Konfigurace řídicí roviny
Řídicí rovina pro architekturu SAP Deployment Automation Framework se skládá z následujících komponent:
- Deployer
- Knihovna SAP
Deployer
Deployer je prováděcí modul architektury SAP Deployment Automation Framework. Jedná se o předkonfigurovaný virtuální počítač, který se používá ke spouštění příkazů Terraform a Ansible. Při použití Azure DevOps je nasazér místním agentem.
Konfigurace nasazovacího nástroje se provádí v souboru proměnné Terraformu tfvars .
Pokud chcete pro deployer použít existující skupinu prostředků, zadejte ID prostředku Azure pro skupinu prostředků pomocí resource_group_arm_id parametru v souboru tfvars nasazujícího. Pokud parametr není definovaný, vytvoří se skupina prostředků pomocí výchozího pojmenování. Výchozí název můžete změnit pomocí parametru resource_group_name .
Parametry Terraformu
Tato tabulka zobrazuje parametry Terraformu. Tyto parametry je potřeba zadat ručně, pokud nepoužíváte skripty nasazení.
| Proměnná | Popis | Typ |
|---|---|---|
tfstate_resource_id |
Identifikátor prostředku Azure pro účet úložiště v knihovně SAP, která obsahuje soubory stavu Terraformu | Požaduje se |
Parametry prostředí
Tato tabulka zobrazuje parametry, které definují pojmenování prostředků.
| Proměnná | Popis | Typ | Notes |
|---|---|---|---|
environment |
Identifikátor řídicí roviny (maximálně 5 znaků). | Povinné | Například PROD pro produkční prostředí a NP pro neprodukční prostředí. |
location |
Oblast Azure, ve které se má nasadit. | Požaduje se | Používejte malá písmena. |
codename |
Další komponenta pro pojmenování prostředků | Volitelné | |
name_override_file |
Soubor přepsání názvu | Volitelné | Viz Vlastní pojmenování. |
place_delete_lock_on_resources |
Umístěte zámek odstranění na klíčové prostředky. | Volitelné |
Skupina prostředků
Tato tabulka zobrazuje parametry, které definují skupinu prostředků.
| Proměnná | Popis | Typ |
|---|---|---|
resourcegroup_name |
Název skupiny prostředků, která se má vytvořit | Volitelné |
resourcegroup_arm_id |
Identifikátor prostředku Azure pro existující skupinu prostředků | Volitelné |
resourcegroup_tags |
Značky, které se mají přidružit ke skupině prostředků | Volitelné |
Parametry sítě
Architektura automatizace podporuje vytvoření virtuální sítě i podsítě (zelené pole) nebo použití existující virtuální sítě a existujících podsítí (hnědé pole) nebo kombinace zeleného a hnědého pole:
- Scénář zeleného pole: Musí být zadán adresní prostor virtuální sítě a předpony adres podsítě.
- Scénář brown-field: Identifikátor prostředku Azure pro virtuální síť a podsítě musí být zadány.
Doporučená CIDR adresního prostoru virtuální sítě je /27, což umožňuje prostor pro 32 IP adres. Hodnota CIDR /28 povoluje pouze 16 IP adres. Pokud chcete zahrnout Azure Firewall, použijte hodnotu CIDR /25, protože Azure Firewall vyžaduje rozsah /26.
Doporučená hodnota CIDR pro podsíť správy je /28, což umožňuje 16 IP adres. Doporučená hodnota CIDR pro podsíť brány firewall je /26, což umožňuje 64 IP adres.
Tato tabulka zobrazuje síťové parametry.
