすべてが使用されます。

サービス 説明
VPC ネットワーキング VM インスタンスを相互に接続します。また、インスタンスをインターネットに接続します。各インスタンスは、1 つのグローバル IP 範囲を持つレガシー ネットワークのメンバー、または推奨されるサブネット ネットワークのメンバーです。後者の場合、インスタンスは、より大規模なネットワークを構成する単一サブネットワークのメンバーです。1 つのネットワークが複数の Google Cloud プロジェクトにまたがることはできませんが、1 つの Google Cloud プロジェクトが複数のネットワークを使用することはできます。
Compute Engine 選択されたオペレーティング システムとソフトウェア スタックで VM を作成し、管理します。
永続ディスク 永続ディスクには、標準ハードディスク ドライブ(HDD)またはソリッド ステート ドライブ(SSD)が使用できます。
Google Cloud Console Compute Engine リソースを管理するブラウザベースのツール。このツールでは、テンプレートを使って、必要な Compute Engine リソースとインスタンスをすべて定義できます。Cloud Console が自動的にリソースを作成し、依存関係を検出するので、リソースを個別に作成して構成する必要はありません。また、依存関係を指定する必要もありません。
Cloud Storage レプリケーション機能で SAP データベースのバックアップを Cloud Storage に保管することで、耐久性と信頼性を高めることができます。
Cloud Monitoring Compute Engine、ネットワーク、永続ディスクのデプロイ状況、パフォーマンス、稼働時間、健全性を視覚的に確認できます。

Monitoring は、Google Cloud から指標、イベント、メタデータを収集し、これらの分析結果をダッシュボード、グラフ、アラートを通じて提供します。Monitoring で、コンピューティング指標を無料でモニタリングできます。
IAM Google Cloud リソースの権限を一元管理できます。VM と永続ディスクの作成、変更、削除、ネットワークの作成と変更など、VM に対するコントロール プレーンの処理を実行できるユーザーを制御します。

料金と割り当て

料金計算ツールを使用すると、使用料金を概算できます。料金の詳細については、Compute Engine の料金Cloud Storage の料金Google Cloud のオペレーション スイートの料金をご覧ください。

Google Cloud リソースには割り当てが適用されます。ハイ CPU またはハイメモリのマシンを使用する場合、割り当て量の追加リクエストが必要になる場合があります。詳細については、Compute Engine のリソース割り当てをご覧ください。

デプロイ アーキテクチャ

Google Cloud に基本的な単一ノード SAP ASE をインストールした環境は、次のコンポーネントで構成されています。

  • SAP ASE データベースを実行している 1 台の Compute Engine VM。
  • 4~5 個の接続された永続ディスク ドライブ。

    ドライブ コンテンツ Linux Windows
    データベース インスタンスのルート ディレクトリ sybase/[DBSID] ASE(D:)
    データベース データファイル /sybase/[DBSID]/sapdata ASE データ(E:)
    データベースのトランザクション ログ /sybase/[DBSID]/logdir ASE ログ(L:)
    データベースの一時テーブル スペース /sybase/[DBSID]/saptmp ASE 一時(T:)
    SAPTOOLS の診断テーブル スペース /sybase/[DBSID]/sapdiag 該当なし

必要に応じて、次のようにインストール環境を拡張できます。

  • バックアップ用のドライブ。Linux では、バックアップ ドライブは /sybasebackup です。Windows では Backup (X:) です。
  • NAT ゲートウェイ。NAT ゲートウェイを使用すると、VM とインターネットの直接接続は拒否しながら、VM にインターネット接続を提供できます。また、この VM を踏み台インスタンスとして構成し、プライベート サブネット上の他の VM との SSH 接続を確立することもできます。詳細については、NAT ゲートウェイと踏み台インスタンスをご覧ください。
  • 次のような NetWeaver ディレクトリ。

