Amazon Web Services ブログ

SAP Private Link Service を使用して SAP BTP サービスと AWS サービスを接続する方法

Zalando Payments GmbH (ZPS)Georgia PacificHP などのお客様は、SAP Business Technology Platform (BTP) と AWS のサービスを利用して、S/4HANA などの SAP アプリケーションの拡張や新しい機能とアプリケーションの開発を進めています。AWS 上で利用できる BTP サービスはグローバルで 83 種類あり、他のどのクラウド プロバイダーよりも多くなっています。AWS は、コンピュート、ストレージ、データベースなどのインフラ技術から、機械学習や人工知能、データレイクや分析、モノのインターネット (IoT) などの新しい技術まで、他のクラウド プロバイダーよりもはるかに多くのサービスやサービス内の多くの機能を備えています。お客様は、SAP S/4HANA システムのコア機能を維持しながら、ERP システムの拡張やイノベーションを実施するには、BTP サービス ポートフォリオの中から選択することができます。

今回、SAPは AWS PrivateLink をベースに、一部の SAP BTP サービスと AWS ネイティブ サービス間のプライベート接続を確立する新サービス SAP Private Link service on AWS のベータ版を発表しました。この新サービスは、SAP と AWS の戦略的パートナーシップの成果であり、顧客が SAP ERP のクラウド ジャーニーに付加価値を与えることができるもう一つの素晴らしい例です。Salesforce Heroku のような他の複数のソフトウェア ベンダーは、AWS PrivateLink を使用してアプリケーションと AWS サービス間の通信を保護するために、同様のパターンを実装しています。SAP が SAP BTP と AWS サービス間の統合機能を拡張するのは素晴らしいことです。AWS ブログ AWS and SAP BTP: driving more value from your SAP ERP journey to the cloud には、AWS と BTP サービスの連携の価値について詳細な説明があります。

本ブログでは、このサービスを活用して SAP BTP と AWS サービスを安全に接続する方法についてご紹介します。

以前、SAP BTP アプリケーションと AWS のネイティブサービスを連携させる場合、パブリック API に接続し、パブリック IP アドレスを使用して、インターネット ゲートウェイ経由で SAP サービスをパブリックネットワークに公開する必要がありました。SAP Private Link サービスを利用することで、SAP BTP と AWS サービス間で安全かつプライベートな通信を確立し、信頼性と安全性の高い AWS ネットワークの恩恵を受けることができるようになりました。プライベート IP アドレスレンジ (RFC1918) だけを使用することで、アプリケーションの攻撃対象領域を減らすことができます。これは金融サービス、ヘルスケア、政府機関など、HIPAA、EU/US Privacy Shield、PCI DSS などの規制を受ける業界のお客様にとっては、コンプライアンスのために必要な場合があります。

SAP Private Link サービスの SAP ベータ リリースは、誰でも利用でき、SAP BTP Cloud Foundry リージョン cf-eu10 (AWS: eu-central-1) および cf-us10 (AWS: us-east-1) で利用可能です。ベータ期間中は、非本番の BTP サブアカウントで、ご自身のユースケースの機能をテストすることができます。現在、SAP Private Link サービスは SAP BTP Cloud Foundry Runtime のみをサポートしています。SAP は SAP Integration SuiteSAP Analytics CloudSAP Data Warehouse CloudSAP HANA CloudSAP Cloud ConnectorKyma runtime など他のサービスでの統合を評価しています。
SAP の新サービスの機能を見る前に、まずは SAP のサービスの基盤となる AWS PrivateLink について説明します。

