SAP MaxDB プランニング ガイド

このガイドでは、SAP MaxDB と Google Cloud Platform(GCP)の連携の概要について説明します。また、新しい SAP MaxDB システムの実装を計画する際に役立つ情報を提供します。

SAP MaxDB を GCP にデプロイする方法については、以下をご覧ください。

SAP MaxDB に関する SAP の詳細情報については、以下をご覧ください。

GCP の基本

GCP は、クラウドベースの多くのサービスとプロダクトから構成されています。GCP 上で SAP プロダクトを実行する場合は、主に Compute EngineCloud Storage から提供される IaaS ベースのサービスと、開発および管理用ツールなどのプラットフォーム全体の機能を使用します。

重要なコンセプトと用語については、GCP プラットフォームの概要をご覧ください。このガイドでは、わかりやすく説明するため、この概要の情報を一部利用しています。

エンタープライズ規模の企業が GCP を利用する場合の考慮事項については、エンタープライズ企業のベスト プラクティスをご覧ください。

GCP の操作

GCP でプラットフォーム、リソース、クラウドを操作する場合、主に次の 3 つの方法があります。

  • Google Cloud Platform Console。これは、ウェブベースのユーザー インターフェースです。
  • gcloud コマンドライン ツール。GCP Console が提供する機能のスーパーセットです。
  • クライアント ライブラリ。サービスにアクセスし、リソースを管理するための API を提供します。クライアント ライブラリは、独自のツールを作成する場合に便利です。

GCP サービス

SAP のデプロイメントでは通常、次の GCP サービスの一部またはすべてを利用します。

サービス 説明
VPC ネットワーキング VM インスタンスを相互に接続します。また、インスタンスをインターネットに接続します。各インスタンスは、1 つのグローバル IP 範囲を持つレガシー ネットワークまたは推奨されるサブネット ネットワークのいずれかのメンバーです。後者の場合、インスタンスは、より大規模なネットワークを構成する単一サブネットワークのメンバーになります。1 つのネットワークが複数の GCP プロジェクトにまたがることはありませんが、GCP プロジェクトが複数のネットワークを使用する場合はあります。
Compute Engine 選択されたオペレーティング システムとソフトウェア スタックで VM を作成し、管理します。
Persistent Disk Persistent Disk には、標準ハードディスク ドライブ(HDD)またはソリッド ステート ドライブ(SSD)が使用できます。
Google Cloud Platform Console Compute Engine リソースを管理するブラウザベースのツール。このツールでは、テンプレートを使って、必要な Compute Engine リソースとインスタンスをすべて定義できます。GCP Console が自動的にリソースを作成し、依存関係を検出するので、リソースを個別に作成して構成する必要はありません。また、依存関係を指定する必要もありません。
Cloud Storage レプリケーション機能で SAP データベースのバックアップを Cloud Storage に保管することで、耐久性と信頼性を高めることができます。
Stackdriver Monitoring Compute Engine、ネットワーク、永続ディスクのデプロイメント状況、パフォーマンス、稼働時間、動作状況を視覚的に確認できます。

Stackdriver は、GCP から指標、イベント、メタデータを収集し、こららの分析結果をダッシュボード、グラフ、アラートを通じて提供します。Stackdriver Monitoring を使用すると、コンピューティング指標を無料でモニタリングできます。
Cloud IAM GCP リソースに対する権限を一元的に制御します。VM と永続ディスクの作成、変更、削除、ネットワークの作成と変更など、VM に対するコントロール プレーンの処理を実行できるユーザーを制御します。

料金と割り当て

料金計算ツールを使用すると、使用料金を概算できます。料金の詳細については、Compute Engine の料金Cloud Storage の料金Stackdriver の料金をご覧ください。

GCP リソースは割り当ての対象です。ハイ CPU またはハイメモリのマシンを使用する場合、割り当て量の追加リクエストが必要になる場合があります。詳細については、Compute Engine のリソース割り当てをご覧ください。

