Upload
tetsuya-kawahara
View
662
Download
1
Embed Size (px)
Citation preview
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
2017/3/15
AWSで始める
SAP HANA, express edition~SAP Cloud Appliance Library版~
アマゾン ウェブ サービス ジャパン株式会社
エコシステム ソリューション部
内容について
• 本資料では2017年3月15日時点のサービス内容および価格についてご説明しています。最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください
• 本資料に関して、妥当性や正確性について保証するものではなく、一切の責任を負い兼ねます
0
200
400
600
800
1000
1200
2008 2009 2010 2011 2012 2013 2014 2015 2016
Amazon Web Services(AWS)とは
グローバルインフラストラクチャ
イノベーション
スピード
お客様起点
AWS新サービスと新機能の発表
ITリソースを数分で調達
資本投資
技術投資
効率改善
値下げ
より多くの顧客獲得
過去10年間で59回の値下げ
16リージョン42アベイラビリティゾーン
AWSとSAPのアライアンス
クラウド領域における2008年からの強固なパートナーシップ
お客様の成果
お客
様導
入数
2008
SAP as a Customer
S/4HANASAP IQ / ASE
SAP HANA Platform Edition
SAP Mobile Secure
SAP Business Suite
HANA One
HANA Developer EditionSAP Cloud Appliance
Library (CAL)
A1 / B1
RDS Solutions
BOBJ
SAP HANA for B1
BW on HANA
BW on HANA (4TB)
現在
X1 (2TB)
BW/4HANA X1 scale-out (14 TB)
シングルノード- OLAP (BW/4HANAとBWoH含む) - OLTP (S/4HANAとSoH含む) - liveCache - BPC
14TBまでのスケールアウト- OLAP (BW/4HANAとBWoH含む)
SAP HANA SPS11のコア/メモリ条件緩和により、OLAP用途ではSPS11以降でメモリのフル活用が可能
SAP HANA 2ももちろん対応済み!
https://global.sap.com/community/ebook/2014-09-02-hana-hardware/enEN/iaas.html
SAP HANA認定Amazon EC2インスタンス
244Gb
1TB
2TB
1TB 14TB4TB 7TB
X11TB
スケールアウト
スケ
ール
アッ
プ
X12TB
X1 7TB scale-out
X1 14TB scale-out
R3 4TB scale-outR3
244GB
488GbR4
488GB
SAP HXEとは
• 開発、デモ、トレーニング、PoC用途などで本稼働・非本稼働問わず自由に使えるSAP HANA
• メモリー32GBまで無償で利用可能、必要に応じてフルユース(有償版)にアップグレード可能
• SAP HANA認定アプライアンスH/Wは不要
• ノートPC、デスクトップPC
• サーバー
• クラウド
• SAP Community Networkを通じたサポート
SAP HXE on AWSの始め方
2つの利用方法
• SAP Cloud Appliance Library(CAL)からHXEを展開https://cal.sap.com/
• バイナリーインストーラを使ってAmazon EC2(仮想サーバ)上にHXEを構築https://www.sap.com/japan/developer/topics/sap-hana-express.html
最新のSAPソリューションを素早く、手軽に評価できるSAP CAL
• 50以上の事前定義済みSAPソリューション
• トライアル、教育、開発者エディションが利用可能
• お客様のAWS環境に展開
• 最近のリリース: SAP S/4HANA
SAP BW/4HANA
SAP HANA Vora
SAP HANA, express edition
図はSAP社資料より抜粋
作業全体の流れ
準備
•SAP S-User ID
•AWSアカウント
AWS作業
•IAMユーザーの作成とシークレットキー/シークレットアクセスキーの発行
•(オプション)Amazon VPCの作成
CAL作業
•AWSアカウントのマッピング
•SAP HXEの展開
各種アカウントの用意
SAP CALを使うためには以下アカウントが必要です
• SAP S-User ID
• AWSアカウント
• 保有していない場合は以下サイト”AWSアカウント作成の流れ”を参考に作成しますhttps://aws.amazon.com/jp/register-flow/
AWSマネジメントコンソールにログインhttps://aws.amazon.com/jp/console/
SAP CALで利用するIAMユーザーの作成とシークレットキー/アクセスキーの発行 2/5
1. ウィザードに従って必要情報を入力• ユーザー名:任意の名前• アクセスの種類:プログラムによるアクセスにチェック
2. 次のステップ: アクセス権限をクリック
SAP CALで利用するIAMユーザーの作成とシークレットキー/アクセスキーの発行 3/5
1. 既存のポリシーを直接アタッチをクリック
2. ポリシー”AmazonEC2FullAccess”, “AmazonVPCFullAccess”,“ReadOnlyAccess”,“AWSAccountUsageReportAccess”にチェック* 該当ポリシーを含むIAMグループへの追加でもOK
3. 次のステップ: 確認をクリック
SAP CALで利用するIAMユーザーの作成とシークレットキー/アクセスキーの発行 5/5
1. csvのダウンロードをクリックして、シークレットキーとシークレットアクセスキーを保存
2. 閉じるをクリックして完了
[オプション] Amazon VPCの作成
標準でSAP CAL Default Networkを作成しますが、要件に応じてAmazon VPCを作成しておきます
注: SAP CALではus-east-1(バージニア北部)に作成
AWSアカウントのマッピング
1. Accountsタブをクリック
2. Create Accountsをクリック