| Proměnná | Popis | Typ | Notes |
|---|---|---|---|
management_network_name |
Název virtuální sítě, do které se nasadí nasazovač | Volitelné | Pro nasazení zeleně |
management_network_logical_name |
Logický název sítě (DEV-WEEU-MGMT01-INFRASTRUCTURE) | Požaduje se | |
management_network_arm_id |
Identifikátor prostředku Azure pro virtuální síť | Volitelné | Pro nasazení brown-field |
management_network_address_space |
Rozsah adres pro virtuální síť | Povinné | Pro nasazení zeleně |
management_subnet_name |
Název podsítě | Volitelné | |
management_subnet_address_prefix |
Rozsah adres podsítě | Povinné | Pro nasazení zeleně |
management_subnet_arm_id |
Identifikátor prostředku Azure pro podsíť | Povinné | Pro nasazení brown-field |
management_subnet_nsg_name |
Název skupiny zabezpečení sítě | Volitelné | |
management_subnet_nsg_arm_id |
Identifikátor prostředku Azure pro skupinu zabezpečení sítě | Povinné | Pro nasazení brown-field |
management_subnet_nsg_allowed_ips |
Rozsah povolených IP adres pro přidání do služby Azure Firewall | Volitelné | |
management_firewall_subnet_arm_id |
Identifikátor prostředku Azure pro podsíť služby Azure Firewall | Povinné | Pro nasazení brown-field |
management_firewall_subnet_address_prefix |
Rozsah adres podsítě | Povinné | Pro nasazení zeleně |
management_bastion_subnet_arm_id |
Identifikátor prostředku Azure pro podsíť Služby Azure Bastion | Povinné | Pro nasazení brown-field |
management_bastion_subnet_address_prefix |
Rozsah adres podsítě | Povinné | Pro nasazení zeleně |
webapp_subnet_arm_id |
Identifikátor prostředku Azure pro podsíť webové aplikace | Povinné | Pro nasazení brown-field |
webapp_subnet_address_prefix |
Rozsah adres podsítě | Povinné | Pro nasazení zeleně |
use_private_endpoint |
Použijte privátní koncové body. | Volitelné | |
use_service_endpoint |
Použijte koncové body služby pro podsítě. | Volitelné |
Poznámka:
Pokud pro webovou aplikaci použijete existující podsíť, musí být podsíť prázdná, ve stejné oblasti jako nasazená skupina prostředků a delegovaná na Microsoft.Web/serverFarms.
Parametry virtuálního počítače pro nasazení
V této tabulce jsou uvedeny parametry související s virtuálním počítačem nasazovacího nástroje.
| Proměnná | Popis | Typ |
|---|---|---|
deployer_size |
Definuje skladovou položku virtuálního počítače, která se má použít, výchozí: Standard_D4ds_v4 | Volitelné |
deployer_count |
Definuje počet nasazení. | Volitelné |
deployer_image |
Definuje image virtuálního počítače, která se má použít, výchozí: Ubuntu 22.04. | Volitelné |
plan |
Definuje plán přidružený k imagi virtuálního počítače. | Volitelné |
deployer_disk_type |
Definuje typ disku, výchozí nastavení: Premium_LRS | Volitelné |
deployer_use_DHCP |
Určuje, jestli se mají použít IP adresy poskytnuté podsítí Azure (dynamické). | Volitelné |
deployer_private_ip_address |
Definuje privátní IP adresu, která se má použít. | Volitelné |
deployer_enable_public_ip |
Definuje, jestli má deployer veřejnou IP adresu. | Volitelné |
auto_configure_deployer |
Definuje, jestli je nasazený nakonfigurovaný s požadovaným softwarem (Terraform a Ansible). | Volitelné |
add_system_assigned_identity |
Definuje, jestli je nasazený přiřazená identita systému. | Volitelné |
Image virtuálního počítače je definována pomocí následující struktury:
xxx_vm_image = {
os_type = ""
source_image_id = ""
publisher = "Canonical"
offer = "0001-com-ubuntu-server-jammy"
sku = "22_04-lts"
version = "latest"
type = "marketplace"
}
Poznámka:
Typ může být marketplace/marketplace_with_plan/custom.
Použití obrázku typu marketplace_with_plan vyžaduje, aby se daný obrázek v předplatném používal alespoň jednou. Při prvním použití se uživateli zobrazí výzva k přijetí licenčních podmínek a automatizace nemá žádné prostředky ke schválení.