    • /usr/sap(Linux の場合)または SAP (S:)(Windows の場合)
    • /sapmnt(Linux の場合)または Pagefile (P:)(Windows の場合)
  • ウォーム スタンバイ サーバー。SAP ASE の高可用性障害復旧(HADR)の常時オンのオプションを使用する場合は、セットアップする必要があります。ウォーム スタンバイ サーバーのディスク構成は、基本的な SAP ASE インストールと同じにする必要があります。

    SAP ASE の常時オンのオプションを使用する場合の重要なソフトウェア要件については、サポートされている SAP ASE の機能をご覧ください。

    SAP ASE 用に HADR を設定する方法の詳細については、HADR ユーザーガイドをご覧ください。

現在、Pacemaker などの高可用性リソース管理ソフトウェアは、Google Cloud 上の SAP ASE ではサポートされていません。

ユースケースによっては、追加のデバイスやデータベースが必要になる場合があります。詳細については、SAP ASE Configuration Guide for UNIX > Optional Devices and Databases をご覧ください。

リソース要件

Google Cloud 上で SAP ASE を実行するのは、独自のデータセンターで実行する場合と似ています。データセンターの場合と同様、コンピューティング リソース、ストレージ、ネットワークのキャパシティについて検討する必要があります。詳細については、SAP Note 2537664: SAP ASE 16.0 Certification Report for Google Cloud をご覧ください。

VM 構成

SAP ASE は、カスタムタイプを含むすべての Compute Engine マシンタイプで稼働することが確認されています。さまざまなマシンタイプとそのユースケースについては、Compute Engine ドキュメントのマシンタイプをご覧ください。

CPU 構成

必要な vCPU の数は、SAP ASE でのアプリケーションの負荷によって異なります。SAP ASE のインストールには、2 つ以上の vCPU を割り当てる必要があります。SAP ASE のパフォーマンスおよびチューニング ガイドに従って、既存のリソースを最大限に活用し、必要に応じてコンピューティング リソースを増やしてください。

メモリ構成

SAP ASE VM には、vCPU あたり少なくとも 4 GB の RAM が必要です。このうち、RAM の約 80% を SAP ASE に割り当て、残りを SAP ASE が実行されている OS に割り当てます。

ユースケースに最適なメモリ容量は、実行するクエリの複雑さ、データのサイズ、並列処理の量、期待されるパフォーマンス レベルによって異なります。メモリ構成の最適化に関する詳細については、SAP ASE Performance and Tuning Series をご覧ください。

ストレージ構成

デフォルトでは、それぞれの Compute Engine VM に、オペレーティング システムを含む小規模なルート永続ディスクが設定されています。さらに、データベース、ログ、ストアド プロシージャ用に追加ディスクの作成、接続、フォーマット、マウントを行う必要があります。

ディスクサイズとパフォーマンスの要件はアプリケーションによって異なります。要件に応じて各デバイスのサイズを決めてください。

SAP ASE の永続ディスク オプションについて詳しくは、永続ディスクをご覧ください。

ディスクサイズに関する SAP のガイドについては、Configuration Guide for UNIX > Determine the Size of a Database Device をご覧ください。

サポートされている SAP ASE のバージョン

SAP は、Google Cloud で次の SAP ASE バージョンをサポートしています。

  • SAP ASE 16.0 SP03
  • SAP ASE 16.0 SP04

Google Cloud で SAP がサポートする ASE バージョンの詳細については、以下をご覧ください。

SAP ASE の機能のサポート

SAP ASE のほとんどの機能は Google Cloud でサポートされています。このセクションでは、条件でサポートされているか、サポートされていない SAP ASE の機能のみを示しています。

サポートされている SAP ASE の機能

Google Cloud では、SAP ASE の常時稼働の高可用性と障害復旧(HADR)オプションがサポートされています。ただし、SAP ASE の常時オンの HADR オプションである Fault Manager コンポーネントは、Google Cloud のフローティング IP をサポートしていません。