デプロイ アーキテクチャ

GCP 上の基本的な単一ノードの SAP MaxDB 環境は次のコンポーネントから構成されています。

  • SAP MaxDB データベースを実行している 1 台の Compute Engine VM。
  • 3~4 個の接続された永続ディスク ドライブ。

    ドライブ コンテンツ Linux Windows
    データベース インスタンスのルート ディレクトリ /sapdb/[DBSID] MaxDB (D:)
    データベース データファイル /sapdb/[DBSID]/sapdata MaxDB Data (E:)
    データベースのトランザクション ログ /sapdb/[DBSID]/saplog MaxDB Log (L:)
    データベースのバックアップ(オプション) /maxdbbackup Backup (X:)

必要に応じて、次のようにインストール環境を拡張できます。

  • 次のような NetWeaver ディレクトリ。

    • /usr/sap(Linux)または SAP (S:)(Windows)
    • /sapmnt(Linux)または Pagefile (P:)(Windows)
  • NAT ゲートウェイ。NAT ゲートウェイを使用すると、仮想マシン(VM)とインターネットの直接接続は拒否しつつも、VM にインターネット接続を提供できます。また、この VM を踏み台インスタンスとして構成し、プライベート サブネット上の他の VM との SSH 接続を確立することもできます。詳細については、NAT ゲートウェイと踏み台インスタンスをご覧ください。

ユースケースによっては、追加のデバイスやデータベースが必要になる場合があります。詳細については、SAP ヘルプポータルで MaxDB のドキュメントをご覧ください。

リソース要件

GCP 上で SAP MaxDB を実行するのは、独自のデータセンターで実行する場合とよく似ています。データセンターの場合と同様、コンピューティング リソース、ストレージ、ネットワークのキャパシティについて検討する必要があります。詳細については、2456432 - SAP Applications on Google Cloud Platform: Supported Products and Google VM types をご覧ください。

VM 構成

SAP MaxDB は、カスタムタイプを含むすべての Compute Engine マシンタイプで動作が保証されています。ただし、SAP NetWeaver または Application Server Central Services(ASCS)と同じ VM で MaxDB を実行する場合、SAP NetWeaver でサポートされている VM を使用する必要があります。SAP NetWeaver がサポートする VM の一覧については、SAP NetWeaver プランニング ガイドをご覧ください。

Google Cloud Platform で利用可能なすべてのマシンタイプとそのユースケースについては、Compute Engine のドキュメントでマシンタイプをご覧ください。

CPU 構成

MaxDB に選択する vCPU の数は、アプリケーションの負荷とパフォーマンス目標によって異なります。SAP MaxDB のインストールには、2 つ以上の vCPU を割り当てる必要があります。最高のパフォーマンスを得るには、パフォーマンス目標が達成されるまで vCPU の数と永続ディスクのサイズを調整します。MaxDB に関する SAP の追加情報については、SAP ヘルプポータルをご覧ください。

メモリ構成

SAP MaxDB システムに割り当てるメモリは、ユースケースによって異なります。ユースケースに最適なメモリ容量は、実行するクエリの複雑さ、データのサイズ、並列処理の量、期待されるパフォーマンス レベルによって異なります。

MaxDB に関する SAP の追加情報については、SAP ヘルプポータルをご覧ください。

ストレージ構成

デフォルトでは、それぞれの Compute Engine VM に、オペレーティング システムを含む小規模なルート永続ディスクが設定されています。データベースのデータ、ログ、データベースのバックアップ(必要な場合)に追加のディスクをプロビジョニングします。

GCP では、ストレージとして標準の HDD 永続ディスクと SSD 永続ディスクを使用できます。SSD ディスクのほうが高いパフォーマンスを得られます。MaxDB ログボリュームには SSD 永続ディスクを使用します。パフォーマンス目標に応じて、MaxDB データ ボリュームにも SSD 永続ディスクの使用を検討してください。

