AZ 120 モジュール: Azure で SAP ワークロードをサポートするためのインフラストラクチャを設計して実装する

ラボ: Azure Center for SAP solutions を使用してデプロイを自動化する

予測される所要時間:100 分

このラボ内のすべてのタスクは Azure portal から実行されます

目標

このラボを完了すると、次のことができるようになります。

  • Azure Center for SAP solutions を使用して、Azure に SAP ワークロードをデプロイするための前提条件を実装する
  • Azure Center for SAP solutions を使用して、Azure で SAP ワークロードをホストするインフラストラクチャをデプロイする

演習 1: Azure Center for SAP solutions を使用して、Azure に SAP ワークロードをデプロイするための前提条件を実装する

期間:60 分

この演習では、Azure Center for SAP solutions を使用して、Azure に SAP ワークロードをデプロイするための前提条件を実装します。 これには、以下のタスクが含まれます。

  • ターゲット Azure サブスクリプションの vCPU 要件への対処
  • デプロイの実行に使用される Microsoft Entra ID ユーザー アカウントに対する Azure ロールベースのアクセス制御 (RBAC) ロール割り当ての構成
  • デプロイに使用される Azure Center for SAP solutions に関連付けられるストレージ アカウントの作成
  • 自動デプロイの認証と認可のために Azure Center for SAP solutions によって使用されるユーザー割り当てマネージド ID の作成
  • デプロイをホストする仮想ネットワークのサブネット内で使用されるネットワーク セキュリティ グループ (NSG) の作成
  • デプロイをホストする仮想ネットワークのサブネット内で使用されるルート テーブルの作成
  • デプロイをホストする仮想ネットワークの作成と構成
  • デプロイをホストする仮想ネットワークへの Azure Firewall のデプロイ
  • デプロイをホストする仮想ネットワークへの Azure Bastion のデプロイ

演習は次のタスクで構成されます。

  • タスク 1: ターゲット Azure サブスクリプションの vCPU 要件に対処する
  • タスク 2: デプロイの実行に使用される Microsoft Entra ID ユーザー アカウントに対する Azure ロールベースのアクセス制御 (RBAC) ロール割り当てを構成する
  • タスク 3: デプロイに使用される Azure Center for SAP solutions に関連付けられるストレージ アカウントを作成する
  • タスク 4: 自動デプロイの認証と認可のために Azure Center for SAP solutions によって使用されるユーザー割り当てマネージド ID を作成して構成する
  • タスク 5: デプロイをホストする仮想ネットワークのサブネット内で使用されるネットワーク セキュリティ グループ (NSG) を作成する
  • タスク 6: デプロイをホストする仮想ネットワークのサブネット内で使用されるルート テーブルを作成する
  • タスク 7: デプロイをホストする仮想ネットワークを作成して構成する
  • タスク 8: デプロイをホストする仮想ネットワークに Azure Firewall をデプロイする
  • タスク 9: デプロイをホストする仮想ネットワークに Azure Bastion をデプロイする

タスク 1: ターゲット Azure サブスクリプションの vCPU 要件に対処する

:AZ-120 ラボの前提条件をすべて既に実装している場合、このタスクを完了する必要はありません。

: (説明されている通りに) このラボを完了するには、以下の VM のデプロイに対応する vCPU クォータを持つ Microsoft Azure サブスクリプションが必要になります。

  • ASCS 層用の 2 個の Standard_E4ds_v4 (それぞれ 4 個の vCPU と 32 GiB のメモリ) VM または 2 個の Standard_D4ds_v4 (それぞれ 4 個の vCPU と 16 GiB のメモリ) VM
  • アプリケーション層用の 2 個の Standard_E4ds_v4 (それぞれ 4 個の vCPU と 32 GiB のメモリ) VM または 2 個の Standard_D4ds_v4 (それぞれ 4 個の vCPU と 16 GiB のメモリ) VM
  • データベース層用の 2 個の Standard_M64ms (それぞれ 64 個の vCPU と 1750 GiB のメモリ) VM

: データベース VM の vCPU とメモリの要件を最小限に抑えるには、VM SKU を Standard_M32ts (それぞれ 32 個の vCPU と 192 GiB のメモリ) に変更できます。

  1. ラボ コンピューターから Web ブラウザーを起動し、https://portal.azure.com にある Azure portal に移動します。

  2. Azure portal で、 [Cloud Shell] アイコンを選択し、Cloud Shell で PowerShell セッションを開始します。

    : このラボで使用する Azure サブスクリプションで Cloud Shell を起動するのが初めての場合は、Cloud Shell ファイルを永続化するための Azure ファイル共有を作成するように求められます。 その場合は、既定値に設定すると、自動的に生成されたリソース グループ内にストレージ アカウントが作成されます。