SAP ASE の常時オン HADR オプションの詳細については、以下をご覧ください。

サポートされていない SAP ASE の機能

次の SAP ASE 機能は Google Cloud でサポートされていません。詳しくは、SAP Notes 29224542537664 をご覧ください。

  • リアルタイムのデータサービス
  • ウェブサービス
  • Kerberos
  • IPv6
  • ネイティブ クラスタ マネージャーでの SAP ASE 高可用性オプション
  • データベース デバイスとしての RAW ディスク
  • カーネル プロセス モード
  • Tivoli ストレージ管理

Google Cloud でサポートされる SAP ASE の機能の詳細については、SAP Note 2537664 をご覧ください。

サポートされているオペレーティング システム

SAP は、次のオペレーティング システムで SAP ASE をサポートしています。

  • RHEL
  • SLES
  • Windows Server

Compute Engine は、これらのオペレーティング システムについて使用可能な最新バージョンを提供します。Compute Engine から利用できるオペレーティング システムのバージョンについては、イメージをご覧ください。

SAP ASE が現在サポートしているオペレーティング システムについては、SAP Note 2489781 をご覧ください。

デプロイに関する考慮事項

リージョンとゾーン

VM をデプロイするときに、リージョンとゾーンを選択する必要があります。リージョンとは、リソースを実行できる特定の地理的な場所で、データセンターの場所に対応します。各リージョンには 1 つ以上のゾーンがあります。

事前に構成されたディスク イメージやディスク スナップショットなどのグローバル リソースは、リージョンやゾーンを越えてアクセスできます。静的外部 IP アドレスなどのリージョン リソースには、同じリージョン内のリソースのみがアクセスできます。VM やディスクなどのゾーンリソースには、同じゾーン内のリソースのみがアクセスできます。

Google Cloud リージョンとゾーン

VM のリージョンとゾーンを選択する場合は、次の点に注意してください。

  • ユーザーとユーザーの内部リソースの場所(データセンターや企業ネットワークなど)。レイテンシを短縮するには、ユーザーやリソースに近い場所を選択します。
  • 他の SAP リソースの場所。SAP アプリケーションとデータベースは同じゾーンに配置する必要があります。

永続ディスク

永続ディスクは長期的なブロック ストレージ デバイスであり、パソコンやサーバーの物理ディスクと同じように機能します。

Compute Engine には、さまざまな種類の永続ディスクが用意されています。種類ごとにパフォーマンス特性が異なります。Google Cloud は、永続ディスクの基盤となるハードウェアを管理して、データの冗長性を保証し、パフォーマンスを最適化しています。

次のいずれかの Compute Engine 永続ディスクを使用できます。

  • 標準ハードディスク ドライブを基盤とする標準永続ディスク(pd-standard)は、順次読み取り / 書き込みオペレーションの処理には効率的かつ経済的な選択肢ですが、1 秒あたりのランダム入出力オペレーション(IOPS)量が多い処理には不向きです。
  • バランス永続ディスク(pd-balanced)は、ソリッド ステート ドライブ(SSD)を基盤としています。バランス永続ディスクは、費用を抑えると同時に高いパフォーマンスを実現します。
  • SSD 永続ディスク(pd-ssd)は、最適なパフォーマンスを提供します。

永続ディスクのパフォーマンスはサイズに合わせて自動的に向上するので、既存の永続ディスクのサイズを変更するか、または VM に永続ディスクを追加して、パフォーマンスを調整できます。

使用している VM の種類と、そこに含まれる vCPU の数も、永続ディスクのパフォーマンスに影響します。

永続ディスクは VM とは独立して存在するため、VM を削除した後であっても、永続ディスクを切断または移動してデータを保持できます。

Compute Engine 永続ディスクの種類、パフォーマンス特性、それらの使用方法について詳しくは、Compute Engine のドキュメントをご覧ください。

ローカル SSD(非永続)

Google Cloud では、ローカル SSD ディスク ドライブも提供されています。ローカル SSD は永続ディスクにはない利点がいくつかありますが、SAP ASE システムの一部として使用しないでください。ローカル SSD が接続されている VM インスタンスを停止して、再起動することはできません。