MaxDB データベースのパフォーマンスは、永続ディスクのサイズとホストマシンの vCPU の数によっても異なります。アプリケーションのパフォーマンス要件に合わせて、ログとデータのディスクサイズと vCPU の数を調整します。

永続ディスクのパフォーマンス ベンチマークの詳細については、永続ディスクとローカル SSD のパフォーマンスの最適化をご覧ください。

SAP からの追加情報。

永続ディスクの概要については、以下の永続ディスクをご覧ください。

サポートされている SAP MaxDB のバージョンと機能

SAP は、GCP での SAP MaxDB バージョン 7.9.09 以降の使用を認定しています。

SAP はまた、以下のバージョンの SAP liveCache と SAP Content Server の GCP での使用を認定しています。

  • SAP LC/LCAPPS 10.0 SP 39 以降の SAP liveCache テクノロジー(EhP 4 for SAP SCM 7.0 以降用の liveCache 7.9.09.09 および LCA-Build 39 を含む)
  • Internet Information Services 10(IIS)を使用している Windows での SAP Content Server 6.50
  • Apache Web Server 2.4.x を使用している Linux での SAP Content Server 6.50

liveCache のサポート対象バージョンの詳細については、SAP Note 2074842 をご覧ください。

GCP でサポートされている SAP 製品の詳細については、2456432 - SAP Applications on Google Cloud Platform: Supported Products and Google VM types をご覧ください。

サポートされているオペレーティング システム

GCP での SAP MaxDB の実行用に SAP が認定している SUSE Linux Enterprise Server(SLES)、Red Hat Enterprise Linux(RHEL)、Windows Server オペレーティング システム イメージは次のとおりです。

  • RHEL 7.4
  • SLES 12 SP3
  • Windows Server 2016

Compute Engine イメージの詳細については、イメージをご覧ください。

デプロイメントに関する考慮事項

リージョンとゾーン

VM をデプロイするときに、リージョンとゾーンを選択する必要があります。リージョンとは、リソースを実行できる特定の地理的な場所で、データセンターの場所に対応します。1 つのリージョンには 1 つまたは複数のゾーンがあります。

事前に構成されたディスク イメージやディスク スナップショットなどのグローバル リソースは、リージョンやゾーンを越えてアクセスできます。静的外部 IP アドレスなどのリージョン リソースには、同じリージョン内のリソースのみがアクセスできます。VM やディスクなどのゾーンリソースには、同じゾーン内のリソースのみがアクセスできます。

GCP のリージョンとゾーン

VM のリージョンとゾーンを選択する場合は、次の点に注意してください。

  • ユーザーとユーザーの内部リソースの場所(データセンターや企業ネットワークなど)。レイテンシを短縮するには、ユーザーやリソースに最も近い場所を選択する必要があります。
  • 他の SAP リソースの場所。SAP アプリケーションとデータベースは同じゾーンに配置する必要があります。

永続ディスク

永続ディスクは長期的なストレージ デバイスであり、パソコンやサーバーの物理ディスクと同じように機能します。Google はこれらのデバイスの背後にあるハードウェアを管理して、データの冗長性を保証し、パフォーマンスを最適化しています。永続ディスクには、標準ハードディスク ドライブ(HDD)またはソリッド ステート ドライブ(SSD)が使用できます。標準 HDD 永続ディスクは、順次読み取り / 書き込みオペレーションの処理には効率的かつ経済的な選択肢ですが、1 秒あたりのランダム入出力オペレーション(IOPS)量が多い処理には不向きです。

永続ディスクは VM とは独立して存在するので、VM を削除した後でも、永続ディスクを接続解除または移動して、データを保持できます。永続ディスクのパフォーマンスはディスクサイズに応じて自動的に調整されます。つまり、既存の永続ディスクのサイズ変更や VM への永続ディスクの追加を行うことで、ストレージ容量の要件だけでなくパフォーマンスの要件も満たすことができます。