  3. Azure portal の [Cloud Shell] ペインの PowerShell プロンプトで、次を実行します (eastus は、必要に応じてこのラボのリソースをデプロイする予定の Azure リージョンの名前に置換します)。

    :Azure リージョンの名前を識別するには、Cloud Shell の Bash プロンプトで (Get-AzLocation).Location を実行します

     Set-Variable -Name "Azure_region" -Value ('eastus') -Option constant -Scope global -Description "All processes" -PassThru

 Get-AzVMUsage -Location $Azure_region | Where-Object {$_.Name.Value -eq 'standardEDSv4Family'}
    
 Get-AzVMUsage -Location $Azure_region | Where-Object {$_.Name.Value -eq 'standardDSv4Family'}

 Get-AzVMUsage -Location $Azure_region | Where-Object {$_.Name.Value -eq 'standardMSFamily'}

 Get-AzVMUsage -Location $Azure_region | Where-Object {$_.Name.Value -eq 'cores'}
  4. 出力を確認して、現在の vCPU 使用量と vCPU 制限を特定します。 これらの差が、このラボでデプロイする Azure VM の vCPU を許容するのに十分であることを確認します。 VM ファミリ固有の数とリージョン vCPU の合計数の両方を考慮します。
  5. vCPU の数が不足している場合は、[Cloud Shell] ペインを閉じ、Azure portal の [検索] テキスト ボックスで、 [クォータ] を検索して選択します。
  6. [クォータ] ページで、 [コンピューティング] を選択します。
  7. [クォータ | コンピューティング] ページで、 [リージョン] フィルターを使用して、このラボのリソースのデプロイ先とする予定の Azure リージョンを選択します。
  8. [クォータ名] 列で、クォータの引き上げが必要な VM SKU 名を見つけて選択します。

  9. 同じ行で、 [調整可能] 列のエントリを確認します。 次の手順は、列に [はい][いいえ] エントリのどちらが含まれているかによって異なります。

    • エントリが [はい] に設定されている場合は、 [調整の要求] アイコンを選択し、 [新しいクォータの要求][新しい制限] テキスト ボックスに新しいクォータ制限を入力してから、 [送信] を選択します。
    • エントリが [いいえ] に設定されている場合は、 [アクセスの要求または推奨事項の取得] アイコンを選択し、 [クォータの推奨事項] ペインで、 [サポートに問い合わせる] オプションを選択してから、 [次へ] を選択します。

  10. [新しいサポートのリクエスト] ページの [問題の記述] タブで、以下の設定を指定してから [次へ] を選択します。

    設定
    問題は何に関係していますか? Azure サービス
    問題の種類 サービスとサブスクリプションの制限 (クォータ)
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    クォータの種類 コンピューティング/VM (コア/vCPU) サブスクリプション制限の増加
  11. [追加の詳細] タブで、 [詳細の入力] を選択します。
  12. [クォータの詳細] タブの [デプロイ モデル] ドロップダウン リストで、 [リソース マネージャー] を選択し、 [場所] ドロップダウン リストで、ターゲットの Azure リージョンを選択し、 [クォータ] ドロップダウン リストで、クォータ制限を引き上げる必要がある Azure VM シリーズを選択し、 [新しい制限] テキスト ボックスに新しいクォータ制限を入力してから、 [保存して続行] を選択します。
  13. [追加の詳細] タブに戻り、 [高度な診断情報] タブで、 [はい (推奨)] を選択します。
  14. [サポート方法] セクションで、希望する連絡方法として [メール] または [電話] を選択してから、 [次へ] を選択します。

  15. [確認および作成] タブで、 [作成] を選択します。

    : クォータ制限を引き上げる要求が正常に完了するまで待ってから、次のタスクに進みます。

タスク 2: デプロイの実行に使用される Microsoft Entra ID ユーザー アカウントに対する Azure ロールベースのアクセス制御 (RBAC) ロール割り当てを構成する