AWS PrivateLink とは

AWS PrivateLink は VPC、AWS サービス、およびお客様のオンプレミスネットワーク間で、トラフィックをパブリック インターネットに公開することなく、プライベートな接続を提供します。AWS PrivateLink を使用すると、異なるアカウントや VPC 間のサービスを簡単に接続でき、ネットワーク アーキテクチャを大幅に簡素化することができます。他の AWS アカウントでホストされているサービス(エンドポイントサービスと呼ばれる)を含む AWS サービスや、AWS Marketplace のパートナーサービスに、VPC 内のプライベート IP アドレスを持つエラスティック ネットワーク インタフェースであるインタフェース エンドポイントを介して接続できるようになります。インターフェイス エンドポイントは、VPC のサブネットにあるエラスティック ネットワーク インターフェイスと IP アドレスを使用して、VPC の内部で直接作成されます。AWS サービスのインターフェース エンドポイントにセキュリティ グループを関連付け、エンドポイント ポリシーをアタッチすることで、指定したサービスへのアクセスを制御することが可能です。

図1 は、左側の VPC のプライベートサブネットに複数の EC2 インスタンスがあり、3 つのインターフェイスの VPC エンドポイントがあることを示しています。一番上の VPC エンドポイントは、AWS サービスに接続します。真ん中の VPC エンドポイントは、別の AWS アカウントでホストされているサービス(VPC エンドポイント サービス)に接続します。一番下の VPC エンドポイントは、AWS Marketplace のパートナーサービスに接続します。

Overview Architecture of AWS PrivateLink

図 1:AWS PrivateLink の概要アーキテクチャ

AWS PrivateLink を使用して、AWS ネットワーク内のプライベートな接続を通じて、他の VPC が提供する AWS サービスまたはほかのサービスに安全にアクセスすることができます。すべてのネットワーク トラフィックはグローバルな AWS バックボーン上にとどまり、パブリック インターネットを通過することはありません。

SAP Private Link サービスとは

SAPは AWS PrivateLink を自社サービスの基盤として利用しており、SAP BTP サービスと自社の AWS アカウントとの間にプライベートな接続性を設定することが可能です。これにより、強固なセキュリティ要件をお持ちのお客様は、パブリック IP アドレスを使用せずに両システム間の接続性を確立し、攻撃対象領域を低減することができます。

SAP Private Link サービスは、一部の SAP BTP サービスと自社の AWS アカウント内の AWS サービスとの間にプライベート接続を確立するサービスです。SAP Private Link のベータ版リリースでは、以下のAWSサービスがサポートされています。

AWS では、お客様からいただいたフィードバックをもとに、常にサービスの提供方法を改善しています。同様に、SAP Private Link サービスと最も組み合わせたい AWS サービスは何かについても、お客様からのご意見をお聞かせください。

SAP Private Link は、AWS のネイティブ サービスに加え、ロードバランサーを経由して、例えば SAP S/4HANA が稼働する Amazon EC2 インスタンスにカスタム設定で接続することが可能です。これを使えば、Amazon EC2 上で動作する任意のアプリケーションと BTP サービスを接続することができます。

通信の開始方法には、2つの方向性とユースケースがあります。

a) SAP BTP から AWSへ:SAP BTP Cloud Foundry Runtime 上で開発されたアプリケーションは、SAP Private Link サービス経由で AWS のネイティブサービスを利用することができます。
b) AWS から SAP BTPへ:AWS 上で動作する SAP S/4HANA などのアプリケーションは、SAP Private Link サービス経由で SAP BTP サービスに接続することができます。

ベータ版サービス開始時、オプション 「a) SAP BTP から AWS へ」は、SAP Private Link サービスでサポートされています。

SAP BTP から AWSへ

SAP BTP Cloud Foundry Runtime 上で開発、実行されるアプリケーションは、AWS のネイティブサービスを活用して機能を充実させ、AWS 上のサービスを直接利用することが可能です。例えば、BTP アプリケーションのデータを Amazon S3 に保存したり、Amazon SES 経由で E メールを送信したりすることができます。BTP 側からの通信は全てプライベートに保たれます。AWS サービス向けのトラフィックは、DNS を使用してエンドポイントのネットワーク インターフェイスのプライベート IP アドレスに解決され、VPC エンドポイントと AWS サービス間の接続を使用して AWS サービスに送信されます。

