SAP ASE プランニング ガイド

このガイドでは、SAP Adaptive Server Enterprise(ASE)と Google Cloud Platform(GCP)の連携の概要について説明し、新しい SAP ASE システムの実装を計画する際に役立つ詳細情報を提供します。

GCP に SAP ASE をデプロイする方法の詳細については、次の情報をご覧ください。

GCP の基本

GCP は、クラウドベースの多くのサービスとプロダクトから構成されています。GCP 上で SAP プロダクトを実行する場合は、主に Compute EngineCloud Storage から提供される IaaS ベースのサービスと、開発および管理用ツールなどのプラットフォーム全体の機能を使用します。

重要なコンセプトと用語については、GCP プラットフォームの概要をご覧ください。このガイドでは、わかりやすく説明するため、この概要の情報を一部利用しています。

エンタープライズ規模の企業が GCP を利用する場合の考慮事項については、エンタープライズ企業のベスト プラクティスをご覧ください。

GCP の操作

GCP でプラットフォーム、リソース、クラウドを操作する場合、主に次の 3 つの方法があります。

  • Google Cloud Platform Console。これは、ウェブベースのユーザー インターフェースです。
  • gcloud コマンドライン ツール。GCP Console が提供する機能のスーパーセットです。
  • クライアント ライブラリ。サービスにアクセスし、リソースを管理するための API を提供します。クライアント ライブラリは、独自のツールを作成する場合に便利です。

GCP サービス

SAP のデプロイメントでは通常、次の GCP サービスの一部またはすべてを利用します。

サービス 説明
VPC ネットワーキング VM インスタンスを相互に接続します。また、インスタンスをインターネットに接続します。各インスタンスは、1 つのグローバル IP 範囲を持つレガシー ネットワークまたは推奨されるサブネット ネットワークのいずれかのメンバーです。後者の場合、インスタンスは、より大規模なネットワークを構成する単一サブネットワークのメンバーになります。1 つのネットワークが複数の GCP プロジェクトにまたがることはありませんが、GCP プロジェクトが複数のネットワークを使用する場合はあります。
Compute Engine 選択されたオペレーティング システムとソフトウェア スタックで VM を作成し、管理します。
Persistent Disk Persistent Disk には、標準ハードディスク ドライブ(HDD)またはソリッド ステート ドライブ(SSD)が使用できます。
Google Cloud Platform Console Compute Engine リソースを管理するブラウザベースのツール。このツールでは、テンプレートを使って、必要な Compute Engine リソースとインスタンスをすべて定義できます。GCP Console が自動的にリソースを作成し、依存関係を検出するので、リソースを個別に作成して構成する必要はありません。また、依存関係を指定する必要もありません。
Cloud Storage レプリケーション機能で SAP データベースのバックアップを Cloud Storage に保管することで、耐久性と信頼性を高めることができます。
Stackdriver Monitoring Compute Engine、ネットワーク、永続ディスクのデプロイメント状況、パフォーマンス、稼働時間、動作状況を視覚的に確認できます。

Stackdriver は、GCP から指標、イベント、メタデータを収集し、こららの分析結果をダッシュボード、グラフ、アラートを通じて提供します。Stackdriver Monitoring を使用すると、コンピューティング指標を無料でモニタリングできます。
Cloud IAM GCP リソースに対する権限を一元的に制御します。VM と永続ディスクの作成、変更、削除、ネットワークの作成と変更など、VM に対するコントロール プレーンの処理を実行できるユーザーを制御します。

料金と割り当て

料金計算ツールを使用すると、使用料金を概算できます。料金の詳細については、Compute Engine の料金Cloud Storage の料金Stackdriver の料金をご覧ください。

GCP リソースは割り当ての対象です。ハイ CPU またはハイメモリのマシンを使用する場合、割り当て量の追加リクエストが必要になる場合があります。詳細については、Compute Engine のリソース割り当てをご覧ください。

