© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

2017/3/15

AWSで始める

SAP HANA, express edition～SAP Cloud Appliance Library版～

アマゾン ウェブ サービス ジャパン株式会社

エコシステム ソリューション部

内容について

• 本資料では2017年3月15日時点のサービス内容および価格についてご説明しています。最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください

• 本資料に関して、妥当性や正確性について保証するものではなく、一切の責任を負い兼ねます

0

200

400

600

800

1000

1200

2008 2009 2010 2011 2012 2013 2014 2015 2016

Amazon Web Services(AWS)とは

グローバルインフラストラクチャ

イノベーション

スピード

お客様起点

AWS新サービスと新機能の発表

ITリソースを数分で調達

資本投資

技術投資

効率改善

値下げ

より多くの顧客獲得

過去10年間で59回の値下げ

16リージョン42アベイラビリティゾーン

AWSとSAPのアライアンス

クラウド領域における2008年からの強固なパートナーシップ

お客様の成果

お客

様導

入数

2008

SAP as a Customer

S/4HANASAP IQ / ASE

SAP HANA Platform Edition

SAP Mobile Secure

SAP Business Suite

HANA One

HANA Developer EditionSAP Cloud Appliance

Library (CAL)

A1 / B1

RDS Solutions

BOBJ

SAP HANA for B1

BW on HANA

BW on HANA (4TB)

現在

X1 (2TB)

BW/4HANA X1 scale-out (14 TB)

シングルノード- OLAP (BW/4HANAとBWoH含む) - OLTP (S/4HANAとSoH含む) - liveCache - BPC

14TBまでのスケールアウト- OLAP (BW/4HANAとBWoH含む)

SAP HANA SPS11のコア/メモリ条件緩和により、OLAP用途ではSPS11以降でメモリのフル活用が可能

SAP HANA 2ももちろん対応済み！

https://global.sap.com/community/ebook/2014-09-02-hana-hardware/enEN/iaas.html

SAP HANA認定Amazon EC2インスタンス

244Gb

1TB

2TB

1TB 14TB4TB 7TB

X11TB

スケールアウト

スケ

ール

アッ

プ

X12TB

X1 7TB scale-out

X1 14TB scale-out

R3 4TB scale-outR3

244GB

488GbR4

488GB

SAP HANA, express edition(HXE)も、on AWSで

SAP TechEd 2016 Las Vegasでの発表と同時にAWS上でも利用可能

SAP HXEとは

• 開発、デモ、トレーニング、PoC用途などで本稼働・非本稼働問わず自由に使えるSAP HANA

• メモリー32GBまで無償で利用可能、必要に応じてフルユース(有償版)にアップグレード可能

• SAP HANA認定アプライアンスH/Wは不要

• ノートPC、デスクトップPC

• サーバー

• クラウド

• SAP Community Networkを通じたサポート

SAP HXE on AWSの始め方

２つの利用方法

• SAP Cloud Appliance Library(CAL)からHXEを展開https://cal.sap.com/

• バイナリーインストーラを使ってAmazon EC2(仮想サーバ)上にHXEを構築https://www.sap.com/japan/developer/topics/sap-hana-express.html

SAP Cloud Appliance LibraryによるSAP HXEの利用方法

最新のSAPソリューションを素早く、手軽に評価できるSAP CAL

• 50以上の事前定義済みSAPソリューション

• トライアル、教育、開発者エディションが利用可能

• お客様のAWS環境に展開

• 最近のリリース: SAP S/4HANA

SAP BW/4HANA

SAP HANA Vora

SAP HANA, express edition

図はSAP社資料より抜粋

作業全体の流れ

準備

•SAP S-User ID

•AWSアカウント

AWS作業

•IAMユーザーの作成とシークレットキー/シークレットアクセスキーの発行

•(オプション)Amazon VPCの作成

CAL作業

•AWSアカウントのマッピング

•SAP HXEの展開

各種アカウントの用意

SAP CALを使うためには以下アカウントが必要です

• SAP S-User ID

• AWSアカウント

• 保有していない場合は以下サイト”AWSアカウント作成の流れ”を参考に作成しますhttps://aws.amazon.com/jp/register-flow/