  1. ラボ コンピューターで Microsoft Edge を起動し、https://portal.azure.com にある Azure portal に移動します。
  2. 認証を求められたら、このラボで使用する Azure サブスクリプションの所有者ロールを持つ Microsoft Entra ID 資格情報を使用してサインインします。
  3. Azure portal の [検索] テキスト ボックスで、 [サブスクリプション] を検索して選択します。
  4. [サブスクリプション] ページで、このラボで使用する Azure サブスクリプションを表すエントリを選択します。
  5. Azure サブスクリプションのプロパティが表示されているページで、 [アクセスの制御 (IAM)] を選択します。
  6. [アクセスの制御 (IAM)] ページで、 [+ 追加] を選択した後、ドロップダウン メニューで [ロール割り当ての追加] を選択します。
  7. [ロール割り当ての追加] ページの [ロール] タブの [ジョブ関数ロール] の一覧で、 [Azure Center for SAP solutions 管理者] エントリを検索して選択した後、 [次へ] を選択します。
  8. [ロール割り当ての追加] ページの [メンバー] タブで、 [+ メンバーの選択] をクリックします。
  9. [メンバーの選択] ペインの [選択] テキスト ボックスに、このラボで使用している Azure サブスクリプションへのアクセスに使用した Microsoft Entra ID ユーザー アカウントの名前を入力し、エントリに一致する結果の一覧の中のそれを選択した後、 [選択] をクリックします。
  10. [メンバー] タブに戻って、 [確認と割り当て] を選択します。
  11. [確認と割り当て] タブで、 [確認と割り当て] を選択します。
  12. 前述の 6 つの手順を繰り返して、このラボで使用しているユーザー アカウントにマネージド ID オペレーターのロールを割り当てます。

タスク 3: デプロイに使用される Azure Center for SAP solutions に関連付けられるストレージ アカウントを作成する

  1. ラボ コンピューターの Azure portal が表示されている Microsoft Edge ウィンドウの [検索] テキスト ボックスで、 [ストレージ アカウント] を検索して選択します。
  2. [ストレージ アカウント] ページで [+ 作成] を選択します。

  3. [ストレージ アカウントの作成] ページの [基本] タブで、以下の設定を指定し、 [次へ: 詳細 >] を選択します。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ 新しいリソース グループ ACSS-DEMO の名前
    ストレージ アカウント名 文字と数字で構成される、長さが 3 から 24 のグローバルに一意の名前
    リージョン このラボを実行するのに十分な vCPU クォータがある Azure リージョンの名前
    パフォーマンス Standard
    冗長性 geo 冗長ストレージ (GRS)
    リージョン可用性のイベントでデータへの読み取りアクセスを利用できるようにする 無効
  4. [詳細] タブで、利用可能なオプションを確認し、既定値をそのまま使用し [次へ: ネットワーク >] を選択します。
  5. [ネットワーク] タブで、利用可能なオプションを確認し、 [すべてのネットワークからのパブリック アクセスを有効にする] オプションが有効になっていることを確認し、 [確認] を選択します。

  6. [確認] タブで、検証プロセスが完了するのを待って、 [作成] を選択します。

    : Azure Storage アカウントのプロビジョニングが完了するまで待つ必要はありません。 そのようなことはせずに、次のタスクに進みます。 プロビジョニングには 2 分ほどかかる場合があります。

タスク 4: 自動デプロイの認証と認可のために Azure Center for SAP solutions によって使用されるユーザー割り当てマネージド ID を作成して構成する

  1. ラボ コンピューターの Azure portal が表示されている Microsoft Edge ウィンドウの [検索] テキスト ボックスで、 [マネージド ID] を検索して選択します。
  2. [マネージド ID] ページで、 [+ 作成] を選択します。

  3. [ユーザー割り当てマネージド ID] ページの [基本] タブで、以下の設定を指定した後、 [確認と作成] を選択します。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ ACSS-DEMO
    リージョン このラボで前にストレージ アカウントをプロビジョニングした Azure リージョンの名前
    名前 Contoso-MSI

  4. [確認] タブで、検証プロセスが完了するのを待って、 [作成] を選択します。

    : ユーザー割り当てマネージド ID のプロビジョニングが完了するまで待ちます。 通常は数秒で完了します。

  5. Azure portal で、 [マネージド ID] ページに移動し、 [Contoso-MSI] エントリを選択します。
  6. [Contoso-MSI] ページで、 [Azure ロール割り当て] を選択します。
  7. [Azure ロール割り当て] ページで、 [+ ロール割り当ての追加 (プレビュー)] を選択します。

  8. [+ ロール割り当ての追加 (プレビュー)] ペインで、以下の設定を指定し、 [保存] を選択します。

    設定
    Scope サブスクリプション
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    役割 Azure Center for SAP solutions のサービス ロール
  9. [Azure ロール割り当て] ページに戻り、 [+ ロール割り当ての追加 (プレビュー)] を選択します。

  10. [+ ロール割り当ての追加 (プレビュー)] ペインで、以下の設定を指定し、 [保存] を選択します。

    設定
    Scope Storage
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース 前のタスクで作成した Azure Storage アカウントの名前
    役割 Reader and Data Access

タスク 5: デプロイをホストする仮想ネットワークのサブネット内で使用されるネットワーク セキュリティ グループ (NSG) を作成する

  1. ラボ コンピューターの Azure portal が表示されている Microsoft Edge ウィンドウの [検索] テキスト ボックスで、 [ネットワーク セキュリティ グループ] を検索して選択します。
  2. [ネットワーク セキュリティ グループ] ページで、 [+ 作成] を選択します。