NAT ゲートウェイと踏み台インスタンス

VM を完全に内部的なものにすることがセキュリティ ポリシーの要件となっている場合、ネットワーク上で NAT プロキシを手動で設定し、対応するルートを設定する必要があります。これにより、VM とインターネットとの接続が可能となります。SSH を使用して完全な内部 VM インスタンスに直接接続することはできません。このような内部マシンに接続するには、外部 IP アドレスを持つ踏み台インスタンスを設定し、そのアドレスからトンネル接続を行う必要があります。外部 IP アドレスを持たない VM に他の VM から到達するには、その VM が同じネットワーク上にあるか、マネージド VPN ゲートウェイを経由する必要があります。ネットワーク内の VM を、受信接続(踏み台インスタンス)または下りネットワーク(NAT ゲートウェイ)用の信頼できるリレーとしてプロビジョニングできます。このような接続の設定が不要な透過的な接続を行うには、マネージド VPN ゲートウェイ リソースを使用します。

受信接続に踏み台インスタンスを使用する

踏み台インスタンスは、プライベート ネットワーク VM を含むネットワークへの、外部に面するエントリ ポイントを提供します。このホストは、要塞化や監査のための単一の場所を提供したり、インターネットからの受信 SSH 通信を有効または無効にするために開始および停止したりできます。

SSH シナリオの踏み台インスタンス

最初に踏み台インスタンスに接続することで、外部 IP アドレスを持たない VM への SSH アクセスを確立できます。踏み台インスタンスの完全な強化は、本ガイドの範囲外ですが、最初に実施する対策としては次のものがあります。

  • 踏み台インスタンスと通信できるソース IP の CIDR 範囲を制限します。
  • 踏み台インスタンスからのみプライベート VM への SSH トラフィックを許可するように、ファイアウォール ルールを構成します。

デフォルトで、VM 上の SSH が認証で秘密鍵を使用するように構成されます。踏み台インスタンスを使用する場合、まず踏み台インスタンスにログインし、次にターゲット プライベート VM にログインします。このように 2 段階でログインを行うため、ターゲット VM の秘密鍵を踏み台インスタンスに保存する代わりに、SSH エージェント転送を使用してターゲット VM に接続する必要があります。これは、踏み台インスタンスとターゲット VM に同じ鍵のペアを使用する場合でも必要です。踏み台インスタンスは、鍵のペアの公開鍵にしか直接アクセスできないためです。

下り(外向き)トラフィックに NAT ゲートウェイを使用する

VM に外部 IP アドレスが割り当てられていない場合、他の Google Cloud サービスを含む外部サービスに直接接続することはできません。これらの VM がインターネット上のサービスに到達できるようにするには、NAT ゲートウェイをセットアップして構成します。NAT ゲートウェイは、ネットワーク上の他の VM の代わりにトラフィックをルーティングする VM です。ネットワークごとに NAT ゲートウェイを 1 つ構成する必要があります。1 つの VM の NAT ゲートウェイでは、複数の VM で高スループットのトラフィック処理を実現できないため、可用性は高いといえません。NAT ゲートウェイとして機能するように VM を設定する方法については、Linux 向け SAP ASE デプロイガイドまたは Windows 向け SAP ASE デプロイガイドをご覧ください。

カスタム イメージ

システムが稼働したらカスタム イメージを作成できます。これらのイメージは、ルート永続ディスクの状態を変更したときに作成する必要があります。こうすることで、その新しい状態を簡単に復元できるようになります。作成したカスタム イメージの管理方法についても計画を立てる必要があります。詳細については、イメージ管理のベスト プラクティスをご覧ください。

ユーザー ID とリソース アクセス

Google Cloud で SAP デプロイのセキュリティを計画する場合は、次の情報を確認する必要があります。

  • Google Cloud プロジェクトの Google Cloud リソースにアクセスすることを必要とするユーザー アカウントとアプリケーション
  • プロジェクト内で、各ユーザーがアクセスする必要のある特定の Google Cloud リソース