AWSマネジメントコンソールにログインhttps://aws.amazon.com/jp/console/

SAP CALで利用するIAMユーザーの作成とシークレットキー/アクセスキーの発行 1/5

1. サービスからIAMをクリック

2. ユーザーからユーザーを追加をクリック

SAP CALで利用するIAMユーザーの作成とシークレットキー/アクセスキーの発行 2/5

1. ウィザードに従って必要情報を入力• ユーザー名：任意の名前• アクセスの種類：プログラムによるアクセスにチェック

2. 次のステップ: アクセス権限をクリック

SAP CALで利用するIAMユーザーの作成とシークレットキー/アクセスキーの発行 3/5

1. 既存のポリシーを直接アタッチをクリック

2. ポリシー”AmazonEC2FullAccess”, “AmazonVPCFullAccess”,“ReadOnlyAccess”,“AWSAccountUsageReportAccess”にチェック* 該当ポリシーを含むIAMグループへの追加でもOK

3. 次のステップ: 確認をクリック

SAP CALで利用するIAMユーザーの作成とシークレットキー/アクセスキーの発行 4/5

1. 内容を確認して、ユーザーの作成をクリック

SAP CALで利用するIAMユーザーの作成とシークレットキー/アクセスキーの発行 5/5

1. csvのダウンロードをクリックして、シークレットキーとシークレットアクセスキーを保存

2. 閉じるをクリックして完了

[オプション] Amazon VPCの作成

標準でSAP CAL Default Networkを作成しますが、要件に応じてAmazon VPCを作成しておきます

注: SAP CALではus-east-1(バージニア北部)に作成

SAP CALにログオンhttps://cal.sap.com/ 1. Log Onをクリック

2. S-User IDでログオン

AWSアカウントのマッピング

1. Accountsタブをクリック

2. Create Accountsをクリック

3. ウィザードに従って必要情報を入力し、保存• Name：任意の名前• Cloud Provider：Amazon Web Servicesを選択• Access Key：IAMユーザーのアクセスキーを入力• Secret Key：同シークレットアクセスキーを入力

SAP HXEの選択

1. Solutionsタブをクリック

2. 検索バーに”express”と入力し、絞込み

3. ソリューション欄をクリック

[オプション] 概要の確認と手順書の入手

1. Getting Started Guideをクリックし、手順書を入手

インスタンスの作成 – 開始

1. Create Instanceをクリック

[初回のみ] Terms and Conditionsの承諾

1. I Acceptをクリック

インスタンスの作成 – Advanced Modeに変更

1. Advanced Modeをクリック

インスタンスの作成 – 設定情報の入力 1/6

2. Step 2をクリック

1. 作成したAccountを選択

インスタンスの作成 – 設定情報の入力 2/6

1. インスタンス設定情報を入力• Name：任意の名前• Region(*)：us-east-1(バージニア北部)のみ選択可能• Network：VPCを選択• Subnet：サブネットを選択• チェックボックス：固定IPアドレスの適用有無

(*) 有償サブスクリプションがある場合、コンポーネント”BC-VCM-CAL”のインシデント登録で他リージョンも利用可能https://wiki.scn.sap.com/wiki/display/ATopics/FAQ+-+Specific+questions+for+Amazon+Web+Services

2. Step 3をクリック

インスタンスの作成 – 設定情報の入力 3/6

1. 仮想マシン設定情報を入力• Sizes：EC2インスタンスサイズを選択• Volume Type：ストレージ種類を選択• Access Points：アクセス許可ポリシー

インスタンスの作成 – 設定情報の入力 4/6

1. Access Pointsの内容をすべて確認して、Step 4をクリック

インスタンスの作成 – 設定情報の入力 5/6

2. Step 5をクリック

1. マスターパスワードを入力

インスタンスの作成 – 設定情報の入力 6/6

2. Reviewをクリック

1. 運用スケジュール設定情報を入力• Time Zone：タイムゾーンを選択• Scheduling Options：インスタンスの起動停止

- 日付 or 定期スケジュール or 手動から選択• Termination Date：インスタンスの終了日

インスタンスの作成 – 展開

1. 内容を確認して、Createをクリック

設定した内容に基づいた時間あたり、終了までの時間にかかるAWS利用料金の参考値も提示1時間0.29ドル～

Amazon EC2 キーペア(秘密鍵)の入手

1. Downloadをクリックして、キーペアファイルを保存。Closeで閉じて、該当インスタンスをクリック

インスタンス情報の確認

2. OS接続用のグローバルIPアドレスを確認

1. ActivatingからActiveに変わるのを確認(15分程度)

sshでキーペアとroot@<IP>を指定しログイン

クライアント環境によって異なるため、詳細は以下サイト”Linuxインスタンスへの接続”を参照しますhttp://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/AccessingInstances.html