  3. [ネットワーク セキュリティ グループの作成] ページの [基本] タブで、以下の設定を指定した後、 [確認と作成] を選択します。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ 新しいリソース グループ CONTOSO-VNET-RG の名前
    名前 ACSS-DEMO-NSG
    リージョン このラボで前にストレージ アカウントをプロビジョニングした Azure リージョンの名前

  4. [確認と作成] タブで、検証プロセスが完了するのを待って、 [作成] を選択します。

    : 既定では、ネットワーク セキュリティ グループの組み込みルールは、すべての送信トラフィック、同じ仮想ネットワーク内のすべてのトラフィック、およびピアリングされた仮想ネットワーク間のすべてのトラフィックを許可します。 これは、ラボを正常に完了するのに十分です。 セキュリティ要件によっては、このトラフィックの一部をブロックすることを検討する場合があります。 その場合は、「インフラストラクチャ デプロイのためのネットワークの準備」という Microsoft Learn ドキュメントに記載されているガイダンスを参照してください。

タスク 6: デプロイをホストする仮想ネットワークのサブネット内で使用されるルート テーブルを作成する

  1. ラボ コンピューターの Azure portal が表示されている Microsoft Edge ウィンドウの [検索] テキスト ボックスで、 [ルート テーブル] を検索して選択します。
  2. [ルート テーブル] ページで、 [+ 作成] を選択します。

  3. [ルート テーブルの作成] ページの [基本] タブで、以下の設定を指定した後、 [確認と作成] を選択します。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ CONTOSO-VNET-RG
    リージョン このラボで前にリソースをプロビジョニングした Azure リージョンの名前
    名前 ACSS-ROUTE
    ゲートウェイのルートを伝達する いいえ
  4. [確認と作成] タブで、検証プロセスが完了するのを待って、 [作成] を選択します。

タスク 7: デプロイをホストする仮想ネットワークを作成して構成する

  1. ラボ コンピューターの Azure portal が表示されている Microsoft Edge ウィンドウの [検索] テキスト ボックスで、 [仮想ネットワーク] を検索して選択します。
  2. [仮想ネットワーク] ページで、[+ 作成] を選択します。

  3. [仮想ネットワークの作成] ページの [基本] タブで、以下の設定を指定し、 [次へ] を選択します。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ CONTOSO-VNET-RG
    仮想ネットワーク名 CONTOSO-VNET
    リージョン このラボで前にリソースをプロビジョニングした Azure リージョンの名前

  4. [セキュリティ] タブで、既定の設定をそのまま使用し、 [次へ] を選択します。

    : この時点で Azure Bastion と Azure Firewall の両方をプロビジョニングできますが、仮想ネットワークが作成されてから、それらを個別にプロビジョニングします。

  5. [IP アドレス] タブで、以下の設定を指定した後、 [確認と作成] を選択します。

    設定
    IP アドレス空間 10.5.0.0/16 (65,536 個のアドレス)

    : 事前に作成されたすべてのサブネット エントリを削除します。 仮想ネットワークの作成後にサブネットを追加します。

  6. [確認と作成] タブで、検証プロセスが完了するのを待って、 [作成] を選択します。
  7. [仮想ネットワーク] ページに戻り、 [CONTOSO-VNET] エントリを選択します。
  8. [CONTOSO-VNET] ページで、ページの左側にある垂直メニュー バーの [サブネット] を選択します。
  9. [CONTOSO-VNET | サブネット] ページで、 [+ サブネット] を選択します。

  10. [サブネットの追加] ペインで、以下の設定を指定して、 [保存] を選択します。

    設定
    名前 app
    サブネットのアドレス範囲 10.5.0.0/24
    ネットワーク セキュリティ グループ ACSS-DEMO-NSG
    ルート テーブル ACSS-ROUTE
  11. [CONTOSO-VNET | サブネット] ページに戻り、 [+ サブネット] を選択します。

  12. [サブネットの追加] ペインで、以下の設定を指定して、 [保存] を選択します。

    設定
    名前 AzureBastionSubnet
    サブネットのアドレス範囲 10.5.1.0/26
  13. [CONTOSO-VNET | サブネット] ページに戻り、 [+ サブネット] を選択します。

  14. [サブネットの追加] ペインで、以下の設定を指定して、 [保存] を選択します。

    設定
    名前 db
    サブネットのアドレス範囲 10.5.2.0/24
    ネットワーク セキュリティ グループ ACSS-DEMO-NSG
    ルート テーブル ACSS-ROUTE
  15. [CONTOSO-VNET | サブネット] ページに戻り、 [+ サブネット] を選択します。