デプロイ アーキテクチャ

GCP 上の基本的な単一ノードの SAP ASE インストールは、次のコンポーネントで構成されています。

  • SAP ASE データベースを実行している 1 台の Compute Engine VM。
  • 4~5 個の接続された永続ディスク ドライブ。

    ドライブ コンテンツ Linux Windows
    データベース インスタンスのルート ディレクトリ sybase/[DBSID] ASE(D:)
    データベース データファイル /sybase/[DBSID]/sapdata ASE データ(E:)
    データベースのトランザクション ログ /sybase/[DBSID]/logdir ASE ログ(L:)
    データベースの一時テーブル スペース /sybase/[DBSID]/saptmp ASE 一時(T:)
    SAPTOOLS の診断テーブル スペース /sybase/[DBSID]/sapdiag 該当なし

必要に応じて、次のようにインストール環境を拡張できます。

  • バックアップ用のドライブ。Linux では、バックアップ ドライブは /sybasebackup です。Windows では Backup (X:) です。
  • NAT ゲートウェイ。NAT ゲートウェイを使用すると、仮想マシン(VM)とインターネットの直接接続は拒否しつつも、VM にインターネット接続を提供できます。また、この VM を踏み台インスタンスとして構成し、プライベート サブネット上の他の VM との SSH 接続を確立することもできます。詳細については、NAT ゲートウェイと踏み台インスタンスをご覧ください。
  • 次のような NetWeaver ディレクトリ。

    • /usr/sap(Linux)または SAP (S:)(Windows)
    • /sapmnt(Linux)または Pagefile (P:)(Windows)
  • ウォーム スタンバイ サーバー。SAP ASE の高可用性障害復旧(HADR)の常時オンのオプションを使用する場合は、セットアップする必要があります。ウォーム スタンバイ サーバーのディスク構成は、基本的な SAP ASE インストールと同じにする必要があります。

    SAP ASE の常時オンのオプションを使用する場合の重要なソフトウェア要件については、サポートされている SAP ASE の機能をご覧ください。

    SAP ASE 用に HADR を設定する方法の詳細については、HADR ユーザーガイドをご覧ください。

GCP 上の SAP ASE では、Pacemaker など障害マネージャー サーバーや、他の同様の高可用性リソース管理ソフトウェアはサポートされていません。

ユースケースによっては、追加のデバイスやデータベースが必要になる場合があります。詳細については、SAP ASE Configuration Guide for UNIX > Optional Devices and Databases をご覧ください。

リソース要件

GCP 上で SAP ASE を実行するのは、独自のデータセンターで実行する場合とよく似ています。データセンターの場合と同様、コンピューティング リソース、ストレージ、ネットワークのキャパシティについて検討する必要があります。詳細については、SAP Note 2537664: SAP ASE 16.0 Certification Report for GCP をご覧ください。

VM 構成

SAP ASE は、カスタムタイプを含むすべての Compute Engine マシンタイプで稼働することが確認されています。さまざまなマシンタイプとそのユースケースについては、Compute Engine ドキュメントのマシンタイプをご覧ください。

CPU 構成

必要な vCPU の数は、SAP ASE でのアプリケーションの負荷に応じて異なります。SAP ASE のインストール環境には、2 つ以上の vCPU を割り当てる必要があります。SAP ASE のパフォーマンスおよびチューニング ガイドに従って、既存のリソースを最大限に活用し、必要に応じてコンピューティング リソースを増やしてください。

メモリ構成

SAP ASE VM には、vCPU あたり少なくとも 4 GB の RAM が必要です。このうち、RAM の約 80% を SAP ASE に割り当て、残りを SAP ASE が実行されている OS に割り当てます。

ユースケースに最適なメモリ容量は、実行するクエリの複雑さ、データのサイズ、並列処理の量、期待されるパフォーマンス レベルによって異なります。メモリ構成の最適化に関する詳細については、SAP ASE Performance and Tuning Series をご覧ください。

ストレージ構成

デフォルトでは、それぞれの Compute Engine VM に、オペレーティング システムを含む小規模なルート永続ディスクが設定されています。さらに、データベース、ログ、ストアド プロシージャ用に追加ディスクの作成、接続、フォーマット、マウントを行う必要があります。