ローカル SSD(非永続)

GCP ではローカル SSD ディスク ドライブも提供しています。ローカル SSD は永続ディスクにはない利点がいくつかありますが、SAP MaxDB システムの一部として使用しないでください。ローカル SSD が接続されている VM インスタンスを停止して、再起動することはできません。

NAT ゲートウェイと踏み台インスタンス

VM を完全に内部的なものにすることがセキュリティ ポリシーの要件となっている場合、ネットワーク上で NAT プロキシを手動で設定し、対応するルートを設定する必要があります。これにより、VM とインターネットとの接続が可能となります。SSH を使用して完全な内部 VM インスタンスに直接接続することはできません。このような内部マシンに接続するには、外部 IP アドレスを持つ踏み台インスタンスを設定し、そのアドレスからトンネル接続を行う必要があります。外部 IP アドレスを持たない VM に他の VM から到達するには、その VM が同じネットワーク上にあるか、マネージド VPN ゲートウェイを経由する必要があります。ネットワーク内の VM を、受信接続(踏み台インスタンス)または下りネットワーク(NAT ゲートウェイ)用の信頼できるリレーとしてプロビジョニングできます。このような接続の設定が不要な透過的な接続を行うには、マネージド VPN ゲートウェイ リソースを使用します。

受信接続に踏み台インスタンスを使用する

踏み台インスタンスは、ネットワーク(プライベート ネットワーク内に VM を含む)と外部とのエントリ ポイントを提供します。このインスタンスで要塞化や監査を一元的に行うことができます。また、インターネットからの受信 SSH 通信を有効または無効にするために、このインスタンスを起動または停止できます。

SSH シナリオの踏み台インスタンス

最初に踏み台インスタンスに接続することで、外部 IP アドレスを持たない VM への SSH アクセスを確立できます。踏み台インスタンスの完全な強化は、本ガイドの範囲外ですが、最初に実施する対策としては次のものがあります。

  • 踏み台インスタンスと通信できるソース IP の CIDR 範囲を制限します。
  • 踏み台インスタンスからのみプライベート VM への SSH トラフィックを許可するように、ファイアウォール ルールを構成します。

デフォルトでは、VM 上の SSH は、認証用に秘密鍵を使用するように構成されます。踏み台インスタンスを使用する場合、まず踏み台インスタンスにログインし、次にターゲット プライベート VM にログインします。このように 2 段階でログインを行うため、ターゲット VM の秘密鍵を踏み台インスタンスに保存する代わりに、SSH エージェント転送を使用してターゲット VM に接続する必要があります。これは、踏み台インスタンスとターゲット VM に同じ鍵のペアを使用する場合でも必要です。踏み台インスタンスは、鍵のペアの公開鍵にしか直接アクセスできないためです。

下りトラフィックに NAT ゲートウェイを使用する

VM に外部 IP アドレスが割り当てられていない場合、他の GCP サービスを含め、外部サービスに直接接続できません。これらの VM がインターネット上のサービスに到達できるようにするには、NAT ゲートウェイをセットアップして構成します。NAT ゲートウェイは、ネットワーク上の他の VM の代わりにトラフィックをルーティングする VM です。ネットワークごとに 1 つの NAT ゲートウェイを構成する必要があります。1 つの VM の NAT ゲートウェイでは、複数の VM で高スループットのトラフィック処理を実現できないため、可用性は高いといえません。NAT ゲートウェイとして機能するように VM を設定する手順については、Linux 向け SAP MaxDB デプロイガイドまたは Windows 向け SAP MaxDB デプロイガイドをご覧ください。

カスタム イメージ

システムが稼働したらカスタム イメージを作成できます。これらのイメージは、ルート永続ディスクの状態を変更したときに作成する必要があります。こうすることで、その新しい状態を簡単に復元できるようになります。作成したカスタム イメージの管理方法についても計画を立てる必要があります。詳細については、イメージ管理のベスト プラクティスをご覧ください。

