ネットワーキングの設計上の考慮事項
ランドスケープ内の SAP システムには、サーバー、オペレーティング・システム、ネットワーク・セットアップ、およびサポートされるストレージに関して特定の要件があります。
クラウド・サービス・プロバイダー (IBM Cloud® for SAP など) の Infrastructure as a Service を使用する SAP ワークロードは、ある意味、外部データ・センターやデータ・センター・プロバイダーを使用して SAP ワークロードを実行する (数十年にわたる) 既存の慣習に似ています。 SAP ランドスケープには、Cloud IaaS 内のホスト間の接続と、ホストと外部システムとの間の接続に関する固有の要件があります。IBM Cloud® for SAP は、SAP システムのホスティングのみでなく、SAP ランドスケープを改善するための豊富な機能を備えています。
プロジェクトの計画フェーズを支援するために、以下のセクションでは、ネットワーキングに関する IBM Cloud® for SAP ポートフォリオの設計上の考慮事項を示します。
はじめに: データ/情報の計測単位
多くの場合、スループット・ネットワーク・ストレージは Mbps 単位または Gbps 単位で示されます。
Mb (メガビット) は 10 進数の接頭部であり、MiB (メビバイト) は 2 進数の接頭部なので、これらはスケールが異なることに注意してください。 また、MiB (メビバイト) は Microsoft Windows では一般にMegabyteと呼ばれていたため、さらなる混乱の原因となります。
これ以降のすべてのネットワーキングに関する記述では、Mb (メガビット) と MiB (メビバイト) は、IEC によって定義され、IEEE、国際標準化機構 (ISO)、および NIST で採用されている単位系 (SI) に基づいて使用されます。
以下に例を示します。
- 100 Mbps (メガビット/秒) は 12 MiB/s (メビバイト/秒)
- 1000 Mbps (メガビット/秒) (1 Gbps (ギガビット/秒) とも示される) は 120 MiB/s (メビバイト/秒)
- 10 Gbps (ギガビット/秒) は 1200 MiB/s (メビバイト/秒)
ネットワーキングの接続に関する考慮事項
使用可能な接続オプションの概要については、Determining access to your SAP system landscape を参照してください。
SAP システムには、多数の統合アプリケーション (レガシー・アプリケーションを含む) があり、多くの場合、ビジネス・オペレーションのフォーカル・ポイントとなります。
SAP ワークロードのほとんどの状況では、既存の内部ネットワークへの接続が必要になります。また、IBM Cloud® Direct Link 2.0 を使用し、ルーティングされた OSI レイヤー 2 または 3 接続として、安全で、低遅延、かつ高スループット (最大 10 Gbps が使用可能) の接続を行うことが推奨されます。
これらの接続オプションは、ビジネス要件によって異なります。例えば、ビジネスでクラウドを使用し、同時に既存のネットワーキング・インフラストラクチャーとセキュリティーを使用してネットワーク・フローを分離し、セキュリティー・リスクを低減する必要があるかどうかといった要件です。 このような「切断された」あるいは「プライベートのみ」の接続設計では、IBM Cloud® に追加情報を要求し、お客様のユース・ケースについて話し合うことをお勧めします。
さらに、SAP は、SAP システム階層をオンプレミスの場所とクラウドの場所にわたって分割しないよう強く推奨しており、この評価は企業に任されています。例えば、SAP は、オンプレミスの場所にあるインフラストラクチャーから実行される SAP AnyDB を保持しながら、クラウドの場所にあるインフラストラクチャーから実行される SAP NetWeaver に接続することを推奨していません。 IBM Power Virtual Servers では、このように SAP システム階層を分割することはサポートされていません。
所有ネットワークの持ち込み (サブネット/CIDR/IP アドレス範囲)
多くの場合、企業は所有するサブネット/CIDR/IP アドレス範囲 (BYOIP) を IBM Cloud アカウントで使用することを望みます。これが可能かどうかは、インフラストラクチャーの選択と環境によって決まります。
VPC インフラストラクチャー
VPC インフラストラクチャーを使用する場合は、ユーザー独自のサブネットを定義して使用できます。 VPC - お客様所有のサブネットの持ち込みを参照してください。