SAP ASE VM のストレージとして、標準の HDD 永続ディスクまたは SSD 永続ディスクを使用できます。永続ディスクのパフォーマンスは、ディスクサイズとホストマシン内の vCPU の数によって異なります。永続ディスクのパフォーマンス ベンチマークの詳細については、永続ディスクとローカル SSD のパフォーマンスの最適化をご覧ください。

ディスクサイズとパフォーマンスの要件はアプリケーションによって異なります。各デバイスのサイズはニーズに応じて決めてください。詳細については、Configuration Guide for UNIX > Determine the Size of a Database Device をご覧ください。

永続ディスクの概要については、以下の永続ディスクをご覧ください。

サポートされている SAP ASE のバージョン

SAP は、GCP が次の SAP ASE バージョンをサポートすることを認定しています。

  • SAP ASE 16.0 SP02 PL06 HF1
  • SAP ASE 16.0 SP02 PL07

GCP でサポートされている SAP ASE のバージョンの詳細については、SAP Note 2537664 をご覧ください。

サポートされている SAP ASE の機能

SAP は、GCP 上でほとんどの SAP ASE 16 の機能をサポートしています。ただし、次の機能はサポートしていません。

  • リアルタイムのデータサービス
  • ウェブサービス
  • Kerberos
  • IPv6
  • ネイティブ クラスタ マネージャーでの SAP ASE 高可用性オプション
  • データベース デバイスとしての RAW ディスク
  • カーネル プロセス モード
  • Tivoli ストレージ管理

GCP では、SAP ASE の常時オンのオプションは、次のオペレーティング システムでサポートされています。

  • Red Hat Enterprise Linux(RHEL)Server 7.4
  • SUSE Linux Enterprise Server(SLES)12 SP3
  • Windows Server 2012 R2

Linux では、SAP ASE の常時オンのオプションには次の要件があります。

  • ASE 16.0 SP02 PL07
  • libgcc システム ライブラリ

    • RHEL 7.4 では、libgcc.i686 をインストールします。
    • SLES 12 SP3 では、libgcc_s1 をインストールします。
  • glibc システム ライブラリ

    • RHEL 7.4 では、glibc.i686 をインストールします。
    • SLES 12 SP3 では、glibc をインストールします。

GCP でサポートされている SAP ASE 機能の詳細については、SAP Note 2537664 をご覧ください。

サポートされているオペレーティング システム

GCP での SAP ASE の実行用に SAP が認定している SUSE Linux Enterprise Server(SLES)、Red Hat Enterprise Linux(RHEL)、Windows Server の各オペレーティング システム イメージは次のとおりです。

  • RHEL 7.3 および 7.4
  • SLES 12 SP2 および SP3
  • Windows Server 2012 R2

Compute Engine イメージの詳細については、イメージをご覧ください。

デプロイメントに関する考慮事項

リージョンとゾーン

VM をデプロイするときに、リージョンとゾーンを選択する必要があります。リージョンとは、リソースを実行できる特定の地理的な場所で、データセンターの場所に対応します。1 つのリージョンには 1 つまたは複数のゾーンがあります。

事前に構成されたディスク イメージやディスク スナップショットなどのグローバル リソースは、リージョンやゾーンを越えてアクセスできます。静的外部 IP アドレスなどのリージョン リソースには、同じリージョン内のリソースのみがアクセスできます。VM やディスクなどのゾーンリソースには、同じゾーン内のリソースのみがアクセスできます。

GCP のリージョンとゾーン

VM のリージョンとゾーンを選択する場合は、次の点に注意してください。

  • ユーザーとユーザーの内部リソースの場所(データセンターや企業ネットワークなど)。レイテンシを短縮するには、ユーザーやリソースに最も近い場所を選択する必要があります。
  • 他の SAP リソースの場所。SAP アプリケーションとデータベースは同じゾーンに配置する必要があります。

永続ディスク

永続ディスクは長期的なストレージ デバイスであり、パソコンやサーバーの物理ディスクと同じように機能します。Google はこれらのデバイスの背後にあるハードウェアを管理して、データの冗長性を保証し、パフォーマンスを最適化しています。永続ディスクには、標準ハードディスク ドライブ(HDD)またはソリッド ステート ドライブ(SSD)が使用できます。標準 HDD 永続ディスクは、順次読み取り / 書き込みオペレーションの処理には効率的かつ経済的な選択肢ですが、1 秒あたりのランダム入出力オペレーション(IOPS)量が多い処理には不向きです。

