AWSで稼働するSAPソリューションをAWSアカウントおよびサービスと接続する方法
最近のITインフラでは、異なるサービスとPaaSまたはSaaSソリューション間の接続性とデータ交換が重要です。HANA Enterprise Cloud(HEC)、RISE with SAPまたはSAP Business Technology Platform(BTP)などのSAPサービスを利用しているAWSのお客様からは、AWSが提供する接続サービスを活用し、セキュリティとパフォーマンスを向上させながら、複雑さの軽減とコストの削減を実現したいという声を聞きます。
お客様はオンプレミスからAWS上で稼働するSAPソリューションへの接続を必要としています。シナリオとしては、ワークロードやインターフェースがお客様のオンプレミスのデータセンターにあるハイブリッドセットアップと、単にSAPソリューションを利用したり接続したりするためのユーザーアクセスの両方があります。また、SAPソリューションとAWS上で稼働する他のサービスとの間にデータを交換することも必要となります。このブログでは、AWS上で稼働する一般的なSAPサービスとの接続オプションについて説明します。
オンプレミスからSAP HANA Enterprise Cloud(HEC)、RISE with SAP、SAP Business Technology Platform(BTP)、SAP Analytics Cloud(SAC)、SAP Data Warehouse Cloud、SAP HANA CloudなどのSAPソリューションへのネットワーク接続を設定するためのさまざまなオプションについて説明したいと思います。さらに、お客様が管理するAWSアカウント(以下の文章では「カスタマー管理AWSアカウント」と記載)から、SAPが管理するAWSアカウント(「SAP管理AWSアカウント」と記載)への接続方法も紹介します。すでにAWS上でシステムを稼働しているお客様にとって、既存のAWS接続を再利用し、計画中および将来のSAPソリューションをAWSサービスと接続するには、この方法が重要です。
このブログでは、AWSのネットワーク技術に関する技術的な詳細を説明するのではなく、上記で紹介したSAPのサービスに接続する方法を中心に説明します。
SAP製品によって、接続方法が異なります。これから詳しく説明したいと思います。
SAP HANA Enterprise Cloud (HEC) / RISE with SAP
SAP HANA Enterprise Cloud(HEC)とRISE with SAPはAWS上で稼働するSAPサービスで、複数のAWSリージョンで提供されています。今日の時点で、SAPは25のAWSリージョンのうち17のリージョンでこれらのサービスを提供可能で、今後も追加される予定です。AWSでは、お客様のAmazon Virtual Private Cloud(VPC)に接続するための複数のオプションを提供しています。どちらのマネージドサービスもプライベートクラウドとして提供されているため、プライベート接続が必要となります。AWSは複数のプライベート接続オプションを提供しています。SAPがサポートしている接続オプションはAWS VPN接続とAWS Direct Connectに基づいています。
AWS VPN
AWS Site-to-Site VPNを介して、AWS上でホストされるSAPシステムに接続するのが簡単でコスト効率の高い方法です。AWS Site-to-Site VPNはお客様のネットワークとAmazon Virtual Private CloudまたはAWS Transit Gatewayの間に暗号化トンネルを作成します。オンプレミスとAWS間のトラフィックはIPsecで暗号化され、パブリックインターネットを利用した安全なトンネルで転送されます。AWS VPN接続の利点は、効率的で迅速な導入が可能であることと、AWS Direct Connectと比べて低コストであることです。
AWS Direct Connect
インターネットベースの接続より高いスループットと安定したネットワークを必要とする場合は、AWS Direct Connectを使用してオンプレミスとAWSクラウド間を接続することができます。
AWS Direct Connectは複数のパートナーが提供しており、様々な帯域幅や実装オプションから選択することができます。接続オプションについての詳細情報は、AWSホワイトペーパーAmazon Virtual Private Cloud Connectivity Optionsに記載されており、耐障害性についてはAWS Direct Connect Resiliency Recommendationsに記載されています。
AWS Direct Connectのプロバイダーは、お客様のイントラネットとAmazon VPCの間に専用のプライベートネットワーク接続を使用します。トラフィックはインターネットを経由せず、VPNより信頼性の高い帯域幅とスループットを提供します。
また、AWS上の他のワークロードに使用されている既存のAWS Direct Connectを活用して、SAP管理AWSアカウントに接続することもできます。そのため、SAP管理AWSアカウント内の仮想プライベートゲートウェイで接続を拡張して、プライベート仮想インターフェース(VIF)またはDirect Connect Gatewayで接続すればよいです。
AWSアカウント間の接続