これは 、RFC 1918の IANA予約 IPv4 プライベートネットワークアドレス空間が使用されているかどうかによって異なります。これらの範囲内のIPアドレスはすべて、非ルーティング可能とみなされるためです。 これらのアドレスは、任意のプライベート・ネットワークが使用でき、IANA またはインターネット・レジストリーとの調整が行われないため、インターネット上で固有ではありません。このため、これらのアドレスは、プライベート・ネットワーク内でのみ固有です。 このような IPv4 プライベート・ネットワーク・アドレス・スペースは、以下のとおりです。
- クラス A - 10.0.0.0/8
- クラス B - 172.16.0.0/12
- クラス C - 192.168.0.0/16
RFC 1918 で定義されている、持ち込みサブネット範囲を使用している場合、IANA予約の IPv4 プライベートネットワークアドレス空間であれば、VPC機能(例えば、 Public Gateway またはFloating IP)を使用することで既存の内部ネットワークへの接続が可能です。
RFC 1918 で定義されていないサブネット範囲を独自に持ち込むことはサポートされていません。これは、 Public Gateway (プロキシゲートウェイ)やフローティングIPと併用した場合に、既存の社内ネットワークへの接続が許可されないためです。 IPv4 のプライベートネットワークアドレス空間はサポートされていません。
VMware を使用するクラシック・インフラストラクチャー
既存のビジネスが VMware 上で SAP を運用している場合は、IBM Cloud for VMware を VMware HCX および IBM Cloud® Direct Link とともに使用して、VMware を使用した既存のデータ・センターと IBM Cloud for VMware の間にブリッジされた双方向ネットワークを作成できます。 このネットワークでは、VMware HCX および IBM Cloud for VMware 上の VMWare NSX からのオーバーレイへの既存の VMware サービス・メッシュ・ルーティングを使用し、以下を作成します。
- HCX クラウド・ゲートウェイ (CGW) と HCX WAN オプティマイザー (WAN-OPT) を使用する暗号化されたマイグレーション・トンネル
- HCX 高スループット・レイヤー 2 コンセントレーター (HT L2C) を使用する暗号化されたアプリケーション・トンネル
詳しくは、IBM Cloud for VMware Solutions - VMware HCX の概要を参照してください。
ネットワーク・トポロジーに関する考慮事項
SAP システムの数および構成と、セキュリティーまたはパフォーマンス上の理由によるこれらのシステム間でのネットワーク・フローの配置の組み合わせによって、ネットワーク・トポロジーは大きく異なります。 このトポロジーの設計には、セキュリティー、パフォーマンス、コスト、柔軟性、および接続性に関するビジネスの要件が反映されます。
エンタープライズ・リソース・プランニング (ERP) ビジネス・アプリケーション、例えば、SAP NetWeaver および SAP HANA の高可用性を利用し、SAP システム階層アプローチを使用する実動インスタンスをホストする SAP システムを使用する場合は、以下のようになります。
-
SAP NetWeaver では、1 つではなく、少なくとも 4 つのホストがあります。
- Central Services (ASCS)
- プライマリー・アプリケーション・サーバー (PAS)。セントラル・インスタンス (CI) とも呼ばれる
- エンキュー・レプリケーション・サーバー・インスタンス (ERS)
- 追加アプリケーション・サーバー (AAS)
-
SAP HANA では、1 つではなく、少なくとも 2 つ (場合によっては 3 つ) のホストがあります。
- SAP HANA 1 次ノード (SAP HANA システム・レプリケーションを使用します)
- SAP HANA 2 次フェイルオーバー・ノード (SAP HANA システム・レプリケーションを使用します)
- SAP HANA 3 次災害復旧フェイルオーバー・ノード (SAP HANA システム・レプリケーションを使用します)
-
これは、SAP ランドスケープ内の 1 つの SAP システムを表しています。 SAP ランドスケープでは、以下が使用されます。
- 1 トラック、5 つの SAP システム (サンドボックス > 開発 > テスト > ステージング > 実動)
- デュアルトラック、5 つの SAP システム (サンドボックス > 新機能開発 + 保守開発 > 新機能テスト + 保守テスト > ステージング > 実動)
したがって、SAP ランドスケープでは、10 から 50 のホスト・サーバー (物理または仮想化) に分散された、30 から 50 の SAP インスタンスが必要である可能性があります。 これは、特定のビジネス・オペレーション、業種、または地理的機能のためにさらにビジネス・アプリケーションが追加される前です。