永続ディスクは VM とは独立して存在するので、VM を削除した後でも、永続ディスクを接続解除または移動して、データを保持できます。永続ディスクのパフォーマンスはディスクサイズに応じて自動的に調整されます。つまり、既存の永続ディスクのサイズ変更や VM への永続ディスクの追加を行うことで、ストレージ容量の要件だけでなくパフォーマンスの要件も満たすことができます。

ローカル SSD(非永続)

GCP ではローカル SSD ディスク ドライブも提供しています。ローカル SSD は永続ディスクにはない利点がいくつかありますが、SAP ASE システムの一部として使用しないでください。ローカル SSD が接続されている VM インスタンスを停止して、再起動することはできません。

NAT ゲートウェイと踏み台インスタンス

VM を完全に内部的なものにすることがセキュリティ ポリシーの要件となっている場合、ネットワーク上で NAT プロキシを手動で設定し、対応するルートを設定する必要があります。これにより、VM とインターネットとの接続が可能となります。SSH を使用して完全な内部 VM インスタンスに直接接続することはできません。このような内部マシンに接続するには、外部 IP アドレスを持つ踏み台インスタンスを設定し、そのアドレスからトンネル接続を行う必要があります。外部 IP アドレスを持たない VM に他の VM から到達するには、その VM が同じネットワーク上にあるか、マネージド VPN ゲートウェイを経由する必要があります。ネットワーク内の VM を、受信接続(踏み台インスタンス)または下りネットワーク(NAT ゲートウェイ)用の信頼できるリレーとしてプロビジョニングできます。このような接続の設定が不要な透過的な接続を行うには、マネージド VPN ゲートウェイ リソースを使用します。

受信接続に踏み台インスタンスを使用する

踏み台インスタンスは、ネットワーク(プライベート ネットワーク内に VM を含む)と外部とのエントリ ポイントを提供します。このインスタンスで要塞化や監査を一元的に行うことができます。また、インターネットからの受信 SSH 通信を有効または無効にするために、このインスタンスを起動または停止できます。

SSH シナリオの踏み台インスタンス

最初に踏み台インスタンスに接続することで、外部 IP アドレスを持たない VM への SSH アクセスを確立できます。踏み台インスタンスの完全な強化は、本ガイドの範囲外ですが、最初に実施する対策としては次のものがあります。

  • 踏み台インスタンスと通信できるソース IP の CIDR 範囲を制限します。
  • 踏み台インスタンスからのみプライベート VM への SSH トラフィックを許可するように、ファイアウォール ルールを構成します。

デフォルトでは、VM 上の SSH は、認証用に秘密鍵を使用するように構成されます。踏み台インスタンスを使用する場合、まず踏み台インスタンスにログインし、次にターゲット プライベート VM にログインします。このように 2 段階でログインを行うため、ターゲット VM の秘密鍵を踏み台インスタンスに保存する代わりに、SSH エージェント転送を使用してターゲット VM に接続する必要があります。これは、踏み台インスタンスとターゲット VM に同じ鍵のペアを使用する場合でも必要です。踏み台インスタンスは、鍵のペアの公開鍵にしか直接アクセスできないためです。

下りトラフィックに NAT ゲートウェイを使用する

VM に外部 IP アドレスが割り当てられていない場合、他の GCP サービスを含め、外部サービスに直接接続できません。これらの VM がインターネット上のサービスに到達できるようにするには、NAT ゲートウェイをセットアップして構成します。NAT ゲートウェイは、ネットワーク上の他の VM の代わりにトラフィックをルーティングする VM です。ネットワークごとに 1 つの NAT ゲートウェイを構成する必要があります。単一 VM の NAT ゲートウェイは可用性が高いとみなすことはできず、複数の VM の高スループットのトラフィックをサポートできません。NAT ゲートウェイとして機能するように VM を設定する手順については、Linux 向け SAP ASE デプロイガイドまたは Windows 向け SAP ASE デプロイガイドをご覧ください。