  16. [サブネットの追加] ペインで、以下の設定を指定して、 [保存] を選択します。

    設定
    名前 AzureFirewallSubnet
    サブネットのアドレス範囲 10.5.3.0/24

タスク 8: デプロイをホストする仮想ネットワークに Azure Firewall をデプロイする

: Azure Firewall インスタンスをデプロイする前に、まず、インスタンスで使用するファイアウォール ポリシーとパブリック IP アドレスを作成します。

  1. ラボ コンピューターの Azure portal が表示されている Microsoft Edge ウィンドウの [検索] テキスト ボックスで、 [ファイアウォール ポリシー] を検索して選択します。
  2. [ファイアウォール ポリシー] ページで、 [+ 作成] を選択します。

  3. [Azure Firewall ポリシーの作成] ページの [基本] タブで、以下の設定を指定して、 [次へ: DNS 設定 >] を選択します。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ CONTOSO-VNET-RG
    名前 FirewallPolicy_contoso-firewall
    リージョン このラボで前にリソースをプロビジョニングした Azure リージョンの名前
    ポリシー レベル 標準
    親ポリシー なし
  4. [DNS 設定] タブで、既定の [無効] オプションをそのまま使用し、 [次へ: TLS 検査 >] を選択します。
  5. [TLS 検査] タブで、 [次へ: ルール >] を選択します。
  6. [ルール] タブで、 [+ ルール コレクションの追加] を選択します。

  7. [ルール コレクションの追加] ペインで、以下の設定を指定します。

    設定
    名前 AllowOutbound
    規則コレクションの種類 Network
    優先度 101
    規則コレクション アクション 許可
    規則コレクション グループ DefaultNetworkRuleCollectionGroup

  8. [ルール コレクションの追加] ペインの [ルール] セクションで、以下の設定でルールを追加します。

    設定
    名前 RHEL
    変換元の型 IP アドレス
    source *
    プロトコル [任意]
    宛先ポート *
    変換先の型 IP アドレス
    宛先 13.91.47.76、40.85.190.91、52.187.75.218、52.174.163.213、52.237.203.198

    : RHEL に使用する IP アドレスを特定するには、「インフラストラクチャ デプロイのためのネットワークの準備」を参照してください

    設定
    名前 ServiceTags
    変換元の型 IP アドレス
    source *
    プロトコル [任意]
    宛先ポート *
    変換先の型 サービス タグ
    宛先 AzureActiveDirectory、AzureKeyVault、Storage

    : 必要に応じて、リージョン スコープでサービス タグを使用できます。

    設定
    名前 SUSE
    変換元の型 IP アドレス
    source *
    プロトコル [任意]
    宛先ポート *
    変換先の型 IP アドレス
    宛先 52.188.224.179、52.186.168.210、52.188.81.163、40.121.202.140

    : SUSE に使用する IP アドレスを識別するには、「インフラストラクチャ デプロイのためのネットワークの準備」を参照してください

    設定
    名前 AllowOutbound
    変換元の型 IP アドレス
    source *
    プロトコル TCP、UDP、ICMP、Any
    宛先ポート *
    変換先の型 IP アドレス
    宛先 *
  9. [追加] ボタンを選択して、すべてのルールを保存します。
  10. [ルール] タブに戻り、 [次へ: IDPS >] を選択します。

  11. [IDPS] タブで、 [次へ: 脅威インテリジェンス >] を選択します。

    : IDPS 機能には Premium SKU が必要です。

  12. [脅威インテリジェンス] タブで、変更を加えずに利用可能な設定を確認した後、 [確認と作成] を選択します。

  13. [確認と作成] タブで、検証プロセスが完了するのを待って、 [作成] を選択します。

    : ファイアウォール ポリシーのプロビジョニングが完了するまで待ちます。 プロビジョニングには 1 分ほどかかるはずです。

  14. ラボ コンピューターの Azure portal が表示されている Microsoft Edge ウィンドウの [検索] テキスト ボックスで、 [パブリック IP アドレス] を検索して選択します。
  15. [パブリック IP アドレス] ページで、 [+ 作成] を選択します。

  16. [パブリック IP アドレスの作成] ページの [基本] タブで、以下の設定を指定した後、 [確認と作成] を選択します。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ CONTOSO-VNET-RG
    リージョン このラボで前にリソースをプロビジョニングした Azure リージョンの名前
    名前 contoso-firewal-pip
    IP バージョン IPv4
    SKU Standard
    可用性ゾーン ゾーンなし
    レベル Regional
    ルーティング設定 Microsoft ネットワーク
    アイドル タイムアウト (分) 4
    DNS 名ラベル 設定しない