SAP ランドスケープのサイズは、ネットワーク・トポロジーに直接的な影響を与えます。
場合によって異なりますが、一般的には、SAP ビジネス・アプリケーションを使用するビジネスで必要とされるシナリオとパフォーマンスを満たすために、以下のネットワークが必要です。
- 異なる SAP システム階層アプローチを使用する SAP ランドスケープ内の複数のインスタンス間の通信用内部ネットワーク
- データベース・システムの管理およびストレージ転送用ネットワーク
- 実稼働環境で使用するネットワーク
ただし、最も単純なシナリオでは、すべての目的に 1 つのプライベート・ネットワークを使用することがあります。 これは、ビジネス要件によって異なります。
SAP システムを使用可能にするための追加の管理システム
ご使用のオペレーティング・システム、SAP ワークロード、およびネットワーク接続によっては、さらなる SAP システムおよび非 SAP システムへのアクセスを構成する必要があります。 SAP ワークロードの動作に必要になる可能性があるさまざまな管理システムのリストを以下に示します。
- OS パッケージ更新サーバー。SAP HANA および SAP NetWeaver 用の OS パッケージの異なるサブスクリプション・チャネルを使用します。
- IBM Power Virtual Server の場合、公開されている AIX SUMA または SUSE の更新リポジトリーを使用するか、独自の AIX NIM サーバーまたは SUSE RMT サーバーを使用できます。
- ソフトウェアとパッチのダウンロード・サーバー。 ソフトウェアがサーバーにダウンロードされると、SCP や SFTP などのさまざまなファイル転送プロトコルを使用して、インストールのためにソフトウェアをターゲット・サーバーに転送できます。
- タイム・サーバー (NTP)。IBM Cloud プライベート・バックボーン上の NTP、パブリック・インターネット NTP ホスト、またはプライベート NTP ホストを使用します。
- ゲートウェイ (およびプロキシー) ホストとファイアウォール・ホスト。
- 要塞/ジャンプ・ホスト。 パブリック・インターネットまたはその他のネットワーク・アクセスからのクラウド・リソースへの保護されたパススルーを使用可能にします。多くの場合、デフォルト以外のポートでは、厳密に保護された SSH が使用されます。
- VNC または RDP で使用可能になっているジャンプ・ホスト。 ターゲット・マシンへの GUI アクセスを有効にします (GUI および VNC または RDP がターゲットにインストールされている場合)。
- VPN ホスト。 既存の内部ネットワークへの保護された接続を使用可能にします。
- ネットワーク・ルーティング・ホスト (通信会社またはネットワーク・サービス・プロバイダー経由)。 既存の内部ネットワークへの保護された高スループットのプライベート接続を可能にします。
- バックアップ管理サービス・ホスト。
- ネットワーク・ファイル・ストレージ (ネットワーク・ファイル・システム (例えば、NFSv3 または NFSv4.1) 経由)。 TCP/IP パケットによってカプセル化されたファイル・システム・コマンドを実行します。
- ネットワーク・ブロック・ストレージ。MPIO によって制御される iSCSI プロトコルを使用します。 TCP/IP パケットによってカプセル化された SCSI コマンドを実行します。
- ファイバー・チャネル (FC) プロトコルを使用したネットワーク・ブロック・ストレージ。 FC フレームによってカプセル化された SCSI コマンドを実行します。
ファイバー・チャネルは IBM Power Virtual Server の場合のみに必要で、プロビジョニング時に処理されます。
SAP 用のハイブリッド・クラウド・セットアップ
SAP ランドスケープを計画する際に考慮する必要のある特定の構成項目を以下に示します。この場合、既存のオンプレミス SAP サポート・システムを IBM Cloud® for SAP ポートフォリオと組み合わせて使用することで、ハイブリッド・クラウド・セットアップを作成します。
- SAP トランスポート管理システム (STMS は. TMS) . データ・センター間でのファイル共有を防止するために、移送グループに基づいて STMS を構成します。
- SAProuter。 SAP オンライン・サービス・システム (OSS) にアクセスできるようにします。 OSS にアクセスするには、オンプレミス SAProuter を使用します。 IBM Cloud ベースのシステムとオンプレミスの SAProuter の間で IP ベースのルーティングを使用できない場合は、追加の SAProuter ホップを介して、この SAProuter を使用できます。 あるいは、パブリック IP を持つ IBM Cloud ベースの 1 台のサーバーに基づく別の SAProuter をセットアップし、インターネット経由で SAP OSS システムに接続することもできます。