SAP Private Link service communication to AWS services図 2:SAP Private Link サービスの AWS サービスへの通信状況

サポートされている AWS サービスの他に、SAP Private Link サービスを使用して独自のサービスを利用することもできます。EC2 インスタンス上で動作するS/4HANA システム用のエンド ポイントを作成することができます。これにより、BTP アプリケーションと SAP システムとの間のプライベートな通信が可能になります。Cloud Foundry アプリケーションの開発者は、S/4HANA システムがインターネットに公開されていない状態で、S/4HANA システムの OData サービスなどを簡単に利用できるようになりました。特別なセキュリティ承認や例外措置はもはや必要ありません。

SAP Private Link service communication to custom applications on EC2

図 3:SAP Private Link サービスから EC2 上のカスタム アプリケーションへの通信

どちらのシナリオでも、BTP 環境内の AWS コンポーネントは SAP が管理します。ご自分の AWS アカウントでサービスとリソースを作成するだけです。サービスをセットアップする方法の詳細については、SAP ドキュメント Using SAP Private Link service をご参照ください。

リージョンをまたぐ通信

AWS リージョンをまたぐ AWS エンドポイント サービスについては、BTP Cloud Foundry Runtime と同じ AWS リージョンに VPC を作成し、VPC ピアリングまたは AWS Transit Gateway でこれらの VPC を接続することができます。この設定は、例えば S/4HANA システムを eu-south-1 で稼働させ、BTP 環境を eu-central-1 で稼働させたい場合に有効です。BTP のリージョン コードと AWS リージョンのマッピングは、SAP BTP のリージョンと API エンドポイントのドキュメントに記載されています。

SAP Private Link service communication across AWS regions図4:AWS リージョンをまたぐ SAP Private Link サービスの通信状況

AWS から SAP BTPへ

AWS から BTP への通信は SAP のロードマップにあり、将来のリリースで計画されています。典型的な使用例としては、AWS 上で稼働する S/4HANA システムと、SAP Forms service by Adobe や SAP Integration Suite などの BTP サービスとの接続が挙げられます。お客様は 最も多い SAP BTP サービスをAWS 上で利用できることと、SAP Private Link を介した安定したプライベート接続オプションのメリットを享受することができます。

まとめ

今回、SAP は SAP Cloud Foundry ベースのアプリケーションと AWS サービス間の通信を安全に統合し、プロセスを簡素化する SAP Private Link サービスのベータ版を AWS 上で提供開始しました。また、例えば SAP Private Link を通じて独自のサービス(エンドポイント サービス)を作成し、 S/4HANA システムに接続することも可能です。SAP Private Link サービスは AWS PrivateLink の上で稼働しており、そのセキュリティとスケーラビリティの恩恵を受けることができます。SAP のシステムをインターネットに公開したり、AWS のサービスと通信するためにパブリック API を使用する必要はありません。特に SAP S/4HANA のユースケースでは、SAP システムがパブリック IP アドレスを必要としなくなるため、セキュリティレベルがさらに向上します。SAP BTP テスト アカウントで新サービスを試しフィードバックをお知らせください。

SAP on AWS に関するディスカッションにご参加ください

お客様のアカウントチームと AWS サポートチャンネルに加えて、私たちは最近 re:PostA Reimagined Q&A Experience for the AWS Community を開設しました。SAP on AWS ソリューション アーキテクチャ チームは、定期的に SAP on AWS トピックをチェックし、お客様とパートナーを支援するためにディスカッシや Q&Aをしています。もしご質問がサポートに関係しないものであれば、re:Post でのディスカッションにご参加頂き、コミュニティのナレッジベースに追加することをご検討ください。

AWS が 5000 を超える SAP のお客様に選ばれ、革新的なプラットフォームである理由については、SAP on AWS のページをご参照ください。

翻訳は Specialist SA アッシュが担当しました。原文はこちらです。