カスタム イメージ

システムが稼働したらカスタム イメージを作成できます。これらのイメージは、ルート永続ディスクの状態を変更したときに作成する必要があります。こうすることで、その新しい状態を簡単に復元できるようになります。作成したカスタム イメージの管理方法についても計画を立てる必要があります。詳細については、イメージ管理のベスト プラクティスをご覧ください。

ネットワークとセキュリティ

ネットワークとセキュリティを計画する際は、以降のセクションの情報を参考にしてください。

最小権限モデル

最前線の防御策としてまず行うべきことは、ファイアウォールを使用してネットワークと VM にアクセスできるユーザーを制限することです。デフォルトでは、アクセスを許可するルールを作成しない限り、VM へのトラフィックはすべてファイアウォールによってブロックされます。他の VM からのトラフィックについても同様です。例外は、各プロジェクトで自動的に作成され、デフォルトのファイアウォール ルールが設定されているデフォルトのネットワークです。

ファイアウォール ルールを作成することで、特定のポートセットに対するアクセスを特定の送信元 IP アドレスからのトラフィックに制限できます。このとき、最小権限モデルに従って特定の IP アドレス、プロトコル、ポートへのアクセスのみを許可し、不要なアクセスを防ぐ必要があります。たとえば、踏み台インスタンスを常に設定し、そのインスタンスからのみ SAP NetWeaver システムへの SSH 接続を許可する必要があります。

アクセス管理

実装を計画する前に、GCP でのアクセス管理の方法を理解しておく必要があります。計画では次のことを決める必要があります。

  • GCP でリソースを整理する方法
  • リソースへのアクセスを許可するチームメンバー
  • 各チームメンバーの権限
  • サービスやアプリケーションが使用するサービス アカウントと、その場合に付与する権限のレベル

まず、Cloud Platform のリソース階層について理解しましょう。さまざまなリソース コンテナとその関連性、アクセス境界について調べる必要があります。

Cloud Identity and Access Management(IAM)は、GCP リソースに対する権限を一元管理します。誰がどのリソースにアクセスできるのかを定義することで、アクセス制御を管理できます。たとえば、VM、永続ディスク、ネットワークの作成や変更など、SAP インスタンスに対するコントロール プレーンの処理を実行できるユーザーを制御できます。

IAM の詳細については、IAM の概要をご覧ください。

Compute Engine での Cloud IAM の概要については、アクセス制御オプションをご覧ください。

IAM 役割は、ユーザーに権限を付与する重要な機能です。役割とそれによって付与される権限の詳細については、Identity and Access Management の役割をご覧ください。

アプリケーションやサービスに権限を付与するときに GCP のサービス アカウントを使用できます。Compute Engine でサービス アカウントがどのように機能するか理解しておく必要があります。詳細については、サービス アカウントをご覧ください。

カスタム ネットワークとファイアウォール ルール

ネットワークを使用して、ネットワークに接続している VM のゲートウェイ IP とネットワーク範囲を定義できます。すべての Compute Engine ネットワークは IPv4 プロトコルを使用します。どの GCP プロジェクトにも、構成とファイアウォール ルールが事前に設定されたデフォルトのネットワークが用意されていますが、最小権限モデルに基づいてカスタム サブネットワークとファイアウォール ルールを追加する必要があります。デフォルトでは、新たに作成されたネットワークにはファイアウォール ルールがありません。つまり、このネットワークにはアクセスできません。

要件によっては、サブネットワークを追加してネットワークの一部を分離しなければならないこともあります。詳細については、サブネットワークをご覧ください。

ファイアウォール ルールは、ネットワーク全体とネットワーク内のすべての VM に適用されます。同じネットワーク内の VM 間またはサブネットワーク間のトラフィックを許可するファイアウォール ルールを追加できます。タグを使用して、特定のターゲット VM に適用されるようにファイアウォールを構成することもできます。

SAP NetWeaver などの一部の SAP プロダクトでは、特定のポートへのアクセスが必要になります。SAP が定義しているポートへのアクセスを許可するファイアウォール ルールを追加してください。