  17. [確認と作成] タブで、検証プロセスが完了するのを待って、 [作成] を選択します。

    : パブリック IP アドレスのプロビジョニングが完了するまで待ちます。 プロビジョニングには数秒かかるはずです。

  18. ラボ コンピューターの Azure portal が表示されている Microsoft Edge ウィンドウの [検索] テキスト ボックスで、 [ファイアウォール] を検索して選択します。
  19. [ファイアウォール] ページで、 [+ 作成] を選択します。

  20. [ファイアウォールの作成] ページの [基本] タブで、以下の設定を指定した後、 [確認と作成] を選択します。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ CONTOSO-VNET-RG
    名前 contoso-firewall
    リージョン このラボで前にリソースをプロビジョニングした Azure リージョンの名前
    可用性ゾーン なし
    ファイアウォール SKU Standard
    ファイアウォール管理 ファイアウォール ポリシーを使用してこのファイアウォールを管理する
    ファイアウォール ポリシー FirewallPolicy_contoso-firewall
    仮想ネットワークの選択 [既存のものを使用]
    Virtual Network CONTOSO-VNET
    パブリック IP アドレス contoso-firewall-pip
    強制トンネリング Disabled

    : Azure Firewall のプロビジョニングが完了するまで待ちます。 プロビジョニングには 3 分ほどかかる場合があります。

  21. Azure portal で、 [ファイアウォール] ページに戻ります。
  22. [ファイアウォール] ページで、 [contoso-firewall] エントリを選択します。

  23. [contoso-firewall] ページで、 [プライベート IP] エントリが Azure Firewall インスタンスのプライベート IP アドレスを表す 10.5.3.4 に設定されていることを確認します。

    : ネットワーク トラフィックを Azure Firewall 経由でルーティングするには、アプリと SAP デプロイをホストする仮想ネットワークの db サブネットに関連付けられているルート テーブルにユーザー定義ルートを追加する必要があります。

  24. Azure portal の [検索] テキスト ボックスで、 [ルート テーブル] を検索して選択します。
  25. [ルート テーブル] ページで、 [ACSS-ROUTE] エントリを選択します。
  26. [ACSS-ROUTE] ページで、 [ルート] を選択します。
  27. [ACSS-ROUTE | ルート] ページで、 [+ 追加] を選択します。

  28. [ルートの追加] ペインで、以下の設定を指定した後、 [追加] を選択します。

    設定
    ルート名 ファイアウォール
    変換先の型 [IP アドレス]
    宛先 IP アドレス/CIDR 範囲 0.0.0.0/0
    ネクストホップの種類 仮想アプライアンス
    次ホップ アドレス 10.5.3.4

タスク 9: デプロイをホストする仮想ネットワークに Azure Bastion をデプロイする

  1. ラボ コンピューターの Azure portal が表示されている Microsoft Edge ウィンドウの [検索] テキスト ボックスで、 [Bastion] を検索して選択します。
  2. [Bastion] ページで、 [+ 作成] を選択します。

  3. [Bastion] ページの [基本] タブで、以下の設定を指定し、 [次へ : タグ >] を選択します。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ CONTOSO-VNET-RG
    名前 ACSS-BASTION
    リージョン このラボで前にリソースをプロビジョニングした Azure リージョンの名前
    レベル Basic
    インスタンス数 2
    Virtual Network CONTOSO-VNET
    Subnet AzureBastionSubnet
    パブリック IP アドレス 新規作成
    パブリック IP アドレス名 ACSS-BASTION-PIP
  4. [タグ] タブで、 [次へ : 詳細 >] を選択します
  5. [詳細] タブで、変更を加えずに利用可能な設定を確認した後、 [次へ : 確認と作成 >] を選択します

  6. [確認と作成] タブで、検証プロセスが完了するのを待って、 [作成] を選択します。

    : Bastion ホストのプロビジョニングが完了するまで待つ必要はありません。 そのようなことはせずに、次のタスクに進みます。 プロビジョニングには 15 分ほどかかる場合があります。

演習 2: Azure Center for SAP solutions を使用して、Azure で SAP ワークロードをホストするインフラストラクチャをデプロイする

期間:40 分

この演習では、Azure Center for SAP solutions を使用して、SAP ワークロードをホストするインフラストラクチャを、前の演習で使用した Azure サブスクリプションにデプロイします。 デプロイが正常に完了したら、Azure Center for SAP solutions を使用して SAP ソフトウェアのインストールに進むか、このラボでプロビジョニングした Azure リソースを削除できます。

:Azure Center for SAP solutions を使用した SAP ソフトウェアのインストールの詳細については、Microsoft Learn のドキュメントを参照してください。このドキュメントでは、SAP インストール メディアを取得し、SAP ソフトウェアをインストールする方法について説明しています。 このラボでプロビジョニングした Azure リソースを削除する手順は、この演習の 2 番めのタスクに含まれています。