Parametry ověřování
Tato část definuje parametry používané k definování ověřování virtuálního počítače.
| Proměnná | Popis | Typ |
|---|---|---|
deployer_vm_authentication_type |
Definuje výchozí ověřování pro deployer. | Volitelné |
deployer_authentication_username |
název účtu Správa istrator | Volitelné |
deployer_authentication_password |
Správa istrator password | Volitelné |
deployer_authentication_path_to_public_key |
Cesta k veřejnému klíči použitému k ověřování | Volitelné |
deployer_authentication_path_to_private_key |
Cesta k privátnímu klíči použitému k ověřování | Volitelné |
use_spn |
Pokud je definované nasazení, provede se pomocí instančního objektu, jinak MSI. | Volitelné |
Parametry trezoru klíčů
Tato část definuje parametry používané k definování informací o službě Azure Key Vault.
| Proměnná | Popis | Typ |
|---|---|---|
user_keyvault_id |
Identifikátor prostředku Azure pro trezor klíčů uživatele | Volitelné |
spn_keyvault_id |
Identifikátor prostředku Azure pro trezor klíčů, který obsahuje přihlašovací údaje pro nasazení. | Volitelné |
deployer_private_key_secret_name |
Název tajného klíče trezoru klíčů pro privátní klíč deployeru. | Volitelné |
deployer_public_key_secret_name |
Název tajného klíče trezoru klíčů pro veřejný klíč deployeru. | Volitelné |
deployer_username_secret_name |
Název tajného klíče trezoru klíčů pro uživatelské jméno deployeru | Volitelné |
deployer_password_secret_name |
Název tajného klíče trezoru klíčů pro heslo nasazovacího nástroje. | Volitelné |
additional_users_to_add_to_keyvault_policies |
Seznam ID uživatelských objektů, které se mají přidat do zásad přístupu trezoru klíčů nasazení | Volitelné |
set_secret_expiry |
Pro tajné kódy trezoru klíčů nastavte vypršení platnosti 12 měsíců. | Volitelné |
soft_delete_retention_days |
Počet dnů, po které se mají položky uchovávat v období obnovitelného odstranění | Volitelné |
deployer_assign_subscription_permissions |
Řídí přiřazení oprávnění předplatného. | Volitelné |
Podpora DNS
| Proměnná | Popis | Typ |
|---|---|---|
dns_label |
Název DNS zóny Privátní DNS. | Volitelné |
use_custom_dns_a_registration |
Používá pro DNS externí systém nastavený na false pro nativní Azure. | Volitelné |
management_dns_subscription_id |
ID předplatného pro předplatné, které obsahuje Privátní DNS zónu. | Volitelné |
management_dns_resourcegroup_name |
Skupina prostředků, která obsahuje Privátní DNS zónu. | Volitelné |
Další parametry
| Proměnná | Popis | Typ | Notes |
|---|---|---|---|
firewall_deployment |
Logický příznak, který určuje, jestli se má nasadit brána Azure Firewall. | Volitelné | |
bastion_deployment |
Logický příznak, který určuje, jestli se má nasadit hostitel Služby Azure Bastion. | Volitelné | |
bastion_sku |
Skladová položka pro hostitele Služby Azure Bastion, který se má nasadit (Basic/Standard). | Volitelné | |
enable_purge_control_for_keyvaults |
Logický příznak, který řídí, jestli je v trezoru klíčů povolený ovládací prvek mazání. | Volitelné | Používejte pouze pro testovací nasazení. |
enable_firewall_for_keyvaults_and_storage |
Omezte přístup k vybraným podsítím. | Volitelné | |
Agent_IP |
IP adresa agenta. | Volitelné | |
add_Agent_IP |
Určuje, jestli je IP adresa agenta přidaná do trezoru klíčů a bran firewall účtu úložiště. | Volitelné |
Parametry webové aplikace
| Proměnná | Popis | Typ | Notes |
|---|---|---|---|
use_webapp |
Logická hodnota označující, jestli má být webová aplikace nasazená. | Volitelné | |
app_service_SKU_name |
Skladová položka plánu služby App Service. | Volitelné | |
app_registration_app_id |
ID registrace aplikace, které se má použít pro webovou aplikaci. | Volitelné | |
webapp_client_secret |
Skladová položka plánu služby App Service. | Volitelné | Bude trvalé ve službě Key Vault. |
Ukázkový soubor parametrů pro deployer (jenom požadované parametry)
# The environment value is a mandatory field, it is used for partitioning the environments, for example (PROD and NP)
environment="MGMT"
# The location/region value is a mandatory field, it is used to control where the resources are deployed
location="westeurope"
# management_network_address_space is the address space for management virtual network
management_network_address_space="10.10.20.0/25"
# management_subnet_address_prefix is the address prefix for the management subnet
management_subnet_address_prefix="10.10.20.64/28"
# management_firewall_subnet_address_prefix is the address prefix for the firewall subnet
management_firewall_subnet_address_prefix="10.10.20.0/26"
# management_bastion_subnet_address_prefix is a mandatory parameter if bastion is deployed and if the subnets are not defined in the workload or if existing subnets are not used
management_bastion_subnet_address_prefix = "10.10.20.128/26"
deployer_enable_public_ip=false
firewall_deployment=true
bastion_deployment=true
Knihovna SAP
Knihovna SAP poskytuje trvalé úložiště stavových souborů Terraformu a stažené instalační médium SAP pro řídicí rovinu.