[オプション] SAP HANA Studioの入手

1. Linksタブをクリック

2. HANA Studio & Clientをクリックし、サイトの指示に従ってSAP HANA Studioをセットアップ

Enjoy SAP HANA, express edition!～SAP CALにより構築不要、短時間で利用可能～

参考情報.AWSセキュリティ機能/サービス

AWSのセキュリティを高める機能・サービス

• セキュリティグループ ＝ ファイアウォール

• Amazon VPC ＝ プライベートネットワーク

• AWS IAM ＝ AWSリソースへのアクセス権限の管理

セキュリティグループ

インターネットからのトラフィック(インバウンド)をブロック、Amazon EC2からのトラフィック(アウトバウンド)も制限できるファイアウォール機能です

セキュリティグループ

ポート 22(SSH)

ポート 80(HTTP)

EC2インスタンス

セキュリティグループ

個々のインスタンスごとに、インバウンド、アウトバウンドに対して下記の許可ルールを定義できます。ルールはステートフルで扱われ、明示ルールが無い通信は拒否されます

• インバウンド

• プロトコル (TCP/UDP/ICMP)

• ポート範囲 (ポート番号の範囲)

• 送信元 (アクセス元のIPアドレス)

• アウトバウンド

• プロトコル (TCP/UDP/ICMP)

• ポート範囲 (ポート番号の範囲)

• 送信元 (アクセス元のIPアドレス)

Amazon VPC (Virtual Private Cloud)

• クラウド内にお客様専用のプライベートアドレスの空間を構築

• インターネットVPNやキャリアの閉域網によりセキュアに接続可能

AWSクラウド

VPC

イントラ

インターネット

プライベートサブネット

分離したNW領域を作成

インターネットVPN接続(IPSec)

パブリックサブネット

インターネットゲートウェイ

仮想サーバ(EC2)DBサービス(RDS)専用線接続

Direct Connect

VPCとサブネットについて

• 1つのVPCは、1つのネットワークアドレス(CIDR)で定義

• 1つのVPC内には複数のサブネットを作成することが可能

• サブネットは特定のアベイラビリティゾーン内に配置

パブリック サブネット10.0.1.0/24

VPC 10.0.0.0/16

Webサーバ

Webサーバ

パブリック サブネット10.0.2.0/24

CIDR IPアドレス数

xxx.xxx.xxx.xxx /16 65,534

xxx.xxx.xxx.xxx /20 4,094

xxx.xxx.xxx.xxx /24 254

xxx.xxx.xxx.xxx /28 14

アベイラビリティゾーン -A アベイラビリティゾーン -B

ルートテーブルについて

各サブネットはルートテーブルを持っています。設定を変更することでデータの流れを制御可能です

• パブリック サブネット に割り当てられたルートテーブルルートテーブル: rtb-XXXXXXXX

• プライベート サブネットルートテーブル: rtb-XXXXXXXX

送信先 ターゲット

10.0.0.0/16 Local

0.0.0.0/0 igw-XXXXXXXXIGW(インターネット ゲートウェイ)

へのルーティングがあるので、外部とのアクセスが可能

送信先 ターゲット

10.0.0.0/16 Local

ルートテーブルについて

パブリック サブネット

VPC 10.0.0.0/16

Webサーバ

プライベート サブネット

DBサーバ

インターネット

送信先 ターゲット

10.0.0.0/16 Local

0.0.0.0/0 igw-xxxxx

送信先 ターゲット

10.0.0.0/16 Local

インターネットゲートウェイ(IGW)

IGWにルーティングされていないので

外部と通信できない

AWS IAM (Identity and Access Management)

• AWS操作をよりセキュアに行うための認証・認可の仕組み

• AWS利用者の認証とアクセスポリシーを管理

• グループ、ユーザー、ロールで管理

• 実行出来る操作を IAM ポリシー規定

• ユーザーごとに認証情報の設定が可能

o マネージメントコンソールにはユーザ名とパスワードを使用さらに、MFA(多要素認証)の利用が推奨

o APIにはアクセスキーとシークレットキーを使用

IAMポリシーで必要最小限のみ付与

AWSアカウント(ルートアカウント)

全操作可能

IAMアカウント

EC2

S3

IAMポリシー管理者グループ

開発グループ

運用グループS3参照だけ

S3はすべて操作可能

全操作可能

MFA(多要素認証)で認証の安全性を高める

• AWSアカウント(ルートアカウント)

• ハードウェアトークンで保護

• トークンは金庫などで管理

• IAMアカウント

• 個人ごとのアカウント

• 仮想MFA対応のスマホアプリで保護

Innovation together