- SAP Solution Manager. SAP Solution Manager へのアクセスは、SAP Solution Manager とその管理対象システムの間の接続要件が異なります。 違いは、使用シナリオによって決まります。 これらのシナリオでは、必要なネットワーク接続についての知識が必要です。
- パブリック・ゲートウェイまたは浮動 IP をデプロイする場合は、ネットワーク・アドレス変換 (NAT) の詳細と SAP アプリケーションの動作を調べる必要があります。 NATに関する SAP 文書を参照し、アプリケーション層における潜在的な問題について検討してください。特に、 SAP のリモート関数呼び出し(RFC)を参照してください。
ネットワーク使用量に関する考慮事項
従来の SAP ワークロード・ネットワーク通信量は比較的少なく、1 日当たり 100 MiB 未満のネットワーク・トラフィックだと考えられます。以下に例を示します。
- SAPGUI からのユーザー・トランザクション。Windows および Java (macOS または Linux で使用)
- SAP WebGUI からのユーザー・トランザクション
- SAP NetWeaver Business Client (NWBC) からの SAP Web Dynpro アプリを使用したユーザー・トランザクション
- SAP システムと非 SAP システム間での SAP リモート関数呼び出し (SAP RFC)
- SAP システム、非 SAP システム、およびサード・パーティー (例えば、銀行、サプライヤー) の間での SAP iDOC インバウンド/アウトバウンド
ただし、極めて多くのネットワーク・トラフィックを消費する、はるかに大きな SAP ワークロード・ネットワーク通信もあります。以下に例を示します。
- SAP Fiori Launchpad およびアプリ用の SAPUI5 プリインストール・ライブラリーとテーマ。
- SAP Web Assistant (XRayとも呼ばれます) からロードされる新規セッションごとに 10 MiB から 25 MiB (推定) これらのプリインストール・ライブラリーはブラウザーによってキャッシュされます。 キャッシュされると、ブラウザーの再始動または SAP Fiori ログアウトの後で、ブラウザー・キャッシュがクリアされるまで、新しいブラウザー・タブでライブラリーを使用できるようになります。
- セッション内でロードされる新規 Fiori アプリ当たり 20 KiB - 500 KiB (推定)。
- SAP HANA システム・レプリケーション (HSR) (同期または非同期)。1 次ノードから 2 次 (または 3 次) ノードに対し、1 カ月当たり数ギガバイトのデータをストリーミングします。
新しい設計の SAP ソフトウェアではトラフィックが増加しているため、過去の SAP ソフトウェアで見られたネットワーク・トラフィック量を大きく超過する可能性があります。
ingress および egress の料金は発生しませんが、パブリック・インターネットを介した使用には egress 料金が発生するため、これらのデータ転送には IBM Cloud プライベート・バックボーンを使用するように SAP アプリケーションを設計することが重要です。
転送されるデータの量を見積もる必要があります。 初期のプロジェクト実装段階では、これは難しい場合があります。 ただし、少なくとも桁数の見積もりは行う必要があります。
ネットワーキング・スループット・パフォーマンスに関する考慮事項
SAP では一般に、アプリケーション・サーバーと SAP HANA データベースの間のトラフィックや、SAP Business Intelligence などの他の SAP HANA クライアントのトラフィックのために、10 Gbps (冗長) のネットワーク・スループットを使用することを推奨しています。
ローカル・ストレージで SAP AnyDB を使用する SAP NetWeaver のデプロイメントの場合は、3 層セットアップであっても、1 Gbps のネットワークで通常は十分です。
ネットワーキング待ち時間のパフォーマンスに関する考慮事項
ビジネス・オペレーションおよび非 SAP 依存システムで、待ち時間に関する特定の重要パフォーマンス指標 (KPI) を満たす必要がある場合があります。 この場合、ホストのサイト・ロケーションと、IBM Cloud プライベート・バックボーン・ネットワークを使用した待ち時間のテ間をテストする必要があります。
SAP HANA で高可用性 (HA) および災害復旧 (DR) を設計する際には、往復時間 (RTT) のメトリックを使用して待ち時間をテストする必要があります。