ネットワークとセキュリティ

ネットワークとセキュリティを計画する際は、以降のセクションの情報を参考にしてください。

最小権限モデル

最前線の防御策としてまず行うべきことは、ファイアウォールを使用してネットワークと VM にアクセスできるユーザーを制限することです。デフォルトでは、アクセスを許可するルールを作成しない限り、VM へのトラフィックはすべてファイアウォールによってブロックされます。他の VM からのトラフィックについても同様です。例外は、各プロジェクトで自動的に作成され、デフォルトのファイアウォール ルールが設定されているデフォルトのネットワークです。

ファイアウォール ルールを作成することで、特定のポートセットに対するアクセスを特定の送信元 IP アドレスからのトラフィックに制限できます。このとき、最小権限モデルに従って特定の IP アドレス、プロトコル、ポートへのアクセスのみを許可し、不要なアクセスを防ぐ必要があります。たとえば、踏み台インスタンスを常に設定し、そのインスタンスからのみ SAP NetWeaver システムへの SSH 接続を許可する必要があります。

アクセス管理

実装を計画する前に、GCP でのアクセス管理の方法を理解しておく必要があります。計画では次のことを決める必要があります。

  • GCP でリソースを整理する方法
  • リソースへのアクセスを許可するチームメンバー
  • 各チームメンバーの権限
  • サービスやアプリケーションが使用するサービス アカウントと、その場合に付与する権限のレベル

まず、Cloud Platform のリソース階層について理解しましょう。さまざまなリソース コンテナとその関連性、アクセス境界について調べる必要があります。

Cloud Identity and Access Management(IAM)は、GCP リソースに対する権限を一元管理します。誰がどのリソースにアクセスできるのかを定義することで、アクセス制御を管理できます。たとえば、VM、永続ディスク、ネットワークの作成や変更など、SAP インスタンスに対するコントロール プレーンの処理を実行できるユーザーを制御できます。

Cloud IAM の詳細については、Cloud IAM の概要をご覧ください。

Compute Engine での Cloud IAM の概要については、アクセス制御オプションをご覧ください。

IAM 役割は、ユーザーに権限を付与する重要な機能です。役割とそれによって付与される権限の詳細については、Identity and Access Management の役割をご覧ください。

アプリケーションやサービスに権限を付与するときに GCP のサービス アカウントを使用できます。Compute Engine 内でサービス アカウントがどのように機能するか理解しておく必要があります。詳細については、サービス アカウントをご覧ください。

カスタム ネットワークとファイアウォール ルール

ネットワークを使用して、ネットワークに接続している VM のゲートウェイ IP とネットワーク範囲を定義できます。すべての Compute Engine ネットワークは IPv4 プロトコルを使用します。どの GCP プロジェクトにも、構成とファイアウォール ルールが事前に設定されたデフォルトのネットワークが用意されていますが、最小権限モデルに基づいてカスタム サブネットワークとファイアウォール ルールを追加する必要があります。デフォルトでは、新たに作成されたネットワークにはファイアウォール ルールがありません。つまり、このネットワークにはアクセスできません。

要件によっては、サブネットワークを追加してネットワークの一部を分離しなければならないこともあります。詳細については、サブネットワークをご覧ください。

ファイアウォール ルールは、ネットワーク全体とネットワーク内のすべての VM に適用されます。同じネットワーク内の VM 間またはサブネットワーク間のトラフィックを許可するファイアウォール ルールを追加できます。タグを使用して、特定のターゲット VM に適用されるようにファイアウォールを構成することもできます。

SAP NetWeaver などの一部の SAP プロダクトでは、特定のポートへのアクセスが必要になります。SAP が定義しているポートへのアクセスを許可するファイアウォール ルールを追加してください。