この演習は以下のタスクから構成されます。

  • タスク 1: Virtual Instance for SAP solutions を作成する
  • タスク 2:ラボでプロビジョニングした Azure リソースを削除する

タスク 1: Virtual Instance for SAP solutions を作成する

  1. ラボ コンピューターの Azure portal が表示されている Microsoft Edge ウィンドウの [検索] テキスト ボックスで、 [Azure Center for SAP solutions] を検索して選択します。
  2. [Azure Center for SAP solutions | 概要] ページで、 [新しい SAP システムの作成] を選択します。

  3. [Virtual Instance for SAP solutions の作成] ページの [基本] タブで、以下の設定を指定し、 [次へ : 仮想マシン] を選択します。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ 新しいリソース グループ Contoso-SAP-C1S の名前
    名前 (SID) C1S
    リージョン このラボで前にリソースをプロビジョニングした Azure リージョンの名前
    環境の種類 Production
    SAP 製品 S/4HANA
    データベース HANA
    HANA スケーリング方法 スケールアップ (推奨)
    デプロイの種類 高可用性 (HA) を備えた分散
    コンピューティングの可用性 99.95 (可用性セット)
    Virtual Network CONTOSO-VNET
    アプリケーション サブネット app (10.5.0.0/24)
    データベース サブネット db (10.5.2.0/24)
    アプリケーション OS イメージ Red Hat Enterprise Linux 8.2 for SAP Applications - x64 Gen2 最新版
    データベース OS イメージ Red Hat Enterprise Linux 8.2 for SAP Applications - x64 Gen2 最新版
    SAP トランスポート オプション 新しい SAP トランスポート ディレクトリを作成する
    トランスポート リソース グループ ACSS-DEMO
    ストレージ アカウント名 エントリなし
    認証の種類 SSH パブリック
    ユーザー名 contososapadmin
    SSH 公開キーのソース 新しいキーの組の生成
    キーの組名 contosoc1skey
    SQP FQDN sap.contoso.com
    マネージド ID ソース 既存のユーザー割り当てマネージド ID を使用する
    マネージド ID 名 Contoso-MSI

  4. [仮想マシン] タブで、以下の設定を指定します。

    設定
    以下に基づいて推奨事項を生成する SAP Application Performance Standard (SAPS) - アプリケーション層とデータベース メモリ サイズの SAPS を提供するにはこのオプションを選択し、[推奨事項の生成] をクリックします
    アプリケーション層の SAPS 10000
    データベースのメモリ サイズ (GiB) 1024
  5. [レコメンデーションの生成] を選択します。

  6. ASCS、アプリケーション、およびデータベース仮想マシンの VM のサイズと数を確認します。

    : 必要に応じて、仮想マシンの各セットの [すべてのサイズを表示] リンクを選択して代替サイズを選択することで、推奨サイズを調整します。 既定では、上で指定したアプリケーション層 SAPS とデータベース メモリ サイズに加え、高可用性を備える分散デプロイ タイプの VM SKU に関する推奨事項は以下のようになります。

    • ASCS VM 用の 2 個の Standard_E4ds_v4 (それぞれ 4 個の vCPU と 32 GiB のメモリ)
    • アプリケーション VM 用の 2 個の Standard_E4ds_v4 VM (それぞれ 4 個の vCPU と 32 GiB のメモリ)
    • データベース VM 用の 2 個の Standard_M64ms (それぞれ 64 個の vCPU と 1750 GiB のメモリ)

    : データベース VM の vCPU とメモリの要件を最小限に抑えるには、VM SKU を Standard_M32ts (それぞれ 32 個の vCPU と 192 GiB のメモリ) に変更することを検討します。

    : 必要に応じて、仮想マシンの特定の SKU の [クォータの要求] リンクを選択してクォータの引き上げ要求を送信することで、クォータの引き上げを要求できます。 通常、要求の処理には数分かかります。

    : Azure Center for SAP solutions では、デプロイ時に SAP でサポートされている VM SKU の使用が強制されます。

  7. [仮想マシン] タブの [データ ディスク] セクションで、 [構成の表示とカスタマイズ] リンクを選択します。
  8. [データベース ディスクの構成] ページで、変更を加えずに推奨構成を確認し、 [閉じる] を選択します。
  9. [仮想マシン] タブに戻り、 [次へ : アーキテクチャの視覚化] を選択します。
  10. [アーキテクチャの視覚化] タブで、推奨アーキテクチャを示す図を確認し、 [確認と作成] を選択します。
  11. [確認と作成] タブで、検証プロセスが完了するまで待ち、”クォータ不足” エラーが発生しないようにデプロイ リージョン内に利用可能なクォータが十分あることを確認するチェックボックスを選択し、 [作成] を選択します。