Konfigurace knihovny SAP se provádí v souboru proměnné Terraformu tfvars .
Pokud chcete pro knihovnu SAP použít existující skupinu prostředků, zadejte ID prostředku Azure pro skupinu prostředků pomocí resource_group_arm_id parametru v souboru tfvars nasazujícího. Pokud parametr není definovaný, vytvoří se skupina prostředků pomocí výchozího pojmenování. Výchozí název můžete změnit pomocí parametru resource_group_name .
Parametry Terraformu
Tato tabulka zobrazuje parametry Terraformu. Tyto parametry je potřeba zadat ručně, pokud nepoužíváte skripty nasazení nebo Azure Pipelines.
| Proměnná | Popis | Typ | Notes |
|---|---|---|---|
deployer_tfstate_key |
Název souboru stavu pro deployer | Požaduje se |
Parametry prostředí
Tato tabulka zobrazuje parametry, které definují pojmenování prostředků.
| Proměnná | Popis | Typ | Notes |
|---|---|---|---|
environment |
Identifikátor řídicí roviny (maximálně pět znaků) | Povinné | Například PROD pro produkční prostředí a NP pro neprodukční prostředí. |
location |
Oblast Azure, ve které se má nasadit | Požaduje se | Používejte malá písmena. |
name_override_file |
Soubor přepsání názvu | Volitelné | Viz Vlastní pojmenování. |
Skupina prostředků
Tato tabulka zobrazuje parametry, které definují skupinu prostředků.
| Proměnná | Popis | Typ |
|---|---|---|
resourcegroup_name |
Název skupiny prostředků, která se má vytvořit | Volitelné |
resourcegroup_arm_id |
Identifikátor prostředku Azure pro existující skupinu prostředků | Volitelné |
resourcegroup_tags |
Značky, které se mají přidružit ke skupině prostředků | Volitelné |
Účet úložiště médií instalace SAP
| Proměnná | Popis | Typ |
|---|---|---|
library_sapmedia_arm_id |
Identifikátor prostředku Azure | Volitelné |
Účet vzdáleného úložiště stavu Terraformu
| Proměnná | Popis | Typ |
|---|---|---|
library_terraform_state_arm_id |
Identifikátor prostředku Azure | Volitelné |
Podpora DNS
| Proměnná | Popis | Typ |
|---|---|---|
dns_label |
Název DNS zóny Privátní DNS. | Volitelné |
use_custom_dns_a_registration |
Použijte existující zónu Privátní DNS. | Volitelné |
management_dns_subscription_id |
ID předplatného pro předplatné, které obsahuje Privátní DNS zónu. | Volitelné |
management_dns_resourcegroup_name |
Skupina prostředků, která obsahuje Privátní DNS zónu. | Volitelné |
Další parametry
| Proměnná | Popis | Typ |
|---|---|---|
use_private_endpoint |
Použijte privátní koncové body. | Volitelné |
use_service_endpoint |
Použijte koncové body služby pro podsítě. | Volitelné |
enable_firewall_for_keyvaults_and_storage |
Omezte přístup k vybraným podsítím. | Volitelné |
subnets_to_add_to_firewall_for_keyvaults_and_storage |
Podsítě, které potřebují přístup k trezorům klíčů a účtům úložiště. | Volitelné |
Ukázkový soubor parametrů pro knihovnu SAP (pouze požadované parametry)
# The environment value is a mandatory field, it is used for partitioning the environments, for example (PROD and NP)
environment = "MGMT"
# The location/region value is a mandatory field, it is used to control where the resources are deployed
location = "westeurope"