メンバーとして Google アカウント ID をプロジェクトに追加して、各ユーザーをプロジェクトに追加する必要があります。Google Cloud リソースを使用するアプリケーション プログラムについては、プロジェクト内のプログラムのユーザー ID を指定するサービス アカウントを作成します。

Compute Engine VM には独自のサービス アカウントがあります。VM サービス アカウントにプログラムが必要とするリソース権限があれば、VM で実行されるプログラムは VM サービス アカウントを使用できます。

各ユーザーが使用する必要がある Google Cloud リソースを特定したら、リソース固有のロールをユーザーに割り当て、各リソースの使用権限をユーザーごとに付与します。IAM が各リソースに付与する事前定義ロールを確認し、ユーザーのタスクまたは機能の完了に必要な最低限の権限を持つロールをユーザーに割り当てます。

IAM の事前定義ロールよりも詳細に、または厳格に権限を制御する必要がある場合は、カスタムロールを作成します。

SAP プログラムが Google Cloud で必要とする IAM のロールについて詳しくは、Google Cloud 上での SAP プログラム向け Identity and Access Management をご覧ください。

Google Cloud 上の SAP の ID とアクセス管理の概要については、Google Cloud 上の SAP 用 Identity and Access Management の概要をご覧ください。

ネットワーキングとネットワーク セキュリティ

ネットワークとセキュリティを計画する際は、以降のセクションの情報を参考にしてください。

最小権限モデル

最前線の防御策としてまず行うべきことは、ファイアウォールを使用してネットワークと VM にアクセスできるユーザーを制限することです。デフォルトでは、アクセスを許可するルールを作成しない限り、VM へのトラフィックはすべてファイアウォールによってブロックされます。他の VM からのトラフィックについても同様です。例外は、各プロジェクトで自動的に作成され、デフォルトのファイアウォール ルールが設定されているデフォルト ネットワークです。

ファイアウォール ルールを作成することで、特定のポートセットに対するアクセスを特定の送信元 IP アドレスからのトラフィックに制限できます。このとき、最小権限モデルに従って特定の IP アドレス、プロトコル、ポートへのアクセスのみを許可し、不要なアクセスを防ぐ必要があります。たとえば、踏み台インスタンスを常に設定し、そのインスタンスからのみ SAP NetWeaver システムへの SSH 接続を許可する必要があります。

カスタム ネットワークとファイアウォール ルール

ネットワークを使用して、ネットワークに接続している VM のゲートウェイ IP とネットワーク範囲を定義できます。すべての Compute Engine ネットワークは IPv4 プロトコルを使用します。すべての Google Cloud プロジェクトには、事前設定された構成とファイアウォール ルールを持つデフォルト ネットワークが用意されていますが、最小権限モデルに基づいてカスタム サブネットワークとファイアウォール ルールを追加する必要があります。デフォルトでは、新たに作成されたネットワークにはファイアウォール ルールがありません。つまり、このネットワークにはアクセスできません。

要件によっては、サブネットワークを追加してネットワークの一部を分離しなければならないこともあります。詳細については、サブネットワークをご覧ください。

ファイアウォール ルールは、ネットワーク全体とネットワーク内のすべての VM に適用されます。同じネットワーク内の VM 間またはサブネットワーク間のトラフィックを許可するファイアウォール ルールを追加できます。タグを使用して、特定のターゲット VM に適用されるようにファイアウォールを構成することもできます。

SAP NetWeaver などの一部の SAP プロダクトでは、特定のポートへのアクセスが必要になります。SAP が定義しているポートへのアクセスを許可するファイアウォール ルールを追加してください。

ルート

ルートは、1 つのネットワークに関連付けられるグローバル リソースです。ユーザーが作成したルートは、ネットワーク内のすべての VM に適用されます。つまり、外部 IP アドレスを使用せずに、同じネットワーク内の VM 間またはサブネットワーク間のトラフィックを転送するルートを追加できます。