HA フェイルオーバーが 1 つのサイト・ロケーション内で設計されていれば、ほとんどすべての場合、これで SAP HANA システム・レプリケーションの要件に対応できます。
しかし、1 つのリージョン内の複数のサイトにわたって SAP HANA の高可用性を設計する場合、あるいは複数のリージョンにわたって災害復旧を設計する場合は、往復時間 (RTT) メトリックを使用して待ち時間を慎重にテストし、検討する必要があります。
これは、IBM Cloud では、フォールト・トレランスを備えた地理的に分散した複数のサイト・ロケーション (例えば、リスク・アセスメントが異なる) を使用することで、プラットフォームの高可用性を確保しようとするためです。 IBM Cloud がどのように高可用性と冗長性を確保している かについては、こちらをご覧ください。
特に、VPC インフラストラクチャーの場合、アベイラビリティー・ゾーンはリージョン内の地理的に分散されたロケーションで構成されます。 ほとんどのワークロードでは、この設計によりリージョン全体での冗長性が高まります。 ただし、SAP HANA システム・レプリケーションではネットワーク待ち時間が短い必要があり、現在の技術が持つ、物理的観点からのケーブルの物理データ転送の制限 (つまり、光ファイバー・ケーブルは光速より遅いこと) により、必要な往復時間 (RTT) のメトリックを満たすことが困難な場合があります。
ネットワーキング・ポートのセキュリティーに関する考慮事項
以下の情報は 、 SAP ヘルスポータル - すべての SAP 製品の TCP/IP ポートの概要です。これは、 SAP システムおよび IBM Cloud 上の IT インフラストラクチャ全体のセキュリティに必要な考慮事項の例を示しています。
使用している SAP 技術アプリケーションと対処するビジネス・シナリオに応じて、ホストごとにオープンする必要があるポートが異なります。 通常、この要件を満たすため、ファイアウォール・ポート・グループをファイアウォール・ルールと組み合わせます。 また、ホストごとに個別のファイアウォール・ルールを使用することもできますが、大抵は管理が困難になります。
以下の表に、SAP NetWeaver および SAP HANA を使用する SAP システムで使用される主要ポートの一部を示します。これらのポートは、SAP 技術アプリケーションのインスタンス番号に応じて変更する必要があります。インスタンス番号 00、01、02 は、さまざまな SAP 技術アプリケーションのデフォルトで、異なるパターンで示されます (これらのパターンは、code blocks で強調表示されています)。
| SAP 技術アプリケーション | コンポーネント | ポート |
|---|---|---|
| SAP ルーター | ||
| SAP ルーター | 3200 | |
| SAP ルーター | 3299 | |
| SAP NetWeaver | ||
SAP NetWeaver AS Primary App Server (PAS Dialog) インスタンス 01 |
3201 |
|
SAP NetWeaver AS PAS Gateway インスタンス 01 |
3301 |
|
| SAP NetWeaver AS Central Services Messenger Server (ASCS MS) インスタンス 01 | 3602 | |
SAP NetWeaver AS PAS Gateway (SNC が有効) インスタンス 01 |
4801 |
|
| SAP NetWeaver AS ICM HTTP (ポート 80 接頭部) | 8001 | |
| SAP NetWeaver AS ICM HTTPS (セキュア、ポート 443 接頭部) | 44301 | |
| SAP NetWeaver sapctrl HTTP (デュアル・ホスト・インストール) | 50113 | |
| SAP NetWeaver sapctrl HTTPS (デュアル・ホスト・インストール) | 50114 | |
| SAP HANA | ||
| SAP HANA sapctrl HTTP (1 つのホスト・インストール) | 50013 | |
| SAP HANA sapctrl HTTPS (1 つのホスト・インストール) | 50014 | |
| SAP HANA 内部 Web ディスパッチャー | 30006 | |
| SAP HANA MDC システム・テナント SYSDB インデックス・サーバー | 30013 | |
| SAP HANA MDC テナント 1 インデックス・サーバー | 30015 | |
| SAP HANA ICM HTTP 内部 Web ディスパッチャー | 8000 | |
| SAP HANA ICM HTTPS (セキュア) 内部 Web ディスパッチャー | 4300 | |