ルート

ルートは、1 つのネットワークに関連付けられるグローバル リソースです。ユーザーが作成したルートは、ネットワーク内のすべての VM に適用されます。つまり、外部 IP アドレスを使用せずに、同じネットワーク内の VM 間またはサブネットワーク間のトラフィックを転送するルートを追加できます。

インターネット リソースへの外部アクセスの場合、外部 IP アドレスを指定せずに VM を起動し、別の仮想マシンを NAT ゲートウェイとして構成します。この構成では、SAP インスタンスへのルートとして NAT ゲートウェイを追加する必要があります。詳細については、NAT ゲートウェイと踏み台インスタンスをご覧ください。

Google Cloud VPN

Cloud VPN を使用すると、IPsec 経由の VPN 接続を介して、GCP と既存のネットワークを安全に接続できます。2 つのネットワーク間を移動するトラフィックは、一方の VPN ゲートウェイで暗号化され、もう一方の VPN ゲートウェイで復号されます。これにより、インターネットでデータをやり取りする際もデータが保護されます。ルート上のインスタンス タグを使用すると、トラフィックを VPN に送信する VM を動的に制御できます。Cloud VPN トンネルは、固定の月額料金に標準の下り料金が加算されて課金されます。同じプロジェクト内で 2 つのネットワークを接続しても、標準の下り料金が適用されることに注意してください。詳細については、VPN の概要と、VPN ルーティング オプションの選択をご覧ください。

Cloud Storage バケットの保護

Cloud Storage を使用してデータとログのバックアップをホストする場合、送信中のデータを保護するため、VM から Cloud Storage へのデータ送信に必ず TLS(HTTPS)を使用してください。Cloud Storage は保存されるデータを自動的に暗号化します。独自の鍵管理システムを使用している場合は、独自の暗号鍵を指定できます。

セキュリティのベスト プラクティスについては、Cloud Storage のセキュリティをご覧ください。

GCP 上の SAP 環境については、以下のセキュリティ リソースもご覧ください。

バックアップと復元

最悪の事態が発生した場合のシステムの復旧方法を計画しておく必要があります。GCP で障害復旧を計画する方法に関する一般的なガイダンスについては、次の情報をご覧ください。

ライセンス

このセクションでは、ライセンス要件について説明します。

SAP のライセンス

SAP ASE を GCP で実行するには、お客様所有ライセンス(BYOL)が必要です。詳細については、次の情報をご覧ください。

SAP ライセンスの詳細については、SAP にお問い合わせください。

オペレーティング システムのライセンス

Compute Engine では、SLES、RHEL、Windows Server のライセンスを取得する方法が 2 つあります。

  • 従量課金制ライセンスの場合、Compute Engine VM の 1 時間あたりの料金にライセンス料が含まれます。ライセンスは Google が管理しています。時間あたりの料金は高くなりますが、料金は柔軟で、使用量に応じて課金されます。これは、SLES、RHEL、Windows Server を含む GCP パブリック イメージで採用されているライセンス モデルです。

  • BYOL の場合、ライセンス料が含まれていないため、Compute Engine VM の料金は低くなります。既存のライセンスを移行するか、独自のライセンスを購入する必要があります。この場合、前払いとなるため、料金の柔軟性は低くなります。

サポート

本番環境サポートの役割またはエンタープライズ サポートのいずれかを持つ Google Cloud Platform のお客様は、SAP システムに必要な GCP リソースのプロビジョニングと構成に関するサポートを利用できます。本番環境での SAP システムのサポートには、GCP 本番環境レベルのサポートまたはエンタープライズ サポートが必要です。

GCP サポート オプションの詳細については、Google Cloud Platform のサポートをご覧ください。

SAP プロダクト関連の問題については、SAP サポートでサポート リクエストを送信してください。SAP はサポート チケットを評価し、GCP インフラストラクチャの問題と判断した場合は、そのチケットを GCP キューに転送します。

次のステップ

SAP ASE を Linux にデプロイするには、Linux 向け SAP ASE デプロイガイドをご覧ください。

SAP ASE を Windows にデプロイするには、Windows 向け SAP ASE デプロイガイドをご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...