ルート

ルートは、1 つのネットワークに関連付けられるグローバル リソースです。ユーザーが作成したルートは、ネットワーク内のすべての VM に適用されます。つまり、外部 IP アドレスを使用せずに、同じネットワーク内の VM 間またはサブネットワーク間のトラフィックを転送するルートを追加できます。

インターネット リソースへの外部アクセスの場合、外部 IP アドレスを指定せずに VM を起動し、別の仮想マシンを NAT ゲートウェイとして構成します。この構成では、SAP インスタンスへのルートとして NAT ゲートウェイを追加する必要があります。詳細については、NAT ゲートウェイと踏み台インスタンスをご覧ください。

Cloud VPN

Cloud VPN を使用すると、IPsec 経由の VPN 接続を介して、GCP と既存のネットワークを安全に接続できます。2 つのネットワーク間を移動するトラフィックは、一方の VPN ゲートウェイで暗号化され、もう一方の VPN ゲートウェイで復号されます。これにより、インターネットでデータをやり取りする際もデータが保護されます。ルート上のインスタンス タグを使用すると、トラフィックを VPN に送信する VM を動的に制御できます。Cloud VPN トンネルは、固定の月額料金に標準の下り料金が加算されて課金されます。同じプロジェクト内で 2 つのネットワークを接続しても、標準の下り料金が適用されることに注意してください。詳細については、Cloud VPN の概要VPN の作成をご覧ください。

Cloud Storage バケットの保護

Cloud Storage を使用してデータとログのバックアップをホストする場合、送信中のデータを保護するため、VM から Cloud Storage へのデータ送信に必ず TLS(HTTPS)を使用してください。Cloud Storage は保存データを自動的に暗号化します。独自の鍵管理システムを使用している場合は、独自の暗号鍵を指定できます。

セキュリティのベスト プラクティスについては、Cloud Storage のセキュリティをご覧ください。

GCP 上の SAP 環境については、以下のセキュリティ リソースもご覧ください。

バックアップとリカバリ

最悪の事態が発生した場合のシステムの復旧方法を計画しておく必要があります。GCP で障害復旧を計画する方法に関する一般的なガイダンスについては、次の情報をご覧ください。

ライセンス

このセクションでは、ライセンス要件について説明します。

SAP のライセンス

SAP MaxDB を GCP で実行するには、Bring Your Own License(BYOL)が必要です。詳細については、次のトピックをご覧ください。

SAP ライセンスの詳細については、SAP にお問い合わせください。

オペレーティング システムのライセンス

Compute Engine では、SLES、RHEL、Windows Server のライセンスを取得する方法が 2 つあります。

  • 従量課金制ライセンスの場合、Compute Engine VM の 1 時間あたりの料金にライセンス料が含まれます。ライセンスは Google が管理しています。時間あたりの料金は高くなりますが、料金は柔軟で、使用量に応じて課金されます。これは、SLES、RHEL、Windows Server を含む GCP パブリック イメージで採用されているライセンス モデルです。

  • BYOL の場合、ライセンス料が含まれていないため、Compute Engine VM の料金は低くなります。既存のライセンスを移行するか、独自のライセンスを購入する必要があります。この場合、前払いとなるため、料金の柔軟性は低くなります。

サポート

本番環境サポートの役割またはエンタープライズ サポートのいずれかを持つ Google Cloud Platform のお客様は、SAP システムに必要な GCP リソースのプロビジョニングと構成に関するサポートを利用できます。本番環境での SAP システムのサポートには、GCP 本番環境レベルのサポートまたはエンタープライズ サポートが必要です。

GCP サポート オプションの詳細については、Google Cloud Platform のサポートをご覧ください。

SAP プロダクト関連の問題については、SAP サポートでサポート リクエストを送信してください。SAP はサポート チケットを評価し、GCP インフラストラクチャの問題と判断した場合は、そのチケットを GCP キューに転送します。

SAP ヘルプポータルで SAP MaxDB に関する情報を調べることもできます。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...