3. ウィザードに従って必要情報を入力し、保存• Name:任意の名前• Cloud Provider:Amazon Web Servicesを選択• Access Key:IAMユーザーのアクセスキーを入力• Secret Key:同シークレットアクセスキーを入力
インスタンスの作成 – 設定情報の入力 2/6
1. インスタンス設定情報を入力• Name:任意の名前• Region(*):us-east-1(バージニア北部)のみ選択可能• Network:VPCを選択• Subnet:サブネットを選択• チェックボックス:固定IPアドレスの適用有無
(*) 有償サブスクリプションがある場合、コンポーネント”BC-VCM-CAL”のインシデント登録で他リージョンも利用可能https://wiki.scn.sap.com/wiki/display/ATopics/FAQ+-+Specific+questions+for+Amazon+Web+Services
2. Step 3をクリック
インスタンスの作成 – 設定情報の入力 3/6
1. 仮想マシン設定情報を入力• Sizes:EC2インスタンスサイズを選択• Volume Type:ストレージ種類を選択• Access Points:アクセス許可ポリシー
インスタンスの作成 – 設定情報の入力 6/6
2. Reviewをクリック
1. 運用スケジュール設定情報を入力• Time Zone:タイムゾーンを選択• Scheduling Options:インスタンスの起動停止
- 日付 or 定期スケジュール or 手動から選択• Termination Date:インスタンスの終了日
sshでキーペアとroot@<IP>を指定しログイン
クライアント環境によって異なるため、詳細は以下サイト”Linuxインスタンスへの接続”を参照しますhttp://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/AccessingInstances.html
[オプション] SAP HANA Studioの入手
1. Linksタブをクリック
2. HANA Studio & Clientをクリックし、サイトの指示に従ってSAP HANA Studioをセットアップ
AWSのセキュリティを高める機能・サービス
• セキュリティグループ = ファイアウォール
• Amazon VPC = プライベートネットワーク
• AWS IAM = AWSリソースへのアクセス権限の管理
セキュリティグループ
インターネットからのトラフィック(インバウンド)をブロック、Amazon EC2からのトラフィック(アウトバウンド)も制限できるファイアウォール機能です
セキュリティグループ
ポート 22(SSH)
ポート 80(HTTP)
EC2インスタンス
セキュリティグループ
個々のインスタンスごとに、インバウンド、アウトバウンドに対して下記の許可ルールを定義できます。ルールはステートフルで扱われ、明示ルールが無い通信は拒否されます
• インバウンド
• プロトコル (TCP/UDP/ICMP)
• ポート範囲 (ポート番号の範囲)
• 送信元 (アクセス元のIPアドレス)
• アウトバウンド
• プロトコル (TCP/UDP/ICMP)
• ポート範囲 (ポート番号の範囲)
• 送信元 (アクセス元のIPアドレス)
Amazon VPC (Virtual Private Cloud)
• クラウド内にお客様専用のプライベートアドレスの空間を構築
• インターネットVPNやキャリアの閉域網によりセキュアに接続可能
AWSクラウド
VPC
イントラ
インターネット
プライベートサブネット
分離したNW領域を作成
インターネットVPN接続(IPSec)
パブリックサブネット
インターネットゲートウェイ
仮想サーバ(EC2)DBサービス(RDS)専用線接続
Direct Connect
VPCとサブネットについて
• 1つのVPCは、1つのネットワークアドレス(CIDR)で定義
• 1つのVPC内には複数のサブネットを作成することが可能
• サブネットは特定のアベイラビリティゾーン内に配置
パブリック サブネット10.0.1.0/24
VPC 10.0.0.0/16
Webサーバ
Webサーバ
パブリック サブネット10.0.2.0/24
CIDR IPアドレス数
xxx.xxx.xxx.xxx /16 65,534
xxx.xxx.xxx.xxx /20 4,094
xxx.xxx.xxx.xxx /24 254
xxx.xxx.xxx.xxx /28 14
アベイラビリティゾーン -A アベイラビリティゾーン -B
ルートテーブルについて
各サブネットはルートテーブルを持っています。設定を変更することでデータの流れを制御可能です
• パブリック サブネット に割り当てられたルートテーブルルートテーブル: rtb-XXXXXXXX
• プライベート サブネットルートテーブル: rtb-XXXXXXXX
送信先 ターゲット
10.0.0.0/16 Local
0.0.0.0/0 igw-XXXXXXXXIGW(インターネット ゲートウェイ)
へのルーティングがあるので、外部とのアクセスが可能
送信先 ターゲット
10.0.0.0/16 Local
ルートテーブルについて
パブリック サブネット
VPC 10.0.0.0/16
Webサーバ
プライベート サブネット
DBサーバ
インターネット
送信先 ターゲット
10.0.0.0/16 Local
0.0.0.0/0 igw-xxxxx
送信先 ターゲット
10.0.0.0/16 Local
インターネットゲートウェイ(IGW)
IGWにルーティングされていないので
外部と通信できない
AWS IAM (Identity and Access Management)
• AWS操作をよりセキュアに行うための認証・認可の仕組み
• AWS利用者の認証とアクセスポリシーを管理
• グループ、ユーザー、ロールで管理
• 実行出来る操作を IAM ポリシー規定
• ユーザーごとに認証情報の設定が可能
o マネージメントコンソールにはユーザ名とパスワードを使用さらに、MFA(多要素認証)の利用が推奨
o APIにはアクセスキーとシークレットキーを使用
IAMポリシーで必要最小限のみ付与
AWSアカウント(ルートアカウント)
全操作可能
IAMアカウント
EC2
S3
IAMポリシー管理者グループ
開発グループ
運用グループS3参照だけ
S3はすべて操作可能
全操作可能
MFA(多要素認証)で認証の安全性を高める
• AWSアカウント(ルートアカウント)
• ハードウェアトークンで保護
• トークンは金庫などで管理
• IAMアカウント
• 個人ごとのアカウント
• 仮想MFA対応のスマホアプリで保護