| SAP Web ディスパッチャー | ||
SAP Web ディスパッチャー ICM HTTP (ポート 80 接頭部) インスタンス番号 90 |
8090 |
|
SAP Web ディスパッチャー ICM HTTPS (セキュア、ポート 443 接頭部) インスタンス番号 90 |
44390 |
|
| SAP HANA XSA | ||
| SAP HANA XSA インスタンス 00 クライアント HTTPS (ユーザー認証のための xscontroller 管理の Web ディスパッチャー (プラットフォーム・ルーター) への接続用)。 | 30032 |
|
| SAP HANA XSA インスタンス 00 内部 HTTPS (ユーザー認証のための xscontroller 管理の Web ディスパッチャー (プラットフォーム・ルーター) から xsuaaserver への接続用)。 | 30031 |
|
| SAP HANA XSA インスタンス 00 クライアント HTTPS (データ・アクセスのための xscontroller 管理の Web ディスパッチャーへの接続用)。 | 30030 |
|
| SAP HANA XSA インスタンス 00 動的範囲内部 HTTPS (アプリケーション・インスタンスへのアクセスのための、クライアントから xscontroller 管理の Web ディスパッチャー (プラットフォーム・ルーター) への接続用)。 | 51000-51500 |
|
| SAP HANA XSA インスタンス 00 内部 HTTPS (xsexecagent から xscontroller への接続) | 30029 |
|
| SAP HANA XSA インスタンス 00 Web ディスパッチャー HTTP(S) ルーティング | 30033 |
|
| SAP NetWeaver Java | ||
| SAP NetWeaver AS JAVA P4 ポート | 50304 | |
| SAP NetWeaver AS JAVA P4 ポート | 50404 |
ネットワーキング・トラフィック分離のセキュリティーに関する考慮事項
セキュリティーの制約のため、あるいはスループットを考慮して、ランドスケープに含まれる各種ネットワーク・トラフィックを分離することができます。
ネットワークの分離は、以下の SAP ワークロードのユース・ケースで役立ちます。
- データを交換する複数のサーバー
- SAP データベースと SAP アプリケーション・インスタンスが異なるホスト上にある、3 層の論理アーキテクチャー内の SAP システム。
- 大量のデータを交換する複数の SAP システム
- ネットワークのブロック・ストレージとファイル・ストレージに対する、低ネットワーク待ち時間と高ネットワーク・スループットを必要とするため、ファイアウォールを回避する必要があるデータベース・サーバー。 ただし、データベースに、他のシステムおよびネットワーク・アクセスに対する保護は依然として必要です。
ネットワークの分離を効率的に使用するには、特定の条件下で相互接続を許可する必要があります。
サブネットの VPC インフラストラクチャー分離
トラフィックを分離するには、複数のサブネットを使用します。
1 つのリージョンの各 VPC に複数のサブネットを含めることができます。 VPC 内のこれらのサブネットは、ネットワーク ACL またはセキュリティー・グループによってブロックされていない限り、相互に通信することができます。 そのため、VPC インフラストラクチャー内の 2 つの仮想サーバーは、それぞれ異なるサブネット上に仮想ネットワーク・インターフェース (vNIC) を持つことができます。
ネットワーク ACL またはセキュリティー・グループは、これらの別個のサブネット間における特定のネットワーク相互接続性フローを許可します。
ただし、VPC インフラストラクチャー内の 1 つの仮想サーバーが、複数のサブネットに割り当てられた複数の仮想ネットワーク・インターフェース (vNIC) を持つことはできません。
サブネットのクラシック・インフラストラクチャー分離
トラフィックを分離するには、複数の VLAN とそこに含まれるサブネットを使用します。
各 VLAN は、パブリックまたはプライベートのいずれかで、データ・センターおよびデータ・センター・ポッドに固有です。 VLAN には複数のサブネットを含めることができます。 VLAN 内のこれらのサブネットは、Gateway Appliance によってブロックされていない限り、相互に通信することができます。
したがって、クラシック・インフラストラクチャー内の 2 つのベアメタル・ホストは、それぞれ異なる VLAN およびサブネットに割り当てられた物理ネットワーク・インターフェース・カードを持っている可能性があります。