HECとRISE with SAPは、SAPが管理・所有するAWSアカウントで稼働しています。ただ、追加のワークロードまたはネイティブなAWSサービスを使用するために、独自のAWSアカウントを作成することができます。SAP管理AWSアカウントとカスタマー管理AWSアカウントを接続するには、2つのオプションがあります。
1. VPCピアリング
VPC(Virtual Private Cloud)ピアリングは2つのVPC間のネットワーク接続で、プライベートIPv4アドレスまたはIPv6アドレスを使用したトラフィックフローを有効化します。インスタンス間では、同じネットワーク内にあるかのように通信することができます。
2つのVPCをピアリングするには、定義されたIPv4クラスレスドメイン間ルーティング(CIDR)ブロックが重ならないようにする必要があり、そうしないとピアリング接続は失敗します。お勧めとしては、SAPと連携してCIDRレンジを定義し、SAPが管理するレンジが自社のネットワーク設計に適合していることを確認することです。ピアリング接続が要求されると、SAPは自分のAWS VPCでピアリング接続を受け入れる必要があります。
VPC ピアリングはVPC 間の 1 対 1 の接続です。複数のVPCでマネージドSAPサービスに直接通信する必要がある場合は、複数のピアリング接続を設定する必要があります。AWSアカウントやVPCの数が多いと、これは複雑で管理が難しくなる可能性があるため、このようなシナリオではオプション2(下記参照)を検討する必要があります。
VPCピアリングはAWSのリージョンを跨いでも機能します。例として、eu-west-1で稼働しているカスタマーアカウントとeu-central-1のSAPアカウントをピアリングすることが可能です。リージョン間のトラフィックはすべて暗号化されており、単一障害点や帯域幅のボトルネックもありません。トラフィックは常にグローバルなAWSバックボーン上に留まり、パブリックインターネットを経由することはないため、一般的な脆弱性を利用した攻撃やDDoS攻撃などの脅威が軽減されます。
リージョン跨ぎのVPCピアリングを介した接続
シンプルな設定とリージョン跨ぎの機能に加えて、VPCピアリングのコストが、AWS Transit Gatewayまたはオンプレミスを経由したトラフィックのルーティングに比べて低いことも利点です。最近、AWSはVPCピアリングの価格変更を発表しました。2021年5月1日より、アベイラビリティーゾーン(AZ)内に留まるVPCピアリング接続経由のすべてのデータ転送は無料となります。
SAPにAZ IDを要求して、カスタマー管理AWSアカウントで使用されているAZ IDと同じであることを確認することができます。
2. AWS Transit Gateway
2つ以上のAWSアカウントを接続する2つ目の方法は、AWS Transit Gatewayを使用することです。AWS Transit GatewayはAmazon VPCの相互接続に使用できるネットワークトランジットハブです。AWS Transit Gatewayはクラウドルーターとして機能し、SAP管理AWSアカウント間の接続は一度だけ確立する必要があります。AWS Transit Gatewayを中央のコミュニケーションハブとしてデプロイすることで、複雑なピアリング設定も解決し、簡素化できます。
SAP管理AWSアカウントに接続するには、自分のAWSアカウントでAWS Transit Gatewayを作成し、SAP管理AWSアカウントと共有する必要があります。その後、SAPはSAPマネージドサービス用のVPCをAWS Transit Gatewayにアタッチし、ルートテーブルのエントリを介してトラフィックフローを有効にすることができます。この設定では、AWS Transit Gatewayが自分のアカウントに存在し、管理可能なので、お客様はトラフィックのルーティングを常に制御できます。
AWS Transit Gatewayを介した接続
AWSアカウントやAWSリージョンを跨いで複数のVPCを接続するには、異なるリージョンにある複数のAWS Transit Gateway間でピアリング接続を確立することができます。
リージョンを跨いでAWS Transit Gatewayを介した接続
リージョンを跨いだAWS Transit Gateway間のピアリングを使用することで、トラフィックはAWSネットワーク内に留まり、VPCピアリングオプションで説明した同じ考慮事項が適用されます。これはIPv4 CIDR範囲が重複していない異なるVPCにも有効です。
AWS Transit GatewayとAWS Direct Connectを組み合わせて使用している場合、この設定でSAP管理AWSアカウントとオンプレミスのトラフィックを双方向でルーティングしたり、AWSアカウント間の接続を確立したりすることもできます。
SAP Business Technology Platform
SAP Business Technology Platform(BTP)はさまざまなサービスおよびCloud Foundry、ABAP、Kymaのような異なる環境を提供しています。この3つの環境はすべてAWS上で稼働しています。Kymaは4月24日にリリースされた最新版です。今日の時点で、SAP BTPは9つの商用AWSリージョンで利用可能です。