インターネット リソースへの外部アクセスの場合、外部 IP アドレスを指定せずに VM を起動し、別の仮想マシンを NAT ゲートウェイとして構成します。この構成では、SAP インスタンスへのルートとして NAT ゲートウェイを追加する必要があります。詳細については、NAT ゲートウェイと踏み台インスタンスをご覧ください。

Google Cloud VPN

Google Cloud VPN を使用することで、IPsec を使用する VPN 接続を介して、既存のネットワークを Google Cloud に安全に接続できます。2 つのネットワーク間のトラフィックは、一方の VPN ゲートウェイで暗号化され、もう一方の VPN ゲートウェイで復号されます。これにより、インターネットでデータをやり取りする際もデータが保護されます。ルート上のインスタンス タグを使用すると、トラフィックを VPN に送信する VM を動的に制御できます。Cloud VPN トンネルは、固定の月額料金に標準の下り料金が加算されて課金されます。同じプロジェクト内で 2 つのネットワークを接続しても、標準の下り(外向き)料金が適用されることに注意してください。詳細については、VPN の概要と、VPN ルーティング オプションの選択をご覧ください。

Cloud Storage バケットの保護

Cloud Storage を使用してデータとログのバックアップをホストする場合、送信中のデータを保護するため、VM から Cloud Storage へのデータ送信に必ず TLS(HTTPS)を使用してください。Cloud Storage は、保存データを自動的に暗号化します。独自の鍵管理システムを使用している場合は、独自の暗号鍵を指定できます。

セキュリティのベスト プラクティスについては、Cloud Storage のセキュリティをご覧ください。

Google Cloud 上の SAP 環境については、次の追加セキュリティ リソースをご覧ください。

バックアップと復元

最悪の事態が発生した場合のシステムの復旧方法を計画しておく必要があります。Google Cloud で障害復旧を計画する方法に関する一般的なガイダンスについては、次の情報をご覧ください。

ライセンス

このセクションでは、ライセンス要件について説明します。

SAP のライセンス

SAP ASE を Google Cloud で実行するには、お客様所有ライセンス(BYOL)が必要です。詳細情報

SAP ライセンスの詳細については、SAP にお問い合わせください。

オペレーティング システムのライセンス

Compute Engine では、SLES、RHEL、Windows Server のライセンスを取得する方法が 2 つあります。

  • 従量課金制ライセンスの場合、Compute Engine VM の 1 時間あたりの料金にライセンス料が含まれます。ライセンスは Google が管理しています。時間あたりの料金は高くなりますが、料金は柔軟で、使用量に応じて課金されます。これは、SLES、RHEL、Windows Server を含む Google Cloud パブリック イメージで採用されているライセンス モデルです。

  • BYOL の場合、ライセンス料が含まれていないため、Compute Engine VM の料金は低くなります。既存のライセンスを移行するか、独自のライセンスを購入する必要があります。この場合、前払いとなるため、料金の柔軟性は低くなります。

サポート

Google Cloud のインフラストラクチャやサービスに関する問題については、カスタマーケアにお問い合わせください。連絡先は、Google Cloud Console のサポートの概要ページで確認できます。カスタマーケアが SAP システムに問題があると判断した場合は、SAP サポートをご案内します。

SAP プロダクト関連の問題については、SAP サポートでサポート リクエストを送信してください。SAP はサポート チケットを評価し、Google Cloud インフラストラクチャの問題と見られるとの判断を行った場合は、チケットを Google Cloud コンポーネントの BC-OP-LNX-GOOGLE または BC-OP-NT-GOOGLE に転送します。

サポート要件

SAP システムと、そのシステムが使用する Google Cloud のインフラストラクチャおよびサービスに対するサポートを受けるには、サポートプランの最小限の要件を満たす必要があります。

Google Cloud での SAP に関する最小限のサポート要件について詳しくは、以下をご覧ください。

次のステップ

SAP ASE を Linux にデプロイするには、Linux 向け SAP ASE デプロイガイドをご覧ください。

SAP ASE を Windows にデプロイするには、Windows 向け SAP ASE デプロイガイドをご覧ください。