Gateway Appliance は、これらの個別のサブネット間における特定のネットワーク相互接続性フローを許可します。
ベアメタル・サーバーは、デフォルトでは物理ネットワーク・インターフェース・カード (NIC) を使用し (ハードウェア仕様によって異なる場合があります)、4 つのイーサネット・ポートを使用します。
eth0NIC /eth2冗長 NIC- パブリック VLAN、DMZ として Gateway Appliance にトランクされる
- パブリック 1 次サブネット
- DMZ の背後にあるパブリック IP
- パブリック 1 次サブネット
- パブリック VLAN、DMZ として Gateway Appliance にトランクされる
eth1NIC /eth3冗長 NIC- プライベート VLAN、DMZ として Gateway Appliance にトランクされる
- プライベート・プライマリー・サブネット
- DMZ の背後にあるプライベート IP
- プライベート・プライマリー・サブネット
- プライベート VLAN、DMZ として Gateway Appliance にトランクされる
mgmt0--- IPMI (管理ネットワーク・ゾーン)
ハードウェア仕様で許可される場合、より多くのサブネットを使用して、デフォルトの仕様からベアメタルを再構成できます。 これにより、トラフィックを最大限に分離し、異なる複数のネットワーク・インターフェース・カード (NIC) を使用して、より多くのネットワーク・スループットを並列処理することで、パフォーマンスを向上させることができます。 この再構成の例を以下に示します。
eth0NIC /eth2冗長 NIC- パブリック VLAN、DMZ として Gateway Appliance にトランクされる
- パブリック 1 次サブネット
- DMZ の背後にあるパブリック IP
- パブリック 1 次サブネット
- パブリック VLAN、DMZ として Gateway Appliance にトランクされる
eth1NIC /altered to eth4冗長 NIC- プライベート VLAN、DMZ として Gateway Appliance にトランクされる
- プライベート・プライマリー・サブネット
- DMZ の背後にあるプライベート IP
- プライベート・プライマリー・サブネット
- プライベート VLAN、DMZ として Gateway Appliance にトランクされる
eth3追加の NIC /eth5追加の冗長 NIC- プライベート VLAN
- プライベート 2 次ポータブル・サブネット A
- DMZ の背後にあるプライベート IP
- プライベート 2 次ポータブル・サブネット B
- DMZ の背後にあるプライベート IP
- プライベート 2 次ポータブル・サブネット A
- プライベート VLAN
mgmt0--- IPMI (管理ネットワーク・ゾーン)
この例に示すような再構成は、すべてのシナリオで行えるわけではありません。
SAP HANA で、高いネットワーク・パフォーマンスとセキュリティーが必要な場合は、VLAN を追加すると役立ちます。 SAP HANA ネットワーク要件に関するオンプレミス環境に関する SAP の推奨事項を読み、ビジネス ニーズを満たす適切なネットワーク構成を特定します。
クラシック・インフラストラクチャー上の VMware のサブネットの分離
IBM Cloud for VMware Solutions Dedicated でトラフィックを分離するには、VMware Overlay VXLAN (VMware NSX を使用) 内で複数のサブネットを使用します。
IBM Cloud for VMware Solutions Dedicated では、VMware Overlay VXLAN (VMware NSX を使用) がクラシック・インフラストラクチャー・ネットワーク上のパブリック VLAN およびプライベート VLAN にアンダーレイとして接続されます。VMware NSX 管理では、プライベート 2 次ポータブル・サブネットを使用して VXLAN を実現します。 これにより、VMware での実行時にネットワーク設計を完全に制御できるため、定義された任意の範囲の IP を VMware VM に割り当てることができます。
代わりに、ベアメタルへの VMware の手動デプロイメントを使用する場合は、VMware vSwitch はプライベート VLAN の 2 次ポータブル・サブネットを直接使用して、クラシック・インフラストラクチャー・ネットワークの IP アドレスを VMware VM に割り当てます。
複雑な VMware ベースのデプロイメント内では、トラフィックの分離を慎重に検討する必要があります。このようなデプロイメントでは、セキュリティー上の理由から、異なる種類のネットワーク・トラフィックをより厳密に分離しなければならない場合があるためです。