  12. 求められたら、 [新しいキーの組の生成] ウィンドウで、 [秘密キーのダウンロードとリソースの作成] を選択します。

    : デプロイに含まれる Azure VM への接続に必要な秘密キーは、このラボを実行しているコンピューターにダウンロードされます。

    : デプロイが完了するまで待ちます。 これには 25 分ほどかかる場合があります。

:デプロイしたら、Azure Center for SAP solutions を使用して SAP ソフトウェアのインストールに進むか、次のタスクの手順に従ってラボ リソースを削除します。

タスク 2:ラボでプロビジョニングした Azure リソースを削除する

重要: デプロイしたリソースのコストは大きいので、これ以降ラボを使用する予定がない場合は、必ずラボをプロビジョニング解除してください。 SAP ソリューションの仮想インスタンスを削除しても、基盤のインフラストラクチャ リソースは削除されません。 リソースを削除するには、このタスクで説明されている手順を使用する必要があります。この手順は、次の 3 つのリソース グループ内のリソースを対象とします。

  • Contoso-SAP-C1S
  • CONTOSO-VNET-RG
  • ACSS-DEMO

  1. ラボ コンピューターの、Azure portal を表示している Microsoft Edge ウィンドウで、[Cloud Shell] アイコンを選択し、Cloud Shell で PowerShell セッションを起動します。

    : このラボで使用する Azure サブスクリプションで Cloud Shell を起動するのが初めての場合は、Cloud Shell ファイルを永続化するための Azure ファイル共有を作成するように求められます。 その場合は、既定値に設定すると、自動的に生成されたリソース グループ内にストレージ アカウントが作成されます。

  2. Azure portal の [Cloud Shell] ペインの PowerShell セッションで、次のコマンドを実行して、このラボでデプロイされているすべての Azure VM を停止し、割り当てを解除します。

     $resourceGroupName = 'Contoso-SAP-C1S'
 $vms = Get-AzVM -ResourceGroupName $resourceGroupName
 foreach ($vm in $vms) {
    Stop-AzVM -ResourceGroupName $resourceGroupName -Name $vm.Name -Force 
 }

  3. PowerShell プロンプトで、次のコマンドを実行して、このラボにデプロイされているすべての Azure VM からすべてのデータ ディスクをデタッチします。

     foreach ($vm in $vms) {  
    $vmDisks = $vm.StorageProfile.DataDisks
    foreach ($vmDisk in $vmDisks) {
       Remove-AzVMDataDisk -VM $vm -Name $vmDisk.Name
    }
    Update-AzVM -ResourceGroupName $resourceGroupName -VM $vm -ErrorAction SilentlyContinue
 }

  4. PowerShell プロンプトで、次のコマンドを実行して、このラボにデプロイされているすべての Azure VM にアタッチされているネットワーク インターフェイスとディスクの削除オプションを有効にします。

     foreach ($vm in $vms) {
    $vmConfig = Get-AzVM -ResourceGroupName $resourceGroupName -Name $vm.Name
    $vmConfig.StorageProfile.OsDisk.DeleteOption = 'Delete'
    $vmConfig.StorageProfile.DataDisks | ForEach-Object { $_.DeleteOption = 'Delete' }
    $vmConfig.NetworkProfile.NetworkInterfaces | ForEach-Object { $_.DeleteOption = 'Delete' }
    $vmConfig | Update-AzVM
 }

  5. PowerShell プロンプトで、次のコマンドを実行して、このラボにデプロイされているすべての Azure VM を削除します。

     foreach ($vm in $vms) {
    Remove-AzVm -ResourceGroupName $resourceGroupName -Name $vm.Name -ForceDeletion $true -Force
 }

  6. PowerShell プロンプトで、次のコマンドを実行して、Contoso-SAP-C1S リソース グループとその残留リソースをすべて削除します。

     Remove-AzResourceGroup -Name 'Contoso-SAP-C1S' -Force -AsJob

  7. PowerShell プロンプトで、次のコマンドを実行して、CONTOSO-VNET-RG リソース グループとその残留リソースをすべて削除します。

     Remove-AzResourceGroup -Name 'CONTOSO-VNET-RG' -Force -AsJob

  8. PowerShell プロンプトで、次のコマンドを実行して、ACSS-DEMO リソース グループとその残留リソースをすべて削除します。

     Remove-AzResourceGroup -Name 'ACSS-DEMO' -Force -AsJob

    :最後の 3 つのコマンドは (-AsJob パラメーターに従って) 非同期で実行されるため、同じ PowerShell セッション内で直後に別の PowerShell コマンドを実行できますが、リソース グループとそのリソースが実際に削除されるまでに数分かかります。