BTPサービスに接続するには、インターネット経由でパブリックエンドポイントにアクセスできます。より安定したネットワーク環境を必要とする場合は、AWS Direct Connectを使用してBTPプラットフォームに接続することもできます。ただし、このユーズケースでは、AWS Direct ConnectはオンプレミスネットワークとパブリックなAWSエンドポイントの間で接続を確立する必要があります。一方、BTPと違って、HECとRISE with SAPの場合、AWS Direct Connectはプライベート仮想インターフェースを使用することで、VPC内のリソースにアクセスし、リソースのプライベートIPアドレスに接続することになります。AWS Direct ConnectでBTPにアクセスするには、パブリック仮想インターフェースを使用してパブリックIPアドレスに接続する必要があります。パブリックとプライベート仮想インターフェースの違いについての詳細情報は、AWSのナレッジセンターをご参照ください。
また、SAPブログAccessing SAP Cloud Platform via AWS Direct ConnectにこのユーズケースのAWS Direct Connectのステップバイステップの設定方法が記載されています。
SAP Cloud Connector
BTP サービスと AWS 上で稼働する SAP システムを接続するには、SAP Cloud Connector(SCC)がお勧めのソリューションです。SAP Cloud Connector はSAP システムをインターネットに公開することなく、BTP サービスと SAP システム間のセキュアな通信を確立します。SAP システムへのアクセスを確立するために、セキュリティグループでインバウンド接続を開いたり、DMZ でリバースプロキシを使用したりする必要はありません。SAP Cloud Connector はリバースインボークプロキシとして動作し、SAP BTP サブアカウントへの永続的な TLS トンネルを確立します。このアーキテクチャでは、バックエンドの SAP システムがインターネットから見えないため、攻撃対象領域が減少します。
SAP Cloud ConnectorはソフトウェアベースのHA実装を提供し、障害から保護します。また、以下のアーキテクチャ図が示すように、Amazon EC2 Auto ScalingグループにSAP Cloud Connectorを実装して、EC2インスタンスの障害から保護することもできます。
SAP Cloud Connectorを介したSAP BTP接続
SAP Data Warehouse Cloud、SAP Analytics CloudおよびSAP HANA Cloud
これらはすべてSAP BTPを介して提供されるSaaSまたはPaaSソリューションで、マルチテナント環境で稼働します。そのため、オンプレミスのネットワークまたはカスタマー管理AWSアカウントと、これらのSaaS/PaaSソリューションのSAP管理AWSアカウントのVPCとの間に、1対1の接続を確立することはできません。VPCピアリングまたはAWS Transit Gatewayも、これらのソリューションと複数のAWSアカウントを接続することはできません。ただ、BTP接続と同じ接続原理が適用されます。
SAP Cloud Connectorを使って、S/4HANAまたはBW/4HANAのようなAWS上で稼働するSAPシステムに接続することができます。SAP Cloud Connectorによるバックエンドとの直接連携に加え、3つのサービスは、Amazon S3のような様々なAWSサービスとの直接連携も可能です。
SAP Data Warehouse CloudはAmazon S3、Amazon Redshift、またはAmazon Athenaなどに接続できます。 詳細情報については、SAP Discovery Centerをご参照ください。
SAP Analytics CloudはAmazon S3(オープンコネクタ経由)、Amazon Redshift、およびAmazon EMRとの連携を提供します。
SAP HANA CloudはAmazonS3およびAmazon Athenaに接続できます。
追加の接続情報とデータソースについては、SACドキュメント、DWCドキュメント、またはHANA Cloudドキュメントをご参照ください。
まとめ
HECまたはRISE with SAPなどのマネージドオファリングの場合、カスタマー管理AWSアカウントとSAPサービスが実行されるSAP管理AWSアカウントを接続するには、VPCピアリングはシンプルで効率的な方法です。AWS Transit Gatewayはより複雑なネットワーク設計に適したソリューションであり、SAP管理AWSアカウントを複数のAWSアカウントまたはVPCに接続できます。AWS Transit Gatewayがお客様のAWSアカウントにのみ設置できることは、お客様が考慮すべきポイントです。
お客様はAWS VPNまたはAWS Direct Connectを介してAWSへの既存接続を活用し、上記で説明した接続オプションでAWSリソースに接続できます。必要がない場合は、AWS to AWSの通信を使用し、オンプレミス経由でトラフィックをルーティングしないことをお勧めします。 これにより、AWSネットワークの速度、レイテンシー、セキュリティの利点を受けることができます。
SAP BTPサービスはパブリックインターフェイスを提供します。SAP Cloud Connectorを使って、TLS暗号化が効いた安全な方法で、SAP BTPが提供するマルチテナントサービスへの接続を確立できます。
AWSが5000を超えるSAPのお客様に選ばれ、革新的なプラットフォームである理由については、aws.amazon.com/jp/sapをご参照ください。
翻訳はSpecialist SA アッシュが担当しました。原文はこちらです。